资源描述
运维操作审计产品测试方案
42
资料内容仅供参考,如有不当或者侵权,请联系本人改正或者删除。
运维操作审计( 堡垒机) 产品
测试方案
北京中船信息科技有限公司
北京思福迪信息技术有限公司
03月04日
目录
一、 测试目的 4
二、 测试原则 4
三、 测试环境 6
3.1 测试对象 6
3.2 测试地点 6
3.3 测试时间 6
3.4 测试人员 6
3.5 测试环境 6
3.6 测试拓扑示意图 7
3.7 测试准备 7
四、 测试项目 8
4.1 产品功能测试 8
4.1.1 运维协议支持 8
4.1.2 运维协议扩展 19
4.1.3 运维访问方式 20
4.1.4 事前权限控制 24
4.1.5 事中实时监控 26
4.1.6 事后审计取证 28
4.1.7 报表统计分析 32
4.1.8 产品自身安全 34
4.1.9 产品管理维护 36
4.2 产品部署方式 38
4.2.1 旁路部署 38
4.3 产品可用性 38
4.3.1 双机热备 38
五、 测试结论 40
参考标准 40
一、 测试目的
本次测试的主要目的, 是测试和验证运维操作审计产品的各项功能和性能指标能否满足中船信息科技的实际需求。
二、 测试原则
在本次测试过程中, 将根据客观、 公正、 公平的原则, 按统一的标准, 从客户的业务需求和实际环境出发, 对参加测试的厂商的产品进行有重点、 有针对性的测试。为此, 在测试过程中应坚持以下原则:
l 测试环境一致原则
本次测试, 不同厂家的产品, 其测试环境保持一致, 即使用相同的网络环境, 采用统一的测试工具, 设置统一的测试参数进行测试。在一个产品测试完, 下一产品测试前, 恢复测试环境的初始状态。
l 测试内容一致原则
针对不同厂家产品采用相同的测试内容进行测试。而且测试内容一旦确定, 所有参加测试的产品必须按其内容逐项进行测试。
l 代表性原则
本次测试并不针对测试的产品所有的功能及性能, 而是根据运维操作审计产品的应用特点选取具有代表性的功能指标进行测试。
根据以上原则, 为有效实现测试目标, 同时便于测试的实施, 对各厂商提供的产品, 按照运维协议支持力度、 运维帐户的统一管理和用户认证、 运维用户的权限控制、 运维用户的操作审计记录、 设备自身管理及与第三方集成几个方面进行测试。
三、 测试环境
3.1 测试对象
本次测试对象是杭州思福迪信息技术有限公司的运维操作审计产品, 型号为Logbase-BH-530的测试样机。
3.2 测试地点
中船信息科技。
3.3 测试时间
03月10日。
3.4 测试人员
厂商人员: 赵新 李春
3.5 测试环境
l Windows服务器, 支持RDP和FTP服务, 而且需已安装Oracle数据库
l Linux、 Unix服务器, 支持SSH、 SFTP服务
l 交换机或路由器若干个
3.6 测试拓扑示意图
3.7 测试准备
l 按上述测试拓扑属意图在网络环境中部署运维操作审计产品
l 为运维操作审计产品的管理口配置有效IP, 确保能够远程访问、 管理和日志发送
l 验证提供的RDP、 Telnet等服务能够被正常访问
l 验证运维操作审计产品能够访问提供上述服务的主机或设备
四、 测试项目
4.1 产品功能测试
4.1.1 运维协议支持
说明: 运维操作审计产品应该支持常见的各种运维协议, 以便用户能够方便地完成日常运维工作。而且能够以视频或文本的形式完整地记录运维用户的整个操作过程。
4.1.1.1 RDP 图形审计
测试项目
RDP操作图形审计
测试说明
测试产品是否支持RDP协议, 并以视频方式记录整个操作过程
测试环境
Logbase-BH-530、 开放RDP协议的windows服务器
前提条件
测试步骤
1. 在产品上添加提供RDP服务的主机资源
2. 在产品上创立运维用户, 并赋予该用户访问第1步添加资源的权限
3. 以运维用户的身份登录产品访问第1步添加的资源
4. 以审计用户的身份登录产品查看运维用户的操作审计记录
预期结果
1. 运维用户能够正常访问提供RDP服务的主机并进行操作
2. 审计用户能够回放查看运维用户整个操作过程的视频记录
测试结果
能够经过堡垒主机访问windows服务器, 而且能够记录、 回放整个操作过程
备注说明
测试结论
o 经过 o 部分经过 o 未经过 o 未测试
结果确认
中船
思福迪
日 期
日 期
4.1.1.2 RDP键盘操作审计
测试项目
RDP键盘操作审计
测试说明
测试产品是否支持RDP协议, 并记录用户在键盘上的输入
测试环境
Logbase-BH-530、 开放RDP协议的windows服务器
前提条件
测试步骤
1. 在产品上添加提供RDP服务的主机资源
2. 在产品上创立运维用户, 并赋予该用户访问第1步添加资源的权限
3. 以运维用户的身份登录产品访问第1步添加的资源, 并随意键入字符
4. 以审计用户的身份登录产品查看运维用户的操作审计记录
预期结果
1. 运维用户能够正常访问提供RDP服务的主机并进行操作
2. 审计用户能够查看运维用户在键盘上输入字符的记录
测试结果
能够记录操作过程中输出的键盘指令
备注说明
测试结论
o 经过 o 部分经过 o 未经过 o 未测试
结果确认
中船
思福迪
日 期
日 期
4.1.1.3 RDP访问密码代填
测试项目
RDP访问密码代填
测试说明
测试产品是否支持RDP协议, 并替用户代填主机的用户名和密码
测试环境
Logbase-BH-530、 开放RDP协议的windows服务器
前提条件
测试步骤
1. 在产品上添加提供RDP服务的主机资源
2. 在产品上创立运维用户, 并赋予该用户访问第1步添加资源的权限
3. 以运维用户的身份登录产品访问第1步添加的资源
预期结果
1. 运维用户只需输入运维用户名和对应密码就可访问主机, 无需输入主机的用户名和密码
测试结果
经过设置密码代填功能, 能够经过堡垒主机直接访问windows服务器。
备注说明
测试结论
o 经过 o 部分经过 o 未经过 o 未测试
结果确认
中船
思福迪
日 期
日 期
4.1.1.4 Telnet用户操作审计
测试项目
Telnet用户操作审计
测试说明
测试产品是否支持Telnet协议, 并记录用户在命令行界面输入的命令
测试环境
Logbase-BH-530、 开放telnet协议的windows服务器
前提条件
测试步骤
1. 在产品上添加提供Telnet服务的主机资源
2. 在产品上创立运维用户, 并赋予该用户访问第1步添加资源的权限
3. 以运维用户的身份登录产品访问第1步添加的资源
4. 以审计用户的身份登录产品查看运维用户的操作审计记录
预期结果
1. 运维用户能够正常访问提供Telnet服务的设备并进行操作
2. 审计用户能够查看运维用户输入命令的审计记录
测试结果
能够记录下telnet操作命令, 回放整个操作过程
备注说明
测试结论
o 经过 o 部分经过 o 未经过 o 未测试
结果确认
中船
思福迪
日 期
日 期
4.1.1.5 Telnet系统返回信息审计
测试项目
Telnet系统返回信息审计
测试说明
测试产品是否支持Telnet协议, 并记录用户操作后系统返回的所有信息
测试环境
Logbase-BH-530、 开放telnet协议的windows服务器
前提条件
测试步骤
1. 在产品上添加提供Telnet服务的主机资源
2. 在产品上创立运维用户, 并赋予该用户访问第1步添加资源的权限
3. 以运维用户的身份登录产品访问第1步添加的资源
4. 以审计用户的身份登录产品查看运维用户的操作审计记录
预期结果
1. 运维用户能够正常访问提供Telnet服务的设备并进行操作
2. 审计用户能够查看运维用户输入命令后系统返回的所有信息
测试结果
能够审计到telnet操作后, 服务器的返回信息, 而且回放时也能够看到
备注说明
测试结论
o 经过 o 部分经过 o 未经过 o 未测试
结果确认
中船
思福迪
日 期
日 期
4.1.1.6 Telnet访问密码代填
测试项目
Telnet访问密码代填
测试说明
测试产品是否支持Telnet协议, 并替用户代填设备的用户名和密码
测试环境
Logbase-BH-530、 开放telnet协议的windows服务器
前提条件
测试步骤
1. 在产品上添加提供Telnet服务的主机资源
2. 在产品上创立运维用户, 并赋予该用户访问第1步添加资源的权限
3. 以运维用户的身份登录产品访问第1步添加的资源
预期结果
1. 运维用户只需输入运维用户名和对应密码就可访问主机, 无需输入设备的用户名和密码
测试结果
经过设置密码代填功能, 能够经过堡垒主机直接访问telnet服务器。
备注说明
测试结论
o 经过 o 部分经过 o 未经过 o 未测试
结果确认
中船
思福迪
日 期
日 期
4.1.1.7 SSH用户操作审计
测试项目
SSH用户操作审计
测试说明
测试产品是否支持SSH协议, 并记录用户在命令行界面输入的命令
测试环境
Logbase-BH-530、 开放ssh协议的服务器
前提条件
测试步骤
1. 在产品上添加提供SSH服务的主机资源
2. 在产品上创立运维用户, 并赋予该用户访问第1步添加资源的权限
3. 以运维用户的身份登录产品访问第1步添加的资源
4. 以审计用户的身份登录产品查看运维用户的操作审计记录
预期结果
1. 运维用户能够正常访问提供SSH服务的主机并进行操作
2. 审计用户能够查看运维用户输入命令的审计记录
测试结果
能够审计到ssh操作的命令, 完整回放整个操作过程
备注说明
测试结论
o 经过 o 部分经过 o 未经过 o 未测试
结果确认
中船
思福迪
日 期
日 期
4.1.1.8 SSH系统返回信息审计
测试项目
SSH系统返回信息审计
测试说明
测试产品是否支持SSH协议, 并记录用户操作后系统返回的所有信息
测试环境
Logbase-BH-530、 开放SSH协议的windows服务器
前提条件
测试步骤
1. 在产品上添加提供SSH服务的主机资源
2. 在产品上创立运维用户, 并赋予该用户访问第1步添加资源的权限
3. 以运维用户的身份登录产品访问第1步添加的资源
4. 以审计用户的身份登录产品查看运维用户的操作审计记录
预期结果
1. 运维用户能够正常访问提供SSH服务的主机并进行操作
2. 审计用户能够查看运维用户输入命令后系统返回的所有信息
测试结果
能够审计到SSH操作后, 服务器的返回信息, 而且回放时也能够看到
备注说明
测试结论
o 经过 o 部分经过 o 未经过 o 未测试
结果确认
中船
思福迪
日 期
日 期
4.1.1.9 SSH访问密码代填
测试项目
SSH访问密码代填
测试说明
测试产品是否支持SSH协议, 并替用户代填设备的用户名和密码
测试环境
Logbase-BH-530、 开放SSH协议的windows服务器
前提条件
测试步骤
1. 在产品上添加提供SSH服务的主机资源
2. 在产品上创立运维用户, 并赋予该用户访问第1步添加资源的权限
3. 以运维用户的身份登录产品访问第1步添加的资源
预期结果
1. 运维用户只需输入运维用户名和对应密码就可访问主机, 无需输入设备的用户名和密码
测试结果
经过设置密码代填功能, 能够经过堡垒主机直接访问SSH服务器。
备注说明
测试结论
o 经过 o 部分经过 o 未经过 o 未测试
结果确认
中船
思福迪
日 期
日 期
4.1.1.10 SSH会话克隆
测试项目
SSH会话克隆
测试说明
运维人员一般会从多个操作界面对目标服务器进行维护, 因此开启多个通讯窗口。该项测试产品支持SSH会话克隆功能。
测试环境
Logbase-BH-530、 开放SSH协议的windows服务器
前提条件
测试步骤
1. 在产品上添加提供SSH服务的主机资源
2. 在产品上创立运维用户, 并赋予该用户访问第1步添加资源的权限
3. 以运维用户的身份登录产品访问第1步添加的资源
4. 经过SSH客户端, Clone当前会话
预期结果
1. 在新窗口中弹出克隆成功的会话界面
测试结果
支持SSH回话克隆功能, 满足测试要求
备注说明
测试结论
o 经过 o 部分经过 o 未经过 o 未测试
结果确认
中船
思福迪
日 期
日 期
4.1.1.11 FTP用户操作审计
测试项目
FTP用户操作审计
测试说明
测试产品是否支持FTP协议, 并记录用户在命令行界面输入的命令
测试环境
Logbase-BH-530、 开放FTP协议的windows服务器
前提条件
测试步骤
1. 在产品上添加提供FTP服务的主机资源
2. 在产品上创立运维用户, 并赋予该用户访问第1步添加资源的权限
3. 以运维用户的身份登录产品访问第1步添加的资源
4. 以审计用户的身份登录产品查看运维用户的操作审计记录
预期结果
1. 运维用户能够正常访问提供FTP服务的主机并进行操作
2. 审计用户能够查看运维用户输入命令的审计记录
测试结果
能够审计到FTP操作的命令
备注说明
测试结论
o 经过 o 部分经过 o 未经过 o 未测试
结果确认
中船
思福迪
日 期
日 期
4.1.1.12 FTP系统返回信息审计
测试项目
FTP系统返回信息审计
测试说明
测试产品是否支持FTP协议, 并记录用户操作后系统返回的所有信息
测试环境
Logbase-BH-530、 开放FTP协议的windows服务器
前提条件
测试步骤
1. 在产品上添加提供FTP服务的主机资源
2. 在产品上创立运维用户, 并赋予该用户访问第1步添加资源的权限
3. 以运维用户的身份登录产品访问第1步添加的资源
4. 以审计用户的身份登录产品查看运维用户的操作审计记录
预期结果
1. 运维用户能够正常访问提供FTP服务的主机并进行操作
2. 审计用户能够查看运维用户输入命令后系统返回的所有信息
测试结果
能够审计到FTP操作后, 服务器的返回信息
备注说明
测试结论
o 经过 o 部分经过 o 未经过 o 未测试
结果确认
中船
思福迪
日 期
日 期
4.1.1.13 FTP访问密码代填
测试项目
FTP访问密码代填
测试说明
测试产品是否支持FTP协议, 并替用户代填设备的用户名和密码
测试环境
Logbase-BH-530、 开放FTP协议的windows服务器
前提条件
测试步骤
1. 在产品上添加提供FTP服务的主机资源
2. 在产品上创立运维用户, 并赋予该用户访问第1步添加资源的权限
3. 以运维用户的身份登录产品访问第1步添加的资源
预期结果
1. 运维用户只需输入运维用户名和对应密码就可访问主机, 无需输入设备的用户名和密码
测试结果
支持FTP密码代填功能, 满足测试要求
备注说明
测试结论
o 经过 o 部分经过 o 未经过 o 未测试
结果确认
中船
思福迪
日 期
日 期
4.1.1.14 SFTP用户操作审计
测试项目
SFTP用户操作审计
测试说明
测试产品是否支持SFTP协议, 并记录用户在命令行界面输入的命令
测试环境
Logbase-BH-530、 开放SFTP协议的windows服务器
前提条件
测试步骤
1. 在产品上添加提供SFTP服务的主机资源
2. 在产品上创立运维用户, 并赋予该用户访问第1步添加资源的权限
3. 以运维用户的身份登录产品访问第1步添加的资源
4. 以审计用户的身份登录产品查看运维用户的操作审计记录
预期结果
1. 运维用户能够正常访问提供SFTP服务的主机并进行操作
2. 审计用户能够查看运维用户输入命令的审计记录
测试结果
能够审计到FTP操作的命令
备注说明
测试结论
o 经过 o 部分经过 o 未经过 o 未测试
结果确认
中船
思福迪
日 期
日 期
4.1.1.15 SFTP系统返回信息审计
测试项目
SFTP系统返回信息审计
测试说明
测试产品是否支持SFTP协议, 并记录用户操作后系统返回的所有信息
测试环境
Logbase-BH-530、 开放SFTP协议的windows服务器
前提条件
测试步骤
1. 在产品上添加提供SFTP服务的主机资源
2. 在产品上创立运维用户, 并赋予该用户访问第1步添加资源的权限
3. 以运维用户的身份登录产品访问第1步添加的资源
4. 以审计用户的身份登录产品查看运维用户的操作审计记录
预期结果
1. 运维用户能够正常访问提供SFTP服务的主机并进行操作
2. 审计用户能够查看运维用户输入命令后系统返回的所有信息
测试结果
能够审计到FTP操作后, 服务器的返回信息
备注说明
测试结论
o 经过 o 部分经过 o 未经过 o 未测试
结果确认
中船
思福迪
日 期
日 期
4.1.2 运维协议扩展
说明: 运维操作审计产品除了支持常见的各种运维协议以外, 还应支持一些特殊协议, 如数据库等。
4.1.2.1 Oracle数据库审计
测试项目
Oracle数据库审计
测试说明
测试产品是否支持Oracle数据库的访问, 并记录用户的操作
测试环境
Logbase-BH-530、 oracle数据库服务器
前提条件
测试步骤
1. 在已安装oracle数据库客户端的设备上修改本地配置文件格式如下:
修改\....\oracle\ora90\NETWORK\ADMIN\tnsnames.ora文件, 添加:
test =
(DESCRIPTION =
(ADDRESS_LIST =
(ADDRESS = (PROTOCOL = TCP)(HOST = 192.168.0.146)(PORT = 1521))
)
(CONNECT_DATA =
(SID = )
)
)
2. 经过plsql软件, 登录test数据库。
预期结果
1. 用户能够正常访问Oracle数据库并执行操作
2. 审计用户能够查看运维用户整个操作过程的审计记录
测试结果
能够经过堡垒主机访问oracle数据库, 并记录操作指令
备注说明
测试结论
o 经过 o 部分经过 o 未经过 o 未测试
结果确认
中船
思福迪
日 期
日 期
4.1.3 运维访问方式
说明: 运维操作审计产品应允许用户保留原有运维使用习惯的同时, 提供无需安装任何客户端的方式来访问和管理各种资源。
4.1.3.1 基于授权模式的访问操作
测试项目
测试产品是否支持授权访问模式
测试说明
操作人员登录堡垒机进行维护时, 必须经过管理人员授权
测试环境
Logbase-BH-530、 开放SSH协议的服务器
前提条件
测试步骤
1. 在产品上添加要访问的主机资源
2. 在产品上创立运维用户, 并赋予该用户访问第1步添加资源的权限
3. 设置用户访问设备必须经过授权
4. 用户经过SSH方式访问目标设备
5. 管理员经过授权界面为其授权
预期结果
1. 管理员授权后用户才能正常登录系统
测试结果
在访问需授权设备时, 需要管理员审核授权后, 才能够正常登录操作
备注说明
测试结论
o 经过 o 部分经过 o 未经过 o 未测试
结果确认
中船
思福迪
日 期
日 期
4.1.3.2 基于原有命令行界面客户端的访问
测试项目
基于原有命令行界面客户端的访问
测试说明
测试产品是否支持客户使用原有的命令行客户端访问管理的资源
测试环境
Logbase-BH-530、 开放SSH协议的服务器
前提条件
测试步骤
1. 在产品上添加要访问的主机资源
2. 在产品上创立运维用户, 并赋予该用户访问第1步添加资源的权限
3. 使用Putty、 SecureCRT软件直接连接产品, 输入运维用户的用户名和密码
4. 在显示的命令行界面选择要管理的主机资源
预期结果
1. 运维用户能够使用Putty、 SecureCRT直接访产品, 并在选择管理的主机资源后进行运维操作
测试结果
满足测试要求
备注说明
测试结论
o 经过 o 部分经过 o 未经过 o 未测试
结果确认
中船
思福迪
日 期
日 期
4.1.3.3 基于原有图形界面客户端的访问
测试项目
基于原有图形界面客户端的访问
测试说明
测试产品是否支持客户使用原有的图形客户端访问管理的资源
测试环境
Logbase-BH-530、 开放RDP协议的windows服务器
前提条件
测试步骤
1. 在产品上添加要访问的主机资源
2. 在产品上创立运维用户, 并赋予该用户访问第1步添加资源的权限
3. 使用mstsc软件直接连接产品, 输入运维用户的用户名和密码
4. 在显示的图形界面选择要管理的主机资源
预期结果
1. 运维用户能够使用mstsc直接访产品, 并在选择管理的主机资源后进行运维操作
测试结果
支持windwos自带mstsc远程桌面客户端访问
备注说明
测试结论
o 经过 o 部分经过 o 未经过 o 未测试
结果确认
中船
思福迪
日 期
日 期
4.1.3.4 基于无客户端的RDP访问
测试项目
基于无客户端的RDP访问
测试说明
测试产品是否支持客户无需安装客户端即可访问RDP资源
测试环境
Logbase-BH-530、 开放RDP协议的windows服务器
前提条件
测试步骤
1. 在产品上添加要访问的RDP主机资源
2. 在产品上创立运维用户, 并赋予该用户访问第1步添加资源的权限
3. 使用浏览器登录产品
4. 在Web界面直接选择要管理的主机资源
预期结果
1. 运维用户能够在Web页面直接访问RDP主机资源, 并进行运维操作
测试结果
能够经过页面调用控件的方式来实现不使用RDP客户端访问
备注说明
测试结论
o 经过 o 部分经过 o 未经过 o 未测试
结果确认
中船
思福迪
日 期
日 期
4.1.3.5 基于无客户端的FTP访问
测试项目
基于无客户端的FTP访问
测试说明
测试产品是否支持客户无需安装客户端即可访问FTP资源
测试环境
Logbase-BH-530、 开放FTP协议的windows服务器
前提条件
测试步骤
1. 在产品上添加要访问的FTP主机资源
2. 在产品上创立运维用户, 并赋予该用户访问第1步添加资源的权限
3. 使用浏览器登录产品
4. 在Web界面直接选择要管理的主机资源
预期结果
1. 运维用户能够在Web页面直接访问FTP主机资源, 并进行运维操作
测试结果
能够经过堡垒主机页面直接访问FTP服务器进行操作
备注说明
测试结论
o 经过 o 部分经过 o 未经过 o 未测试
结果确认
中船
思福迪
日 期
日 期
4.1.4 事前权限控制
说明: 运维操作审计产品应允许管理人员根据安全策略和工作职责对普通运维用户进行细粒度化的权限分配, 以保证运维人员只能操作属于工作职责范围的设备。同时应能对普通运维用户的操作进行命令级别的规范和控制, 防止误操作或恶意操作可能带来无法预料的结果, 并在侦测到用户输入敏感命令后发出告警并同时中断会话。
4.1.4.1 设备录入与设备组管理
测试项目
设备录入与设备组管理
测试说明
测试产品是否支持录入要管理的设备并已组的方式管理同类设备
测试环境
Logbase-BH-530
前提条件
测试步骤
1. 在产品上添加要管理的设备组
2. 在该组内添加要管理的多个主机资源
预期结果
1. 超级管理员能够以组的方式管理多个设备, 并对用户进行访问授权
测试结果
可对主机资源进行分组管理
备注说明
测试结论
o 经过 o 部分经过 o 未经过 o 未测试
结果确认
中船
思福迪
日 期
日 期
4.1.4.2 访问权限控制
测试项目
访问权限控制
测试说明
测试产品是否能够控制运维用户能够访问哪些设备
测试环境
Logbase-BH-530
前提条件
测试步骤
1. 在产品上添加允许运维用户访问的主机资源
2. 经过权限控制管理界面允许运维用户访问第1步添加的资源
3. 以运维用户身份登录产品
预期结果
1. 运维用户只能访问被授权的资源
测试结果
管理员能够对运维用户授权, 设置能够访问的主机资源
备注说明
测试结论
o 经过 o 部分经过 o 未经过 o 未测试
结果确认
中船
思福迪
日 期
日 期
4.1.4.3 敏感命令操作控制
测试项目
敏感命令操作控制
测试说明
测试产品是否能够控制运维用户在命令行界面输入的命令
测试环境
Logbase-BH-530、 开放SSH协议的服务器
前提条件
测试步骤
1. 在产品上添加允许运维用户访问的主机资源
2. 经过权限控制管理界面允许运维用户访问第1步添加的资源
3. 创立安全规则策略, 如果用户输入”rm”命令则自动断开用户连接
4. 以运维用户身份登录产品并访问资源, 并在命令行界面输入”rm”命令
预期结果
1. 运维用户在未输入”rm”命令前能够正常操作, 输入”rm”后连接自动断开
测试结果
对策略用rm指令进行了阻断, 满足测试要求
备注说明
测试结论
o 经过 o 部分经过 o 未经过 o 未测试
结果确认
中船
思福迪
日 期
日 期
4.1.5 事中实时监控
说明: 运维操作审计产品应允许管理人员实时地监控普通运维人员、 特别是例如第三方技术人员的操作, 而且在发现其企图执行恶意操作时进行实时阻断, 防止发生安全事故。
4.1.5.1 实时视频监控
测试项目
实时视频监控
测试说明
测试产品是否能够让超级管理员实时监控运维人员的操作
测试环境
Logbase-BH-530、 开放windows RDP的服务器
前提条件
测试步骤
1. 在产品上添加允许运维用户访问的主机资源
2. 在产品上创立运维用户, 并赋予该用户访问第1步添加资源的权限
3. 以运维用户的身份登录产品并进行运维操作
4. 以审计用户身份登录产品查看对应运维会话的实时视频
预期结果
1. 审计用户能以视频的方式实时地监控运维用户的所有操作
测试结果
能够实时的监控经过堡垒主机访问的RDP操作。
备注说明
测试结论
o 经过 o 部分经过 o 未经过 o 未测试
结果确认
中船
思福迪
日 期
日 期
4.1.5.2 实时会话阻断
测试项目
实时会话阻断
测试说明
测试产品是否能够让超级管理员监控到危险操作时实时阻断运维用户的连接
测试环境
Logbase-BH-530、 开放windows RDP的服务器
前提条件
测试步骤
1. 在产品上添加允许运维用户访问的主机资源
2. 在产品上创立运维用户, 并赋予该用户访问第1步添加资源的权限
3. 以运维用户的身份登录产品并进行运维操作
4. 以审计用户身份登录产品查看对应运维会话的实时视频
5. 点击界面的功能按钮断开正在查看的实时视频
预期结果
1. 审计用户能实时地阻断运维用户的访问连接
测试结果
能够实时的监控经过堡垒主机访问的RDP操作, 而且阻断
备注说明
测试结论
o 经过 o 部分经过 o 未经过 o 未测试
结果确认
中船
思福迪
日 期
日 期
4.1.6 事后审计取证
说明: 运维操作审计产品应能让审计人员对所有的运维用户的操作进行快速、 方便地搜索, 以便在发生安全事故后分析原因, 定位相关责任人。
4.1.6.1 用户输入命令检索
测试项目
用户输入命令检索
测试说明
测试产品是否能够检索用户输入的命令
测试环境
Logbase-BH-530、 开放ssh协议的服务器
前提条件
测试步骤
1. 在产品上添加允许运维用户访问的主机资源
2. 在产品上创立运维用户, 并赋予该用户访问第1步添加资源的权限
3. 以运维用户的身份登录产品并进行运维操作, 输入特殊命令如”ls”
4. 以审计用户身份登录产品并搜索操作包含”ls”的审计记录
预期结果
1. 审计用户能搜索到对应操作的审计记录
测试结果
能够查询到包含ls操作的日志
备注说明
测试结论
o 经过 o 部分经过 o 未经过 o 未测试
结果确认
中船
思福迪
日 期
日 期
4.1.6.2 系统返回信息检索
测试项目
系统返回信息检索
测试说明
测试产品是否能够检索系统返回的信息
测试环境
Logbase-BH-530、 开放ssh协议的服务器
前提条件
测试步骤
1. 在产品上添加允许运维用户访问的设备资源
2. 在产品上创立运维用户, 并赋予该用户访问第1步添加资源的权限
3. 以运维用户的身份登录产品并进行运维操作, 输入无效命令让系统返回的消息中包含”invalid”字符
4. 以审计用户身份登录产品并搜索包含”invalid”的审计记录
预期结果
1. 审计用户能搜索到对应操作的审计记录
测试结果
能够查询到包含invalid字符的返回信息
备注说明
测试结论
o 经过 o 部分经过 o 未经过 o 未测试
结果确认
中船
思福迪
日 期
日 期
4.1.6.3 多条件组合检索
测试项目
多条件组合检索
测试说明
测试产品是否能够使用多个条件组合检索审计信息
测试环境
Logbase-BH-530
前提条件
测试步骤
1. 在产品上添加允许运维用户访问的设备资源
2. 在产品上创立运维用户, 并赋予该用户访问第1步添加资源的权限
3. 以运维用户的身份登录产品并进行运维操作
4. 以审计用户身份登录产品, 而且使用运维用户名称、 设备地址、 时间多个条件进行组合搜索
预期结果
1. 审计用户能使用多个条件组合起来搜索审计记录
测试结果
支持多条件组合查询, 满足测试要求
备注说明
测试结论
o 经过 o 部分经过 o 未经过 o 未测试
结果确认
中船
思福迪
日 期
日 期
4.1.6.4 历史视频回放
测试项目
历史视频回放
测试说明
测试产品是否允许审计人员回放运维人员操作的视频记录
测试环境
Logbase-BH-530
前提条件
测试步骤
1. 在产品上添加允许运维用户访问的设备资源
2. 在产品上创立运维用户, 并赋予该用户访问第1步添加资源的权限
3. 以运维用户的身份登录产品并进行运维操作
4. 以审计用户身份登录产品查看运维用户的历史视频记录
预期结果
1. 审计用户能查看运维用户的历史视频, 而且能够进行快进、 慢放、 暂停等操作
测试结果
能够对查询出来的日志进行操作回放。
备注说明
测试结论
o 经过 o 部分经过 o 未经过 o 未测试
结果确认
中船
思福迪
日 期
日 期
4.1.6.5 特定指令定位回放
测试项目
特定指令定位回放
测试说明
测试产品是否允许审计人员从特定的命令处开始回放历史视频记录
测试环境
Logbase-BH-530
前提条件
测试步骤
1. 在产品上添加允许运维用户访问的设备资源
2. 在产品上创立运维用户, 并赋予该用户访问第1步添加资源的权限
3. 以运维用户的身份登录产品并进行运维操作
4. 以审计用户身份登录产品查看运维用户的文本审计记录, 然后点击特定指令
预期结果
1. 审计用户能从特定指令处开始播放历史视频记录
测试结果
能够从特定的操作指令开始回放
备注说明
测试结论
o 经过 o 部分经过 o 未经过 o 未测试
结果确认
中船
思福迪
日 期
日 期
4.1.7 报表统计分析
说明: 运维操作审计产品应能让审计人员对长期的审计记录进行各种报表统计分析, 以提供相关的报表来满足合规要求。
4.1.7.1 系统自带统计报表
测试项目
系统自带统计报表
测试说明
测试产品是否自带丰富的统计报表
测试环境
Logbase-BH-530
前提条件
测试步骤
1. 以审计用户身份登录产品, 然后选择要统计的报表
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
