- 1、本文档共72页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
ICS 33.030M 36YO中华人民共和国通信行业标准YD/T2695-2014移动互联网联网应用安全防护检测要求Security protection test requirements fornetworked applicationovermobileinternet2014-10-14发布2014-10-14实施中华人民共和国工业和信息化部发布
YD/T试编号:NAMI-第1级-业务及应用安全-业务逻辑安全-04测试项目:《移动互联网联网应用安全防护要求》-e,应采用加密方式存储业务用户的密码信息测试步骤:1)访谈相关技术人员,确认系统设计,存储业务用户的密码信息时是否进行了加密;2)打开系统存储的用户密码信息;3)查用户密码信息,验证系绕是否存在明文方式存储的业务用户的密码信息:4)创建测试账户;5)查看测试账户的密码信息,是否以密文方式存储预期结果:1)系统设计中,存储业务用户的密码信息,需进行加密;2)系统中当前的存储中,不存在明文形式的用户密码信息:3)系统存储新建测试账户的密码信息时,采用密文方式存储判定原则:达到以上预期结果,则通过,否则不通过
YD/T 269520145.1.2网络安全不作要求。5.1.3设备及软件系统安全不作要求。5.1.4物理安全应满足YD/T1755-2008《电信网和互联网物理环境安全等级保护检测要求》中第1级的相关要求,5.1.5管理安全应满足YD/T1757-2008《电信网和互联网管理安全等级保护检测要求》中第1级的相关要求。5.2第2级要求5.2.1业务及应用安全除满足第1级的要求之外,还应满足:业务逻辑安全.1身份监别测试编号:NAMI-第2级-业务及应用安全-业务逻辑安全-身份鉴别-01测试项目:《移动互联网联网应用安全防护要求》.1-a,应提供专门的登录控制模块对登录用户进行身份标识和鉴别测试步骤:1)检查设计/验收文档,确定系统是否提供专门的登录控制模块对登录用户进行身份标识和鉴别2)访谈相关技术人员,确定对于登录用户进行身份标识和鉴别,实际系统是否提供的专门的登录控制模块:3)创建测试账号,并保证账号功能正常;4)使用测试账号登录系统:5)验证系统是否提供专门的登录控制模块对登录用户进行身份标识和鉴别;6)使用无效账户登录系统:7)验证系统是否提供专门的登录控制模块对登录用户进行身份标识和鉴别预期结果:1)设计/验收文档中,系统提供了专门的登录控制模块对登录用户进行身份标识和鉴别:2)相关技术人员确认实际系统提供了专门的登录控制模块对登录用户进行身份标识和鉴别;3)系统提供专门的登录控制模块对合法的测试账户进行了身份标识和鉴别;4)系统提供专门的登录控制模块对无效账户避行了身份标识和鉴别判定原则:达到以上预期结果,则通过,否则不通过7
YD/试编号:NAMI-第2级-业务及应用安全-业务遇辑安全-身份鉴别-02测试项目:《移动互联网联网应用安全防护要求》.1-b,应提供并肩用用户鉴别信息复杂度检查功能测试步骤:1)开启创建账号操作:2)采用第单的鉴别信息,进行账户注册:3)观察系统是否拒绝该次注册请求;4)使用符合系统规定(用户鉴别信息复杂度一般要求具有字母(大、小写)、数字、特殊符号中的至少两种,根据系统要求可适当提高)的复杂的鉴别信息,进行账户注册;5)观察系统是否通过该次注册请求;6)使用通过成功注册的测试账号登录系统;7)进行身份鉴别信息修改操作,新的鉴别信息采用简单信息;8)验证系统是否拒绝该次鉴别信息修改操作;9)进行身份鉴别信息修改操作,新的的鉴别信息采用符合系统规定的复杂信息:10)验证系统是否通过该次鉴别信息修改操作预期结果:1)系统拒绝了使用简单鉴别信息进行注册的用户操作;2)系统通过了使用符合规定(用户签别息复杂度一般要求具有字母(大、小写)、数字、特殊符号中的至少两种,根据系统要求可适当提高)的复杂鉴别信息进行注册的用户操作;3)系统拒绝了使用简单信息作为新鉴别信息的修改操作;4)系统通过了使用符合规定的复杂信息作为新鉴别信息的修改操作判定原则:达到以上预期结果,则通过,否则不通过
YD/T 269520.2访问控制测试编号:NAMI-第2级-业务及应用安全-业务逻辑安全-访间控制-01测试项目:《移动互联网联网应用安全防护要求》.2-a,应严格限制各用户的访间权限,按安全策略要求控制用户对业务、数据、网络资源等的访间1)检查系统安全策略配置选项,是否含有严格限制各用户的访问权限的各项内容;2)创建测试账号,并保证账号功能正常:3)验证是否可以配置有效测试账户对业务、费数据、网络资源等的访间权限;4)使用测试账号对系统资源进行访间;5)验证测试账号是否能够访间权限以内的资源:6)验证
您可能关注的文档
- YS_T 1299-2019硬质合金复合轧辊.pdf
- YS_T 943-2013硫酸钯.pdf
- YY_T 0923-2014液路 血路无针接口 微生物侵入试验方法.pdf
- YS_T 820.10-2012红土镍矿化学分析方法 第10部分:钙、钴、铜、镁、锰、镍、磷和锌量的测定 电感耦合等离子体-原子发射光谱法.pdf
- YY_T 0183-2013宫内节育器放置叉.pdf
- YST 629.4-2007高纯氧化铝化学分析方法 氧化钾含量的测定 火焰原子吸收光谱法.pdf
- YY_T 1011-2014牙科旋转器械 公称直径和标号.pdf
- YD_T 2149.4-2011光传送网(OTN)网络管理技术要求 第4部分:EMS-NMS接口通用信息模型.pdf
- YY_T 0618-2017医疗器械细菌内毒素试验方法常规监控与跳批检验.pdf
- YS_T 1186-2017铝表面阳极氧化膜与有机聚合物膜耐磨性能测试用落砂试验仪.pdf
文档评论(0)