中国移动设备通用安全功能测试规范TestingSpecificationforSecurityBaselineofDevicesUsedinChinaMobile版本号:1.0.0网络与信息安全规范编号:【网络与信息安全规范】·【第二层:技术规范·网元类】·【第2102号】2007-12-05发布2008-01-01实施中国移动通信集团公司网络部发布中国移动设备通用安全功能测试规范中国移动通信集团公司Page3of50前言本规范对中国移动中国移动通信网、业务系统和支撑系统的各类设备入网环节涉及的设备安全功能测试提出要求。本规范主要依据《中国移动设备通用安全功能和配置要求》,针对账号管理及认证授权、日志以及IP协议和其他四个方面每个功能要求,提出相应的测试要求。并对设备内核安全补充提出了测试的内容。本规范由中国移动通信集团公司网络部归口管理。本规范解释权属于中国移动通信集团公司,具体技术细节由中国移动研究院负责解释。本规范起草单位:中国移动通信集团公司研究院本标准主要起草人:张焱、陈敏时中国移动设备通用安全功能测试规范中国移动通信集团公司Page4of50目录1范围...................................................................52引用标准.............................................................53相关术语与缩略语解释...........................................64测试环境.............................................................65测试工具和测试方法..............................................75.1测试工具.........................................................75.2测试方法.........................................................76内部安全控制功能测试...........................................76.1账号口令、认证授权功能测试.............................86.1.1账号功能...................................................86.1.2口令功能..................................................136.1.3授权功能..................................................216.2日志功能测试.................................................266.3IP协议安全功能测试........................................346.4其他安全功能测试...........................................427外部安全防护功能测试..........................................487.1设备内核安全评估测试.....................................48附录A编制历史...............................错误!未定义书签。中国移动设备通用安全功能测试规范中国移动通信集团公司Page5of501范围本规范适用于中国移动通信网、业务系统和支撑系统的各类设备。本规范对测试验证《中国移动设备通用安全功能和配置规范》中功能要求项目,明确了基本的操作要求。本规范作为实施设备入网安全功能测试的依据。2引用标准下列标准所包含的条文,通过在本标准中引用而成为本标准的条文。本标准出版时,所示版本均为有效。所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。[1]《中国移动设备通用安全功能和配置规范》中国移动设备通用安全功能测试规范中国移动通信集团公司Page6of503相关术语与缩略语解释4测试环境交换机监听设备PC客户端被测设备PC客户端PC客户端测试环境说明:?PC客户端主要用来模拟被测设备账号进行远程登录和命令操作;?PC客户端与被测设备应当配置为不同的网段,并通过交换机进行互连。中国移动设备通用安全功能测试规范中国移动通信集团公司Page7of505测试工具和测试方法5.1测试工具可供参考选择的漏洞扫描工具。测试单位可以根据实际情况审慎选择其它能够满足测试工作需要扫描工具。?XSCAN(可从互联网下载的免费漏洞扫描软件,应当采用最新版本);网络协议分析工具:(二者任选一种)?Ethreal(可从互联网下载的免费软件,应采用最新版本)?Sniffer(付费软件,应采用最新版本)。5.2测试方法本测试规范所涉及的测试方案主要为功能验证法,即模拟设备所提供安全功能的使用操作流程对设备的安全功能进行验证。6内部安全控制功能测试本部分内容主要针对设备的内部管理控...
