《重庆银行运维账户及操作风险管理系统POC测试方案.docx》由会员分享,可在线阅读,更多相关《重庆银行运维账户及操作风险管理系统POC测试方案.docx(4页珍藏版)》请在第一文库网上搜索。
1、重庆银行运维账户及操作风险管理系统POC测试方案一目的通过开展POC测试验证产品评标过程中投标人所述功能技术特性的真实性和改密机制、应急方案的可行性,确保运维账户及操作风险管理系统最终实施厂商提供的产品和实施能力满足行方的要求。二测试规则及场景(-)测试规则本次POC测试分为必备功能技术测试和亮点功能技术测试。必备功能技术测试为中标人必须全部通过的测试,亮点功能技术测试根据中标人投标文件所述应答项逐一测试,如测试结果与中标人投标文件所述相悖,则为虚假应答,取消其中标人资格,由下一名中标候选人递补。(二)测试场景1 .生产系统及设备运维运维人员登陆运维账户及操作风险管理系统,不同身份的运维人员使
2、用不同的身份认证方式登陆。运维人员单点登陆各类目标服务器,包括但不限于:生产应用服务器、数据库、网络设备等。运维人员选择帐号,系统自动代填账号密码,运维人员无须输入帐号密码即可进入相应系统进行运维操作。用户尝试执行高危命令,查看系统是否给予相应的处置,处置方式包括:告警、放行、拒绝、切断会话、转发给管理员复核等。如为管理员复核方式,管理员未复核则操作不会被执行。2 .运维操作权限申请运维人员在运维账户及操作风险管理系统电子工单模块填写资产访问工单:包含工单标题、工单描述、需要访问的资产、需要使用的系统账号、需要访问的时间段等,经管理员审批通过后运维人员使用工单中申请的权限进行生产运维。当运维人
3、员需要手工输入密码时,也可以通过填写电子工单来获取申请时间段内的密码权限,到期密码自动失效。3 .运维人员休假权限变更运维人员A休假,B代A进行生产运维时,B在A休假期间将获得A所负责生产系统运维权限。通过变更单管理功能,在A休假前可以创建值班表模式的权限变更单,变更单无需审批,到期自动生成时效性的访问权限。4 .运维操作审计审计人员经过相应的身份认证后登陆运维账户及操作风险管理系统,对运维人员的运维操作记录进行审计,包括但不限于:图形会话审计,字符会话审计,数据库审计,文件传输审计、操作监控等5 .帐号自动改密管理员登陆运维账户及操作风险管理系统,在帐号改密模块配置好密码组成规则,添加好需要
4、自动改密的账号,再按改密流程执行自动改密。改密后被改密帐号能通过运维账户及操作风险管理系统正常登陆。改密安全机制不低于:改密前备份原密码,按自定义的密码复杂度规则生成期望密码,存储期望密码,再根据期望密码进行登录比对改密,改密完成后进行登陆测试,登陆成功则更新原密码。对于数据库、中间件改密后,其关联系统中保存的数据库、中间件密码也会相应修改。6 .系统管理管理员在运维账户及操作风险管理系统中增加一个新角色,如这个角色具有审计管理的和同时具有配置管理模块的权限,能够进行运维操作审计及添加、修改、删除用户。管理员根据用户属性、资产属性、系统账号属性等创建动态权限规则,只要满足相关属性的用户、资产、
5、账号就会被自动赋予对应权限。7 .应急恢复场景令场景一:单中心两台服务器中任一台发生故障,停止服务时,系统恢复服务的过程令场景二:单中心两台服务器应用均出现故障,停止服务时,系统恢复服务的过程令场景三:单中心两台服务器数据库均出现故障,停止服务时,系统恢复服务的过程。令场景四:双中心四台服务器应用或数据库同时出现故障,停止服务时,恢复业务运行的过程三测试周期POC测试周期为5个工作日,其中不包含测试环境准备和搭建时间,厂商必须在规定测试周期内完成PoC测试。四、测试环境设备类型配置操作系统备注应用服务器(虚拟机)4核、16G内存、500G硬盘应用服务器4台发布服务器(虚拟机)4核、16G内存、200G硬盘WindowsServer2012发布服务器4台五、测试内容参见重庆银行运维账户及操作风险管理系统POC测