返回
中国移动设备通用安全功能测试规范范本.doc

中国移动设备通用安全功能测试规范范本.doc

ID:48527459

大小:881.00 KB

页数:31页

时间:2020-01-26

中国移动设备通用安全功能测试规范范本.doc_第1页
中国移动设备通用安全功能测试规范范本.doc_第2页
中国移动设备通用安全功能测试规范范本.doc_第3页
中国移动设备通用安全功能测试规范范本.doc_第4页
中国移动设备通用安全功能测试规范范本.doc_第5页
资源描述:

《中国移动设备通用安全功能测试规范范本.doc》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、2008-01-01实施2007-12-05发布中国移动设备通用安全功能测试规范安全分册TestingSpecificationforSecurityBaselineofDevicesUsedinChinaMobile版本号:1.0.0网络与信息安全规范编号:【网络与信息安全规范】·【第二层:技术规范·网元类】·【第2102号】中国移动通信集团公司网络部发布前言本规范对中国移动中国移动通信网、业务系统和支撑系统的各类设备入网环节涉及的设备安全功能测试提出要求。本规范主要依据《中国移动设备通用安全功能和配置要求》,针对账号管理及认证授权、日志以

2、及IP协议和其他四个方面每个功能要求,提出相应的测试要求。并对设备内核安全补充提出了测试的内容。本规范由中国移动通信集团公司网络部归口管理。本规范解释权属于中国移动通信集团公司,具体技术细节由中国移动研究院负责解释。本规范起草单位:中国移动通信集团公司研究院本标准主要起草人:张焱、陈敏时目录1范围42引用标准43相关术语与缩略语解释44测试环境55测试工具和测试方法55.1测试工具55.2测试方法66内部安全控制功能测试66.1账号口令、认证授权功能测试66.1.1账号功能66.1.2口令功能96.1.3授权功能146.2日志功能测试176.

3、3IP协议安全功能测试216.4其他安全功能测试267外部安全防护功能测试297.1设备内核安全评估测试29附录A编制历史31范围本规范适用于中国移动通信网、业务系统和支撑系统的各类设备。本规范对测试验证《中国移动设备通用安全功能和配置规范》中功能要求项目,明确了基本的操作要求。本规范作为实施设备入网安全功能测试的依据。1引用标准下列标准所包含的条文,通过在本标准中引用而成为本标准的条文。本标准出版时,所示版本均为有效。所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。[1]《中国移动设备通用安全功能和配置规范》1相关术

4、语与缩略语解释2测试环境测试环境说明:üPC客户端主要用来模拟被测设备账号进行远程登录和命令操作;üPC客户端与被测设备应当配置为不同的网段,并通过交换机进行互连。3测试工具和测试方法3.1测试工具可供参考选择的漏洞扫描工具。测试单位可以根据实际情况审慎选择其它能够满足测试工作需要扫描工具。üXSCAN(可从互联网下载的免费漏洞扫描软件,应当采用最新版本);网络协议分析工具:(二者任选一种)üEthreal(可从互联网下载的免费软件,应采用最新版本)üSniffer(付费软件,应采用最新版本)。1.1测试方法本测试规范所涉及的测试方案主要为功

5、能验证法,即模拟设备所提供安全功能的使用操作流程对设备的安全功能进行验证。2内部安全控制功能测试本部分内容主要针对设备的内部管理控制相关的安全功能进行测试,测试内容主要根据中国移动通信有限公司网络部编制的《中国移动设备通用安全功能和配置规范》中定义的内部管理控制相关安全功能编制而成。2.1账号口令、认证授权功能测试2.1.1账号功能测试编号:6.1.1.1项目:账号功能分项目:支持按用户分配账号编号:安全功能-设备-通用-功能-1测试目的:检验设备系统是否能够为不同的用户分配不同的账号,从而避免由于用户必须共用账号而导致的设备管理操作不可控或

6、不可审计的情况。预置条件:1、清除设备系统上除管理员(Administrator)或根用户(root)以外的所有账号;2、测试步骤:1、利用管理员账号或根用户账号登录设备;2、利用管理员或根用户权限创建3个以上的不同账号,并为其设置不同的口令、权限信息以及其他相关账号信息;3、登出管理员账号;4、分别通过不同的远程客户端利用上述创建的账号和口令同时登录设备系统,观察能否正常登录以及执行常用命令或操作。预期结果:1、能够创建不同的账号,并能够为其设置不同的口令、权限等信息;2、能够利用已创建的不同账号和口令分别登录设备系统,并执行常用操作。3、

7、测试结果:1、2、3、4、备注:测试编号:6.1.1.2项目:账号功能分项目:与设备运行、维护等工作无关的账号,应能够删除或锁定编号:安全功能-设备-通用-功能-2测试目的:检验设备系统是否能够删除或者锁定特定的账号,以避免与设备运维无关的账号被误用,从而导致不必要的风险。预置条件:1、在系统上预先设置多个账号(3~5个);测试步骤:1、利用管理员账号或根用户账号登录设备;2、选择已有的普通账号,通过系统所提供的账号删除或锁定功能对该账号进行删除或锁定操作;3、登出管理员账号;4、分别通过不同的远程客户端利用上述已被锁定或删除的账号登陆设备系

8、统,观察能否正常登录以及执行常用命令或操作。预期结果:1、系统应能提供删除或锁定被选账号的功能;2、账号删除后,应无法再利用其进行登录。3、测试结果:1、2、3、4

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。