運維操作審計堡壘機產(chǎn)品測試策劃方案

1、 運維操作審計（堡壘機）產(chǎn)品驗收報告上海卓格計算機信息系統(tǒng)有限公司2016年04月26日目錄 TOC o 1-3 h z u HYPERLINK l _Toc266689245 一、測試目的 PAGEREF _Toc266689245 h 4 HYPERLINK l _Toc266689246 二、測試原則 PAGEREF _Toc266689246 h 4 HYPERLINK l _Toc266689247 三、測試環(huán)境 PAGEREF _Toc266689247 h 6 HYPERLINK l _Toc266689248 3.1測試對象 PAGEREF _Toc266689248 h 6

2、HYPERLINK l _Toc266689249 3.2測試地點 PAGEREF _Toc266689249 h 6 HYPERLINK l _Toc266689250 3.3測試時刻 PAGEREF _Toc266689250 h 6 HYPERLINK l _Toc266689251 3.4測試人員 PAGEREF _Toc266689251 h 6 HYPERLINK l _Toc266689252 3.5測試環(huán)境 PAGEREF _Toc266689252 h 6 HYPERLINK l _Toc266689253 3.6測試拓撲示意圖 PAGEREF _Toc266689253 h

3、 7 HYPERLINK l _Toc266689254 3.7測試預(yù)備 PAGEREF _Toc266689254 h 7 HYPERLINK l _Toc266689255 四、測試項目 PAGEREF _Toc266689255 h 8 HYPERLINK l _Toc266689256 4.1產(chǎn)品功能測試 PAGEREF _Toc266689256 h 8 HYPERLINK l _Toc266689257 4.1.1運維協(xié)議支持 PAGEREF _Toc266689257 h 8 HYPERLINK l _Toc266689258 4.1.2運維協(xié)議擴展 PAGEREF _Toc26

4、6689258 h 19 HYPERLINK l _Toc266689259 4.1.3運維訪問方式 PAGEREF _Toc266689259 h 20 HYPERLINK l _Toc266689260 4.1.4事前權(quán)限操縱 PAGEREF _Toc266689260 h 24 HYPERLINK l _Toc266689261 4.1.5事中實時監(jiān)控 PAGEREF _Toc266689261 h 26 HYPERLINK l _Toc266689262 4.1.6事后審計取證 PAGEREF _Toc266689262 h 28 HYPERLINK l _Toc266689263 4

5、.1.7報表統(tǒng)計分析 PAGEREF _Toc266689263 h 32 HYPERLINK l _Toc266689264 4.1.8產(chǎn)品自身安全 PAGEREF _Toc266689264 h 34 HYPERLINK l _Toc266689265 4.1.9產(chǎn)品治理維護 PAGEREF _Toc266689265 h 36 HYPERLINK l _Toc266689266 4.2產(chǎn)品部署方式 PAGEREF _Toc266689266 h 38 HYPERLINK l _Toc266689267 4.2.1旁路部署 PAGEREF _Toc266689267 h 38 HYPERL

6、INK l _Toc266689268 4.3產(chǎn)品可用性 PAGEREF _Toc266689268 h 38 HYPERLINK l _Toc266689269 4.3.1雙機熱備 PAGEREF _Toc266689269 h 38 HYPERLINK l _Toc266689270 五、測試結(jié)論 PAGEREF _Toc266689270 h 40 HYPERLINK l _Toc266689271 參考標準 PAGEREF _Toc266689271 h 40 測試目的本次測試的要緊目的，是測試和驗證運維操作審計產(chǎn)品的各項功能和性能指標能否滿足中船信息科技的實際需求。測試原則在本次測試

7、過程中，將依照客觀、公正、公平的原則，按統(tǒng)一的標準，從客戶的業(yè)務(wù)需求和實際環(huán)境動身，對參加測試的廠商的產(chǎn)品進行有重點、有針對性的測試。為此，在測試過程中應(yīng)堅持以下原則：測試環(huán)境一致原則本次測試，不同廠家的產(chǎn)品，其測試環(huán)境保持一致，即使用相同的網(wǎng)絡(luò)環(huán)境，采納統(tǒng)一的測試工具，設(shè)置統(tǒng)一的測試參數(shù)進行測試。在一個產(chǎn)品測試完，下一產(chǎn)品測試前，恢復(fù)測試環(huán)境的初始狀態(tài)。測試內(nèi)容一致原則針對不同廠家產(chǎn)品采納相同的測試內(nèi)容進行測試。同時測試內(nèi)容一旦確定，所有參加測試的產(chǎn)品必須按其內(nèi)容逐項進行測試。代表性原則本次測試并不針對測試的產(chǎn)品所有的功能及性能，而是依照運維操作審計產(chǎn)品的應(yīng)用特點選取具有代表性的功能指標進行

8、測試。依照以上原則，為有效實現(xiàn)測試目標，同時便于測試的實施，對各廠商提供的產(chǎn)品，按照運維協(xié)議支持力度、運維帳戶的統(tǒng)一治理和用戶認證、運維用戶的權(quán)限操縱、運維用戶的操作審計記錄、設(shè)備自身治理及與第三方集成幾個方面進行測試。測試環(huán)境測試對象本次測試對象是杭州思福迪信息技術(shù)有限公司的運維操作審計產(chǎn)品，型號為Logbase-BH-530的測試樣機。測試地點中船信息科技。測試時刻2011年03月10日。測試人員廠商人員：趙新 李春測試環(huán)境Windows服務(wù)器，支持RDP和FTP服務(wù)，同時需已安裝Oracle數(shù)據(jù)庫Linux、Unix服務(wù)器，支持SSH、SFTP服務(wù)交換機或路由器若干個測試拓撲示意圖測試預(yù)

9、備按上述測試拓撲屬意圖在網(wǎng)絡(luò)環(huán)境中部署運維操作審計產(chǎn)品為運維操作審計產(chǎn)品的治理口配置有效IP，確保能夠遠程訪問、治理和日志發(fā)送驗證提供的RDP、Telnet等服務(wù)能夠被正常訪問驗證運維操作審計產(chǎn)品能夠訪問提供上述服務(wù)的主機或設(shè)備測試項目產(chǎn)品功能測試運維協(xié)議支持講明：運維操作審計產(chǎn)品應(yīng)該支持常見的各種運維協(xié)議，以便用戶能夠方便地完成日常運維工作。同時能夠以視頻或文本的形式完整地記錄運維用戶的整個操作過程。RDP 圖形審計測試項目RDP操作圖形審計測試講明測試產(chǎn)品是否支持RDP協(xié)議，并以視頻方式記錄整個操作過程測試環(huán)境Logbase-BH-530、開放RDP協(xié)議的windows服務(wù)器前提條件測試步

10、驟在產(chǎn)品上添加提供RDP服務(wù)的主機資源在產(chǎn)品上創(chuàng)建運維用戶，并給予該用戶訪問第1步添加資源的權(quán)限以運維用戶的身份登錄產(chǎn)品訪問第1步添加的資源以審計用戶的身份登錄產(chǎn)品查看運維用戶的操作審計記錄預(yù)期結(jié)果運維用戶能夠正常訪問提供RDP服務(wù)的主機并進行操作審計用戶能夠回放查看運維用戶整個操作過程的視頻記錄測試結(jié)果能夠通過堡壘主機訪問windows服務(wù)器，同時能夠記錄、回放整個操作過程備注講明測試結(jié)論 通過 部分通過 未通過 未測試結(jié)果確認中船思福迪日 期日 期RDP鍵盤操作審計測試項目RDP鍵盤操作審計測試講明測試產(chǎn)品是否支持RDP協(xié)議，并記錄用戶在鍵盤上的輸入測試環(huán)境Logbase-BH-530、開

11、放RDP協(xié)議的windows服務(wù)器前提條件測試步驟在產(chǎn)品上添加提供RDP服務(wù)的主機資源在產(chǎn)品上創(chuàng)建運維用戶，并給予該用戶訪問第1步添加資源的權(quán)限以運維用戶的身份登錄產(chǎn)品訪問第1步添加的資源，并隨意鍵入字符以審計用戶的身份登錄產(chǎn)品查看運維用戶的操作審計記錄預(yù)期結(jié)果運維用戶能夠正常訪問提供RDP服務(wù)的主機并進行操作審計用戶能夠查看運維用戶在鍵盤上輸入字符的記錄測試結(jié)果能夠記錄操作過程中輸出的鍵盤指令備注講明測試結(jié)論 通過 部分通過 未通過 未測試結(jié)果確認中船思福迪日 期日 期RDP訪問密碼代填測試項目RDP訪問密碼代填測試講明測試產(chǎn)品是否支持RDP協(xié)議，并替用戶代填主機的用戶名和密碼測試環(huán)境Log

12、base-BH-530、開放RDP協(xié)議的windows服務(wù)器前提條件測試步驟在產(chǎn)品上添加提供RDP服務(wù)的主機資源在產(chǎn)品上創(chuàng)建運維用戶，并給予該用戶訪問第1步添加資源的權(quán)限以運維用戶的身份登錄產(chǎn)品訪問第1步添加的資源預(yù)期結(jié)果運維用戶只需輸入運維用戶名和對應(yīng)密碼就可訪問主機，無需輸入主機的用戶名和密碼測試結(jié)果通過設(shè)置密碼代填功能，能夠通過堡壘主機直接訪問windows服務(wù)器。備注講明測試結(jié)論 通過 部分通過 未通過 未測試結(jié)果確認中船思福迪日 期日 期Telnet用戶操作審計測試項目Telnet用戶操作審計測試講明測試產(chǎn)品是否支持Telnet協(xié)議，并記錄用戶在命令行界面輸入的命令測試環(huán)境Logba

13、se-BH-530、開放telnet協(xié)議的windows服務(wù)器前提條件測試步驟在產(chǎn)品上添加提供Telnet服務(wù)的主機資源在產(chǎn)品上創(chuàng)建運維用戶，并給予該用戶訪問第1步添加資源的權(quán)限以運維用戶的身份登錄產(chǎn)品訪問第1步添加的資源以審計用戶的身份登錄產(chǎn)品查看運維用戶的操作審計記錄預(yù)期結(jié)果運維用戶能夠正常訪問提供Telnet服務(wù)的設(shè)備并進行操作審計用戶能夠查看運維用戶輸入命令的審計記錄測試結(jié)果能夠記錄下telnet操作命令，回放整個操作過程備注講明測試結(jié)論 通過 部分通過 未通過 未測試結(jié)果確認中船思福迪日 期日 期Telnet系統(tǒng)返回信息審計測試項目Telnet系統(tǒng)返回信息審計測試講明測試產(chǎn)品是否支持

14、Telnet協(xié)議，并記錄用戶操作后系統(tǒng)返回的所有信息測試環(huán)境Logbase-BH-530、開放telnet協(xié)議的windows服務(wù)器前提條件測試步驟在產(chǎn)品上添加提供Telnet服務(wù)的主機資源在產(chǎn)品上創(chuàng)建運維用戶，并給予該用戶訪問第1步添加資源的權(quán)限以運維用戶的身份登錄產(chǎn)品訪問第1步添加的資源以審計用戶的身份登錄產(chǎn)品查看運維用戶的操作審計記錄預(yù)期結(jié)果運維用戶能夠正常訪問提供Telnet服務(wù)的設(shè)備并進行操作審計用戶能夠查看運維用戶輸入命令后系統(tǒng)返回的所有信息測試結(jié)果能夠?qū)徲嫷絫elnet操作后，服務(wù)器的返回信息，同時回放時也能夠看到備注講明測試結(jié)論 通過 部分通過 未通過 未測試結(jié)果確認中船思福迪

15、日 期日 期Telnet訪問密碼代填測試項目Telnet訪問密碼代填測試講明測試產(chǎn)品是否支持Telnet協(xié)議，并替用戶代填設(shè)備的用戶名和密碼測試環(huán)境Logbase-BH-530、開放telnet協(xié)議的windows服務(wù)器前提條件測試步驟在產(chǎn)品上添加提供Telnet服務(wù)的主機資源在產(chǎn)品上創(chuàng)建運維用戶，并給予該用戶訪問第1步添加資源的權(quán)限以運維用戶的身份登錄產(chǎn)品訪問第1步添加的資源預(yù)期結(jié)果運維用戶只需輸入運維用戶名和對應(yīng)密碼就可訪問主機，無需輸入設(shè)備的用戶名和密碼測試結(jié)果通過設(shè)置密碼代填功能，能夠通過堡壘主機直接訪問telnet服務(wù)器。備注講明測試結(jié)論 通過 部分通過 未通過 未測試結(jié)果確認中船思

16、福迪日 期日 期SSH用戶操作審計測試項目SSH用戶操作審計測試講明測試產(chǎn)品是否支持SSH協(xié)議，并記錄用戶在命令行界面輸入的命令測試環(huán)境Logbase-BH-530、開放ssh協(xié)議的服務(wù)器前提條件測試步驟在產(chǎn)品上添加提供SSH服務(wù)的主機資源在產(chǎn)品上創(chuàng)建運維用戶，并給予該用戶訪問第1步添加資源的權(quán)限以運維用戶的身份登錄產(chǎn)品訪問第1步添加的資源以審計用戶的身份登錄產(chǎn)品查看運維用戶的操作審計記錄預(yù)期結(jié)果運維用戶能夠正常訪問提供SSH服務(wù)的主機并進行操作審計用戶能夠查看運維用戶輸入命令的審計記錄測試結(jié)果能夠?qū)徲嫷絪sh操作的命令，完整回放整個操作過程備注講明測試結(jié)論 通過 部分通過 未通過 未測試結(jié)果

17、確認中船思福迪日 期日 期SSH系統(tǒng)返回信息審計測試項目SSH系統(tǒng)返回信息審計測試講明測試產(chǎn)品是否支持SSH協(xié)議，并記錄用戶操作后系統(tǒng)返回的所有信息測試環(huán)境Logbase-BH-530、開放SSH協(xié)議的windows服務(wù)器前提條件測試步驟在產(chǎn)品上添加提供SSH服務(wù)的主機資源在產(chǎn)品上創(chuàng)建運維用戶，并給予該用戶訪問第1步添加資源的權(quán)限以運維用戶的身份登錄產(chǎn)品訪問第1步添加的資源以審計用戶的身份登錄產(chǎn)品查看運維用戶的操作審計記錄預(yù)期結(jié)果運維用戶能夠正常訪問提供SSH服務(wù)的主機并進行操作審計用戶能夠查看運維用戶輸入命令后系統(tǒng)返回的所有信息測試結(jié)果能夠?qū)徲嫷絊SH操作后，服務(wù)器的返回信息，同時回放時也能

18、夠看到備注講明測試結(jié)論 通過 部分通過 未通過 未測試結(jié)果確認中船思福迪日 期日 期SSH訪問密碼代填測試項目SSH訪問密碼代填測試講明測試產(chǎn)品是否支持SSH協(xié)議，并替用戶代填設(shè)備的用戶名和密碼測試環(huán)境Logbase-BH-530、開放SSH協(xié)議的windows服務(wù)器前提條件測試步驟在產(chǎn)品上添加提供SSH服務(wù)的主機資源在產(chǎn)品上創(chuàng)建運維用戶，并給予該用戶訪問第1步添加資源的權(quán)限以運維用戶的身份登錄產(chǎn)品訪問第1步添加的資源預(yù)期結(jié)果運維用戶只需輸入運維用戶名和對應(yīng)密碼就可訪問主機，無需輸入設(shè)備的用戶名和密碼測試結(jié)果通過設(shè)置密碼代填功能，能夠通過堡壘主機直接訪問SSH服務(wù)器。備注講明測試結(jié)論 通過 部

19、分通過 未通過 未測試結(jié)果確認中船思福迪日 期日 期SSH會話克隆測試項目SSH會話克隆測試講明運維人員通常會從多個操作界面對目標服務(wù)器進行維護，因此開啟多個通訊窗口。該項測試產(chǎn)品支持SSH會話克隆功能。測試環(huán)境Logbase-BH-530、開放SSH協(xié)議的windows服務(wù)器前提條件測試步驟在產(chǎn)品上添加提供SSH服務(wù)的主機資源在產(chǎn)品上創(chuàng)建運維用戶，并給予該用戶訪問第1步添加資源的權(quán)限以運維用戶的身份登錄產(chǎn)品訪問第1步添加的資源通過SSH客戶端，Clone當(dāng)前會話預(yù)期結(jié)果在新窗口中彈出克隆成功的會話界面測試結(jié)果支持SSH回話克隆功能，滿足測試要求備注講明測試結(jié)論 通過 部分通過 未通過 未測試

20、結(jié)果確認中船思福迪日 期日 期FTP用戶操作審計測試項目FTP用戶操作審計測試講明測試產(chǎn)品是否支持FTP協(xié)議，并記錄用戶在命令行界面輸入的命令測試環(huán)境Logbase-BH-530、開放FTP協(xié)議的windows服務(wù)器前提條件測試步驟在產(chǎn)品上添加提供FTP服務(wù)的主機資源在產(chǎn)品上創(chuàng)建運維用戶，并給予該用戶訪問第1步添加資源的權(quán)限以運維用戶的身份登錄產(chǎn)品訪問第1步添加的資源以審計用戶的身份登錄產(chǎn)品查看運維用戶的操作審計記錄預(yù)期結(jié)果運維用戶能夠正常訪問提供FTP服務(wù)的主機并進行操作審計用戶能夠查看運維用戶輸入命令的審計記錄測試結(jié)果能夠?qū)徲嫷紽TP操作的命令備注講明測試結(jié)論 通過 部分通過 未通過 未測

21、試結(jié)果確認中船思福迪日 期日 期FTP系統(tǒng)返回信息審計測試項目FTP系統(tǒng)返回信息審計測試講明測試產(chǎn)品是否支持FTP協(xié)議，并記錄用戶操作后系統(tǒng)返回的所有信息測試環(huán)境Logbase-BH-530、開放FTP協(xié)議的windows服務(wù)器前提條件測試步驟在產(chǎn)品上添加提供FTP服務(wù)的主機資源在產(chǎn)品上創(chuàng)建運維用戶，并給予該用戶訪問第1步添加資源的權(quán)限以運維用戶的身份登錄產(chǎn)品訪問第1步添加的資源以審計用戶的身份登錄產(chǎn)品查看運維用戶的操作審計記錄預(yù)期結(jié)果運維用戶能夠正常訪問提供FTP服務(wù)的主機并進行操作審計用戶能夠查看運維用戶輸入命令后系統(tǒng)返回的所有信息測試結(jié)果能夠?qū)徲嫷紽TP操作后，服務(wù)器的返回信息備注講明測

22、試結(jié)論 通過 部分通過 未通過 未測試結(jié)果確認中船思福迪日 期日 期FTP訪問密碼代填測試項目FTP訪問密碼代填測試講明測試產(chǎn)品是否支持FTP協(xié)議，并替用戶代填設(shè)備的用戶名和密碼測試環(huán)境Logbase-BH-530、開放FTP協(xié)議的windows服務(wù)器前提條件測試步驟在產(chǎn)品上添加提供FTP服務(wù)的主機資源在產(chǎn)品上創(chuàng)建運維用戶，并給予該用戶訪問第1步添加資源的權(quán)限以運維用戶的身份登錄產(chǎn)品訪問第1步添加的資源預(yù)期結(jié)果運維用戶只需輸入運維用戶名和對應(yīng)密碼就可訪問主機，無需輸入設(shè)備的用戶名和密碼測試結(jié)果支持FTP密碼代填功能，滿足測試要求備注講明測試結(jié)論 通過 部分通過 未通過 未測試結(jié)果確認中船思福迪

23、日 期日 期SFTP用戶操作審計測試項目SFTP用戶操作審計測試講明測試產(chǎn)品是否支持SFTP協(xié)議，并記錄用戶在命令行界面輸入的命令測試環(huán)境Logbase-BH-530、開放SFTP協(xié)議的windows服務(wù)器前提條件測試步驟在產(chǎn)品上添加提供SFTP服務(wù)的主機資源在產(chǎn)品上創(chuàng)建運維用戶，并給予該用戶訪問第1步添加資源的權(quán)限以運維用戶的身份登錄產(chǎn)品訪問第1步添加的資源以審計用戶的身份登錄產(chǎn)品查看運維用戶的操作審計記錄預(yù)期結(jié)果運維用戶能夠正常訪問提供SFTP服務(wù)的主機并進行操作審計用戶能夠查看運維用戶輸入命令的審計記錄測試結(jié)果能夠?qū)徲嫷紽TP操作的命令備注講明測試結(jié)論 通過 部分通過 未通過 未測試結(jié)果

24、確認中船思福迪日 期日 期SFTP系統(tǒng)返回信息審計測試項目SFTP系統(tǒng)返回信息審計測試講明測試產(chǎn)品是否支持SFTP協(xié)議，并記錄用戶操作后系統(tǒng)返回的所有信息測試環(huán)境Logbase-BH-530、開放SFTP協(xié)議的windows服務(wù)器前提條件測試步驟在產(chǎn)品上添加提供SFTP服務(wù)的主機資源在產(chǎn)品上創(chuàng)建運維用戶，并給予該用戶訪問第1步添加資源的權(quán)限以運維用戶的身份登錄產(chǎn)品訪問第1步添加的資源以審計用戶的身份登錄產(chǎn)品查看運維用戶的操作審計記錄預(yù)期結(jié)果運維用戶能夠正常訪問提供SFTP服務(wù)的主機并進行操作審計用戶能夠查看運維用戶輸入命令后系統(tǒng)返回的所有信息測試結(jié)果能夠?qū)徲嫷紽TP操作后，服務(wù)器的返回信息備注

25、講明測試結(jié)論 通過 部分通過 未通過 未測試結(jié)果確認中船思福迪日 期日 期運維協(xié)議擴展講明：運維操作審計產(chǎn)品除了支持常見的各種運維協(xié)議以外，還應(yīng)支持一些專門協(xié)議，如數(shù)據(jù)庫等。Oracle數(shù)據(jù)庫審計測試項目Oracle數(shù)據(jù)庫審計測試講明測試產(chǎn)品是否支持Oracle數(shù)據(jù)庫的訪問，并記錄用戶的操作測試環(huán)境Logbase-BH-530、oracle數(shù)據(jù)庫服務(wù)器前提條件測試步驟在已安裝oracle數(shù)據(jù)庫客戶端的設(shè)備上修改本地配置文件格式如下:修改oracleora90NETWORKADMINtnsnames.ora文件，添加：test =(DESCRIPTION =(ADDRESS_LIST =(ADD

26、RESS = (PROTOCOL = TCP)(HOST = 46)(PORT = 1521)(CONNECT_DATA = (SID = logbase23)通過plsql軟件，登錄test數(shù)據(jù)庫。預(yù)期結(jié)果用戶能夠正常訪問Oracle數(shù)據(jù)庫并執(zhí)行操作審計用戶能夠查看運維用戶整個操作過程的審計記錄測試結(jié)果能夠通過堡壘主機訪問oracle數(shù)據(jù)庫，并記錄操作指令備注講明測試結(jié)論 通過 部分通過 未通過 未測試結(jié)果確認中船思福迪日 期日 期運維訪問方式講明：運維操作審計產(chǎn)品應(yīng)同意用戶保留原有運維使用適應(yīng)的同時，提供無需安裝任何客戶端的方式來訪問和治理各種資源?；谑跈?quán)模式的訪問操作測試項目測試產(chǎn)品是

27、否支持授權(quán)訪問模式測試講明操作人員登錄堡壘機進行維護時，必須通過治理人員授權(quán)測試環(huán)境Logbase-BH-530、開放SSH協(xié)議的服務(wù)器前提條件測試步驟在產(chǎn)品上添加要訪問的主機資源在產(chǎn)品上創(chuàng)建運維用戶，并給予該用戶訪問第1步添加資源的權(quán)限設(shè)置用戶訪問設(shè)備必須通過授權(quán)用戶通過SSH方式訪問目標設(shè)備治理員通過授權(quán)界面為其授權(quán)預(yù)期結(jié)果治理員授權(quán)后用戶才能正常登錄系統(tǒng)測試結(jié)果在訪問需授權(quán)設(shè)備時，需要治理員審核授權(quán)后，才能夠正常登錄操作備注講明測試結(jié)論 通過 部分通過 未通過 未測試結(jié)果確認中船思福迪日 期日 期基于原有命令行界面客戶端的訪問測試項目基于原有命令行界面客戶端的訪問測試講明測試產(chǎn)品是否支持

28、客戶使用原有的命令行客戶端訪問治理的資源測試環(huán)境Logbase-BH-530、開放SSH協(xié)議的服務(wù)器前提條件測試步驟在產(chǎn)品上添加要訪問的主機資源在產(chǎn)品上創(chuàng)建運維用戶，并給予該用戶訪問第1步添加資源的權(quán)限使用Putty、SecureCRT軟件直接連接產(chǎn)品，輸入運維用戶的用戶名和密碼在顯示的命令行界面選擇要治理的主機資源預(yù)期結(jié)果運維用戶能夠使用Putty、SecureCRT直接訪產(chǎn)品，并在選擇治理的主機資源后進行運維操作測試結(jié)果滿足測試要求備注講明測試結(jié)論 通過 部分通過 未通過 未測試結(jié)果確認中船思福迪日 期日 期基于原有圖形界面客戶端的訪問測試項目基于原有圖形界面客戶端的訪問測試講明測試產(chǎn)品是

29、否支持客戶使用原有的圖形客戶端訪問治理的資源測試環(huán)境Logbase-BH-530、開放RDP協(xié)議的windows服務(wù)器前提條件測試步驟在產(chǎn)品上添加要訪問的主機資源在產(chǎn)品上創(chuàng)建運維用戶，并給予該用戶訪問第1步添加資源的權(quán)限使用mstsc軟件直接連接產(chǎn)品，輸入運維用戶的用戶名和密碼在顯示的圖形界面選擇要治理的主機資源預(yù)期結(jié)果運維用戶能夠使用mstsc直接訪產(chǎn)品，并在選擇治理的主機資源后進行運維操作測試結(jié)果支持windwos自帶mstsc遠程桌面客戶端訪問備注講明測試結(jié)論 通過 部分通過 未通過 未測試結(jié)果確認中船思福迪日 期日 期基于無客戶端的RDP訪問測試項目基于無客戶端的RDP訪問測試講明測試

30、產(chǎn)品是否支持客戶無需安裝客戶端即可訪問RDP資源測試環(huán)境Logbase-BH-530、開放RDP協(xié)議的windows服務(wù)器前提條件測試步驟在產(chǎn)品上添加要訪問的RDP主機資源在產(chǎn)品上創(chuàng)建運維用戶，并給予該用戶訪問第1步添加資源的權(quán)限使用掃瞄器登錄產(chǎn)品在Web界面直接選擇要治理的主機資源預(yù)期結(jié)果運維用戶能夠在Web頁面直接訪問RDP主機資源，并進行運維操作測試結(jié)果能夠通過頁面調(diào)用控件的方式來實現(xiàn)不使用RDP客戶端訪問備注講明測試結(jié)論 通過 部分通過 未通過 未測試結(jié)果確認中船思福迪日 期日 期基于無客戶端的FTP訪問測試項目基于無客戶端的FTP訪問測試講明測試產(chǎn)品是否支持客戶無需安裝客戶端即可訪問

31、FTP資源測試環(huán)境Logbase-BH-530、開放FTP協(xié)議的windows服務(wù)器前提條件測試步驟在產(chǎn)品上添加要訪問的FTP主機資源在產(chǎn)品上創(chuàng)建運維用戶，并給予該用戶訪問第1步添加資源的權(quán)限使用掃瞄器登錄產(chǎn)品在Web界面直接選擇要治理的主機資源預(yù)期結(jié)果運維用戶能夠在Web頁面直接訪問FTP主機資源，并進行運維操作測試結(jié)果能夠通過堡壘主機頁面直接訪問FTP服務(wù)器進行操作備注講明測試結(jié)論 通過 部分通過 未通過 未測試結(jié)果確認中船思福迪日 期日 期事前權(quán)限操縱講明：運維操作審計產(chǎn)品應(yīng)同意治理人員依照安全策略和工作職責(zé)對一般運維用戶進行細粒度化的權(quán)限分配，以保證運維人員只能操作屬于工作職責(zé)范圍的設(shè)

32、備。同時應(yīng)能對一般運維用戶的操作進行命令級不的規(guī)范和操縱，防止誤操作或惡意操作可能帶來無法預(yù)料的結(jié)果，并在偵測到用戶輸入敏感命令后發(fā)出告警并同時中斷會話。設(shè)備錄入與設(shè)備組治理測試項目設(shè)備錄入與設(shè)備組治理測試講明測試產(chǎn)品是否支持錄入要治理的設(shè)備并已組的方式治理同類設(shè)備測試環(huán)境Logbase-BH-530前提條件測試步驟在產(chǎn)品上添加要治理的設(shè)備組在該組內(nèi)添加要治理的多個主機資源預(yù)期結(jié)果超級治理員能夠以組的方式治理多個設(shè)備，并對用戶進行訪問授權(quán)測試結(jié)果可對主機資源進行分組治理備注講明測試結(jié)論 通過 部分通過 未通過 未測試結(jié)果確認中船思福迪日 期日 期訪問權(quán)限操縱測試項目訪問權(quán)限操縱測試講明測試產(chǎn)品

33、是否能夠操縱運維用戶能夠訪問哪些設(shè)備測試環(huán)境Logbase-BH-530前提條件測試步驟在產(chǎn)品上添加同意運維用戶訪問的主機資源通過權(quán)限操縱治理界面同意運維用戶訪問第1步添加的資源以運維用戶身份登錄產(chǎn)品預(yù)期結(jié)果運維用戶只能訪問被授權(quán)的資源測試結(jié)果治理員能夠?qū)\維用戶授權(quán)，設(shè)置能夠訪問的主機資源備注講明測試結(jié)論 通過 部分通過 未通過 未測試結(jié)果確認中船思福迪日 期日 期敏感命令操作操縱測試項目敏感命令操作操縱測試講明測試產(chǎn)品是否能夠操縱運維用戶在命令行界面輸入的命令測試環(huán)境Logbase-BH-530、開放SSH協(xié)議的服務(wù)器前提條件測試步驟在產(chǎn)品上添加同意運維用戶訪問的主機資源通過權(quán)限操縱治理界

34、面同意運維用戶訪問第1步添加的資源創(chuàng)建安全規(guī)則策略，假如用戶輸入“rm”命令則自動斷開用戶連接以運維用戶身份登錄產(chǎn)品并訪問資源，并在命令行界面輸入“rm”命令預(yù)期結(jié)果運維用戶在未輸入“rm”命令前能夠正常操作，輸入“rm”后連接自動斷開測試結(jié)果對策略用rm指令進行了阻斷，滿足測試要求備注講明測試結(jié)論 通過 部分通過 未通過 未測試結(jié)果確認中船思福迪日 期日 期事中實時監(jiān)控講明：運維操作審計產(chǎn)品應(yīng)同意治理人員實時地監(jiān)控一般運維人員、特不是例如第三方技術(shù)人員的操作，同時在發(fā)覺其企圖執(zhí)行惡意操作時進行實時阻斷，防止發(fā)生安全事故。實時視頻監(jiān)控測試項目實時視頻監(jiān)控測試講明測試產(chǎn)品是否能夠讓超級治理員實時

35、監(jiān)控運維人員的操作測試環(huán)境Logbase-BH-530、開放windows RDP的服務(wù)器前提條件測試步驟在產(chǎn)品上添加同意運維用戶訪問的主機資源在產(chǎn)品上創(chuàng)建運維用戶，并給予該用戶訪問第1步添加資源的權(quán)限以運維用戶的身份登錄產(chǎn)品并進行運維操作以審計用戶身份登錄產(chǎn)品查看對應(yīng)運維會話的實時視頻預(yù)期結(jié)果審計用戶能以視頻的方式實時地監(jiān)控運維用戶的所有操作測試結(jié)果能夠?qū)崟r的監(jiān)控通過堡壘主機訪問的RDP操作。備注講明測試結(jié)論 通過 部分通過 未通過 未測試結(jié)果確認中船思福迪日 期日 期實時會話阻斷測試項目實時會話阻斷測試講明測試產(chǎn)品是否能夠讓超級治理員監(jiān)控到危險操作時實時阻斷運維用戶的連接測試環(huán)境Logba

36、se-BH-530、開放windows RDP的服務(wù)器前提條件測試步驟在產(chǎn)品上添加同意運維用戶訪問的主機資源在產(chǎn)品上創(chuàng)建運維用戶，并給予該用戶訪問第1步添加資源的權(quán)限以運維用戶的身份登錄產(chǎn)品并進行運維操作以審計用戶身份登錄產(chǎn)品查看對應(yīng)運維會話的實時視頻點擊界面的功能按鈕斷開正在查看的實時視頻預(yù)期結(jié)果審計用戶能實時地阻斷運維用戶的訪問連接測試結(jié)果能夠?qū)崟r的監(jiān)控通過堡壘主機訪問的RDP操作，同時阻斷備注講明測試結(jié)論 通過 部分通過 未通過 未測試結(jié)果確認中船思福迪日 期日 期事后審計取證講明：運維操作審計產(chǎn)品應(yīng)能讓審計人員對所有的運維用戶的操作進行快速、方便地搜索，以便在發(fā)生安全事故后分析緣故，定

37、位相關(guān)責(zé)任人。用戶輸入命令檢索測試項目用戶輸入命令檢索測試講明測試產(chǎn)品是否能夠檢索用戶輸入的命令測試環(huán)境Logbase-BH-530、開放ssh協(xié)議的服務(wù)器前提條件測試步驟在產(chǎn)品上添加同意運維用戶訪問的主機資源在產(chǎn)品上創(chuàng)建運維用戶，并給予該用戶訪問第1步添加資源的權(quán)限以運維用戶的身份登錄產(chǎn)品并進行運維操作，輸入專門命令如“l(fā)s”以審計用戶身份登錄產(chǎn)品并搜索操作包含“l(fā)s”的審計記錄預(yù)期結(jié)果審計用戶能搜索到對應(yīng)操作的審計記錄測試結(jié)果能夠查詢到包含ls操作的日志備注講明測試結(jié)論 通過 部分通過 未通過 未測試結(jié)果確認中船思福迪日 期日 期系統(tǒng)返回信息檢索測試項目系統(tǒng)返回信息檢索測試講明測試產(chǎn)品是否

38、能夠檢索系統(tǒng)返回的信息測試環(huán)境Logbase-BH-530、開放ssh協(xié)議的服務(wù)器前提條件測試步驟在產(chǎn)品上添加同意運維用戶訪問的設(shè)備資源在產(chǎn)品上創(chuàng)建運維用戶，并給予該用戶訪問第1步添加資源的權(quán)限以運維用戶的身份登錄產(chǎn)品并進行運維操作，輸入無效命令讓系統(tǒng)返回的消息中包含“invalid”字符以審計用戶身份登錄產(chǎn)品并搜索包含“invalid”的審計記錄預(yù)期結(jié)果審計用戶能搜索到對應(yīng)操作的審計記錄測試結(jié)果能夠查詢到包含invalid字符的返回信息備注講明測試結(jié)論 通過 部分通過 未通過 未測試結(jié)果確認中船思福迪日 期日 期多條件組合檢索測試項目多條件組合檢索測試講明測試產(chǎn)品是否能夠使用多個條件組合檢索

39、審計信息測試環(huán)境Logbase-BH-530前提條件測試步驟在產(chǎn)品上添加同意運維用戶訪問的設(shè)備資源在產(chǎn)品上創(chuàng)建運維用戶，并給予該用戶訪問第1步添加資源的權(quán)限以運維用戶的身份登錄產(chǎn)品并進行運維操作以審計用戶身份登錄產(chǎn)品，同時使用運維用戶名稱、設(shè)備地址、時刻多個條件進行組合搜索預(yù)期結(jié)果審計用戶能使用多個條件組合起來搜索審計記錄測試結(jié)果支持多條件組合查詢，滿足測試要求備注講明測試結(jié)論 通過 部分通過 未通過 未測試結(jié)果確認中船思福迪日 期日 期歷史視頻回放測試項目歷史視頻回放測試講明測試產(chǎn)品是否同意審計人員回放運維人員操作的視頻記錄測試環(huán)境Logbase-BH-530前提條件測試步驟在產(chǎn)品上添加同意

40、運維用戶訪問的設(shè)備資源在產(chǎn)品上創(chuàng)建運維用戶，并給予該用戶訪問第1步添加資源的權(quán)限以運維用戶的身份登錄產(chǎn)品并進行運維操作以審計用戶身份登錄產(chǎn)品查看運維用戶的歷史視頻記錄預(yù)期結(jié)果審計用戶能查看運維用戶的歷史視頻，同時能夠進行快進、慢放、暫停等操作測試結(jié)果能夠?qū)Σ樵兂鰜淼娜罩具M行操作回放。備注講明測試結(jié)論 通過 部分通過 未通過 未測試結(jié)果確認中船思福迪日 期日 期特定指令定位回放測試項目特定指令定位回放測試講明測試產(chǎn)品是否同意審計人員從特定的命令處開始回放歷史視頻記錄測試環(huán)境Logbase-BH-530前提條件測試步驟在產(chǎn)品上添加同意運維用戶訪問的設(shè)備資源在產(chǎn)品上創(chuàng)建運維用戶，并給予該用戶訪問第1

41、步添加資源的權(quán)限以運維用戶的身份登錄產(chǎn)品并進行運維操作以審計用戶身份登錄產(chǎn)品查看運維用戶的文本審計記錄，然后點擊特定指令預(yù)期結(jié)果審計用戶能從特定指令處開始播放歷史視頻記錄測試結(jié)果能夠從特定的操作指令開始回放備注講明測試結(jié)論 通過 部分通過 未通過 未測試結(jié)果確認中船思福迪日 期日 期報表統(tǒng)計分析講明：運維操作審計產(chǎn)品應(yīng)能讓審計人員對長期的審計記錄進行各種報表統(tǒng)計分析，以提供相關(guān)的報表來滿足合規(guī)要求。系統(tǒng)自帶統(tǒng)計報表測試項目系統(tǒng)自帶統(tǒng)計報表測試講明測試產(chǎn)品是否自帶豐富的統(tǒng)計報表測試環(huán)境Logbase-BH-530前提條件測試步驟以審計用戶身份登錄產(chǎn)品，然后選擇要統(tǒng)計的報表并運行預(yù)期結(jié)果產(chǎn)品自帶大

42、量針對FTP、Telnet、SSH、等運維協(xié)議的統(tǒng)計報表測試結(jié)果內(nèi)置FTP、telnet、SSH等運維協(xié)議報表，能夠正常生成備注講明測試結(jié)論 通過 部分通過 未通過 未測試結(jié)果確認中船思福迪日 期日 期用戶自定義報表測試項目用戶自定義報表測試講明測試產(chǎn)品是否支持用戶依照自身需要自定義報表測試環(huán)境Logbase-BH-530前提條件測試步驟以審計用戶身份登錄產(chǎn)品，然后依照運維用戶、設(shè)備用戶、運維協(xié)議、時刻等多個字段自定義報表運行自定義的報表預(yù)期結(jié)果用戶能夠依照需要自定義各種報表并得到報表結(jié)果測試結(jié)果支持自定義報表功能，能夠自由選擇報表用所需字段備注講明測試結(jié)論 通過 部分通過 未通過 未測試結(jié)果

43、確認中船思福迪日 期日 期產(chǎn)品自身安全講明：運維操作審計產(chǎn)品應(yīng)保證不管是運維用戶的日常工作，依舊超級治理員的維護治理工作有足夠的安全措施，保證關(guān)鍵的信息可不能泄漏。同時對超級治理員的操作進行記錄，能夠隨時審查高權(quán)限用戶的操作，降低安全風(fēng)險。運維用戶認證安全測試項目運維用戶認證安全測試講明測試產(chǎn)品是否對運維用戶的認證有安全的要求測試環(huán)境Logbase-BH-530前提條件測試步驟以超級治理用戶身份登錄產(chǎn)品并創(chuàng)建運維帳戶給運維用戶設(shè)置分配包含字符和數(shù)字的混合密碼預(yù)期結(jié)果能夠給運維用戶設(shè)置的密碼包含字符和數(shù)字測試結(jié)果運維用戶密碼支持專門字符。符合測試要求備注講明測試結(jié)論 通過 部分通過 未通過 未測試結(jié)果確認中船思福迪日 期日 期運維通訊安全測試項目運維通訊安全測試講明測試產(chǎn)品是否有安全措施愛護一般運維用戶的網(wǎng)絡(luò)連接測試環(huán)境Logbase-BH-530、netsniffer抓包工具前提條件測試步驟開啟產(chǎn)品的vpn訪問模式創(chuàng)建本機到產(chǎn)品的vpn連