2022移动通信网络设备安全保障要求(合订本).docx
移动通信网络设备安全保障要求第1部分:通用要求第2部分:演进分组系统(EPS)移动通信网络设备安全保障要求第1部分:通用要求目次前言II2规范性引Jn文件13术语和定义和缩略语11缩略语25通用安全功能性需求和测试用例351概述35,Ll测试淮备35.1.2测试工具35.1.3文档需求4-安全功能性需求和测试用例41. 2.1概述45. 2.23GPP标准中的安全功能性需求和测试用例46. 2.3技术基线9=;R加固的安全需求和测试用例657. 3.1概述658. 3.2技术基线659. 3.3操作系统765. 3.4Web服务器896. 3.5网络设备1021°37. 4.1ijL1038. 4.2端口扫描10354*31049. 4.4鲁棒性和模糊测试105移动通信网络设备安全保障要求第1部分:通用要求?范围本文件规定移动通信网络中网络设备的通用安全保障要求。本文件是移动通信系统网络设备安全要求系列标准的一部分。本文件的主要内容包括:1. 通用安全功能性需求及其相关的测试用例,包括3GPP规范中定义的设备的安全功能,数据保护等安全基线,操作系统安全,Web服务安全和网络设备安全;2. 通用加固功能及其相关的测试用例,包括安全加固基线,操作系统加固,Web服务加固以及设备安全加固;3. 通用基本漏洞测试要求和相美的测试用例。本文件适用于移动通信网络中网络设备的安全评估。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件:不注H期的引用文件,其最新版本(包括所有的修改单)适用于本文件。1 YDb3807-2020,移动通信网络设备安全保障通用要求2 TfTAF088-2021.网络关键设备安全通用检测方法313GPPTR33.916,SecurityAssuranceMethodology(SECAM)for3GPPnetworkproducts4 3GPPTS33.116,SecurityAssuranceSpecification(SCAS)fortheMMEnetworkproductclassf53GPPTS33.117,Catalogueofgeneralsecurityassurancerequirements6 3GPPTR33.926,SecurityAssuranceSpecification(SCAS)threatsandcriticalassetsin3GPPnetworkproductclasses7 3GPPTR21.905,Vocabularyfor3GPPSpecifications8 3GPPTR41.001,GSMSpecificationset9IETFRFC3871,OperationalSecurityRequirementsforLargeInternetServiceProvider(ISP)IPNetworkInfrastructure010 IETFRFC6749:,'OAuth2.0AuthorizationFramework11.IllIETFRFC7540:1HypertextTransferProtocolVersion2(HTTP2)3术语和定义和缩略语下列术语和定义适用于本文件。31机器账号machineaccount用于系统到系统或者在一个系统上的应用之间的认证和授权,其不能分配给单用户或者一组用户。个人数据personaldata与可识别的自然人相关的信息。可识别的个人identifiableindividual可直接或间接识别的,特别是被身份证号码、姓名,或一个/多个特定因子识别的个体、社会身份等。个人数据可能通过用户数据和流量数据推测。14敏感数据sensitivedata可能被用于认证或帮助识别用户的数据,例如用户名、密码、PIN、加密密钥、IMShIMEhMEISDN、UE的IP地址,系统的功能性文件,如固件镜像、路径、驱动或内核模块。系统组账号systemgroupaccount网络设备中预先配置的系统账号,通常具备特定权限,预先设定用户名,在正常的操作环境中不依赖于单个用户。例如:root账号。4缩略语下列缩略语适用于本文件。ARPCGICISCLICOTSEPSFMFOSSGTPHTTPSICMPIPIPsecISOMMENFAddressResolutionProtocol地址解析协议CommonGatewayInterface公共网关接口CenterforInternetSecurity互联网安全中心CallingLineIdentity呼叫线路识别Commercial-of-the-Shelf商业化成品EvolvedPacketSystem演进的分组系统FaultManagement故障管理Free-Open-Source-Software免费开源软件GPRSTunnelingProtocolGPRS隧道协议HyperTextTransferProtocolSecure超文本传输安全协议InternetControlMessageProtocol互联网控制报文协议InternetProtocol互联网协议InternetProtocolSecurity互联网安全协议InternationalOrganizationforStandardization国际标准化组织MobileManagementEntity移动性管理实体NetworkFunction网络功能OAMOperationAdministrationandMaintenance运行操作维护OSIOpenSystemInterconnection开放系统互联PINPersonalIdentificationNumber个人识别码PMPerfbmianceManagement性能管理RBACRoleBasedAccessControl基于角色的访问控制RDPRemoteDesktopProtocol远程桌面协议RPFReversePathForwarding逆向路径转发SBAService-BasedArchitecture基于服务的架构SBIService-BasedInterface基于服务的接口SCASSecurityAssuranceSpecification安全保障规范SFTPSSHFileTransferProtocol安全文件传输协议SSHSecureShell安全外壳协议TCPTransmissionControlProtocol传输控制协议TFTPTrivialFileTransferProtocol简单文件传输协议TLSTransportLayerSecurity传输层安全ToETargetofEvaluation评估对象UDPUserDatagramProtocol用户数据报协议UIDUserIdentification用户标识VPNVirtualPrivateNetwork虚拟专用网络5通用安全功能性需求和测试用例5. 1概述6. 1.1测试准备本文件中的SCAS测试,适用于网络环境或仿真环境中,采用软件和硬件实现特定功能的网络设备。在测试进行之前,硬件和软件应正确安装,网络设备上电,如设备厂商的文档描述,通过标准化接口和OAM接口建立网络设备功能性相关的通信。根据设备厂商的文档,对于可选的外部非标准化接口上的通信应建立,除非其在设备厂商的文档中明确的标记为"不推荐"。对于每个外部通信接口,可能有多种可选的能力.在测试过程中,所有的能力应启用,除非其在设备厂商的文档中明确的标记为"不推荐"。在-些情况下,一个测试用例可能将改变配置作为执行步骤或预置条件。在该测试执行后和进一步的测试执行前,需确保ToE的状态恢复到初始状态。SCAS测试与运行和部署不相关。因此,SCAS测试独立于运营商在特定部署场景下的指导方针或考虑。7. 1.2测试工具以下内容应用于本文件中所有的测试用例:本文件考虑测试工具的发展速度影响SCAS标准的制定。因此对于每个需求,当满足如下条件时,实际测试实施可能偏离本文件中测试用例的步骤描述:(1)对于其他测试者重现该测试,测试更适合使用COTS和免费开源软件工具。当使用的工具不属于这两种时,需要提供其质量保障的证明。该情况仅适用于工具用于进行实际的测试,不涉及建立测试环境,例如流量生成器/仿真器。当测试实验室无法获取必要的测试工具进行测试,测试实验室可使用厂商专有的测试工具,只要测试工具符合合适的质量管理系统(QMS)的要求。测试实验室确定质量管理系统己到位,以便应用厂商的测试工具,此外,当认可的实验室不具备必需的测试环境进行测试,应在厂商测试实验室进行测试。这时认可的实验室应记录测试环境、测试建立、如何测试的细节(2)测试者提供证明,例如关于工具的文档,说明该工具适用于验证需求,测试的范围等同或大于本文件描述的测试用例。该证明需要为测试领域专家提供足够的细节。(3)测试者提供该工具已经用于网络设备测试的证明(例如,提供追溯)。5.1.3 文档需求当测试用例对产品文档中的某个条目的可用性作出了假设,即使文档没有提到该需求,该假设也被认为是需求的一部分。S7安全功能性需求和测试用例5.2.1 概述本章描述安全功能需求和相应的测试用例,不依赖于特定的网络设备分类。安全需求分为以下两类:1)安全功能需求源自3GPP规范和本文件4.2.2章节。2)通用的安全功能需求包括3GPP规范中没有规定,但其对于保障网络设备符合通用安全基线同样重要,详见本文件4.2.3章节。5. 2.23GPP标准中的安全功能性需求和测试用例6. 2.2.13GPP标准中通用安全功能需求与测试用例本章节描述通用的源自3GPP规范中的安全功能需求和相应的测试用例,独立于特定的网络设备类型.本文件中SCAS的目的是网络设备符合所有3GPP规范中强制的安全相关的规定,特别是:1)所有33系列(安全规范)的3GPP规范中与网络设备类型相关的:2)其他3GPP规范,作为安全规范的参考或者被安全规范引用.与网络设备相关的安全流程通常被嵌入到非安全流程之中,因此通常认为与其一起测试。本文件的目的是从EPS和5G安全架构中识别SCAS的安全需求,特别是:a)当安全需求不被满足时导致脆弱性;b)对于非安全流程,通过普通测试活动未被识别的安全需求;C)处理安全相关的失败用例,例外或否定的需求,如"网络设备不应。本文件的目的并非提供以上规范的所有安全流程测试用例的全集。5. 2.2.23GPP标准中SBA/SBI方面通用安全功能需求6. 2.2.2.1通用本条款目的是识别和描述SBA安全架构和相应测试用例的一般基线要求。一般基线要求适用于5G核心网(5GC)中所有使用SBI(Service-Basedinterface)的网络功能,与特定的网络产品类别无关。7. 2.2.2.2传输层保护需求名称:传输层保护需求描述:网络功能(NF,Networkfunction)服务请求和响应过程,支撑疗服务使用者和NF服务提供者之间的相互认证。所有网络功能都支持TLS(I网络功能同时支持服务器端和客户端证书。TLS配置文件遵循TS33.310附件E中给出的配置文件,其限制是符合RFC7540ll中定义的H11P/2配置文件,并己在TS33.501第13.1条中指定。安全目标参考:待定测试用例:测试名称:传输层保护测试编号:5.2.2.2.2测试目的:根据所需的配置文件,验证在网络产品中实现了用于NF相互认证和NF传输层保护的TLS协议预置条件:包含有关支持的TLS协议和证书的信息的网络产品文档由供应商提供。必须有一个实现由供应商配置的TLS协议的对等体。测试人员应根据TS33.310附件E中3GPP定义的配置文件进行测试,但必须符合RFC7540中定义的HnP/2给出的配置文件。测试步骤:1)测试人员应检查是否可以从网络产品文档的详细规定中推断出符合TLS配置文件。2)测试人员应在被测网络产品和对端之间建立安全连接,并验证被测网络产品支持TLS配置文件规定的所有TLS协议版木和加密算法组合。3)测试人员应尝试在被测网络产品与对等方之间建立安全连接,并验证当对等方仅提供TLS配置文件所禁止的特性(包括协议版本和加密算法组合)时,不可能建立安全连接.预期结果:如果被测试方使用的TLS配置文件符合TS33.310附件E和RFC7540中的配置文件要求,则被测试网络产品和对等方建立TLS。如果对端使用的TLS配置文件在TS33.310附件E或RFC7540中被禁止,则被测网络产品和对端建立TLS失败。预期证明方式:以明文形式提供产品文档检查的证据。保存H志和通信流.pcap文件。8. 2.2.2.3网络功能业务访问授权9. 2.2.2.3.1在一个PLMN内处理授权令牌验证失败需求名称:在一个PLMN内处理授权令牌验证失败需求描述:网络功能服务生产者通过使用NRF的公钥验证签名或使用共享密钥检查MAC值来确保访问令牌的完整性。如果完整性检查成功,则网络功能服务生产者生产者对访问令牌中的声明进行如F验证:1)检查访问令牌中的受众声明是否与自己的身份或NF服务生产者的类型匹配。如果存在NSSl列表或NSlID列表,则NF服务生产者检查它是否提供相应的片。2)如果存在NFSetID,则NF服务生产者检查请求中的NFSetID是否与自己的'FSetID匹配。3)如果访问令牌包含“附加作用域”信息(即资源上允许的资源和允许的动作(服务操作),它会检查附加作用域是否与请求的服务操作匹配。如果存在作用域,则检查作用域是否与请求的服务操作匹配。4)通过对照当前数据/时间验证访问令牌中的过期时间来检查访问令牌是否过期。5)如果验证成功,则NF服务生产者执行请求的服务并响应给NF服务消费者。否则根据RFC6749中定义的OaUth2.0错误响应进行应答。网络功能服务消费者可选择存储接收到的令牌。存储的令牌可以重新用于访问服务。在其有效期内,在声明(范围,受众)中列出的网络功能类型。安全目标参考:待定测试用例:测试名称:在一个PLMN内处理授权令牌验证失败测试编号:5.2.2.2.3.1测试目的:确认如果同一PLMN中来自NF服务消费者的授权令牌验证失败,网络功能服务生产者不会授予服务访问权限。预置条件:D带有NF服务使用者的测试环境。2)可以模拟NF服务使用者。3)被测网络产品己经与XF服务消费者进行了相互认证。4)测试人员应能够访问NF服务消费者与被测网络产品之间的接口。5)测试人员拥有NRF的私钥或共享密钥。6)被测试的网络产品是用NRF的公钥或共享密钥预配置的。测试步骤:被测网络产品接收到NF服务消费者发送的访问令牌,基于OaUth2.0对访问令牌进行验证。测试用例1-4是当访问令牌中的强制声明验证失败时,被测网络产品处理失败的测试。测试用例1:访问令牌完整性的验证失败I)测试者正确地计算出一个访问令牌,除了签名或MAC不正确,例如签名或MAC随机选择,然后在NF服务请求中包含访问令牌从NF服务消费者发送到正在测试的网络产品。2)被测网络产品对访问令牌完整性验证失败。测试用例2:访问令牌中不正确的受众声明D测试者正确计算出一个访问令牌,除了访问令牌中的受众声明不正确,即访问令牌中的受众声明与待测网络产品的身份或类型不匹配,然后将访问令牌包含在NF服务使用者发送给待测网络产品的NF服务请求中。2)被测网络产品验证访问令牌完整性有效。然而,受众访问令牌中的声明与其标识或类型不匹配。测试用例3:访问令牌中不正确的范围声明1)测试者正确计算出访问令牌,但范围不正确,即范围与请求的服务操作不匹配,然后将访问令牌包含在NF服务消费者发送给被测网络产品的NF服务请求中。2)被测网络产品验证访问令牌和受众声明的完整性有效的。但是,范围与请求的服务操作不匹配。测试用例4:过期的访问令牌1)测试器正确计算出一个访问令牌,但当前的过期时间己经过期然后在YF服务消费者发送给被测网络产品的NF服务请求中包含访问令牌。2)被测网络产品验证访问令牌、受众和范围声明的完整性都是有效的。但是,访问令牌中的过期时间相对于当前数据/时间已经过期。测试用例5-8是当访问令牌中的可选声明验证失败时,被测网络产品处理失败的测试。注:下面的测试用例仅适用于支持识别和理解接收到的访问令牌中的可选声明的网络功能。测试用例5:访问令牌中的S-nssai列表不正确1)测试者正确计算出一个访问令牌,但S-nssae列表不正确,即被测网络产品没有服务于STSSAl列表所示的切片,然后将该访问令牌包含在NF服务消费者发送给被测网络产品的NF服务请求中。2)被测网络产品验证访问令牌的完整性、受众、范围和过期时间声明都有效。然后,它进一步检查访问令牌中包含的S-NSSAl列表。测试用例6:访问令牌中的NSI列表不正确1)测试者正确计算出一个访问令牌,除了NSI列表不正确,即网络不正确被测产品不提供nsi列表中指示的切片,然后在其中包含访问令牌NF服务消费者向被测网络产品发送的NF服务请求2)被测网络产品验证访问令牌的完整性、受众、范围和过期时间声明都有效。然后,它进一步检查访问令牌中包含的NSl列表。测试用例7:访问令牌中的NFSetID不正确1)测试者正确计算出一个访问令牌,除了请求中的NFSetID不正确(即请求中的NFSBID与被测网络产品的NFSetID不匹配),然后在NF服务消费者发送给被测网络产品的MServiceReqUeSt中包含该访问令牌。2)被测网络产品验证访问令牌的完整性、受众、范围和过期时间声明都有效。然后,它进一步检杳访问令牌中包含的NFSetID。测试用例8:访问令牌中不正确的附加作用域I)测试者正确计算访问令牌,除非附加的范围信息不正确,即允许的资源和资源上允许的操作与请求的服务操作不匹配,然后将访问令牌包含在NF服务消费者发送给被测网络产品的NF服务请求中。2)被测网络产品验证访问令牌的完整性、受众、范围和过期时间声明都是有效的。然后,它进一步检查访问令牌中包含的附加作用域。预期结果:对于访问令牌中强制声明验证失败的测试用例1-4,被测网络产品拒绝基于RFC6749中定义的OaUth2.0错误响应的NF服务消费者的服务请求。对于访问令牌中可选声明验证失败的测试用例5-8,如果被测网络产品理解这些可选声明(S-NSSAl列表、NSI列表、NFSetID、附加作用域),则基于RFC6749中定义的OaUth2.0错误响应拒绝NF服务消费者的服务请求。预期证明方式:以明文形式提供产品文档检查的证据。保存日志和通信流.pcap文件。5. 2.2.2.4间接通信认证5. 2.2.2.4.1正确处理客户端凭据断言验证失败需求名称:正确处理客户端凭证断言验证失败需求描述:客户端凭证断言的验证由接收节点(即NRF或NF服务生产者)按以下方式执行:1)验证RFC751516中描述的JWS签名。2)验证RFC751917中指定的时间戳和/或过期时间。如果接收节点是NRF,则NRF验证时间戳和过期时间。如果接收节点是NF服务生产者,则NF服务生产者验证过期时间,也可能验证时间戳。3)检查客户端凭据断言中的受众声明是否与自己的类型匹配。它验证客户端凭证断言中的NF实例ID与用于对断言签名的公例证书中的NF实例ID是否匹配。安全目标参考:待定测试用例:测试名称:正确处理客户端凭证断言验证失败测试编号:5.2.2.2.4.1测试目的:验证所测试的NF是否正确处理客户端凭据断言验证失败。预置条件:1)使用可模拟的消费者NF和SCP测试环境。(潜在模拟)消费者NF和(潜在模拟)SCP可以结合起来进行测试。2)被测试的NF预先配置了NF使用者的证书。3)被测试的NF被配置为要求对其至少一个服务的NF使用者身份验证进行断言。4)该测试人员拥有NF使用者的私钥。5)测试人员可以访问消NF使用者和被测NF之间的接口。测试步骤:测试用例1:客户端凭证断言完整性验证失败1)测试者正确计算客户端凭证断言,除非签名不正确,然后将客户端凭证断言包含在通过SCP从消费者NF发送给被测NF的服务请求中。2)被测NF对客户端凭证断言的完整性验证失败。测试用例2:客户端凭证断言中不正确的受众声明1)测试者正确地计算客户端凭证断言,除了受众声明不正确,即客户端凭证断言中的受众声明与被测NF的类型不匹配,然后将签名的客户端凭证断言包含在从消费者NF通过SCP发送给被测NF的服务请求中。2)被测NF验证客户端凭证断言中的受众声明与其类型不匹配。测试用例3:过期的客户端凭证断言1)测试器正确计算访问令牌,除非过期时间(exp)已经过期,然后在通过SCP从消费者NF发送到被测NF的服务请求中包含签名的客户端凭证断言。2)被测NF验证客户端凭据断言中的过期时间相对于当前时间是否已经过期。预期结果:对于测试用例1-3,被测试的NF拒绝消费者心的服务请求,并返回一条错误消息。预期证明方式:适合于界面的证据,例如包含操作结果的截图。6. 2.3技术基线7. 2.3.1概述技术基线是满足所有网络设备安全需求的通用集合。这些需求应对相关的安全威胁和安全目标,其主要目的是保证网络设备的机密性、完整性和可用性。技术基线主要包括数据和信息保护、可用性和完整性保护、认证和授权、会话保护、日志。8. 2.3.2数据和信息保护9. 2.3.2.1通用如本文件规定,应采用充分的安全措施保护敏感数据,进一步的措施(本文件之外的)可根据相关法律法规调整。10. 2.3.2.2机密的系统内部数据保护需求名称:未经授权的查看需求描述:当系统未处在维护模式,对于用户和管理员,应无暴露机密的系统内部数据的系统功能。这些功能可以包括本地或远程的OAMCLl或GUI,口志信息,告警,配置文件出口等机密的系统内部数据包括认证数据(例如PINs,加密密钥,密码,cookies),系统管理不需要的系统内部数据,和有利于攻击者的数据(例如错误信息的堆栈痕迹)。安全目标参考:待定测试用例:测试名称:机密的系统内部数据测试编号:5.23.2.2测试目的:确认没有系统功能暴露敏感数据预置条件:厂商应提供文件,描述机密性的系统内部信息如何通过系统功能以明文形式被暴露。-个系统功能是网络设备自身提供的服务/功能需执行的每个功能。测试步骤:4)检查由厂商提供的文档,描述机密性系统内部信息如何被系统功能处理。5)测试者检查在产品文档中描述的所有的系统功能是否不受阻碍的暴露机密性系统内部数据(例如,本地或远程的OAMCLl或GUI,日志信息,告警,配置文件出口,堆栈痕迹)a预期结果:每个系统功能不能暴露机密性的系统内部数据。预期证明方式:可视的证明方式,例如包含操作结果的截屏。5.2.3.2.3数据和信息存储保护需求名称:数据和信息存储保护需求描述:对于存储(临时或永久)的敏感数据,读取权限应被限制。系统的功能性文件应被操作保护。此外,应遵循以下规则:1)系统需对明文存储的数据系统进行访问认证和授权,例如执行认证功能。不应明文存储的这些数据,应采用特定的方法,如加扰或加密的方式保护这些数据。2)系统访问非明文的敏感数据(例如,用户密码),系统应对敏感数据做hash处理。3)网络设备中存储的文件:使用校验或加密的方法进行操作保护。安全目标参考:待定测试用例:测试名称:数据和信息存储保护测试编号:5.23.2.3测试目的:确认密码存储使用单向hash算法预置条件:a)测试者可以访问存储的自身用户账号密码.b)测试者用权限修改密码。C)初始密码是PL测试步骤:D测试者检查初始密码存储的结果是否为P1,相应的hash值记录为A。2)测试者修改密码为P2,记录存储的新密码hash值为B。3)测试者重复步骤2)并获取结果。4)测试者检查是否所有的结果与单向hash结果-致。预期结果:所有的记录与单向hash结果一致。预期证明方式:可视的证明方式,例如包含操作结果的截屏。5. 2.32.4数据和信息传输保护需求名称:数据和信息传输保护需求描述:1)使用加密保护的网络协议。2)数据传输保护应使用行业标准网络协议,行业标准网络协议应具备充分安全措施和业界认可的算法,应使用无已知漏洞的协议版本或安全替代方案。安全目标参考:待定测试用例:测试名称:数据和信息传输保护测试编号:5.2.3.2.4测试目的:确认网络设备的OAM接口的数据和信息传输得到保护。注:测试限于OAM接口,尽管需求不限制于此,因为保护标准的接口将涵盖常规互操作测试,HTI'PS的专有使用格在第4.2.5.1节中介绍。预置条件:a)厂商提供网络设备文件,包含关于支持OAM协议的信息。b)厂商配置的对等安全协议执行应可用(例如,SSH客户端支持SSHV2,fiTTPS客户端)。c)对于TLS,测试应基于3GPPTS33.31O定义的文件测试。对于IKE和IPSeC,测试者应基于3GPPTS33.21O定义的文件测试。对于3GPP没有定义相关安全文件的协议,例如SSH,测试者应基于广泛认可和可公开使用的安全文件。测试步骤:1)测试者应检查所选的安全配置文件与产品文档规定的细节一致。2)测试者应建立网络设备与对端的安全连接,确认网络设备支持安全配置文件强制要求的所有协议版本和加密算法组合。3)测试者应建立网络设备与对端的安全连接,确认对端不可能只提供一种被安全配置文件禁止的功能,包括协议版本和加密算法组合。预期结果:数据流量被正确的保护,网络设备不接受不安全的选项。预期证明方式:以文本文档的形式提供产品检查的证明。日志和通信流保存在一个.pcap文件中。6. 2.3.2.5个人数据日志访问需求名称:个人数据日志访问需求描述:在一些场景中,需要以明文形式访问个人数据。在这种情况下,数据访问应被记录,日志应包括在未以明文形式泄露个人数据的前提下,谁访问了哪些数据。当记录不可用时,应允许粗粒度日志。在一些场景中,存储在日志文件中的个人数据能够直接识别签约用户。在这种情况下,个人信息不会暴露签约用户致使其个人隐私被侵犯。测试用例:测试名称:个人数据日志访问测试编号:5.23.2.5测试目的:确认当网络设备以明文形式访问个人数据时,数据应被日志记录,日志信息包括访问该数据的用户身份.确认个人数据在日志中不是以明文形式存储。预置条件:网络设备提供以明文形式访问个人数据的文档描述,包括如何访问,记录尝试访问的细节,如何查看这些日志。测试步骤:1)测试者确认当个人数据以明文形式被访问时记录在日志之中,日志包括用户尝试访问数据,日志不包含明文形式的个人数据。2)测试者重复检查。预期结果:所有尝试以(明文形式)对个人数据的访问应在日志中描述,包括用户身份,且个人数据在日志中不可见。预期证明方式:口志文件的拷贝.7. 2.3.3可用性和完整性保护5. 2.3.3.1过载场景卜的系统处理需求名称:过载场景下的系统处理需求描述:系统应提供安全措施,以处理因拒绝服务攻击或在增加流量期间可能发生的过载情况。特别是,应避免系统可用性的部分或全部损害。潜在的保护措施包括:1)限制每个应用程序的可用RAM。2)限制Web应用程序的最大会话数。3)定义数据集的最大规模。4)限制每个进程的CPU资源。5)定义处理程序优先级6)限制用户在特定时间范围通过一个IP地址进行交易记录的数量和规模。测试用例:参见第5.2.3.3.3节的测试用例。6. 2.3.3.2通过规定的存储设备启动需求名称:通过规定的存储设备启动需求描述:网络产品只能从用于此目的的存储设备启动。测试用例:测试名称:通过规定的存储设备启动测试编号:5.2.3.3.2测试目的,验证网络产品只能从用于此目的的存储设备启动(例如,不是从外部存储设备(如USB密钥)。预置条件:文档中包含有关产品支持的固件访问机制以及可以启动网络产品的内存设备信O测试步骤:1)测试者验证网络产品是否配置为从仅在网络产品文档中声明的内存设备启动.2)测试者验证在身份验证不成功的情况下,无法访问和修改网络产品的固件。预期结果:网络产品无法从未在其固件中配置的内存设备启动,并且只有通过正确的身份验证才能访问固件。预期证明方式:无7. 2.3.3.3过度过载情况下的系统处理需求名称:过载情况下的系统处理需求描述:1)如果过载不能防止,系统应以可预测的方式工作。系统应可以以受控的方式在过载情况下作出反应。然而,安全措施不够时,还是可能发生一些情况,在这些情况下,应确保系统不能达到一个不确定的从而潜在不安全的状态。在极端情况下,这意味着受控系统的关闭比安全功能的不受控制的故障以及因此失去系统保护更可取。2)厂商应提供网络产品过载控制机制的技术说明(尤其是这些机制是否依赖于其他网元的协作,如:eNodeB),对应这个需求的相应测试项,将检查这些描述是否提供了足够的细节以便评估者理解该机制是如何设计的。测试用例:测试名称:过载情况下的系统处理测试编号:5.23.3.3测试目的:验证网络产品:a)具有用于处理过载场景的过载控制机制的详细技术说明:b)具有测试结果验证过载控制机制的操作预置条件:a)提供过载控制机制的详细技术说明的文件。b)来自过载控制机制测试的测试执行阶段的测试结果。测试步骤:测试者检查提供过载控制设计的高层概述性技术说明:1)预计过载控制机制得到处理的网络产品的过载场景类型概述。2)网络产品用于触发过载控制机制的过载控制阈值综述。3)可能导致网络产品过载的攻击类型以及如何处理这些类型的描述。4)网络产品在各种过载情况(包括过度过载)期间如何丢弃或处理输入的描述即:过载情况明显大于触发过载检测的阈值。5)网络产品安全功能在过载期间如何运行和执行的描述。6)描述在过度过载条件下网络产品如何关闭或执行或采取其他减少或纠正措施。验证测试结果:1)包含与技术说明文档一起的用于测试执行中的过载条件的详细信息。2)描述用于验证过载控制机制的测试过程。3)包含论证/指示已经实现技术描述文件中描述的过载控制机制的数据。4)包含测试设置的细节,包括引起过载的机制。在模拟器和/或脚本用于人为地生成负载的情况下,这些细节也应该包括在内。预期结果:a)描述过载控制设计的总体概述。b)描述过载场景类型和过载控制阈值的考虑。C)描述可能导致系统过载的攻击类型以及如何处理d)描述网络产品在各种过载情况下丢弃或处理输入的方式。e)描述网络产品安全功能是否或如何在过载期间运行和执行。f)如果系统部分停机或采取其他减少或纠正措施,则应予以说明。注:如果上面列出的一些项目不适用于网络产品,那么,在这些情况下,厂商应该澄清为什么这些项目不适用。说明:- 包含与技术说明文档一致的测试执行中使用的过载条件的详细信息。- 包含与技术说明文档一致的测试执行中使用的过载条件的详细信息。描述用于验证过载控制机制的测试过程。- 包含说明/指示已经实现技术描述文件中描述的过载控制机制的数据。- 包含测试设置的细节,包括生成过载的机制。预期证明方式:显示以上每个测试结果的文档。5.2.3.3.4系统对意外输入的鲁棒性需求名称:系统对意外输入的鲁棒性需求描述:在将数据传输到系统的过程中,需要在处理之前验证网络产品的输入。这包含发送到系统的所有数据。例如用户输入、数组中的值和协议中的内容。应避免以卜典型的实施错误:1)没有确认传送数据的长度。2)关于数据格式不正确的假设。3)接收到的数据没有符合规范的验证。4)接收数据中协议错误处理不足。5)解析复杂数据格式时对递归的限制不足。6)取值范围以外的输入的白名单。测试用例:这一要求将通过健壮性和模糊性(见6.4.4)测试来验证。5.2.3.3.5网络产品软件包完整性需求名称:网络产品软件包完整性验证需求描述:1)安装/升级阶段应验证软件包完整性。2)网络产品应通过密码方式支持软件包完整性验证,如:数字签名。为此,网络产品具有公开密钥或授权软件源证书的列表。并使用密仍来验证软件更新仅源自这些源。3)如果完整性检查失败,则被篡改软件不应被执行或安装。4)需要一个安全机制来保证只有授权的个人才能发起和部署软件更新,并修改项目2提到的列表。安全目标参考:软件完整性测试用例:测试名称:网络产品软件包完整性验证测试编号:52335测试目的:验证以下内容:a)网络产品在安装/升级阶段验证软件包的完整性。b)使用密码机制执行软件包完整性验证机制。如:使用在网络产品中配置的公钥或证书的数字签名。c)未通过完整性检查的软件被网络产品拒绝。d)只有授权用户才能安装软件。预置条件:a)包含关于软件包完整性检查的信息的网络产品文档,包括如何执行完整性检查的细节,在网络产品中公共密钥或授权签署软件包的来源证书的存储位置,这些来源是谁,创建了什么证据来证明完整性检查已被执行,以及这些检查的结果。描述安装过程的文档,包括如何授权和认证用户以执行安装过程。b)可用的有效网络产品软件包以及无效(或可能被认为已被篡改)的软件。测试步骤:1)检查在网络产品上安装软件所需的权限,以确保用户被网络产品正确地认证,并确保他们具有执行安装活动所需的访问权限。2)检查当软件包试图往网络产品上安装时,是否己经执行了软件包完整性检查,(检查网络产品文档中所描述的执行证据),允许安装有效的软件,但无效的软件被拒绝。3)检查软件包完整性检查过程的访问控制权限。授权软件源的公共密钥列表以及用于该过程的任何相关凭证或密钥,以确保该过程不能由未被授权这样做的人员控制。预期结果:a)软件安装两种情况都已执行软件包完整性检查的证据(有效和无效的软件包)b)用于软件包安装和软件包完整性检查机制的认证和访问控制机制正在运行。c)安装/升级操作在使用无效软件包时失败。d)安装/升级操作在使用有