YD_T 2697-2014公众无线局域网网络安全防护检测要求.pdf

ICS 33.040M 10Y中华人民共和国通信行业标准YD/T 2697-2014公众无线局域网安全防护检测要求Securityprotectiontestrequirementsforpublicwirelesslocalareanetwork2014-10~14发布2014-10-14实施中华民共和国工业和信息化部发布 YD/T 269720144PWLAN安全防护检测概述4.1PWLAN安全防护检测内容本标准的安全防护检测内容与YD/T2696-2014《公众无线局域网安全防护要求》一致，包括业务安全、设备及软件系统安全、网络安全、物理环境安全和管理安全。4.2PWLAN安全防护检测对象PWLAN安全防护检测对象是基确础电信业务经营者和增值电信业务经营者建设或者运营的公众无线局域网，本标准主要对公众无线局域网的各项要求的实施进行检测。4.3PWLAN安全防护检测环境对PWLAN的安全防护检测需在现网中进行，其检测环境结构示意如图1所示。内用中心机房计费ACAC22热点交换乳热点交象机热点交换机APAPAP图1PWLAN安全防护检测环境结构示意被测对象包括：PWLAN网络设备（如AC、AP、BRAS、热点交换机等）和PWLAN辅助性IT系统（如运维、管理、监测系统等），测试工具包括：协议分析仪（应支持IP协议簇各层协议的解析）和漏洞扫描器（应支持主机扫描、端口扫描、漏洞检测等功能）。 YD/T2697~20145PWLAN安全防护检测要求5.1第1级要求5.1.1业务安全要求业务认证管理测试编号：PWLAN-第1级-业务安全-业务认证管理-01测试项目：《公众无线局域网安全防护要求》-8，用户的身份标识和鉴别要求测试步骤：1）创建合法测试账号，并保证账号功能正常：2）使用合法测试账号，提供正确的鉴别信息执行查录系统操作：3）检查系统是否通过了合法测试账户的登录操作：4）使用合法测试账户，提供错误的鉴别信息执行登录系统操作：5）检查系统是否拒绝合法测试账户的查录操作；6）使用无效的测试账户，执行登录系统操作；7）检查系统是否拒绝无效测试账户的登录操作预期结果：1）系统对提供正确鉴别信总的台法测试账户的登录操作，予以通过：2）系统对提供错误整别信息的合法测试账户的登录操作，予以拒绝：3）系统对无效测试账户的登录操作，予以拒绝判定原则：达到以上预期结果，则通过，否则不通过测试编号：PWLAN-第1级-业务安全-业务认证管理-02测试项目：《公众无线局域网安全防护要求》-b，加密方式传输用户的口令信息测试步蒙：1）访谈相关技术人员，确认系统设计，传输业务用户的密码信息时是否进行了加密：2）通过抓包等方式，截获数据：3）验证是否以加密方式传输用户的口令信息预期结果：1）系统设计中，传输业务用户的密码信息，需进行加密：2）抓包结果分析显示采用密文方式传输用户的口令信息判定原则：达到以上预期结果，则通过，否则不通过 YD/T试编号：PWLAN-第1级-业务安全-业务认证管理-03测试项目：《公众无线局域网安全防护要求》-c，加密方式存储用户的口令信息测试步1）访谈相关技术人员，确认系统设计，存储业务用户的密码信息时是否进行了加密；2）查看业务用户密码信息，验证系统是否存在明文方式存储的业务用户的密码信息：3）创建测试账户，查看测试账户的密码信息，是否以密文方式存储预期结果：1）系统设计中，存储业务用户的密码信息，需进行加密：2）系统中当前的存储中，不存在明文形式的用户密码信息；3）系统存储新建测试账户的密码信息时，采用密文方式存储判定原则：达到以上预期结果，则通过，否则不通过业务资源控制测试编号：PWLAN-第1级-业务安全-业务资源控制-01测试项目：《公众无线局域网安全防护要求》-a，用户异常掉线后，AC、AP应释放内存、回收资源测试步骤：1）使用测试客户端与AP连接：2）检验连接是否正常：3）查看AC和AP的关联表，是否新增连接信息；4)采用异常方式断开无线客户端与AP的连接，使得无线客户端择线：5）查看AC和AP的关联表，查看系统是否更新连接信息，能否自动释放内存、回收资源预期结果：1）测试客户端与AP正常连接，AC和AP关联表显示成功分配资源：2）断开测试客户端与AP的连接之后，AC和AP关联表上无该客户端的正在连接AP的信息判定原则：达到以上预期结果，则通过，否则不通过 YD/T 2697~20业务安全防范测试编号：PWLAN-第1级-业务安全-业务安全防范-01测试项目：《公众无线局域网安全防护要求》-a，应具备发现和处理含有恶意代码链接的能力测试步费：1）询间技术人员针对恶意代码链接采取了何种安全防护措施；2）网页扫描检查PWLAN登录页面是否存在恶意代码链接：3）构造恶意代码链接；4）