【正文】 ）6 / 31? Sniffer（付費軟件，應采用最新版本） 。預置條件：清除設備系統(tǒng)上除管理員（Administrator）或根用戶（root）以外的所有賬號；測試步驟：利用管理員賬號或根用戶賬號登錄設備；利用管理員或根用戶權限創(chuàng)建 3 個以上的不同賬號，并為其設置不同的口令、權限信息以及其他相關賬號信息；登出管理員賬號；分別通過不同的遠程客戶端利用上述創(chuàng)建的賬號和口令同時登錄設備系統(tǒng)，觀察能否正常登錄以及執(zhí)行常用命令或操作。預期結(jié)果：系統(tǒng)應能提供刪除或鎖定被選賬號的功能；賬號刪除后，應無法再利用其進行登錄。9 / 31測試結(jié)果：備注： 口令功能測試編號：項 目：口令功能分 項 目：口令強度檢查功能編號：安全功能設備 通用功能4測試目的：檢驗設備系統(tǒng)是否具備對口令強度進行配置以及檢查口令強度的功能。預期結(jié)果：設備系統(tǒng)能夠提供進行口令強度配置的全局策略選項（或者基于用戶組的策略選項） ，選項內(nèi)容包括：1) 口令最小長度；2) 將口令配置為強口令配置強口令策略后，能夠在新建用戶時對不符合口令強度策略的如下口令配置進行提示告10 / 31警：1) 與賬號同名的口令；2) 只包含字符或數(shù)字的簡單口令；3) 長度短于最小長度的口令。根據(jù)上述配置項對口令生存周期進行配置，如：口令生存周期為 1 天，不允許相同口令重復出現(xiàn)次數(shù)為 3 次。 測試結(jié)果：備注：測試編號：項 目：口令功能分 項 目：賬號口令連續(xù)認證失敗次數(shù)限制 編號：安全功能設備 通用功能7opt測試目的：檢驗設備系統(tǒng)是否具備對口令認證失敗次數(shù)有限制的功能，并且在多次連續(xù)嘗試認證失敗后能夠鎖定賬號。預置條件： 根據(jù)被測設備的主要業(yè)務功能，將被測設備A 部署在能夠為用戶或管理員提供業(yè)務的網(wǎng)絡環(huán)境中； 在上述網(wǎng)絡環(huán)境中，同時部署了其他設備B需要通過與被測設備A進行通信配合來為用戶提供業(yè)務； 啟動業(yè)務，并且業(yè)務的用戶（個人用戶或管理員）能夠正常使用該業(yè)務。測試結(jié)果：備注：測試編號：項 目：口令功能分 項 目：靜態(tài)口令加密存儲功能編號：安全功能設備 通用功能22測試目的：檢驗設備系統(tǒng)在靜態(tài)口令認證工作方式下，靜態(tài)口令在進行本地存儲時是否進行了加密。14 / 31測試結(jié)果：備注： 授權功能測試編號：項 目：授權功能分 項 目：基于用戶進行授權的功能編號：安全功能設備 通用功能9測試目的：檢查設備系統(tǒng)是否具備基于用戶進行授權的功能。預置條件：無測試步驟：利用管理員賬號登錄系統(tǒng)，并創(chuàng)建 3 個不同的賬號；檢查系統(tǒng)是否提供了針對不同用戶授予文件系統(tǒng)不同訪問權限的配置選項；選擇特定目錄，分別為上述 3 個用戶授予讀、寫與執(zhí)行權限；分別利用上述 3 個賬號登錄系統(tǒng)，并分別嘗試訪問允許訪問和不允許訪問的文件操作，查看文件系統(tǒng)訪問的權限配置策略是否生效。 讀：只讀寫：只寫預期結(jié)果：在設備上使用了關系數(shù)據(jù)庫時，設備系統(tǒng)能夠提供針對不同用戶授予數(shù)據(jù)表不同訪問權限的配置選項；記錄能夠配置的權限選項內(nèi)容；所配置的權限規(guī)則應能夠正確應用，即用戶無法訪問授權范圍之外的數(shù)據(jù)庫操作，而可以訪問授權范圍之內(nèi)的數(shù)據(jù)庫操作。預期結(jié)果：系統(tǒng)具備日志功能；針對用戶登錄/登出行為，系統(tǒng)產(chǎn)生了相關日志；日志中包含登錄賬號、登錄成功與否狀態(tài)、登錄/登出時間、登錄 IP 地址等信息；記錄除上述信息以外的其他信息。預期結(jié)果：系統(tǒng)具備日志功能；針對用戶的上述各類重要操作，系統(tǒng)產(chǎn)生了相關日志；日志中包含操作賬號、操作時間、操作內(nèi)容及操作結(jié)果等信息；記錄除上述信息以外的其他信息。預期結(jié)果：系統(tǒng)具備日志遠程存儲功能；產(chǎn)生的操作日志均無誤地存儲在遠程日志服務器上；詢問記錄遠程日志傳輸所采用的應用層協(xié)議；記錄系統(tǒng)遠程輸出日志到日志服務器的日志條目門限值。測試結(jié)果：備注：21 / 31測試編號：項 目：日志功能測試分 項 目：日志文件權限控制安全事件日志記錄 編號：安全功能設備 通用功能24opt測試目的：設備是否能夠按賬號分配日志文件讀取、修改和刪除權限，從而防止日志文件被篡改或非法刪除。預期結(jié)果：系統(tǒng)能夠針對日志文件分賬號賦予權限；對于越權的操作，系統(tǒng)能夠有效的阻止；系統(tǒng)能夠記錄越權操作地行為，記錄內(nèi)容符合安全功能設備 通用功能13opt 的要求。預期結(jié)果：設備系統(tǒng)提供了用于查看當前活動服務端口及已建連接的命令或界面；測試中模擬的已激活服務端口和已建連接均顯示在上述命令執(zhí)行結(jié)果或界面中。預期結(jié)果：設備系統(tǒng)提供了流量過濾的命令或配置界面；針對 IP 地址、TCP 端口號、UDP 端口號、ICMP 協(xié)議的訪問控制策略均可生效，在進行配置后，協(xié)議連接無法進行；記錄其他可作為訪問控制策略配置的字段；清空所有策略后，連接可以正常進行。預期結(jié)果：設備系統(tǒng)具備了 SSH 或 /ssl 功能；通過 SSH、/ssl 或其他安全通信協(xié)議登錄系統(tǒng)后，可以對設備進行配置與信息查看操作；記錄除 SSH、SSL 之外的其他安全通信協(xié)議功能；在通過安全協(xié)議進行通信時，通信內(nèi)容被加密。測試結(jié)果：備注：測試編號：項 目：IP協(xié)議安全功能測試分 項 目： 對于遠程維護 IP 地址的限制 編號：安全功能設備 通用功能22opt測試目的：檢查可以通過IP協(xié)議進行遠程維護的設備，是否能夠?qū)υ试S登陸到該設備的IP地址范圍進行設定。預期結(jié)果： 設備系統(tǒng)提供了對遠程訪問 IP 地址進行設定的功能； 從被配置為允許訪問的 IP 地址可以正常登錄設備系統(tǒng)； 從不在允許訪問了表的 IP 地址無法訪問設備系統(tǒng)； 所有規(guī)則清空時，所有 IP 地址來的遠程訪問都被允許。27 / 31預期結(jié)果：系統(tǒng)提供了對登錄后不活動時間門限進行配置的功能；賬號登錄無操作時間超出門限值時，是否能夠自動登出。預置條件：無測試步驟：利用已有普通賬號登錄設備系統(tǒng)所提供的圖形界面（包含 web 界面） ；查看圖形界面是否提供了手動鎖屏功能，如果有則進行鎖屏，并查看是否需要進行身份認證后才能解除鎖屏；利用管理員賬號登錄系統(tǒng)，配置圖形界面自動鎖屏時間 n 分鐘（不活動狀態(tài)持續(xù)時間） ；再利用已有普通賬號登錄系統(tǒng)的圖形界面（包含 web 頁面） ，并持續(xù) n 分鐘不進行任何操作，查看圖形界面是否自動鎖屏；并查看是否需要進行身份認證后才能解除鎖屏。測試步驟：利用 xscan 或其他漏洞掃描軟件對設備系統(tǒng)進行漏洞掃描；選擇其中一個已存在針對性安全補?。ㄓ稍O備廠商提供）的漏洞，并加載該安全補??；再次掃描設備系統(tǒng)，查看該安全漏洞是否已經(jīng)消除；并觀察設備與上述安全漏洞相關的業(yè)務程序是否能夠正常運行，不產(chǎn)生蕩機或工作不穩(wěn)定的狀況；記錄加載補丁之后是否必須重啟設備才能生效。預期結(jié)果：登錄 consol 口時要求進行密碼認證；認證通過后可以進行正常的操作訪問。本測試就是利用攻擊工具對上述IP協(xié)議端口進行漏洞掃描，以此發(fā)現(xiàn)設備所存在的漏洞。