YD/T 2695-2014
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 2695-2014.Security protection test requirements for networked application over mobile internet.
1范围
YD/T 2695规定了移动互联网联网应用相关的业务系统分安全保护等级的安全防护检测要求,涉及到业务及应用安全、网络安全、设备及软件系统安全、物理安全和管理安全的检测要求。
YD/T 2695适用于移动互联网联网应用相关业务系统。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
YD/T 1755-2008《电信网和互联网物理环境等 级保护检测要求》
YD/T 1757-2008《电信网和互 联网管理等级保护检测要求》
YD/T 2439-2012《移动互联网恶意程序描述格式》
YD/T 2694-2014《移动 互联网联网应用安全防护要求》
YD/T 2698-2014《电信网和互联网安全防护基线配置要求及检测要求网络设备》
YD/T 2699-2014《电信网和互联网 安全防护基线配置要求及检测要求安全设备》
YD/T2701-2014《电信网和互联网 安全防护基线配置要求及检测要求操作系统》
YD/T 2700-2014《电信网和互联网安全防护基线配置要求及检测要求数据库》
YD/T 2702-2014《电信网和互联网安全防护基线配置要求及检测要求中间件》
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。
3.1.1
移动互联网联网应用安全等级 Security Classification of Networked Application Over Mobile Internet
移动互联网联网应用重要程度的表征。重要程度从移动互联网联网应用受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。
1范围
YD/T 2695规定了移动互联网联网应用相关的业务系统分安全保护等级的安全防护检测要求,涉及到业务及应用安全、网络安全、设备及软件系统安全、物理安全和管理安全的检测要求。
YD/T 2695适用于移动互联网联网应用相关业务系统。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
YD/T 1755-2008《电信网和互联网物理环境等 级保护检测要求》
YD/T 1757-2008《电信网和互 联网管理等级保护检测要求》
YD/T 2439-2012《移动互联网恶意程序描述格式》
YD/T 2694-2014《移动 互联网联网应用安全防护要求》
YD/T 2698-2014《电信网和互联网安全防护基线配置要求及检测要求网络设备》
YD/T 2699-2014《电信网和互联网 安全防护基线配置要求及检测要求安全设备》
YD/T2701-2014《电信网和互联网 安全防护基线配置要求及检测要求操作系统》
YD/T 2700-2014《电信网和互联网安全防护基线配置要求及检测要求数据库》
YD/T 2702-2014《电信网和互联网安全防护基线配置要求及检测要求中间件》
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。
3.1.1
移动互联网联网应用安全等级 Security Classification of Networked Application Over Mobile Internet
移动互联网联网应用重要程度的表征。重要程度从移动互联网联网应用受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。
标准图片预览
标准内容
ICS33.030
中华人民共和国通信行业标准
YD/T2695-2014
移动互联网联网应用安全防护检测要求Security protection test requirements for networked applicationovermobileinternet
2014-10-14发布
2014-10-14实施
中华人民共和国工业和信息化部发布前言·
1范围-
2规范性引用文件
3术语、定义和缩略语
3.1术语和定义·
3.2缩略语
4移动互联网联网应用安全防护检测概述目
4.1移动互联网联网应用安全防护检测内容·4.2移动互联网联网应用安全防护检测对象4.3安全防护检测环境
5移动互联网联网应用安全防护检测要求5.1第1级要求
5.2第2级要求
5.3第3级要求
5.4第4级要求?
5.5第5级要求
YD/T2695-2014
YD/T2695-2014
本标准是“电信网和互联网安全防护体系”系列标准之一。该系列标准预计结构及名称如下:1.《电信网和互联网安全防护管理指南》2.《电信网和互联网安全等级保护实施指南》3.《电信网和互联网安全风险评估实施指南》4.《电信网和互联网灾难备份及恢复实施指南》5.《固定通信网安全防护要求》6.《移动通信网安全防护要求》7.《互联网安全防护要求》
8.《增值业务网一消息网安全防护要求》9.《增值业务网一智能网安全防护要求》10.《接入网安全防护要求》
11.《传送网安全防护要求》
12.《IP承载网安全防护要求》
13.《信令网安全防护要求》
14.《同步网安全防护要求》
15.《支撑网安全防护要求》
16.《非核心生产单元安全防护要求》17.《电信网和互联网物理环境安全等级保护要求》18.《电信网和互联网管理安全等级保护要求》19.《固定通信网安全防护检测要求》20.《移动通信网安全防护检测要求》21.《互联网安全防护检测要求》22.《增值业务网一消息网安全防护检测要求》23.《增值业务网一智能网安全防护检测要求》24.《接入网安全防护检测要求》25.《传送网安全防护检测要求》26.《IP承载网安全防护检测要求》27.《信令网安全防护检测要求》28.《同步网安全防护检测要求》29.《支撑网安全防护检测要求》30.《非核心生产单元安全防护检测要求》31.《电信网和互联网物理环境安全等级保护检测要求》32.《电信网和互联网管理安全等级保护检测要求》33.《域名系统安全防护要求》
34.《域名系统安全防护检测要求》35.《网上营业厅安全防护要求》36.《网上营业厅安全防护检测要求》37.《WAP网关系统安全防护要求》38.《WAP网关系统安全防护检测要求》39.《电信网和互联网信息服务业务系统安全防护要求》40.《电信网和互联网信息服务业务系统安全防护检测要求》41.《增值业务网即时消息业务系统安全防护要求》42.《增值业务网即时消息业务系统安全防护检测要求》43.《域名注册系统安全防护要求》44.《域名注册系统安全防护检测要求》45.《移动互联网应用商店安全防护要求》46.《移动互联网应用商店安全防护检测要求》47.《互联网内容分发网络安全防护要求》48.《互联网内容分发网络安全防护检测要求》49.《互联网数据中心安全防护要求》50.《互联网数据中心安全防护检测要求》51.《移动互联网联网应用安全防护要求》52.《移动互联网联网应用安全防护检测要求》(本标准)53.《公众无线局域网安全防护要求》54.《公众无线局域网安全防护检测要求》55.《电信网和互联网安全防护基线配置要求及检测要求网络设备》56.《电信网和互联网安全防护基线配置要求及检测要求安全设备》57.《电信网和互联网安全防护基线配置要求及检测要求操作系统》58.《电信网和互联网安全防护基线配置要求及检测要求数据库》59.《电信网和互联网安全防护基线配置要求及检测要求中间件》60.《电信网和互联网安全防护基线配置要求及检测要求web应用系统》61.《电信和互联网用户个人电子信息保护通用技术要求和管理要求》62.《电信和互联网用户个人电子信息保护检测要求》本标准与YD/T2694-2014《移动互联网联网应用安全防护要求》配套使用。YD/T2695-2014
随着电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准。本标准按照GB/T1.1-2009给出的规则起草。本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院、中国电信集团公司、中国移动通信集团公司、深圳腾讯计算机系统有限公司、北京新浪互联信息服务有限公司。本标准主要起草人:封莎、许子先、崔涛、魏薇、张彦超、杨丁宁、杨正军、王新峰、陈军、杨晓光、陈洋、龚雪、许章毅。1范围
移动互联网联网应用安全防护检测要求YD/T2695-2014
本标准规定了移动互联网联网应用相关的业务系统分安全保护等级的安全防护检测要求,涉及到业务及应用安全、网络安全、设备及软件系统安全、物理安全和管理安全的检测要求。本标准适用于移动互联网联网应用相关业务系统。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD/T1755-2008
YD/T1757-2008
YD/T2439-2012
YD/T2694-2014
YD/T2698-2014
YD/T2699-2014
YD/T2701-2014
YD/T2700-2014
YD/T2702-2014
《电信网和互联网物理环境等级保护检测要求》《电信网和互联网管理等级保护检测要求》《移动互联网恶意程序描述格式》《移动互联网联网应用安全防护要求》《电信网和互联网安全防护基线配置要求及检测要求网络设备》《电信网和互联网安全防护基线配置要求及检测要求安全设备》《电信网和互联网安全防护基线配置要求及检测要求操作系统》《电信网和互联网安全防护基线配置要求及检测要求数据库》《电信网和互联网安全防护基线配置要求及检测要求中间件》3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。3.1.1
移动互联网联网应用安全等级SecurityClassification of Networked ApplicationOverMobileInternet
移动互联网联网应用重要程度的表征。重要程度从移动互联网联网应用受到破坏后,对国家安全,社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.1.2
移动互联网联网应用安全等级保护ClassifiedSecurityProtectionofNetworkedApplicationOverMobile Internet
对移动互联网联网应用分等级实施安全保护。3.1.3
移动互联网联网应用安全风险SecurityRiskofNetworkedApplicationOverMobileInternet人为或自然的威胁可能利用移动互联网联网应用存在的脆弱性导致安全事件的发生及造成的影响。3.1.4
移动互联网联网应用资产,AssetofNetworkedApplicationOverMobileInternet1
YD/T2695-2014
移动互联网联网应用具有价值的资源,是安全防护体系保护的对象。移动互联网联网应用的资产可能以多种形式存在,无形的、有形的或硬件、软件,包括客户端软件、后台系统及操作维护终端硬件及相关软件、关键数据等各种类型的资源。3.1.5
移动互联网联网应用威胁ThreatofNetworkedApplicationOverMobileInternet可能导致对移动互联网联网应用产生危害的不希望事故潜在起因,它可能是人为的,也可能是非人为的;可能是无意失误,也可能是恶意攻击。3.1.6
移动互联网联网应用脆弱性VulnerabilityofNetworkedApplicationOverMobileInternet移动互联网联网应用的资产中存在的弱点、缺陷与不足,不直接对移动互联网联网应用资产造成危害,但可能被移动互联网联网应用威胁所利用从而危害移动互联网联网应用资产的安全。3.1.7
移动互联网联网应用灾难DisasterofNetworkedApplicationOverMobileInternet由于各种原因,造成移动互联网联网应用故障或瘫,移动互联网联网应用支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.1.8
移动互联网联网应用灾难备份Backup forDisasterRecoveryof Networked ApplicationOveMobile Internet
为了移动互联网联网应用灾难恢复而对相关网络要素进行备份的过程。3.1.9
移动互联网联网应用灾难恢复DisasterRecoveryofNetworkedApplicationOverMobileInternet为了将移动互联网联网应用从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。3.1.10
移动互联网联网应用安全评测SecurityTestingofNetworkedApplicationOverMobileInternet对移动互联网联网应用的安全保护能力是否达到相应安全等级的安全防护要求进行衡量。3.1.11
原生应用NativeApplication
使用C、Java等编程语言编写的,运行于移动通信终端操作系统的应用软件。3.1.12
Web应用WebApplication
使用HTML5等Web语言编写的,运行于移动通信终端浏览器等Web运行环境中的应用软件。3.1.13
会话Session
在客户端和服务器端之间创建关联,从而起到交换数据包作用的机制。3.2缩略语
下列缩略语适用于本文件。
DistributedDenial of ServiceDenial of Service
Domain Name System
HyperText Mark-upLanguage
Secure Sockets Layer
Transport LayerSecurity
4移动互联网联网应用安全防护检测概述分布式拒绝服务
拒绝服务
域名系统
超文本标记语言
安全套接层协议层
传输层加密
YD/T2695-2014
4.1移动互联网联网应用安全防护检测内容本标准的安全防护检测范围与YD/T2694-2014《移动互联网联网应用安全防护要求》一致,检测内容包括业务及应用安全、网络安全、设备及软件系统安全、物理安全和管理安全。4.2移动互联网联网应用安全防护检测对象移动互联网联网应用的安全防护检测对象是由企业或个人开发或运营的移动互联网联网应用客户端软件及后台系统,本标准主要对移动互联网联网应用的各项要求的实施进行检测。4.3安全防护检测环境
对移动互联网联网应用相关业务系统的安全防护检测需在现网中进行,其检测环境结构示意如图1所示。
移动互联网联网应用后台系统
互联网
移动互联网联网
应用客户端
漏洞扫描器
防火墙
协议分析仪
漏洞扫描器
图1移动互联网联网应用系统安全防护检测环境结构示意被测对象包括:移动互联网联网应用后台系统。测试工具包括:
协议分析仪:应支持移动互联网联网联网应用涉及相关协议的抓包、解析等功能。漏洞扫描器:应支持主机扫描、端口扫描、漏洞检测等功能。3
YD/T2695-2014
5移动互联网联网应用安全防护检测要求5.1第1级要求
5.1.1业务及应用安全
5.1.1.1业务逻辑安全
测试编号:NAMI-第1级-业务及应用安全-业务逻辑安全-01测试项目:《移动互联网联网应用安全防护要求》5.1.1.1-a,应对登录用户进行身份标识和鉴别。5.1.1.1-b,应提供并启用登录失败处理功能测试步骤:
1)创建合法测试账号,并保证账号功能正常:2)使用合法测试账号,提供正确的鉴别信息执行登录系统操作;3)检查系统是否通过了合法测试账户的登录操作:4)使用合法测试账户,提供错误的鉴别信息执行登录系统操作;5)检查系统是否拒绝合法测试账户的登录操作:6)使用无效的测试账户,执行登录系统操作;7)检查系统是否拒绝无效测试账户的登录操作:8)使用合法测试账号,提供错误的鉴别信息执行登录系统操作,并多次重复执行:9)检查系统是否提供并启用了登录失败处理功能(如结束会话、限制非法登录次数和自动退出等):10)使用无效的测试账户,执行登录系统操作,并多次重复执行;11)检查系统是否提供并启用了登录失败处理功能(如结束会话、限制非法登录次数和自动退出等)预期结果:
1)提供登录功能的业务系统,对提供正确鉴别信息的合法测试账户的登录操作,予以通过;2)系统对提供错误鉴别信息的合法测试账户的登录操作,予以拒绝;3)系统对无效测试账户的登录操作,予以拒绝;4)系统在接收到提供错误鉴别信息的合法测试账户的登录操作后,提供并启用了登录失败处理功能(如结束会话、限制非法登录次数和自动退出等);5)系统在接收到无效测试账户的登录操作后,提供并启用了登录失败处理功能(如结束会话、限制非法登录次数和自动退出等)
判定原则:
达到以上预期结果,则通过,否则不通过测试编号:NAMI-第1级-业务及应用安全-业务逻辑安全-02YD/T2695-2014
测试项目:《移动互联网联网应用安全防护要求》5.1.1.1-c,应提供并启用用户身份标识唯一检查功能测试步骤:
1)打开提供登录功能的业务系统中的用户身份标识信息;2)查找是否存在重复的用户身份标识信息;3)在系统中,添加一条与原有用户身份标识信息不同的新的测试用户身份标识信息:4)再次向系统添加该条测试用户身份标识信息:5)验证系统是否启用了用户身份标识唯一检查功能,拒绝第二次的添加操作预期结果:
1)提供登录功能的业务系统中,不存在重复的用户身份标识信息:2)系统拒绝了相同用户身份标识信息的重复添加操作判定原则:
达到以上预期结果,则通过,否则不通过测试编号:NAMI-第1级-业务及应用安全-业务逻辑安全-03测试项目:《移动互联网联网应用安全防护要求》5.1.1.1-d,应由经过授权的主体配置访问控制策略,并严格限制默认用户的访问权限测试步骤:
1)检查业务设计/验收文档、业务安全策略、业务管理和配置文档;2)访谈相关技术人员,确认系统访问控制策略:3)检查系统的访问控制策略是否由经过授权的主体配置:4)创建测试账户:
5)检查测试账户的权限是否按照配置受到严格限制预期结果:
1)系统的业务设计/验收文档、业务安全策略、业务管理和配置文档符合要求;2)系统由经过授权的主体配置访问控制策略;3)新建的测试账户的权限受到严格限制判定原则:
达到以上预期结果,则通过,否则不通过YD/T2695-2014
测试编号:NAMI-第1级-业务及应用安全-业务逻辑安全-04测试项目:《移动互联网联网应用安全防护要求》5.1.1.1-e,应采用加密方式存储业务用户的密码信息测试步骤:
1)访谈相关技术人员,确认系统设计,存储业务用户的密码信息时是否进行了加密;2)打开系统存储的用户密码信息:3)查看用户密码信息,验证系统是否存在明文方式存储的业务用户的密码信息:4)创建测试账户;
5)查看测试账户的密码信息,是否以密文方式存储预期结果:
1)系统设计中,存储业务用户的密码信息,需进行加密;2)系统中当前的存储中,不存在明文形式的用户密码信息;3)系统存储新建测试账户的密码信息时,采用密文方式存储判定原则:
达到以上预期结果,则通过,否则不通过5.1.2网络安全
不作要求。
5.1.3设备及软件系统安全
不作要求。
5.1.4物理安全
YD/T2695-2014
应满足YD/T1755-2008《电信网和互联网物理环境安全等级保护检测要求》中第1级的相关要求。5.1.5管理安全
应满足YD/T1757-2008《电信网和互联网管理安全等级保护检测要求》中第1级的相关要求。5.2第2级要求
5.2.1业务及应用安全
除满足第1级的要求之外,还应满足:5.2.1.1业务逻辑安全
5.2.1.1.1身份鉴别
测试编号:NAMI-第2级-业务及应用安全-业务逻辑安全-身份鉴别-01测试项目:《移动互联网联网应用安全防护要求》5.2.1.1.1-a,应提供专门的登录控制模块对登录用户进行身份标识和鉴别
测试步骤:
1)检查设计/验收文档,确定系统是否提供专门的登录控制模块对登录用户进行身份标识和鉴别:2)访谈相关技术人员,确定对于登录用户进行身份标识和鉴别,实际系统是否提供的专门的登录控制模块;
3)创建测试账号,并保证账号功能正常:4)使用测试账号登录系统;bzxZ.net
5)验证系统是否提供专门的登录控制模块对登录用户进行身份标识和鉴别:6)使用无效账户登录系统;
7)验证系统是否提供专门的登录控制模块对登录用户进行身份标识和鉴别预期结果:
1)设计/验收文档中,系统提供了专门的登录控制模块对登录用户进行身份标识和鉴别;2)相关技术人员确认实际系统提供了专门的登录控制模块对登录用户进行身份标识和鉴别:3)系统提供专门的登录控制模块对合法的测试账户进行了身份标识和鉴别:4)系统提供专门的登录控制模块对无效账户进行了身份标识和鉴别判定原则:
达到以上预期结果,则通过,否则不通过7
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T2695-2014
移动互联网联网应用安全防护检测要求Security protection test requirements for networked applicationovermobileinternet
2014-10-14发布
2014-10-14实施
中华人民共和国工业和信息化部发布前言·
1范围-
2规范性引用文件
3术语、定义和缩略语
3.1术语和定义·
3.2缩略语
4移动互联网联网应用安全防护检测概述目
4.1移动互联网联网应用安全防护检测内容·4.2移动互联网联网应用安全防护检测对象4.3安全防护检测环境
5移动互联网联网应用安全防护检测要求5.1第1级要求
5.2第2级要求
5.3第3级要求
5.4第4级要求?
5.5第5级要求
YD/T2695-2014
YD/T2695-2014
本标准是“电信网和互联网安全防护体系”系列标准之一。该系列标准预计结构及名称如下:1.《电信网和互联网安全防护管理指南》2.《电信网和互联网安全等级保护实施指南》3.《电信网和互联网安全风险评估实施指南》4.《电信网和互联网灾难备份及恢复实施指南》5.《固定通信网安全防护要求》6.《移动通信网安全防护要求》7.《互联网安全防护要求》
8.《增值业务网一消息网安全防护要求》9.《增值业务网一智能网安全防护要求》10.《接入网安全防护要求》
11.《传送网安全防护要求》
12.《IP承载网安全防护要求》
13.《信令网安全防护要求》
14.《同步网安全防护要求》
15.《支撑网安全防护要求》
16.《非核心生产单元安全防护要求》17.《电信网和互联网物理环境安全等级保护要求》18.《电信网和互联网管理安全等级保护要求》19.《固定通信网安全防护检测要求》20.《移动通信网安全防护检测要求》21.《互联网安全防护检测要求》22.《增值业务网一消息网安全防护检测要求》23.《增值业务网一智能网安全防护检测要求》24.《接入网安全防护检测要求》25.《传送网安全防护检测要求》26.《IP承载网安全防护检测要求》27.《信令网安全防护检测要求》28.《同步网安全防护检测要求》29.《支撑网安全防护检测要求》30.《非核心生产单元安全防护检测要求》31.《电信网和互联网物理环境安全等级保护检测要求》32.《电信网和互联网管理安全等级保护检测要求》33.《域名系统安全防护要求》
34.《域名系统安全防护检测要求》35.《网上营业厅安全防护要求》36.《网上营业厅安全防护检测要求》37.《WAP网关系统安全防护要求》38.《WAP网关系统安全防护检测要求》39.《电信网和互联网信息服务业务系统安全防护要求》40.《电信网和互联网信息服务业务系统安全防护检测要求》41.《增值业务网即时消息业务系统安全防护要求》42.《增值业务网即时消息业务系统安全防护检测要求》43.《域名注册系统安全防护要求》44.《域名注册系统安全防护检测要求》45.《移动互联网应用商店安全防护要求》46.《移动互联网应用商店安全防护检测要求》47.《互联网内容分发网络安全防护要求》48.《互联网内容分发网络安全防护检测要求》49.《互联网数据中心安全防护要求》50.《互联网数据中心安全防护检测要求》51.《移动互联网联网应用安全防护要求》52.《移动互联网联网应用安全防护检测要求》(本标准)53.《公众无线局域网安全防护要求》54.《公众无线局域网安全防护检测要求》55.《电信网和互联网安全防护基线配置要求及检测要求网络设备》56.《电信网和互联网安全防护基线配置要求及检测要求安全设备》57.《电信网和互联网安全防护基线配置要求及检测要求操作系统》58.《电信网和互联网安全防护基线配置要求及检测要求数据库》59.《电信网和互联网安全防护基线配置要求及检测要求中间件》60.《电信网和互联网安全防护基线配置要求及检测要求web应用系统》61.《电信和互联网用户个人电子信息保护通用技术要求和管理要求》62.《电信和互联网用户个人电子信息保护检测要求》本标准与YD/T2694-2014《移动互联网联网应用安全防护要求》配套使用。YD/T2695-2014
随着电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准。本标准按照GB/T1.1-2009给出的规则起草。本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院、中国电信集团公司、中国移动通信集团公司、深圳腾讯计算机系统有限公司、北京新浪互联信息服务有限公司。本标准主要起草人:封莎、许子先、崔涛、魏薇、张彦超、杨丁宁、杨正军、王新峰、陈军、杨晓光、陈洋、龚雪、许章毅。1范围
移动互联网联网应用安全防护检测要求YD/T2695-2014
本标准规定了移动互联网联网应用相关的业务系统分安全保护等级的安全防护检测要求,涉及到业务及应用安全、网络安全、设备及软件系统安全、物理安全和管理安全的检测要求。本标准适用于移动互联网联网应用相关业务系统。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD/T1755-2008
YD/T1757-2008
YD/T2439-2012
YD/T2694-2014
YD/T2698-2014
YD/T2699-2014
YD/T2701-2014
YD/T2700-2014
YD/T2702-2014
《电信网和互联网物理环境等级保护检测要求》《电信网和互联网管理等级保护检测要求》《移动互联网恶意程序描述格式》《移动互联网联网应用安全防护要求》《电信网和互联网安全防护基线配置要求及检测要求网络设备》《电信网和互联网安全防护基线配置要求及检测要求安全设备》《电信网和互联网安全防护基线配置要求及检测要求操作系统》《电信网和互联网安全防护基线配置要求及检测要求数据库》《电信网和互联网安全防护基线配置要求及检测要求中间件》3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。3.1.1
移动互联网联网应用安全等级SecurityClassification of Networked ApplicationOverMobileInternet
移动互联网联网应用重要程度的表征。重要程度从移动互联网联网应用受到破坏后,对国家安全,社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。3.1.2
移动互联网联网应用安全等级保护ClassifiedSecurityProtectionofNetworkedApplicationOverMobile Internet
对移动互联网联网应用分等级实施安全保护。3.1.3
移动互联网联网应用安全风险SecurityRiskofNetworkedApplicationOverMobileInternet人为或自然的威胁可能利用移动互联网联网应用存在的脆弱性导致安全事件的发生及造成的影响。3.1.4
移动互联网联网应用资产,AssetofNetworkedApplicationOverMobileInternet1
YD/T2695-2014
移动互联网联网应用具有价值的资源,是安全防护体系保护的对象。移动互联网联网应用的资产可能以多种形式存在,无形的、有形的或硬件、软件,包括客户端软件、后台系统及操作维护终端硬件及相关软件、关键数据等各种类型的资源。3.1.5
移动互联网联网应用威胁ThreatofNetworkedApplicationOverMobileInternet可能导致对移动互联网联网应用产生危害的不希望事故潜在起因,它可能是人为的,也可能是非人为的;可能是无意失误,也可能是恶意攻击。3.1.6
移动互联网联网应用脆弱性VulnerabilityofNetworkedApplicationOverMobileInternet移动互联网联网应用的资产中存在的弱点、缺陷与不足,不直接对移动互联网联网应用资产造成危害,但可能被移动互联网联网应用威胁所利用从而危害移动互联网联网应用资产的安全。3.1.7
移动互联网联网应用灾难DisasterofNetworkedApplicationOverMobileInternet由于各种原因,造成移动互联网联网应用故障或瘫,移动互联网联网应用支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。3.1.8
移动互联网联网应用灾难备份Backup forDisasterRecoveryof Networked ApplicationOveMobile Internet
为了移动互联网联网应用灾难恢复而对相关网络要素进行备份的过程。3.1.9
移动互联网联网应用灾难恢复DisasterRecoveryofNetworkedApplicationOverMobileInternet为了将移动互联网联网应用从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。3.1.10
移动互联网联网应用安全评测SecurityTestingofNetworkedApplicationOverMobileInternet对移动互联网联网应用的安全保护能力是否达到相应安全等级的安全防护要求进行衡量。3.1.11
原生应用NativeApplication
使用C、Java等编程语言编写的,运行于移动通信终端操作系统的应用软件。3.1.12
Web应用WebApplication
使用HTML5等Web语言编写的,运行于移动通信终端浏览器等Web运行环境中的应用软件。3.1.13
会话Session
在客户端和服务器端之间创建关联,从而起到交换数据包作用的机制。3.2缩略语
下列缩略语适用于本文件。
DistributedDenial of ServiceDenial of Service
Domain Name System
HyperText Mark-upLanguage
Secure Sockets Layer
Transport LayerSecurity
4移动互联网联网应用安全防护检测概述分布式拒绝服务
拒绝服务
域名系统
超文本标记语言
安全套接层协议层
传输层加密
YD/T2695-2014
4.1移动互联网联网应用安全防护检测内容本标准的安全防护检测范围与YD/T2694-2014《移动互联网联网应用安全防护要求》一致,检测内容包括业务及应用安全、网络安全、设备及软件系统安全、物理安全和管理安全。4.2移动互联网联网应用安全防护检测对象移动互联网联网应用的安全防护检测对象是由企业或个人开发或运营的移动互联网联网应用客户端软件及后台系统,本标准主要对移动互联网联网应用的各项要求的实施进行检测。4.3安全防护检测环境
对移动互联网联网应用相关业务系统的安全防护检测需在现网中进行,其检测环境结构示意如图1所示。
移动互联网联网应用后台系统
互联网
移动互联网联网
应用客户端
漏洞扫描器
防火墙
协议分析仪
漏洞扫描器
图1移动互联网联网应用系统安全防护检测环境结构示意被测对象包括:移动互联网联网应用后台系统。测试工具包括:
协议分析仪:应支持移动互联网联网联网应用涉及相关协议的抓包、解析等功能。漏洞扫描器:应支持主机扫描、端口扫描、漏洞检测等功能。3
YD/T2695-2014
5移动互联网联网应用安全防护检测要求5.1第1级要求
5.1.1业务及应用安全
5.1.1.1业务逻辑安全
测试编号:NAMI-第1级-业务及应用安全-业务逻辑安全-01测试项目:《移动互联网联网应用安全防护要求》5.1.1.1-a,应对登录用户进行身份标识和鉴别。5.1.1.1-b,应提供并启用登录失败处理功能测试步骤:
1)创建合法测试账号,并保证账号功能正常:2)使用合法测试账号,提供正确的鉴别信息执行登录系统操作;3)检查系统是否通过了合法测试账户的登录操作:4)使用合法测试账户,提供错误的鉴别信息执行登录系统操作;5)检查系统是否拒绝合法测试账户的登录操作:6)使用无效的测试账户,执行登录系统操作;7)检查系统是否拒绝无效测试账户的登录操作:8)使用合法测试账号,提供错误的鉴别信息执行登录系统操作,并多次重复执行:9)检查系统是否提供并启用了登录失败处理功能(如结束会话、限制非法登录次数和自动退出等):10)使用无效的测试账户,执行登录系统操作,并多次重复执行;11)检查系统是否提供并启用了登录失败处理功能(如结束会话、限制非法登录次数和自动退出等)预期结果:
1)提供登录功能的业务系统,对提供正确鉴别信息的合法测试账户的登录操作,予以通过;2)系统对提供错误鉴别信息的合法测试账户的登录操作,予以拒绝;3)系统对无效测试账户的登录操作,予以拒绝;4)系统在接收到提供错误鉴别信息的合法测试账户的登录操作后,提供并启用了登录失败处理功能(如结束会话、限制非法登录次数和自动退出等);5)系统在接收到无效测试账户的登录操作后,提供并启用了登录失败处理功能(如结束会话、限制非法登录次数和自动退出等)
判定原则:
达到以上预期结果,则通过,否则不通过测试编号:NAMI-第1级-业务及应用安全-业务逻辑安全-02YD/T2695-2014
测试项目:《移动互联网联网应用安全防护要求》5.1.1.1-c,应提供并启用用户身份标识唯一检查功能测试步骤:
1)打开提供登录功能的业务系统中的用户身份标识信息;2)查找是否存在重复的用户身份标识信息;3)在系统中,添加一条与原有用户身份标识信息不同的新的测试用户身份标识信息:4)再次向系统添加该条测试用户身份标识信息:5)验证系统是否启用了用户身份标识唯一检查功能,拒绝第二次的添加操作预期结果:
1)提供登录功能的业务系统中,不存在重复的用户身份标识信息:2)系统拒绝了相同用户身份标识信息的重复添加操作判定原则:
达到以上预期结果,则通过,否则不通过测试编号:NAMI-第1级-业务及应用安全-业务逻辑安全-03测试项目:《移动互联网联网应用安全防护要求》5.1.1.1-d,应由经过授权的主体配置访问控制策略,并严格限制默认用户的访问权限测试步骤:
1)检查业务设计/验收文档、业务安全策略、业务管理和配置文档;2)访谈相关技术人员,确认系统访问控制策略:3)检查系统的访问控制策略是否由经过授权的主体配置:4)创建测试账户:
5)检查测试账户的权限是否按照配置受到严格限制预期结果:
1)系统的业务设计/验收文档、业务安全策略、业务管理和配置文档符合要求;2)系统由经过授权的主体配置访问控制策略;3)新建的测试账户的权限受到严格限制判定原则:
达到以上预期结果,则通过,否则不通过YD/T2695-2014
测试编号:NAMI-第1级-业务及应用安全-业务逻辑安全-04测试项目:《移动互联网联网应用安全防护要求》5.1.1.1-e,应采用加密方式存储业务用户的密码信息测试步骤:
1)访谈相关技术人员,确认系统设计,存储业务用户的密码信息时是否进行了加密;2)打开系统存储的用户密码信息:3)查看用户密码信息,验证系统是否存在明文方式存储的业务用户的密码信息:4)创建测试账户;
5)查看测试账户的密码信息,是否以密文方式存储预期结果:
1)系统设计中,存储业务用户的密码信息,需进行加密;2)系统中当前的存储中,不存在明文形式的用户密码信息;3)系统存储新建测试账户的密码信息时,采用密文方式存储判定原则:
达到以上预期结果,则通过,否则不通过5.1.2网络安全
不作要求。
5.1.3设备及软件系统安全
不作要求。
5.1.4物理安全
YD/T2695-2014
应满足YD/T1755-2008《电信网和互联网物理环境安全等级保护检测要求》中第1级的相关要求。5.1.5管理安全
应满足YD/T1757-2008《电信网和互联网管理安全等级保护检测要求》中第1级的相关要求。5.2第2级要求
5.2.1业务及应用安全
除满足第1级的要求之外,还应满足:5.2.1.1业务逻辑安全
5.2.1.1.1身份鉴别
测试编号:NAMI-第2级-业务及应用安全-业务逻辑安全-身份鉴别-01测试项目:《移动互联网联网应用安全防护要求》5.2.1.1.1-a,应提供专门的登录控制模块对登录用户进行身份标识和鉴别
测试步骤:
1)检查设计/验收文档,确定系统是否提供专门的登录控制模块对登录用户进行身份标识和鉴别:2)访谈相关技术人员,确定对于登录用户进行身份标识和鉴别,实际系统是否提供的专门的登录控制模块;
3)创建测试账号,并保证账号功能正常:4)使用测试账号登录系统;bzxZ.net
5)验证系统是否提供专门的登录控制模块对登录用户进行身份标识和鉴别:6)使用无效账户登录系统;
7)验证系统是否提供专门的登录控制模块对登录用户进行身份标识和鉴别预期结果:
1)设计/验收文档中,系统提供了专门的登录控制模块对登录用户进行身份标识和鉴别;2)相关技术人员确认实际系统提供了专门的登录控制模块对登录用户进行身份标识和鉴别:3)系统提供专门的登录控制模块对合法的测试账户进行了身份标识和鉴别:4)系统提供专门的登录控制模块对无效账户进行了身份标识和鉴别判定原则:
达到以上预期结果,则通过,否则不通过7
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。