运维安全审计系统HAC产品测试方案

运维安全审计系统（HAC ）
功能测试
目录
1概述 (1)
1.1各项功能测试目标 (1)
1.2测试范围 (1)
1.3测试对象 (1)
2测试方案拓扑 (2)
2.1测试环境 (4)
3测试计划 (5)
3.1测试时间 (5)
3.2测试地点 (5)
3.3测试人员 (5)
4测试内容 (6)
4.1 功能测试 (6)
4.1.1 系统基本配置 (6)
4.1.2运维管理配置与测试 (7)
4.1.3保护资源自动登陆配置与测试 (9)
4.1.4运维操作审计测试 (10)
4.1.5审计功能测试 (12)
4.1.6统计报表功能测试 (13)
5测试结论 (15)
1概述
1.1各项功能测试目标
本次产品测试目标如下：
测试HAC。

测试各项功能是否正常运行；协议是否正确。

验证运维安全审计系统HAC产品是否能正常运行
1.2测试范围
本次产品测试范围如下：
测试范围在网络系统环境中
HAC功能
相关协议
1.3测试对象
测试对象：HAC 1000P —台，系统基本信息如下:
2测试方案拓扑
由于HAC实施审计条件是所有对被保护资源的运维流量均需要流经HAC，所以保证HAC工作正常应具备以下要求：
当HAC为单臂部署模式时，为了让运维人员访问被保护资源的流量流经HAC，需要在交换机或安全设备上配置安全策略如访问控制列表，确保运维人员不能直接访问被保护资源，只有HAC能访
问被保护资源。

HAC能访问保护资源。

如果HAC到保护资源之间设置了安全策略，需根据所用协议端口开放相关端口。

开放端口根据运维协议和保护资源服务端口而定，具体情况如下：
采用Telnet协议运维：需开放HAC到保护资源的23端口（23端口为保护资源Telnet服务端口，如果修改请
根据实际进行修改，下同）。

采用SSH、SFTP协议运维：需开放HAC到保护资源的22端口。

采用FTP协议运维：需开放HAC到保护资源的21端口、20端口和1024以上端口（若FTP 采用主动模式，则
只需开放21、20端口；若采用被动模式，则需开放21、1024以上端口）。

采用RDP协议运维：需开放HAC
到保护资源的3389端口。

采用XWIN协议运维：需开放HAC到保护资源的UDP177端口和6000以上端口。

采用 FTP 协议运维：需开放运维终端到 由 HAC 的工作机制决定的） 。

采用 RDP 协议运维：需开放运维终端到 采用
XWIN 协议运维：需开放运维终端到 采用 VNC
协议运维：需开放运维终端到
采用 VNC 协议运维：需开放 HAC 到保护资源的 5900 以上端口 （根据 VNC 服务器的定义， 一般为 5900 以上端口）。

采用 AS400 专用客户端运维 AS400 主机：需开放 HAC 到保护资源的 449、 23 端口和
8470—8479 相关端口 （8470—8479 是动态协商的，不同主机可能用其中部分端口）。

采用 HTTP 协议运维：需开放 HAC 到保护资源的相应端口。

采用 HTTPS 协议运维：需开放 HAC 到保护资源的相应端口。

运维人员能访问 HAC 。

如果运维人员和 HAC 之间设置安全策略，需根据所用协议端口开放相关 端口。

具体情况如下：
开放 443 端口，目的是运维人员可自行修改密码、查看可访问资源以及进行
RDP 、XWIN 、
VNC 协议运维。

采用 Telnet 协议运维：需开放运维终端到 HAC 的 23 端口。

采用 SSH 、SFTP 协议运维：需开放运维终端到 HAC 的 22 端口。

HAC 的 21端口和 4096以上端口（ 4096 以上端口是
HAC 的 3389 和 443 端口。

HAC 的 7000端口和 443 端口。

HAC 的 5900 端口和 443 端口 。

采用 AS400 专用客户端运维 AS400 主机：需开放运维终端到 HAC 的 449、 23 端口和
8470—8479 相关端口 （8470—8479 是动态协商的，不同主机可能用其中部分端口） 。

采用 HTTP 、 HTTPS
协议运维：需开放 HAC 到保护资源的 7000 和 443 端口。

采用 VDH 进行运维，需开放如下端口：
运维终端到 HAC ：443、3389、8005 端口；
HAC 到 VDH 服务器： 3389、3390 端口 ；
VDH 服务器到保护资源：开放 相应端口 （该端口是由 VDH 服务器上发布的应用决定的，如 发布 http 服务，
则需开放 80 端口）
系统管理员、运维管理员终端能访问 HAC ，开放端口为 443。

审计员终端能访问 HAC ，开放端口为 8001、 8004。

审计员终端访问日志备份服务器，进行日志的离线回放， 若日志是使用 FTP 协议备份的，需开放 21、 1024以上端口；若是使用 SFTP 协议备份的，需开放 22端口。

HAC 密函打印客户端访问HAC ，开放端口为：8003。

HAC 到日志备份服务器，若使用FTP 协议备份需开放端口：21、1024以上（采用被动模式）；若使用SFTP 协议备份，需开放22 端口。

HAC 到发送邮件服务器，需开放相关端口。

使用RDP、XWIN 、VNC 协议运维时，客户端操作系统支持Windows 2000/XP/2003/Vista ，浏览器支持IE6、IE7、IE8、Maxthon 等。

审计平台客户端支持Windows XP/2003/Vista/7 操作系统。

2.1 测试环境
HAC1000：P 一个IP 地址
VDH 一个IP地址
运维终端：PC机1-2台
目标服务器：建议LINUX,WINDOWS 1-2台
网络中需要运维终端与HAC1000P路由可达，无网络端口限制。

HAC1000与目标服务器路由可达，无网络端口限制。

VDH与目标服务器路由可达，无网络端口限制。

HAC1000与VDH同网段，无网络端口限制。

3测试计划
3.1测试时间
3.2测试地点
3.3测试人员
4测试内容
4.1功能测试
4.1.1系统基本配置
4.1.1.1审计平台安装与监控功能
1、审计平台安装
、连接HAC
2
3、系统监控
4.1.1.2系统管理配置
1、管理员管理
4.1.2运维管理配置与测试
4.121资源管理
4.122运维用户管理
4.123授权与访问控制1、授权管理
4.1.3保护资源自动登陆配置与测试1、类Unix保护资源自动登陆配置与测试
2、Windows等保护资源自动登陆配置与测试
4.1.4运维操作审计测试
4.1.4.1 Telnet协议运维操作测试1、运维操作
2、事中实时监控
3、事后审计
4.1.4.2 SSH协议运维操作测试1、运维操作
2、事中实时监控
3、事后审计
4.1.4.3 RDP协议运维操作测试1、运维操作
2、事中实时监控
3、事后审计
4.1.5审计功能测试
1、会话审计
2、系统自审计
4.1.6统计报表功能测试
5测试结论。