中国移动设备通用安全功能测试规范

中国移动设备通用安全功能测试规范安全分册TestingSpecificationforSecurityBaselineofDevicesUsedinChinaMobile版本号：1.0.0网络与信息安全规范编号：【网络与信息安全规范】·【第二层：技术规范·网元类】·【第2102号】中国移动通信集团公司网络部发布2007-12-05发布2008-01-01实施中国移动设备通用安全功能测试规范中国移动通信集团公司Page2of32前言本规范对中国移动中国移动通信网、业务系统和支撑系统的各类设备入网环节涉及的设备安全功能测试提出要求。本规范主要依据《中国移动设备通用安全功能和配置要求》，针对账号管理及认证授权、日志以及IP协议和其他四个方面每个功能要求，提出相应的测试要求。并对设备内核安全补充提出了测试的内容。本规范由中国移动通信集团公司网络部归口管理。本规范解释权属于中国移动通信集团公司，具体技术细节由中国移动研究院负责解释。本规范起草单位：中国移动通信集团公司研究院本标准主要起草人：张焱、陈敏时中国移动设备通用安全功能测试规范中国移动通信集团公司Page3of32目录1范围......................................................................................................................................................42引用标准..............................................................................................................................................43相关术语与缩略语解释......................................................................................................................54测试环境..............................................................................................................................................55测试工具和测试方法..........................................................................................................................55.1测试工具.......................................................................................................................................55.2测试方法.......................................................................................................................................66内部安全控制功能测试......................................................................................................................66.1账号口令、认证授权功能测试...................................................................................................66.1.1账号功能................................................................................................................................66.1.2口令功能................................................................................................................................96.1.3授权功能..............................................................................................................................146.2日志功能测试.............................................................................................................................176.3IP协议安全功能测试..................................................................................................................226.4其他安全功能测试.....................................................................................................................277外部安全防护功能测试....................................................................................................................317.1设备内核安全评估测试.............................................................................................................31附录A编制历史.....................................................................................................错误!未定义书签。中国移动设备通用安全功能测试规范中国移动通信集团公司Page4of321范围本规范适用于中国移动通信网、业务系统和支撑系统的各类设备。本规范对测试验证《中国移动设备通用安全功能和配置规范》中功能要求项目，明确了基本的操作要求。本规范作为实施设备入网安全功能测试的依据。2引用标准下列标准所包含的条文，通过在本标准中引用而成为本标准的条文。本标准出版时，所示版本均为有效。所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的可能性。[1]《中国移动设备通用安全功能和配置规范》中国移动设备通用安全功能测试规范中国移动通信集团公司Page5of323相关术语与缩略语解释4测试环境交换机监听设备PC客户端被测设备PC客户端PC客户端测试环境说明：PC客户端主要用来模拟被测设备账号进行远程登录和命令操作；PC客户端与被测设备应当配置为不同的网段，并通过交换机进行互连。5测试工具和测试方法5.1测试工具可供参考选择的漏洞扫描工具。测试单位可以根据实际情况审慎选择其它能够满足测试工作需要扫描工具。XSCAN（可从互联网下载的免费漏洞扫描软件，应当采用最新版本）；中国移动设备通用安全功能测试规范中国移动通信集团公司Page6of32网络协议分析工具：（二者任选一种）Ethreal（可从互联网下载的免费软件，应采用最新版本）Sniffer（付费软件，应采用最新版本）。5.2测试方法本测试规范所涉及的测试方案主要为功能验证法，即模拟设备所提供安全功能的使用操作流程对设备的安全功能进行验证。6内部安全控制功能测试本部分内容主要针对设备的内部管理控制相关的安全功能进行测试，测试内容主要根据中国移动通信有限公司网络部编制的《中国移动设备通用安全功能和配置规范》中定义的内部管理控制相关安全功能编制而成。6.1账号口令、认证授权功能测试6.1.1账号功能测试编号：6.1.1.1项目：账号功能分项目：支持按用户分配账号编号：安全功能-设备-通用-功能-1测试目的：检验设备系统是否能够为不同的用户分配不同的账号，从而避免由于用户必须共用账号而导致的设备管理操作不可控或不可审计的情况。预置条件：1、清除设备系统上除管理员（Administrator）或根用户（root）以外的所有账号；2、测试步骤：1、利用管理员账号或根用户账号登录设备；2、利用管理员或根用户权限创建3个以上的不同账号，并为其设置不同的口令、权限信息以中国移动设备通用安全功能测试规范中国移动通信集团公司Page7of32及其他相关账号信息；3、登出管理员账号；4、分别通过不同的远程客户端利用上述创建的账号和口令同时登录设备系统，观察能否正常登录以及执行常用命令或操作。预期结果：1、能够创建不同的账号，并能够为其设置不同的口令、权限等信息；2、能够利用已创建的不同账号和口令分别登录设备系统，并执行常用操作。3、测试结果：1、2、3、4、备注：测试编号：6.1.1.2项目：账号功能分项目：与设备运行、维护等工作无关的账号，应能够删除或锁定编号：安全功能-设备-通用-功能-2测试目的：检验设备系统是否能够删除或者锁定特定的账号，以避免与设备运维无关的账号被误用，从而导致不必要的风险。预置条件：1、在系统上预先设置多个账号（3～5个）；测试步骤：1、利用管理员账号或根用户账号登录设备；2、选择已有的普通账号，通过系统所提供的账号删除或锁定功能对该账号进行删除或锁定操作；3、登出管理员账号；中国移动设备通用安全功能测试规范中国移动通信集团公司Page8of324、分别通过不同的远程客户端利用上述已被锁定或删除的账号登陆设备系统，观察能否正常登录以及执行常用命令或操作。预期结果：1、系统应能提供删除或锁定被选账号的功能；2、账号删除后，应无法再利用其进行登录。3、测试结果：1、2、3、4、备注：测试编号：6.1.1.3项目：账号功能分项目：设备应能够限制允许远程登录的账号编号：安全功能-设备-通用-功能-3-opt测试目的：检验设备系统是否能够指定特定的账号可以通过远程登录方式对设备进行连接与访问。预置条件：1、在系统上预先设置多个账号（3～5个）；测试步骤：1、利用管理员账号或根用户账号登录设备；2、选择已有的普通账号A，通过系统所提供的账号属性选项将该账号指定为可以进行远程访问的账号（或者通过新建账号来制定账号的这种属性）；而选择另一账号B，将其配置为不能进行远程访问的账号；3、登出管理员账号；4、分别通过不同的远程客户端利用上述A账号和B账号远程登录该设备系统；5、观察是否能够分别利用A、B账号登陆被测设备系统。中国移动设备通用安全功能测试规范中国移动通信集团公司Page9of32预期结果：1、设备系统应能提供用于配置是否允许用户进行远程登录的用户属性选项；2、被配置为能进行远程登录的账号A可以实现远程访问；被配置为不能进行远程登录的账号B无法实现远程登录。3、测试结果：1、2、3、4、备注：6.1.2口令功能测试编号：6.1.2.1项目：口令功能分项目