T／TAF 088-2021  网络关键设备安全通用检测方法

6.2.1.2设备穴余和自动切换功能（部件穴余）

6.2.2备份与恢复功能

6.2.3异常状态识别与提示功能

航空标准6.3漏洞和恶意程序防范

6. 3. 1漏洞扫描

测试结果应与预期结果相符，否则不符合要求； 常见的补救措施包括修复、规避等，如直接修复（打补丁等）、通过相关配置来规避

6.3.2恶意程序扫描

6.3.3设备功能和访问接口声明

6.4预装软件启动及更新安全

6.4.1预装软件启动完整性校验功能

该检测项包括如下内客

6.4.3更新操作安全功能

6.4.4软件更新防算改功能

6.4.5更新过程告知功能

1）检查是否对此次更新的内容进行说明，可以通过文档或软件提示信息等方式进行说明； 2）检查更新过程中有无提示更新过程开始和结束的信息， d 预期结果： 1）具备更新的内容说明； 2）具备更新过程开始提示信息和更新过程结束提示信息。 判定原则： 测试结果应与预期结果相符，否则不符合要求。

6.5用户身份标识与鉴别

6.5.1身份标识和鉴别功能

3）被测设备处于出厂默认配置状态。 检测方法： 1）i：若被测设备存在默认口令，则使用默认账号登录被测设备，检查被测设备是否强制修 改默认口令，或使用随机的初始口令； ii：若被测设备不存在默认口令，则检查是否强制设置口令； 2）检查被测设备是否支持设置口令生存周期。 预期结果： 首次管理关键设备时，系统提示强制修改默认口令或者设置口令，或支持随机的初始口令，支 持设置口令生存周期。 判定原则： 测试结果应与预期结果相符，否则不符合要求。

6.5.3口令安全—口令复杂度、口令显示

3）步骤3申，创建失败，无法创建口令不满足复杂度要求的账号。 e 判定原则： 测试结果应与预期结果相符，否则不符合要求。

6.5.4用户鉴别信息猜解攻击防范功能

6.5.5会话空闲时间过长防范功能

6.5.6身份鉴别信息安全保护功能

6.6.1默认开放服务和端口

6.6.2开启非默认开放服务和端口

b）预置条件： 1）按测试环境1搭建好测试环境； 2）设备运行于默认状态，默认状态为设备出厂设置时的配置状态； 3）厂商提供设备非默认开放端口和服务对应关系的说明材料： 4）厂商提供说明材料，说明开启非默认开放端口和服务的配置方式，以及如何让用户知晓和 同意开启非默认开放端口和服务。 检测方法： 按照厂商提供的说明材料，配置被测设备，开启非默认开放的端口和服务，确认是否经过用户 知晓且同意才可启用。 d 预期结果： 非默认开放的端口和服务，应在用户知晓且同意后才可启用， e 判定原则： 1）测试结果应与预期结果相符，否则不符合要求； 2）用户知晓且同意开启非默认端口和服务的方式通常可包括用户授权、二次确认等。

3.6.3受控资源访问控制功能

该检测项包括如下内容：

在用户访问受控资源时，支持设置访问控制 确保访问和操作安全。 注1：受控资源指需要授予相应权限才可访问的资源 注2.堂风的访间控制策略包括通过

1）按测试环境1搭建好测试环境； 2）厂商提供受控资源访问控制功能的相关配置说明。 检测方法 1）按照厂商提供的配置说明对被测设备进行配置，对受控资源仅授权用户可访问，非授权用 户不能访问； 2）使用配置的用户对受控资源进行访问，确认仅授权用户可访问，非授权用户不能访问。 预期结果 1）配置成功： 2）仅授权用户可访问受控资源，非授权用户不能访问。 判定原则 测试结果应与预期结果相符，否则不符合要求

6.6.4用户权限管理功能

6. 7. 1且志记录和要素

6.7.2日志信息本地存储安全

该检测项包括如下内容

1）按测试环境1搭建好测试环境； 2）厂商提供包括管理员等所有账号信息； 3）厂商提供日志存储空间告警阈值设置信息、触发日志循环覆盖的条件（如日志记录数量的 最大值、日志文件存储最大值等）说明。 检测方法 1）使用管理员账号登录：

1）按测试环境1搭建好测试环境； 2）厂商提供包括管理员等所有账号信息； 3）厂商提供日志存储空间告警阈值设置信息、触发日志循环覆盖的条件（如日志记录数量的 最大值、日志文件存储最大值等）说明。 检测方法 1）使用管理员账号登录 2）反复进行触发日志记录行为的操作（例如登录、登出等），直到日志记录剩余存储空间低 于阈值，或达到触发日志循环覆盖的条件（例如日志记录条目数达到最大值或日志文件存 储达到最大值）； 3）查看日志是否进行了本地存储： 4）如设备支持剩余日志存储空间低于阈值时进行告警的功能，查看步骤2）是否产生了日志 记录剩余存储空间低于阈值的告警；如设备支持循环覆盖，查看步骤2）中的操作是否产 生了日志覆盖，且应是最新产生的日志对最早产生的日志进行覆盖。 药期纯见

6.7.3且志信息输出功能

该检测项包括如下内容：

6.7.4日志信息安全保护

6.8.1管理协议安全

6.8.2 协议健壮性安全

该检测项包括如下内容： a安全要求：

该检测项包括如下内容： a）安全要求：

测试材料应由独立于设备提供方和设备使用方的第三方机构出具，测试材料中的测试过程 应与《3GPPTS33.117Catalogueofgeneralsecurityassurancerequirements》中 “4.4.4Robustnessandfuzztesting”的要求相一致； 3）厂商应提供被测对象一致性说明材料，如被测设备与提供的测试材料中被测对象的软件仅 有少量差异（例如：小版本号不同、补丁版本号不同等）时，厂商补充提供差异部分的测 试材料

6.8.3时间同步功能

时可少切能 该检测项包括如下内容： a）安全要求： 应支持时间同步功能。 b） 预置条件： 1）按测试环境1搭建好测试环境； 2）厂商提供被测设备NTP协议等时间同步的说明材料； 3）设备开机正常运行。 c） 检测方法： 配置被测设备，开启时间同步功能（如NTP等），并测试其是否能够进行时间同步。 预期结果： 被测设备支持使用NTP或其他方式实现时间同步功能。 e 判定原则： 测试结果应与预期结果相符，否则不符合要求。

检查厂商提供的材料，确认是否提供了被测设备支持的所有协议以及不存在未声明的私有协 的说明材料。 预期结果： 厂商提供了被测设备支持的所有协议以及不存在未声明的私有协议的说明材料。 判定原则： 测试结果应与预期结果相符，否则不符合要求。

检查厂商提供的材料，确认是否提供了被测设备支持的所有协议以及不存在未声明的私有协议 的说明材料。 预期结果： 厂商提供了被测设备支持的所有协议以及不存在未声明的私有协议的说明材料。 判定原则： 测试结果应与预期结果相符，否则不符合要求。

3.5重放攻击防范能力

6.9.1敏感数据保护功能

测试结果应与预期结果相符，否则不符合要求

6.9.2数据删除功能

7安全保障要求评估方法

人孔标准7.1.1设计和开发环节风险识别

1）说明材料申明确体现了设备在设计和开发环节的主要安全风险，如开发环境的安全风险、 第三方组件引入的安全风险、开发人员导致的安全风险等，并且明确相应的安全策略。 判定原则： 测试结果应与预期结果相符，否则不符合要求

7.1.2设备安全设计和开发操作规程

7.1.3配置管理及变更

7. 1. 4 恶意程序防范

该评估项包括如下内容：

GB／标准规范范本该评估项包括如下内容：

b）预置条件： 1）厂商提供防范设备被植入恶意程序的说明材料。 2）厂商提供防范设备被设置隐蔽的接口或功能模块的说明材料。 3）厂商提供防范第三方关键部件、固件或软件可能引入的安全风险的说明材料。 检测方法： 1）检查厂商提供防范设备被植入恶意程序的说明材料，确认是否验证防范措施的有效性，确 认措施的实施记录。 2） 检查厂商提供防范设备被设置隐蔽的接口或功能模块的说明材料，确认是否验证防范措施 的有效性，确认措施的实施记录。 3）厂商提供防范第三方关键部件、固件或软件可能引入的安全风险的说明材料，确认是否验 证防范措施的有效性，确认措施的实施记录。 d预期结果： 1）厂商能够提供防范设备被植入恶意程序的说明材料，验证了防范措施的有效性，留存了措 施的实施记录。 2）厂商能够提供防范设备被设置隐蔽的接口或功能模块的说明材料，验证了防范措施的有效 性，留存了措施的实施记录。 3）厂商能够提供防范第三方关键部件、固件或软件可能引入的安全风险的说明材料，验证了 防范措施的有效性，留存了措施的实施记录。 e 判定原则： 测试结果应与预期结果相符，否则不符合要求