YD_T 2093-2018网上营业厅安全防护检测要求.pdf

ICS 33.040.M10YD中华人民共和国通信行业标准YD/T替YD/T 2093—2010网上营业厅安全防护检测要求Security protection testing requirements for the online business hall2018-02-09发布2018-04-01实施中华人民共和国工业和信息化部发布 YD/T 2093—2018物理环境安全检测和管理安全检测7个部分：4~5级检测内客待定。5网上营业厅安全防护检测要求5.1第1级要求5.1.1业务及应用安全身份鉴别测试编号：网上营业厅一第1级一业务及应用安全一身份鉴别-01测试项目：《网上营业厅安全防护要求》-a，应实现用户功能权限的模向、级向隔高，确保用户查录后只能访间或使用当前用户的相关信息和网上营业厅功能，而不能越权访问或使用其他用户相关信息和网上营业厅动能微试步幕：1》创建合法测试账号A，并保证账号功能正常；2）使用合法得试账号A登录，获取合法测试账号A之后的会话凭证（如cookie、session等）：3）创建合法测试账号B，并保证账号功能正常：4）使用合法测试账号B登录，获取合法测试账号B之后的会话凭证（如cookie、session等）：5）保证A、B两个账户能够访间的资源有不同：6）使用合法得试账号A登求，进行网上营业厅用户关速深作（增剩改查）：7）截断6）中关键操作的请求数据包，尝试将请求数据包中所含人账号的会话凭证修改成合法润试账号B，发送给服务8）检查是否在A账号之下能够访网B账号的资源预期结果：1》系统在检测到当期用户的会话先凭证被替换后，对用户的相关操作予以拒绝。判定原：达到以上预期结果，则通过，否则不通过，访问控制测试编号：网上营业厅一第1级一业务及应用安全一访间控制-01测试项目：《网上营业厅安全防护要求》-a，应具有网上营业厅登录失致处理功能，如结束会话、限制非法登录次数等剩试步弱：1）创建合法测试账号，并保证账号功能正常：2》使用合法测试账号，提供正确的鉴别信息执行登录系统操作；3）检查系统是否通过了合法测试账户的登录操作：4）使用合法测试账户，提供错误的鉴别信息类行登录系统操作；5）检查系统是否拒绝合法测试账户的登录操作；6）使用无效的测试账户，执行登录系统操作：7）检查系统是否拒绝无效测试服户的查录操作：8）使用合法测试账号，提供错误的鉴别信息执行登录系统操作，并多次重复执行：9）检查系统是香提供并启用了登录失败处理功能（如结束会话、限制非法登录次数和自动退出等）：10）使用无效的测试账户，执行盘录系统操作，并多次重复执行：11》检查系统是否提供并自用了查录失败处理功能（如结束会话、限制非法查录次数和自动退出等）预期结果：1）提供登录功能的业务系统，对提供正确鉴别信息的合法测试账户的登录操作，予以道过：n YD/T 209320182）系统对提供错误鉴别信息的合法测试账户的登录操作，予以拒绝：3）系统对无效测试账户的登录操作，予以矩绝。4）系统在接收到提供错误签别信息的合法测试账户的登录操作后，供并启用了登录失败处理功能（如结束会话、限制非法登录次数和自动退出等）：5）系统在接收到无效测试账户的查录操作后，提供并启用了登录失败处理功能（如结束会话、限制非法登录次数和自动退出等)判定原期，达到以上预期结采，则通过，否则不通过5.1.2网络安全网络安全监测测试编号：网上营业厅一第1级一网络安全—网络安全监测-01谢试项目：《网上营业厅安全防护要求》-，应在互联网与网上营业厅设备之间部署网络监测设备，监控开放服务端口的连借情况测试步澡：1）访谈网上营业厅技术人员，询问间直按面向互联网为用户提供服务的网上营业厅设备（如Web服务器设备）是否仅开放为登录网上营业厅用户类供服务所必频的服务现口（如HTTP、HTTPS对应端口及向BOSS系统开数的娱口），检查是否采用技术手段监控其他确口通信情况：2）使用工具向网上营业厅发送胜数据，查看是否能够监测相应数据预期结果：1）在互联网接口处部署有网络监测能力，能够监控服务端口的通信情况：2）监测系统能够及时发现异常的胜数据，并能够进行记录、告警和阻斯判定原则：达到以上预期结果，则遇过，香则不通过测试编号：网上营业厅一第1级一网络安全一网络安全监测-02测试项目：《网上营业厅安全防护要求》-b，应在网上营业厅设备与BOSS系统之间部署网络监测设备，监控网上营业厅发起的到BOSS系统的通信情况测试步骤：1）检查网上营业厅拓扑结构图，查看网上营业厅设备与BOSS系统之间是否部署网络监测设备：2）检查网络监测设备是否能监控网上营业厅发起的到BOSS网络的通信连接：3）使用工具向BOSS系统发送脏数据，查看是否能够监测相应数据预期结果：1）在网上营业厅设