【正文】 本測(cè)試就是利用攻擊工具對(duì)上述IP協(xié)議端口進(jìn)行漏洞掃描，以此發(fā)現(xiàn)設(shè)備所存在的漏洞。測(cè)試步驟：利用 xscan 或其他漏洞掃描軟件對(duì)設(shè)備系統(tǒng)進(jìn)行漏洞掃描；選擇其中一個(gè)已存在針對(duì)性安全補(bǔ)丁（由設(shè)備廠商提供）的漏洞，并加載該安全補(bǔ)??；再次掃描設(shè)備系統(tǒng)，查看該安全漏洞是否已經(jīng)消除；并觀察設(shè)備與上述安全漏洞相關(guān)的業(yè)務(wù)程序是否能夠正常運(yùn)行，不產(chǎn)生蕩機(jī)或工作不穩(wěn)定的狀況；記錄加載補(bǔ)丁之后是否必須重啟設(shè)備才能生效。27 / 31預(yù)期結(jié)果：系統(tǒng)提供了對(duì)登錄后不活動(dòng)時(shí)間門限進(jìn)行配置的功能；賬號(hào)登錄無操作時(shí)間超出門限值時(shí)，是否能夠自動(dòng)登出。測(cè)試結(jié)果：備注：測(cè)試編號(hào)：項(xiàng) 目：IP協(xié)議安全功能測(cè)試分 項(xiàng) 目： 對(duì)于遠(yuǎn)程維護(hù) IP 地址的限制 編號(hào)：安全功能設(shè)備 通用功能22opt測(cè)試目的：檢查可以通過IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，是否能夠?qū)υ试S登陸到該設(shè)備的IP地址范圍進(jìn)行設(shè)定。預(yù)期結(jié)果：設(shè)備系統(tǒng)提供了流量過濾的命令或配置界面；針對(duì) IP 地址、TCP 端口號(hào)、UDP 端口號(hào)、ICMP 協(xié)議的訪問控制策略均可生效，在進(jìn)行配置后，協(xié)議連接無法進(jìn)行；記錄其他可作為訪問控制策略配置的字段；清空所有策略后，連接可以正常進(jìn)行。預(yù)期結(jié)果：系統(tǒng)能夠針對(duì)日志文件分賬號(hào)賦予權(quán)限；對(duì)于越權(quán)的操作，系統(tǒng)能夠有效的阻止；系統(tǒng)能夠記錄越權(quán)操作地行為，記錄內(nèi)容符合安全功能設(shè)備 通用功能13opt 的要求。預(yù)期結(jié)果：系統(tǒng)具備日志遠(yuǎn)程存儲(chǔ)功能；產(chǎn)生的操作日志均無誤地存儲(chǔ)在遠(yuǎn)程日志服務(wù)器上；詢問記錄遠(yuǎn)程日志傳輸所采用的應(yīng)用層協(xié)議；記錄系統(tǒng)遠(yuǎn)程輸出日志到日志服務(wù)器的日志條目門限值。預(yù)期結(jié)果：系統(tǒng)具備日志功能；針對(duì)用戶登錄/登出行為，系統(tǒng)產(chǎn)生了相關(guān)日志；日志中包含登錄賬號(hào)、登錄成功與否狀態(tài)、登錄/登出時(shí)間、登錄 IP 地址等信息；記錄除上述信息以外的其他信息。預(yù)置條件：無測(cè)試步驟：利用管理員賬號(hào)登錄系統(tǒng)，并創(chuàng)建 3 個(gè)不同的賬號(hào)；檢查系統(tǒng)是否提供了針對(duì)不同用戶授予文件系統(tǒng)不同訪問權(quán)限的配置選項(xiàng)；選擇特定目錄，分別為上述 3 個(gè)用戶授予讀、寫與執(zhí)行權(quán)限；分別利用上述 3 個(gè)賬號(hào)登錄系統(tǒng)，并分別嘗試訪問允許訪問和不允許訪問的文件操作，查看文件系統(tǒng)訪問的權(quán)限配置策略是否生效。測(cè)試結(jié)果：備注：測(cè)試編號(hào)：項(xiàng) 目：口令功能分 項(xiàng) 目：靜態(tài)口令加密存儲(chǔ)功能編號(hào)：安全功能設(shè)備 通用功能22測(cè)試目的：檢驗(yàn)設(shè)備系統(tǒng)在靜態(tài)口令認(rèn)證工作方式下，靜態(tài)口令在進(jìn)行本地存儲(chǔ)時(shí)是否進(jìn)行了加密。 測(cè)試結(jié)果：備注：測(cè)試編號(hào)：項(xiàng) 目：口令功能分 項(xiàng) 目：賬號(hào)口令連續(xù)認(rèn)證失敗次數(shù)限制 編號(hào)：安全功能設(shè)備 通用功能7opt測(cè)試目的：檢驗(yàn)設(shè)備系統(tǒng)是否具備對(duì)口令認(rèn)證失敗次數(shù)有限制的功能，并且在多次連續(xù)嘗試認(rèn)證失敗后能夠鎖定賬號(hào)。預(yù)期結(jié)果：設(shè)備系統(tǒng)能夠提供進(jìn)行口令強(qiáng)度配置的全局策略選項(xiàng)（或者基于用戶組的策略選項(xiàng)） ，選項(xiàng)內(nèi)容包括：1) 口令最小長度；2) 將口令配置為強(qiáng)口令配置強(qiáng)口令策略后，能夠在新建用戶時(shí)對(duì)不符合口令強(qiáng)度策略的如下口令配置進(jìn)行提示告10 / 31警：1) 與賬號(hào)同名的口令；2) 只包含字符或數(shù)字的簡(jiǎn)單口令；3) 長度短于最小長度的口令。預(yù)期結(jié)果：系統(tǒng)應(yīng)能提供刪除或鎖定被選賬號(hào)的功能；賬號(hào)刪除后，應(yīng)無法再利用其進(jìn)行登錄。? XSCAN（可從互聯(lián)網(wǎng)下載的免費(fèi)漏洞掃描軟件，應(yīng)當(dāng)采用最新版本） ；網(wǎng)絡(luò)協(xié)議分析工具：（二者任選一種）? Ethreal（可從互聯(lián)網(wǎng)下載的免費(fèi)軟件，應(yīng)采用最新版本）6 / 31? Sniffer（付費(fèi)軟件，應(yīng)采用最新版本） 。本規(guī)范對(duì)測(cè)試驗(yàn)證《中國移動(dòng)設(shè)備通用安全功能和配置規(guī)范》中功能要求項(xiàng)目，明確了基本的操作要求。【第二層：技術(shù)規(guī)范本規(guī)范由中國移動(dòng)通信集團(tuán)公司網(wǎng)絡(luò)部歸口管理。[1] 《中國移動(dòng)設(shè)備通用安全功能和配置規(guī)范》5 / 313 相關(guān)術(shù)語與縮略語解釋4 測(cè)試環(huán)境交換機(jī)監(jiān) 聽 設(shè) 備P C 客 戶 端被測(cè)設(shè)備P C 客 戶 端P C 客 戶 端測(cè)試環(huán)境說明：? PC 客戶端主要用來模擬被測(cè)設(shè)備賬號(hào)進(jìn)行遠(yuǎn)程登錄和命令操作；? PC 客戶端與被測(cè)設(shè)備應(yīng)當(dāng)配置為不同的網(wǎng)段，并通過交換機(jī)進(jìn)行互連。7 / 31預(yù)期結(jié)果：能夠創(chuàng)建不同的賬號(hào)，并能夠?yàn)槠湓O(shè)置不同的口令、權(quán)限等信息；能夠利用已創(chuàng)建的不同賬號(hào)和口令分別登錄設(shè)備系統(tǒng)，并執(zhí)行常用操作。預(yù)置條件：無測(cè)試步驟：利用管理員身份登陸設(shè)備系統(tǒng)；進(jìn)入口令強(qiáng)度配置命令或界面，檢查系統(tǒng)是否提供了口令強(qiáng)度的配置選項(xiàng)（應(yīng)當(dāng)作為適用于全部賬號(hào)的全局策略或用戶組策略） ；檢查口令強(qiáng)度配置選項(xiàng)是否可以進(jìn)行如下配置：i. 配置口令的最小長度；ii. 將口令配置為強(qiáng)口令。創(chuàng)建一個(gè)普通賬號(hào)，為其配置相應(yīng)的口令；并利用新建的賬號(hào)進(jìn)行系統(tǒng)登入登出；利用管理員權(quán)限修改系統(tǒng)時(shí)間至第二天；再次利用簽署賬號(hào)登陸系統(tǒng)，查看系統(tǒng)是否提示用戶修改口令；將賬號(hào)口令修改為相同口令，查看系統(tǒng)是否拒絕修改并提示重新設(shè)置口令；并且重復(fù)步驟 6 至步驟 8 連續(xù) 3 次； （每次嘗試前面三次以內(nèi)所設(shè)置的相同口令） 。注：設(shè)備B應(yīng)當(dāng)與設(shè)備A同屬一個(gè)業(yè)務(wù)系統(tǒng)，二者為相關(guān)聯(lián)設(shè)備。預(yù)置條件：無測(cè)試步驟：利用管理員賬號(hào)登錄系統(tǒng)，并創(chuàng)建 2 個(gè)不同的用戶；創(chuàng)建用戶時(shí)查看系統(tǒng)是否提供了用戶權(quán)限級(jí)別以及可訪問系統(tǒng)資源和命令的選項(xiàng)；為兩個(gè)用戶分別配置不同的權(quán)限，2 個(gè)用戶的權(quán)限差異應(yīng)能夠分別在用戶權(quán)限級(jí)別、可訪問系統(tǒng)資源以及可用命令等方面予以體現(xiàn)；分別利用 2 個(gè)新建的賬號(hào)訪問設(shè)備系統(tǒng)，并分別嘗試訪問允許訪問的內(nèi)容和不允許訪問的內(nèi)容，查看權(quán)限配置策略是否生效。17 / 31測(cè)試結(jié)果：備注： 日志 功能測(cè)試測(cè)試編號(hào)：項(xiàng) 目：日志功能測(cè)試分 項(xiàng) 目：用戶登錄/登出日志記錄編號(hào)：安全功能設(shè)備 通用功能12測(cè)試目的：記錄設(shè)備是否能夠?qū)τ脩舻卿?登出系統(tǒng)產(chǎn)生相應(yīng)的日志。19 / 31測(cè)試結(jié)果：備注：測(cè)試編號(hào)：項(xiàng) 目：日志功能測(cè)試分 項(xiàng) 目：日志遠(yuǎn)程輸出功能 編號(hào)：安全功能設(shè)備 通用功能14opt測(cè)試目的：檢查設(shè)備是否支持日志遠(yuǎn)程輸出功能，即設(shè)備是否至少支持一種通用的遠(yuǎn)程標(biāo)準(zhǔn)日志接口，如SYSLOG、FTP等，將日志輸出至遠(yuǎn)程日志服務(wù)器。預(yù)置條件：無測(cè)試步驟：創(chuàng)建三個(gè)不同的賬號(hào)。測(cè)試結(jié)果：備注：測(cè)試編號(hào)：項(xiàng) 目：IP協(xié)議安全功能測(cè)試分 項(xiàng) 目：流量過濾（ACL）功能 編號(hào)：安全功能設(shè)備 通用功能16opt測(cè)試目的：檢查設(shè)備是否具有基于源IP地址、目的IP地址、通信協(xié)議類型（如TCP、UDP、ICMP）、源端口、目的端口等配置條件的流量過濾（ACL）功能；這里主要針對(duì)通過IP協(xié)議訪問被測(cè)設(shè)備流量的過濾。測(cè)試結(jié)果：備注：測(cè)試編號(hào)：項(xiàng) 目：IP協(xié)議安全功能測(cè)試分 項(xiàng) 目：IP 服務(wù)端口與內(nèi)部進(jìn)程的對(duì)應(yīng)關(guān)系展示 編號(hào)：安全功能設(shè)備 通用功能18opt測(cè)試目的：檢查設(shè)備是否支持列出對(duì)外開放的IP服務(wù)端口和設(shè)