【文章內(nèi)容簡介】 試步驟由參測廠商自主設(shè)計合理的測試步驟預(yù)期結(jié)果實現(xiàn)默認(rèn)所有功能實測記錄廠家確認(rèn)備注Portal支持多種格式功能測試項目Portal支持多種格式功能測試目的Portal應(yīng)支持各種媒體格式，包括音頻、視頻、圖文、url鏈接等）測試步驟由參測廠商自主設(shè)計合理的測試步驟預(yù)期結(jié)果實現(xiàn)所需支持的格式功能實測記錄廠家確認(rèn)備注Portal分享功能測試項目Portal分享功能測試目的Portal分享功能，可以將廣告頁面分享到微博、微信等社交媒體測試步驟由參測廠商自主設(shè)計合理的測試步驟預(yù)期結(jié)果實現(xiàn)分享功能實測記錄廠家確認(rèn)備注Portal頁面定時、分組發(fā)布功能測試項目Portal頁面定時、分組發(fā)布功能測試目的Portal頁面定時發(fā)布（自動替換）功能，按AP分組發(fā)布測試步驟由參測廠商自主設(shè)計合理的測試步驟預(yù)期結(jié)果實現(xiàn)定時及分組發(fā)布所有功能實測記錄廠家確認(rèn)備注Portal點擊統(tǒng)計功能測試項目Portal點擊統(tǒng)計功能測試目的統(tǒng)計Portal中某一廣告點擊次數(shù)等，支持導(dǎo)出報表測試步驟由參測廠商自主設(shè)計合理的測試步驟預(yù)期結(jié)果實測記錄廠家確認(rèn)備注 統(tǒng)計分析功能用戶維度統(tǒng)計功能測試項目用戶維度統(tǒng)計功能測試目的對于用戶數(shù)、認(rèn)證方式、終端信息、在線時長、是否新增用戶等的統(tǒng)計分析功能測試步驟由參測廠商自主設(shè)計合理的測試步驟預(yù)期結(jié)果實現(xiàn)用戶維度的統(tǒng)計功能實測記錄廠家確認(rèn)備注時間維度統(tǒng)計功能測試項目時間維度統(tǒng)計功能測試目的對于時間按天、按周、按月、按年等的統(tǒng)計分析功能測試步驟由參測廠商自主設(shè)計合理的測試步驟預(yù)期結(jié)果實現(xiàn)時間維度的統(tǒng)計功能實測記錄廠家確認(rèn)備注平臺可以按天統(tǒng)計，最小粒度為5分鐘AP維度統(tǒng)計功能測試項目AP維度統(tǒng)計功能測試目的對于分組AP的相關(guān)數(shù)據(jù)，如并發(fā)、在線用戶數(shù)、累計用戶數(shù)、累計時長、累計流量等進(jìn)行統(tǒng)計分析功能測試步驟由參測廠商自主設(shè)計合理的測試步驟預(yù)期結(jié)果實現(xiàn)AP維度的統(tǒng)計功能實測記錄廠家確認(rèn)備注圖形化界面測試項目圖形化界面測試目的對于包括地圖展示、實時圖形界面展示在內(nèi)的圖形化界面的功能測試步驟由參測廠商自主設(shè)計合理的測試步驟預(yù)期結(jié)果實現(xiàn)各種維度統(tǒng)計的圖形化界面的功能實測記錄廠家確認(rèn)備注數(shù)據(jù)導(dǎo)出功能測試項目導(dǎo)出功能測試目的支持導(dǎo)出EXCEL表測試步驟由參測廠商自主設(shè)計合理的測試步驟預(yù)期結(jié)果實現(xiàn)報表導(dǎo)出功能實測記錄廠家確認(rèn)備注 運營商運營功能企業(yè)客戶管理測試項目企業(yè)客戶管理功能測試目的企業(yè)客戶創(chuàng)建、修改、刪除、分組，企業(yè)自服務(wù)權(quán)限定義，支持批量創(chuàng)建及刪除測試步驟由參測廠商自主設(shè)計合理的測試步驟預(yù)期結(jié)果實現(xiàn)企業(yè)客戶管理相關(guān)功能實測記錄廠家確認(rèn)備注設(shè)備管理功能測試項目設(shè)備管理功能測試目的實現(xiàn)包括ap設(shè)備、ac設(shè)備位置及狀態(tài)信息圖形化顯示，流量告警、故障告警，ap、ac設(shè)備分組、遠(yuǎn)程配置，ap、ac設(shè)備遠(yuǎn)程控制（生效、失效、重啟等）等功能測試步驟由參測廠商自主設(shè)計合理的測試步驟預(yù)期結(jié)果實現(xiàn)設(shè)備管理相關(guān)功能實測記錄廠家確認(rèn)備注統(tǒng)計分析功能用戶維度統(tǒng)計功能測試項目用戶維度統(tǒng)計功能測試目的對于用戶數(shù)、認(rèn)證方式、終端信息、在線時長、流量、是否新增用戶等的統(tǒng)計分析功能測試步驟由參測廠商自主設(shè)計合理的測試步驟預(yù)期結(jié)果實現(xiàn)用戶維度的統(tǒng)計功能實測記錄廠家確認(rèn)備注時間維度統(tǒng)計功能測試項目時間維度統(tǒng)計功能測試目的對于時間按天、按周、按月、按年等的統(tǒng)計分析功能測試步驟由參測廠商自主設(shè)計合理的測試步驟預(yù)期結(jié)果實現(xiàn)時間維度的統(tǒng)計功能實測記錄廠家確認(rèn)備注平臺可以按天統(tǒng)計，最小粒度為5分鐘AP維度統(tǒng)計功能測試項目AP維度統(tǒng)計功能測試目的對于某些AP的相關(guān)數(shù)據(jù)進(jìn)行統(tǒng)計分析功能測試步驟由參測廠商自主設(shè)計合理的測試步驟預(yù)期結(jié)果實現(xiàn)AP維度的統(tǒng)計功能實測記錄廠家確認(rèn)備注圖形化界面測試項目圖形化界面測試目的對于包括地圖展示、實時圖形界面展示在內(nèi)的圖形化界面的功能測試步驟由參測廠商自主設(shè)計合理的測試步驟預(yù)期結(jié)果實現(xiàn)各種維度統(tǒng)計的圖形化界面的功能實測記錄廠家確認(rèn)備注導(dǎo)出功能測試項目導(dǎo)出功能測試目的支持導(dǎo)出EXCEL表測試步驟由參測廠商自主設(shè)計合理的測試步驟預(yù)期結(jié)果實現(xiàn)統(tǒng)計報表導(dǎo)出功能實測記錄廠家確認(rèn)備注支持分權(quán)分域 測試項目支持分權(quán)分域測試目的支持同時按電信省分劃分域及按照客戶劃分域，并且支持該域內(nèi)管理權(quán)限自定義，支持三級及以上子域，測試步驟由參測廠商自主設(shè)計合理的測試步驟預(yù)期結(jié)果實現(xiàn)分權(quán)分域功能實測記錄廠家確認(rèn)備注8. 項目驗收方案與建議業(yè)務(wù)平臺工程建設(shè)后，提出安全驗收申請。該業(yè)務(wù)平臺工程管理單位批準(zhǔn)后，與我方就安全驗收計劃進(jìn)行溝通，開始組織進(jìn)行業(yè)務(wù)平臺的安全驗收。對于初次安全驗收不通過的業(yè)務(wù)平臺，安全服務(wù)機(jī)構(gòu)在安全驗收工作完成后向工程建設(shè)單位及工程管理單位提交驗收結(jié)論，詳述原因，并將結(jié)果通報我方；可申請進(jìn)行復(fù)驗，但必須在規(guī)定工作日內(nèi)向安全服務(wù)機(jī)構(gòu)提出復(fù)驗申請并承擔(dān)復(fù)驗增加的全部費用，復(fù)驗進(jìn)行1次，要求在3個月內(nèi)完成。如果復(fù)驗仍不通過或未按照時限要求完成的，將視為該業(yè)務(wù)平臺安全驗收不合格，驗收結(jié)論通報工程建設(shè)單位及工程管理單位，安全服務(wù)機(jī)構(gòu)將最終驗收報告上報工程建設(shè)單位及工程管理單位，終結(jié)此次業(yè)務(wù)平臺安全驗收工作，發(fā)布安全驗收結(jié)論。改進(jìn)后若想再次進(jìn)行安全驗收，必須重新開啟新的業(yè)務(wù)平臺安全驗收流程，向安全服務(wù)機(jī)構(gòu)提出安全驗收要求。對于在安全驗收中不滿足要求的內(nèi)容，我方將應(yīng)給出相應(yīng)改進(jìn)的承諾和時間表，經(jīng)安全服務(wù)機(jī)構(gòu)審核后提交工程建設(shè)單位及工程管理單位。4567 主機(jī)安全身份鑒別說明：檢查主機(jī)設(shè)備，操作系統(tǒng)，數(shù)據(jù)庫針對用戶訪問的身份進(jìn)行鑒別的措施，鑒權(quán)措施是否充分。序號驗收項目驗收情況1是否對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別；　2操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識應(yīng)具有不易被冒用的特點，口令是否有復(fù)雜度要求并定期更換；檢查用戶身份標(biāo)識，檢查口令更改記錄；　3是否啟用登錄失敗處理功能，是否采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；　4當(dāng)對服務(wù)器進(jìn)行遠(yuǎn)程管理時，是否采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；　5是否為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性；　6對于存在關(guān)系型數(shù)據(jù)庫的設(shè)備，檢查設(shè)備是否能夠為不同數(shù)據(jù)庫用戶或用戶組分別授予針對特定數(shù)據(jù)表的讀取、修改權(quán)限。　訪問控制說明：檢查對相關(guān)主機(jī)系統(tǒng)的訪問控制措施是否滿足安全性要求。序號驗收項目驗收情況1是否啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問；　2是否實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；　3是否限制默認(rèn)帳戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令；　4是否及時刪除多余的、過期的帳戶，避免共享帳戶的存在，　安全審計說明：檢查主機(jī)系統(tǒng)日志審計能力。序號驗收項目驗收情況1審計范圍是否覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；　2審計內(nèi)容是否包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件； 　3是否包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等；　4是否保護(hù)審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等，　5日志是否有最小保留日期設(shè)定?！?應(yīng)用安全身份鑒別說明：檢查應(yīng)用系統(tǒng)針對用戶訪問的身份進(jìn)行鑒別的措施，鑒權(quán)措施是否充分。序號驗收項目驗收情況1是否提供專用的登錄控制模塊對登錄用戶進(jìn)行身份標(biāo)識和鑒別；　2是否提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢查功能，是否能保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識，身份鑒別信息不易被冒用；　3是否提供登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；　4是否啟用身份鑒別、用戶身份標(biāo)識唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能?！?應(yīng)用是否在登陸或傳遞敏感信息時候采用加密技術(shù)（如鏈路采用加密技術(shù)或同等技術(shù)手段，該條可以視為通過）　訪問控制說明：檢查應(yīng)用系統(tǒng)的訪問控制措施是否滿足安全性要求。序號驗收項目驗收情況1是否提供訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問；　2訪問控制的覆蓋范圍是否包括與資源訪問相關(guān)的主體、客體及它們之間的操作；　3是否由授權(quán)主體配置訪問控制策略，并嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限；　4是否授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系，　5檢驗設(shè)備系統(tǒng)是否具備對口令強(qiáng)度進(jìn)行配置以及檢查口令強(qiáng)度的功能；　6檢驗設(shè)備系統(tǒng)是否能夠刪除或者鎖定特定的賬號，以避免與設(shè)備運維無關(guān)的賬號被誤用，從而導(dǎo)致不必要的風(fēng)險；　7檢驗設(shè)備系統(tǒng)是否具備對口令的生存期進(jìn)行配置以及檢查的功能；　8檢驗設(shè)備系統(tǒng)是否具備對口令認(rèn)證失敗次數(shù)有限制的功能，并且在多次連續(xù)嘗試認(rèn)證失敗后能夠鎖定賬號；　9檢驗設(shè)備系統(tǒng)在靜態(tài)口令認(rèn)證工作方式下，是否支持賬號登陸口令的修改功能，并且修改口令后不會導(dǎo)致業(yè)務(wù)無法正常使用；　10檢驗設(shè)備系統(tǒng)在靜態(tài)口令認(rèn)證工作方式下，靜態(tài)口令在進(jìn)行本地存儲時是否進(jìn)行了加密；　11對于用戶可通過人機(jī)交互界面訪問文件系統(tǒng)的設(shè)備，檢查設(shè)備是否支持對文件系統(tǒng)中的目錄和文件，為不同用戶或用戶組分別授予讀、寫、執(zhí)行權(quán)限；　12記錄設(shè)備是否能夠?qū)τ脩舻卿?登出系統(tǒng)產(chǎn)生相應(yīng)的日志；　13檢查設(shè)備系統(tǒng)是否支持對用戶操作信息產(chǎn)生詳細(xì)日志記錄的能力；　14檢查設(shè)備是否支持日志遠(yuǎn)程輸出功能，即設(shè)備是否至少支持一種通用的遠(yuǎn)程標(biāo)準(zhǔn)日志接口，如FTP，將日志輸出至遠(yuǎn)程日志服務(wù)器；　15設(shè)備是否能夠按賬號分配日志文件讀取、修改和刪除權(quán)限，從而防止日志文件被篡改或非法刪除；　16檢查具備圖形界面（含WEB界面）的設(shè)備是否支持手動和定時自動屏幕鎖定。鎖屏后需再次進(jìn)行身份認(rèn)證后才能解除屏幕鎖定；　17檢查設(shè)備的系統(tǒng)是否具備通過補(bǔ)丁升級來消除軟件安全漏洞的能力；　18應(yīng)用系統(tǒng)的帳戶是否納入帳戶管理流程規(guī)范。　安全審計說明：檢查應(yīng)用系統(tǒng)的日志記錄功能和安全審計能力。序號驗收項目驗收情況1是否提供覆蓋到每個用戶的安全審計功能，對應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計；　2是否保證無法刪除、修改或覆蓋審計記錄；　3審計記錄的內(nèi)容是否包括事件日期、時間、發(fā)起者信息、類型、描述和結(jié)果等。　資源控制說明：檢查應(yīng)用系統(tǒng)信息資源的訪問控制措施。序號驗收項目驗收情況1當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)，另一方是否能夠自動結(jié)束會話；　2是否能夠?qū)?yīng)用系統(tǒng)的最大并發(fā)會話連接數(shù)進(jìn)行限制；　3是否能夠?qū)蝹€帳戶的多重并發(fā)會話進(jìn)行限制；　4檢查設(shè)備是否能夠顯示當(dāng)前活動的TCP/UDP服務(wù)端口列表以及已建IP連接列表；　5檢查對設(shè)備進(jìn)行遠(yuǎn)程訪問時是否支持通過SSH等功能保證通信數(shù)據(jù)的安全性；　6檢查設(shè)備是否支持列出對外開放的IP服務(wù)端口和設(shè)備內(nèi)部進(jìn)程的對應(yīng)關(guān)系的功能?！?數(shù)據(jù)安全及備份恢復(fù)數(shù)據(jù)完整性說明：檢測業(yè)務(wù)系統(tǒng)中數(shù)據(jù)傳輸過程中完整性控制措施。序號驗收項目驗收情況1是否能夠檢測到鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞。數(shù)據(jù)保密性說明：檢測業(yè)務(wù)系統(tǒng)中數(shù)據(jù)傳輸、存儲和備份過程中對保密性控制措施。序號驗收項目驗收情況1是否采用加密或其