T-TAF 088-2021 網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通.用檢測(cè)方法_第1頁(yè)
T-TAF 088-2021 網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通.用檢測(cè)方法_第2頁(yè)
T-TAF 088-2021 網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通.用檢測(cè)方法_第3頁(yè)
T-TAF 088-2021 網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通.用檢測(cè)方法_第4頁(yè)
T-TAF 088-2021 網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通.用檢測(cè)方法_第5頁(yè)
已閱讀5頁(yè),還剩32頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

Generalsecuritytestingmethodsforcriti電信終端產(chǎn)業(yè)協(xié)會(huì)發(fā)布I 1 1 1 1 2 3 3 3 6 7 本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。海諾基亞貝爾股份有限公司、聯(lián)想(北京)有1網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用檢測(cè)方法本文件適用于網(wǎng)絡(luò)關(guān)鍵設(shè)備的檢測(cè),還可用于指凡是不注日期的引用文件,其最新版本(包括所有的修改單)GB40050-2021網(wǎng)絡(luò)關(guān)鍵設(shè)備安全GB/T39680-2020信息安全技術(shù)服務(wù)器安全技術(shù)要求和4縮略語(yǔ)ASCII:美國(guó)信息交換標(biāo)準(zhǔn)代碼(AmericanStandardCodeforInformationInterchange)HTTP:超文本傳輸協(xié)議(HyperTextTransferProtocIPv4:互聯(lián)網(wǎng)通信協(xié)議第四版(InternetProIPv6:互聯(lián)網(wǎng)通信協(xié)議第六版(InternetProMAC:媒體訪問(wèn)控制(MediaAccessControl)MD5:消息摘要算法(MessageDigestAlgorithmMNTP:網(wǎng)絡(luò)時(shí)間協(xié)議(NetworkTimeProtocol)SNMP:簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SimpleNetworkManagementPro2TCP:傳輸控制協(xié)議(TransmissionControlProUDP:用戶數(shù)據(jù)報(bào)協(xié)議(UserDatagramProtocoWEB:全球廣域網(wǎng)(WorldWideWeb)于連接數(shù)據(jù)模擬測(cè)試儀與被測(cè)設(shè)備,實(shí)現(xiàn)二者之間網(wǎng)絡(luò)數(shù)據(jù)或工業(yè)控制數(shù)據(jù)的互通。32)檢查設(shè)備的主要部件是否具備唯一性標(biāo)識(shí),主要部應(yīng)對(duì)預(yù)裝軟件、補(bǔ)丁包/升級(jí)包的不同版本進(jìn)行唯一2)軟件唯一性標(biāo)識(shí)可以是分配的唯一版本號(hào)、軟件哈希值等標(biāo)識(shí)信息中的一個(gè)4網(wǎng)絡(luò)關(guān)鍵設(shè)備整機(jī)應(yīng)支持主備切換功能或關(guān)鍵部件應(yīng)支持冗余功能。網(wǎng)絡(luò)關(guān)鍵設(shè)備應(yīng)至少通過(guò)設(shè)備冗余和自動(dòng)切換功能(整機(jī)注:路由器、交換機(jī)常見(jiàn)的支持冗余功能的關(guān)鍵部件:主控板卡、交換網(wǎng)板、電源模塊、風(fēng)扇模塊等。服務(wù)器常3)查看數(shù)據(jù)流量或輸入輸出控制是否自動(dòng)切換到備用設(shè)備設(shè)備冗余和自動(dòng)切換功能(部件56典型的漏洞掃描方式包括系統(tǒng)漏洞掃描、WEB應(yīng)用漏洞掃描等,掃描應(yīng)覆蓋具有網(wǎng)絡(luò)通信功能利用系統(tǒng)漏洞掃描工具通過(guò)具有網(wǎng)絡(luò)通信功能的各類接口分別對(duì)被測(cè)設(shè)備系統(tǒng)進(jìn)行掃描),),72)廠商提供具有管理員權(quán)限的賬號(hào),用于登錄設(shè)使用兩個(gè)不同的惡意程序掃描工具對(duì)被測(cè)設(shè)備預(yù)裝軟件、補(bǔ)丁包/升級(jí)包進(jìn)行掃描,查看是否3)廠商說(shuō)明中應(yīng)明確不存在未聲明的2)被測(cè)設(shè)備不存在未聲明的功能和訪問(wèn)接口(含遠(yuǎn)程8更新操作安全功能安全要求見(jiàn)GB40050-20215.4c)。更新操作,實(shí)施更新操作的用戶需經(jīng)過(guò)二次鑒別,支持用戶選擇是否進(jìn)行更新,對(duì)更新操作進(jìn)行二次確認(rèn)或9軟件更新防篡改功能安全要求見(jiàn)GB4002)修改廠商提供的預(yù)裝軟件更新包并嘗試更新,檢查是否可以完2)檢查更新過(guò)程中有無(wú)提示更新過(guò)程開(kāi)2)具備更新過(guò)程開(kāi)始提示信息和更新過(guò)1)i:若被測(cè)設(shè)備存在默認(rèn)口令,則使用默認(rèn)賬號(hào)口令安全——口令復(fù)雜度、口令顯示安全要求見(jiàn)GB40050-20215.5b)常見(jiàn)的口令字符類型示例:包含數(shù)字、小寫(xiě)字母、大寫(xiě)字母、標(biāo)點(diǎn)符號(hào)、特殊符號(hào)中的至少兩類;常見(jiàn)的口服務(wù)器安全檢測(cè)方法參見(jiàn)GB/T39680-20206服務(wù)器安全檢測(cè)預(yù)期結(jié)果參見(jiàn)GB/T39680-20206查中的至少一項(xiàng)??诹顝?fù)雜度要求長(zhǎng)度不少于8位,口令字符類型檢查要求至少包含2種不同類型字符,常見(jiàn)的字符類型包括數(shù)字、大小寫(xiě)字母、特殊字注:常見(jiàn)的防范用戶鑒別信息猜解攻擊的安全策略或安全功能包括默認(rèn)開(kāi)啟口令復(fù)雜度檢查功能、限制連續(xù)的非應(yīng)支持啟用安全策略或具備安全功能,以防止用戶登錄后會(huì)話空閑時(shí)間2)廠商提供所有身份鑒別信息安全存儲(chǔ)、安全傳1)按照廠商提供的說(shuō)明材料生成用戶身途,應(yīng)支持用戶關(guān)閉默認(rèn)開(kāi)啟的服務(wù)和對(duì)應(yīng)2)設(shè)備運(yùn)行于默認(rèn)狀態(tài),默認(rèn)狀態(tài)為設(shè)備出廠設(shè)置時(shí)的與廠商提供的說(shuō)明材料內(nèi)容一致、是否僅開(kāi)啟必要的服務(wù)2)設(shè)備運(yùn)行于默認(rèn)狀態(tài),默認(rèn)狀態(tài)為設(shè)備出廠設(shè)置時(shí)的3)廠商提供設(shè)備非默認(rèn)開(kāi)放端口和服務(wù)對(duì)應(yīng)關(guān)1)分別添加或使用不同權(quán)限等級(jí)的兩個(gè)用戶user1、user2;作;user2支持涉及設(shè)備安全的重要功能如補(bǔ)丁管理、固件管理、應(yīng)提供日志信息本地存儲(chǔ)功能。應(yīng)提供本地日志存儲(chǔ)空間耗盡處理);記錄剩余存儲(chǔ)空間低于閾值的告警;如設(shè)備支持循環(huán)覆蓋,生了日志覆蓋,且應(yīng)是最新產(chǎn)生的日志對(duì)最早產(chǎn)生的日志進(jìn)行覆2)廠商提供具備對(duì)日志不同操作權(quán)限的賬號(hào),并說(shuō)明不注:網(wǎng)絡(luò)關(guān)鍵設(shè)備使用的常見(jiàn)的通信協(xié)議包括IPv4/IPv6、TCP、UDP等基礎(chǔ)通信協(xié)議,SNMP、SSH、HTTP等網(wǎng)絡(luò)管應(yīng)與《3GPPTS33.117Catalogueofgeneralsecu“4.4.4Robustnessandfuzz配置被測(cè)設(shè)備,開(kāi)啟時(shí)間同步功能(如NT),被測(cè)設(shè)備支持使用NTP或其他方式實(shí)現(xiàn)時(shí)廠商提供被測(cè)設(shè)備支持的所有協(xié)議以及不存在未聲明的私有協(xié)議的2)廠商提供說(shuō)明材料,說(shuō)明存儲(chǔ)在被測(cè)設(shè)備上的敏感數(shù)據(jù)類型及4)管理員權(quán)限,系統(tǒng)維護(hù)權(quán)限賬戶為授權(quán)賬戶可以刪除日志信3)授權(quán)賬戶可以成功刪除系統(tǒng)中存儲(chǔ)的配置文件,刪除前應(yīng)支持對(duì)刪除操設(shè)計(jì)和開(kāi)發(fā)環(huán)節(jié)風(fēng)險(xiǎn)識(shí)別安全要求見(jiàn)GB40050-20216.1a)。應(yīng)在設(shè)備設(shè)計(jì)和開(kāi)發(fā)環(huán)節(jié)識(shí)別安全風(fēng)險(xiǎn),制定安注:設(shè)備設(shè)計(jì)和開(kāi)發(fā)環(huán)節(jié)的常見(jiàn)安全風(fēng)險(xiǎn)包括開(kāi)發(fā)環(huán)境的安全風(fēng)險(xiǎn)、第三方組件引入的安全風(fēng)險(xiǎn)、開(kāi)發(fā)人員導(dǎo)致1)廠商提供說(shuō)明材料,說(shuō)明在設(shè)備設(shè)計(jì)和開(kāi)發(fā)環(huán)第三方組件引入的安全風(fēng)險(xiǎn)、開(kāi)發(fā)人員導(dǎo)致的安設(shè)備安全設(shè)計(jì)和開(kāi)發(fā)操作規(guī)程安全要求見(jiàn)GB40050-20216.1b)。應(yīng)建立設(shè)備安全設(shè)計(jì)和開(kāi)發(fā)操作規(guī)程,保障安全策略落實(shí)到設(shè)計(jì)和開(kāi)發(fā)的整個(gè)過(guò)程。配置管理及變更安全要求見(jiàn)GB40050-20216.1c)。2)確認(rèn)已發(fā)生的變更情況,查看廠商提供的3)廠商提供防范第三方關(guān)鍵部件、固件或軟件可能引入的安全風(fēng)設(shè)備安全測(cè)試安全要求見(jiàn)GB40050-20216.1g)。安全缺陷與漏洞的修復(fù)和補(bǔ)救安全要求見(jiàn)GB40050-20216.1h)。應(yīng)對(duì)已發(fā)現(xiàn)的安全缺陷、漏洞等安全問(wèn)題進(jìn)行修復(fù),或提供補(bǔ)生產(chǎn)和交付環(huán)節(jié)風(fēng)險(xiǎn)識(shí)別安全要求見(jiàn)GB40050-20216.2a)。應(yīng)在設(shè)備生產(chǎn)和交付環(huán)節(jié)識(shí)別安全風(fēng)險(xiǎn),制定安注:生產(chǎn)和交付環(huán)節(jié)的常見(jiàn)安全風(fēng)險(xiǎn)包括自制或采購(gòu)的組件被篡改、偽造等風(fēng)險(xiǎn),生產(chǎn)環(huán)境存在的安全風(fēng)險(xiǎn)、設(shè)1)廠商提供說(shuō)明材料,說(shuō)明在設(shè)備生產(chǎn)和交付環(huán)1)說(shuō)明材料中明確體現(xiàn)了設(shè)備在生產(chǎn)和交付環(huán)節(jié)的主要安全風(fēng)險(xiǎn),自制或采購(gòu)的組件被篡1)應(yīng)建立并實(shí)施規(guī)范的設(shè)備生產(chǎn)流程,2)廠商提供說(shuō)明材料,說(shuō)明已采取措施防范自制或采購(gòu)的組件被篡改、偽4)廠商提供為用戶提供驗(yàn)證所交付設(shè)備完整性的工具或方1)查看廠商提供的說(shuō)明材料,確認(rèn)是否4)查看廠商提供的為用戶提供驗(yàn)證所交付設(shè)備完整性的3)廠商留存了準(zhǔn)確一致的預(yù)裝軟件安裝前的完1)廠商提供的設(shè)備服務(wù)與默認(rèn)端口號(hào)的映射關(guān)系說(shuō)明材料明確描述默認(rèn)開(kāi)放的端口信息及信的私有協(xié)議并說(shuō)明其用途,確認(rèn)是否說(shuō)明私有協(xié)議不存在所聲明范圍之外的用途。2)廠商在交付前發(fā)現(xiàn)的漏洞具備補(bǔ)救措漏洞補(bǔ)救措施可以是漏洞修復(fù)補(bǔ)丁、升級(jí)包、技術(shù)方1)廠商提供說(shuō)明材料,說(shuō)明在運(yùn)行環(huán)節(jié)存在2)廠商提供說(shuō)明材料,說(shuō)明對(duì)設(shè)備進(jìn)行維護(hù)時(shí)引入的安全風(fēng)險(xiǎn)及相應(yīng)1)說(shuō)明材料中明確體現(xiàn)了設(shè)備在運(yùn)行環(huán)節(jié)的主要2)說(shuō)明材料中明確體現(xiàn)了對(duì)設(shè)備進(jìn)行維護(hù)時(shí)引入的主要安全風(fēng)險(xiǎn),并且明確相應(yīng)的安全策安全事件的應(yīng)急響應(yīng)安全要求見(jiàn)GB40050-20216.3b)。應(yīng)建立并執(zhí)行針對(duì)設(shè)備安全事件的應(yīng)急響應(yīng)機(jī)制和流程,并為應(yīng)急處置配備相應(yīng)的資源。1)查看廠商提供的說(shuō)明材料,確認(rèn)是否建立針對(duì)漏洞補(bǔ)救措施可以是漏洞修復(fù)補(bǔ)丁、升級(jí)包、技術(shù)方補(bǔ)丁包/升級(jí)包的完整性、來(lái)源真實(shí)性進(jìn)行驗(yàn)證安全要求見(jiàn)GB40050-20216.3f)。應(yīng)為用戶提供對(duì)補(bǔ)丁包/升級(jí)包的完整性、來(lái)源真實(shí)性進(jìn)行驗(yàn)1)廠商提供說(shuō)明材料,說(shuō)明為用戶提供的對(duì)補(bǔ)丁包/升級(jí)包的完整性、1)廠商提供說(shuō)明材料,說(shuō)明為用戶提供的對(duì)補(bǔ)丁包/升級(jí)包的完整性、1)檢查廠商提供的說(shuō)明材料,確認(rèn)是否包含為用戶提供的對(duì)補(bǔ)丁包/升1)說(shuō)明材料中明確包含為用戶提供的對(duì)補(bǔ)丁包/升級(jí)包的完整性、來(lái)源1)應(yīng)為用戶提供對(duì)廢棄(或退役)設(shè)備中關(guān)鍵部3)對(duì)于維修后再銷售

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論