运维操作审计产品测试
方案
内部编号：（YUUT-TBBY-MMUT-URRUY-UOOY-DBUYI-0128）
北京中船信息科技有限公司运维操作审计（堡垒机）产品
测试方案
北京思福迪信息技术有限公司
2011年03月04日
目录
一、测试目的
本次测试的主要目的，是测试和验证运维操作审计产品的各项功能和性能指标能否满足中船信息科技的实际需求。

二、测试原则
在本次测试过程中，将根据客观、公正、公平的原则，按统一的标准，从客户的业务需求和实际环境出发，对参加测试的厂商的产品进行有重点、有针对性的测试。

为此，在测试过程中应坚持以下原则：测试环境一致原则
本次测试，不同厂家的产品，其测试环境保持一致，即使用相同的网络环境，采用统一的测试工具，设置统一的测试参数进行测试。

在一个产品测试完，下一产品测试前，恢复测试环境的初始状态。

测试内容一致原则
针对不同厂家产品采用相同的测试内容进行测试。

并且测试内容一旦确定，所有参加测试的产品必须按其内容逐项进行测试。

代表性原则
本次测试并不针对测试的产品所有的功能及性能，而是根据运维操作审计产品的应用特点选取具有代表性的功能指标进行测试。

根据以上原则，为有效实现测试目标，同时便于测试的实施，对各
厂商提供的产品，按照运维协议支持力度、运维帐户的统一管理和用户认证、运维用户的权限控制、运维用户的操作审计记录、设备自身管理及与第三方集成几个方面进行测试。

三、测试环境
3.1测试对象
本次测试对象是杭州思福迪信息技术有限公司的运维操作审计产品，型号为Logbase-BH-530的测试样机。

3.2测试地点
中船信息科技。

3.3测试时间
2011年03月10日。

3.4测试人员
厂商人员：赵新李春
3.5测试环境
Windows服务器，支持RDP和FTP服务，并且需已安装Oracle
数据库
Linux、Unix服务器，支持SSH、SFTP服务
交换机或路由器若干个
3.6测试拓扑示意图
3.7测试准备
按上述测试拓扑属意图在网络环境中部署运维操作审计产品
为运维操作审计产品的管理口配置有效IP，确保可以远程访
问、管理和日志发送
验证提供的RDP、Telnet等服务可以被正常访问
验证运维操作审计产品可以访问提供上述服务的主机或设备
四、测试项目
4.1产品功能测试
4.1.1运维协议支持
说明：运维操作审计产品应该支持常见的各种运维协议，以便用户可以方便地完成日常运维工作。

并且能够以视频或文本的形式完整地记录运维用户的整个操作过程。

4.1.1.1RDP 图形审计
4.1.1.2RDP键盘操作审计
4.1.1.3RDP访问密码代填
4.1.1.4Telnet用户操作审计
4.1.1.5Telnet系统返回信息审计
4.1.1.6Telnet访问密码代填
4.1.1.7SSH用户操作审计
4.1.1.8SSH系统返回信息审计
4.1.1.9SSH访问密码代填
4.1.1.10SSH会话克隆
4.1.1.11FTP用户操作审计
4.1.1.12FTP系统返回信息审计
4.1.1.13FTP访问密码代填
4.1.1.14SFTP用户操作审计
4.1.1.15SFTP系统返回信息审计
4.1.2运维协议扩展
说明：运维操作审计产品除了支持常见的各种运维协议以外，还应支持一些特殊协议，如数据库等。

4.1.2.1Oracle数据库审计
4.1.3运维访问方式
说明：运维操作审计产品应允许用户保留原有运维使用习惯的同时，提供无需安装任何客户端的方式来访问和管理各种资源。

4.1.3.1基于授权模式的访问操作
4.1.3.2基于原有命令行界面客户端的访问
4.1.3.3基于原有图形界面客户端的访问
4.1.3.4基于无客户端的RDP访问
4.1.3.5基于无客户端的FTP访问
4.1.4事前权限控制
说明：运维操作审计产品应允许管理人员根据安全策略和工作职责对普通运维用户进行细粒度化的权限分配，以保证运维人员只能操作属于工作职责范围的设备。

同时应能对普通运维用户的操作进行命令级别的规范和控制，防止误操作或恶意操作可能带来无法预料的结果，并在侦测到用户输入敏感命令后发出告警并同时中断会话。

4.1.4.1设备录入与设备组管理
4.1.4.2访问权限控制
4.1.4.3敏感命令操作控制
4.1.5事中实时监控
说明：运维操作审计产品应允许管理人员实时地监控普通运维人员、特别是例如第三方技术人员的操作，并且在发现其企图执行恶意操作时进行实时阻断，防止发生安全事故。

4.1.
5.1实时视频监控
4.1.
5.2实时会话阻断
4.1.6事后审计取证
说明：运维操作审计产品应能让审计人员对所有的运维用户的操作进行快速、方便地搜索，以便在发生安全事故后分析原因，定位相关责任人。

4.1.6.1用户输入命令检索
4.1.6.2系统返回信息检索
4.1.6.3多条件组合检索
4.1.6.4历史视频回放
4.1.6.5特定指令定位回放
4.1.7报表统计分析
说明：运维操作审计产品应能让审计人员对长期的审计记录进行各种报表统计分析，以提供相关的报表来满足合规要求。

4.1.7.1系统自带统计报表
4.1.7.2用户自定义报表
4.1.8产品自身安全
说明：运维操作审计产品应保证无论是运维用户的日常工作，还是超级管理员的维护管理工作有足够的安全措施，保证关键的信息不会泄漏。

同时对超级管理员的操作进行记录，可以随时审查高权限用户的操作，降低安全风险。

4.1.8.1运维用户认证安全
4.1.8.2运维通讯安全
4.1.8.3自身审计
4.1.9产品管理维护
说明：运维操作审计产品应提供方便的方式，以便管理人员的日常维护、配置备份等。

同时应可以将产生的审计记录以syslog、snmp trap 等方式发给第三方的日志管理系统，以便进行综合分析。

4.1.9.1产品管理方式
4.1.9.2告警日志共享
4.2产品部署方式4.2.1旁路部署
4.3产品可用性4.3.1双机热备
五、测试结论
根据预先制定的测试方案，对Logbase产品的各项功能进行了测试；产品的
各项功能符合xxxx关于安全审计的实际需要。

测试结果表明，Logbase产品具备上线部署条件。

参考标准。