YD_T 2558-2013基于祖冲之算法的LTE终端和网络设备安全技术要求.pdf

ICS 33.060M 36中华人民共和国通信行业标准YD/T 2558-2013基于祖冲之算法的LTE终端和网络设备安全技术要求Security technical requirements for L.TE terminaland network equipment based on ZUC algorithm2013-07-22 发布2013-10-01实施中华人民共和国工业和信息化部发布 YD/T 2588-2013目次111范围·2规范性引用文件3术语、定义和缩略语3.1术语和定义·…3.2缩略语·4　应用商店安全防护检测概述5应用商店安全等级保护检测要求5.1第1级要求·5.2第2级要求·5.3第3.1级要求5.4第 3.2 级要求·145.5第 4级要求·5.6第5级要求····参考文献16 YD/T 2588-2013保障手段（如口令统一管理相关技术措施），并测试相关口令策略和安全要求落实和执行情况，测试验证口令安全相关技术保障手段的效果。3）应访谈相关技术和管理人员，检查系统设计/验收文档、系统安全策略、系统管理和配置文档：检查是否启用验证码方式对管理用户登录进行验证。4）应访谈相关技术和管理人员，检查系统设计/验收文档、系统安全策略、系统管理和配置文档，检查是否启用安全的传输方式对管理用户登录进行通信保护。5）应访谈相关技术和管理人员，检查系统设计/验收文档、系统安全策略、系统管理和配置文档，检查是否有用户登录失败处理等功能，检查有关技术手段和措施的启用、实施情况，测试验证是否根据安全策略对登录失败采取了结束会话、限制非法登录次数和自动退出等措施。6）应访谈相关技术和管理人员，检查系统设计/验收文档、系统安全策略、系统管理和配置文档：检查是否采用加密存储的机制保护系统管理用户账号和口令的安全。7）应访谈相关技术和管理人员，检查系统设计/验收文档、系统安全策略、系统管理和配置文档，检查是否实现操作系统和中间件用户的权限分离，中间件使用独立用户，并遵循最小权限原则。访问控制1）应访谈相关技术人员，检查系统设计/验收文档、系统安全策略、系统及设备管理和配置文档，检查验证是否在系统边界部署访问控制设备，并启用访问控制功能。2）应访谈相关技术人员，检查系统设计/验收文档、系统安全策略、系统及设备管理和配置文档，检查或通过技术手段测试验证是否能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力。3）应访谈相关技术人员，检查业务设计/验收文档、业务安全策略、业务管理和配置文档，检查或测试验证各账号是否依据最小授权原则授权，按安全策略要求控制对文件、数据库表等内容的访问。4）应访谈相关技术人员，检查系统设计/验收文档、系统安全策略、系统管理和配置文档、业务运营商提供的其他文档，检查验证是否按系统管理用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，检查或通过技术手段测试验证系统访问控制粒度是否为单个用户。、5）应访谈相关技术人员，检查系统设计/验收文档、系统安全策略、系统管理和配置文档、业务运营商提供的其他文档，检查验证系统是否限制了具有拨号访问权限的管理用户的数量。安全审计1）应访谈相关技术和管理人员，检查系统设计/验收文档、系统安全策略、系统管理和配置文档、系统日志，检查验证是否对系统中的重要设备运行状况、网络流量、系统管理及维护等进行日志记录，检查验证系统相关日志记录是否保留一定期限（至少90天）。2）应访谈相关技术和管理人员，检查系统设计/验收文档、系统安全策略、系统管理和配置文档、审计记录/报告，检查或测试验证审计记录是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息，检查审计记录是否保留一定期限（至少180天）。入侵防范1）应访谈相关技术人员，检查系统设计/验收文档、系统安全策略、系统管理和配置文档，检查直接面向互联网用户提供服务的设备是否仅开放服务所必须端口，并采用技术手段监控该端口通信情况。2）应访谈相关技术人员，检查系统设计/验收文档、系统安全策略、系统管理和配置文档，检查验证是否部署攻击、入侵监测的相关技术措施和手段，检查或通过技术手段验证相关系统能否发现在边界 YD/T 2588-2013处发生的端口扫描、强力攻击、木马后门攻击、DoS/DDoS攻击、缓冲区溢出攻击、IP碎片攻击和网络螺虫等攻击。3）应访谈相关技术人员，检查系统设计/验收文档、系统安全策略、系统管理和配置文档，检查验证是否部署攻击、入侵防护的相关设备或技术措施，检查或通过技术手段验证相关系统能否对在边界处发生的各类攻击和入侵是否能有效的抵御和防范。4）应访谈相关技术人员，检查系统设计/验收文档、系统安全策略、系统管理和配置文档，检查中间件是否采取最小安装原则，并更改默认账户口令