安全审计系统(HAC)产品功能测试报告

目录

1概述................................................................ 错误!未定义书签。

各项功能测试目标.............................................. 错误!未定义书签。

测试范围...................................................... 错误!未定义书签。

测试对象...................................................... 错误!未定义书签。2测试方案拓扑 ........................................................ 错误!未定义书签。3测试计划 ............................................................ 错误!未定义书签。

测试时间...................................................... 错误!未定义书签。

测试地点...................................................... 错误!未定义书签。

测试人员...................................................... 错误!未定义书签。4测试内容 ............................................................ 错误!未定义书签。

功能测试...................................................... 错误!未定义书签。

系统基本配置.............................................. 错误!未定义书签。

运维管理配置与测试........................................ 错误!未定义书签。

保护资源自动登陆配置与测试................................ 错误!未定义书签。

运维操作审计测试.......................................... 错误!未定义书签。

审计功能测试.............................................. 错误!未定义书签。

统计报表功能测试.......................................... 错误!未定义书签。

口令保管箱................................................ 错误!未定义书签。5测试结论 ............................................................ 错误!未定义书签。

1概述

1.1各项功能测试目标

本次产品测试目标如下：

测试HAC。

测试各项功能是否正常运行；协议是否正确。

验证运维安全审计系统HAC产品是否能正常运行。

1.2测试范围

本次产品测试范围如下：

测试范围在网络系统环境中

HAC功能

相关协议

1.3测试对象

测试对象：HAC 1000P一台，系统基本信息如下：

产品型号HAC 1000P

外形1U机架式

存储容量500G

网卡2个千兆以太网口+1个百兆以太网口

支持协议Telnet、SSH、FTP、SFTP、RDP、Xwindows、Windows Terminal 系统版本

审计平台版本

电源单电源

2测试方案拓扑

由于HAC实施审计条件是所有对被保护资源的运维流量均需要流经HAC，所以保证HAC 工作正常应具备以下要求：

当HAC为单臂部署模式时，为了让运维人员访问被保护资源的流量流经HAC，需要在交换机或安全设备上配置安全策略如访问控制列表，确保运维人员不能直接访问被保护资源，只有HAC能访问被

保护资源。

HAC能访问保护资源。如果HAC到保护资源之间设置了安全策略，需根据所用协议端口开放相关端口。开放端口根据运维协议和保护资源服务端口而定，具体情况如下：

采用Telnet协议运维：需开放HAC到保护资源的23端口（23端口为保护资源Telnet服务

端口，如果修改请根据实际进行修改，下同）。

采用SSH、SFTP协议运维：需开放HAC到保护资源的22端口。

采用FTP协议运维：需开放HAC到保护资源的21端口、20端口和1024以上端口（若FTP采

用主动模式，则只需开放21、20端口；若采用被动模式，则需开放21、1024以上端口）。

采用RDP协议运维：需开放HAC到保护资源的3389端口。

采用XWIN协议运维：需开放HAC到保护资源的UDP177端口和6000以上端口。

采用VNC协议运维：需开放HAC到保护资源的5900以上端口（根据VNC服务器的定义，一般为5900以上端口）。

采用AS400专用客户端运维AS400主机：需开放HAC到保护资源的449、23端口和8470—8479相关端口（8470—8479是动态协商的，不同主机可能用其中部分端口）。

采用HTTP协议运维：需开放HAC到保护资源的相应端口。

采用HTTPS协议运维：需开放HAC到保护资源的相应端口。

运维人员能访问HAC。如果运维人员和HAC之间设置安全策略，需根据所用协议端口开放相关端口。具体情况如下：

开放443端口，目的是运维人员可自行修改密码、查看可访问资源以及进行RDP、XWIN、VNC 协议运维。

采用Telnet协议运维：需开放运维终端到HAC的23端口。

采用SSH、SFTP协议运维：需开放运维终端到HAC的22端口。

采用FTP协议运维：需开放运维终端到HAC的21端口和4096以上端口（4096以上端口是由HAC的工作机制决定的）。

采用RDP协议运维：需开放运维终端到HAC的3389和443端口。

采用XWIN协议运维：需开放运维终端到HAC的7000端口和443端口。

采用VNC协议运维：需开放运维终端到HAC的5900端口和443端口。

采用AS400专用客户端运维AS400主机：需开放运维终端到HAC的449、23端口和8470—8479相关端口（8470—8479是动态协商的，不同主机可能用其中部分端口）。

采用HTTP、HTTPS协议运维：需开放HAC到保护资源的7000和443端口。

采用VDH进行运维，需开放如下端口：

运维终端到HAC：443、3389、8005端口；

HAC到VDH服务器：3389、3390端口；

VDH服务器到保护资源：开放相应端口（该端口是由VDH服务器上发布的应用决定的，如发布http服务，则需开放80端口）

系统管理员、运维管理员终端能访问HAC，开放端口为443。

审计员终端能访问HAC，开放端口为8001、8004。

审计员终端访问日志备份服务器，进行日志的离线回放，若日志是使用FTP协议备份的，需开放21、1024以上端口；若是使用SFTP协议备份的，需开放22端口。

HAC密函打印客户端访问HAC，开放端口为：8003。