YD_T 2695-2014移动互联网联网应用安全防护检测要求.pdf

ICS 33.030M 36YO中华人民共和国通信行业标准YD/T2695-2014移动互联网联网应用安全防护检测要求Security protection test requirements fornetworked applicationovermobileinternet2014-10-14发布2014-10-14实施中华人民共和国工业和信息化部发布 YD/T试编号：NAMI-第1级-业务及应用安全-业务逻辑安全-04测试项目：《移动互联网联网应用安全防护要求》-e，应采用加密方式存储业务用户的密码信息测试步骤：1）访谈相关技术人员，确认系统设计，存储业务用户的密码信息时是否进行了加密；2）打开系统存储的用户密码信息；3）查用户密码信息，验证系绕是否存在明文方式存储的业务用户的密码信息：4）创建测试账户；5）查看测试账户的密码信息，是否以密文方式存储预期结果：1）系统设计中，存储业务用户的密码信息，需进行加密；2）系统中当前的存储中，不存在明文形式的用户密码信息：3）系统存储新建测试账户的密码信息时，采用密文方式存储判定原则：达到以上预期结果，则通过，否则不通过 YD/T 269520145.1.2网络安全不作要求。5.1.3设备及软件系统安全不作要求。5.1.4物理安全应满足YD/T1755-2008《电信网和互联网物理环境安全等级保护检测要求》中第1级的相关要求，5.1.5管理安全应满足YD/T1757-2008《电信网和互联网管理安全等级保护检测要求》中第1级的相关要求。5.2第2级要求5.2.1业务及应用安全除满足第1级的要求之外，还应满足：业务逻辑安全.1身份监别测试编号：NAMI-第2级-业务及应用安全-业务逻辑安全-身份鉴别-01测试项目：《移动互联网联网应用安全防护要求》.1-a，应提供专门的登录控制模块对登录用户进行身份标识和鉴别测试步骤：1）检查设计/验收文档，确定系统是否提供专门的登录控制模块对登录用户进行身份标识和鉴别2）访谈相关技术人员，确定对于登录用户进行身份标识和鉴别，实际系统是否提供的专门的登录控制模块：3）创建测试账号，并保证账号功能正常；4）使用测试账号登录系统：5）验证系统是否提供专门的登录控制模块对登录用户进行身份标识和鉴别；6）使用无效账户登录系统：7）验证系统是否提供专门的登录控制模块对登录用户进行身份标识和鉴别预期结果：1）设计/验收文档中，系统提供了专门的登录控制模块对登录用户进行身份标识和鉴别：2）相关技术人员确认实际系统提供了专门的登录控制模块对登录用户进行身份标识和鉴别；3）系统提供专门的登录控制模块对合法的测试账户进行了身份标识和鉴别；4）系统提供专门的登录控制模块对无效账户避行了身份标识和鉴别判定原则：达到以上预期结果，则通过，否则不通过7 YD/试编号：NAMI-第2级-业务及应用安全-业务遇辑安全-身份鉴别-02测试项目：《移动互联网联网应用安全防护要求》.1-b，应提供并肩用用户鉴别信息复杂度检查功能测试步骤：1）开启创建账号操作：2）采用第单的鉴别信息，进行账户注册：3）观察系统是否拒绝该次注册请求；4）使用符合系统规定（用户鉴别信息复杂度一般要求具有字母（大、小写）、数字、特殊符号中的至少两种，根据系统要求可适当提高）的复杂的鉴别信息，进行账户注册；5）观察系统是否通过该次注册请求；6）使用通过成功注册的测试账号登录系统；7）进行身份鉴别信息修改操作，新的鉴别信息采用简单信息；8）验证系统是否拒绝该次鉴别信息修改操作；9）进行身份鉴别信息修改操作，新的的鉴别信息采用符合系统规定的复杂信息：10）验证系统是否通过该次鉴别信息修改操作预期结果：1）系统拒绝了使用简单鉴别信息进行注册的用户操作；2）系统通过了使用符合规定（用户签别息复杂度一般要求具有字母（大、小写）、数字、特殊符号中的至少两种，根据系统要求可适当提高）的复杂鉴别信息进行注册的用户操作；3）系统拒绝了使用简单信息作为新鉴别信息的修改操作；4）系统通过了使用符合规定的复杂信息作为新鉴别信息的修改操作判定原则：达到以上预期结果，则通过，否则不通过 YD/T 269520.2访问控制测试编号：NAMI-第2级-业务及应用安全-业务逻辑安全-访间控制-01测试项目：《移动互联网联网应用安全防护要求》.2-a，应严格限制各用户的访间权限，按安全策略要求控制用户对业务、数据、网络资源等的访间1）检查系统安全策略配置选项，是否含有严格限制各用户的访问权限的各项内容；2）创建测试账号，并保证账号功能正常：3）验证是否可以配置有效测试账户对业务、费数据、网络资源等的访间权限；4）使用测试账号对系统资源进行访间；5）验证测试账号是否能够访间权限以内的资源：6）验证