1.产品通用安全测试
2.开源及第三方软件测试评估
工具:Nexpose
要求:产品如含有开源软件,则须对其开源软件的漏洞进行及时检测,并对存在的安全漏洞进行修复或升级到无漏洞的新开源软件版本
相关连接:https://blog.csdn.net/weixin_44534461/article/details/88557754
2.防病毒软件扫描与分析
工具:McAfee、Symantec
要求:在软件包(含补丁包)发布前,需要经过至少二款防病毒软件扫描,保证防病毒软件不产生告警,特殊情况下对告警作出解释说明。扫描记录(防病毒软件名称、软件版本、病毒库版本、扫描时间、扫描结果等)存档并随软件包(含补丁包)发布给客户。
3.端口扫描与分析
工具:nmap
要求:
(1)提供设备所有功能/特性所使用到的端口(包括系统的监听端口、系统作为客户端对外连接请求的所有端口);
(2)通信矩阵中如存在动态侦听端口,侦听范围必须限定在确定的必要的范围内,并与实际的动态侦听接口范围保持一致。
(3)未在通信矩阵中描述的端口应关闭。
4.操作系统和数据库漏洞扫描与分析
工具:nessus
要求:
(1)系统经业界主流漏洞扫描工具扫描(如Nessus),测试应使用最新的漏洞库,扫描报告中不得出现高风险级别的漏洞。请提供扫描插件列表(如果插件有版本号,需同时提供版本号)、漏洞库信息、扫描报告(包含扫描详情)等。
(2)系统提供安全配置/加固指南和安全维护手册等文档。
5.Web安全测试
工具:AppScan、Burpsuite、Acunetix Web Vulnerability Scanner
要求:
使用Web安全扫描工具(如AppScan、Burpsuite、Acunetix Web Vulnerability Scanner)扫描Web服务器和Web应用,测试应使用最新的漏洞库、配置所有漏洞相关插件,扫描报告中不得出现高风险级别的漏洞。(扫描出低风险不修改的问题也需要一一解释说明遗留的理由)
6.FUZZ测试(模糊测试)
工具:Defensics
要求:华为提供的自测用例未包含该测试,但是自测报告需要提供测试结果。
7.安全配置检查及结果评估
7.APK扫描结果评估
Nessus:
Nessus号称是世界上最流行的漏洞扫描程序,全世界有超过75000个组织在使用它。该工具提供完整的电脑漏洞扫描服务,并随时更新其漏洞数据库。Nessus不同于传统的漏洞扫描软件,Nessus可同时在本机或远端上遥控,进行系统的漏洞分析扫描。
环境搭建:
https://blog.csdn.net/qq_35983015/article/details/79325463
使用方法(基础扫描):
第一步:在My Scans中选中基础扫描
第二步:填写扫描名称、描述(选填)、目标IP
第三步:配置设备ssh、数据库、查看插件等等
第四步:开始扫描
第五步:导出报告
-
安全红线测试验证
安全属性 |
红线要求 |
访问通道控制 |
1.1.1 系统支持无法从用户面直接登录连接管理接口(不支持独立的管理IP地址的产品除外)。 |
1.1.2 同时存在跨公网和局域网的产品,面向公网的WAN侧管理端口和面向局域网LAN侧管理端口必须隔离。 |
|
1.1.3 系统所有的对外通信连接必须是系统运行和维护必需的,对使用到的通信端口在产品通信矩阵文档中说明,动态侦听端口必须限定确定的合理的范围。通过端口扫描工具验证,未在通信矩阵中列出的端口必须关闭。 |
|
1.1.4 所有能对系统进行管理的人机接口以及跨信任网络的机机接口必须有接入认证机制,标准协议没有认证机制的除外。 |
|
1.1.5 设备外部可见的能对系统进行管理的物理接口必须有接入认证机制。 |
|
1.2.1 对与终端用户有交互或者与非信任网络互联的容易受攻击的协议,使用工具进行畸形报文攻击测试,测试结果不得出现致命或严重级别的问题,提供测试结果。 |
|
系统加固 |
2.1.1 系统经公司指定必须使用的漏洞扫描工具扫描,高风险级别的漏洞必须得到解决或有效规避。 |
2.1.2 第三方产品需要对所涉及的操作系统、数据库、安全组件的安全补丁进行兼容性测试。 |
|
2.1.3 产品使用的开源或三方件等存在外部公开漏洞,已有官方修复方案的,产品无论是否调用都必须按照官方认可的方案修复。 |
|
应用安全 |
4.1.1 对于每一个需要授权访问的请求都必须核实用户是否被授权执行这个操作。 |
4.1.2 对用户的最终认证处理过程必须放到服务端进行。 |
|
4.1.3 Web应用程序的会话标识必须具备随机性;身份验证成功后,必须更换会话标识。 |
|
产品开发、发布和安装安全 |
5.1.1 禁止产品存在可绕过系统安全机制(认证、权限控制、日志记录)对系统或数据进行访问的功能。 • 禁止隐秘访问方式:包括隐藏账号、隐藏口令、无鉴权的隐藏模式命令/参数、隐藏组合键访问方式;隐藏的协议/端口/服务;隐藏的生产命令/端口、调测命令/端口。 • 禁止不可管理的认证/访问方式:包括用户不可管理的账号,人机接口以及可远程访问的机机接口的硬编码口令。 |
5.1.2 禁止产品存在未文档化的命令/参数、端口等接入方式(包括但不限于产品的生产、调测、维护用途),所有接入方式均须通过产品资料等对客户公开或受限公开。 |
|
5.2.1 产品软件禁止存在病毒、木马。 |
|
5.2.2 产品软件禁止存在发送恶意广告、吸费、恶意消耗流量等行为。 |
|
5.3.1 禁止在产品软件中存留可能被质疑的组件,包括第三方的网络嗅探、调试工具、开发/编译工具、仅在调测阶段使用的认证密钥、自研调试工具/脚本。 |
|
5.3.2 禁止在产品软件中包含用户界面不可见或产品资料未描述的未公开的公网地址(包括公网IP地址、公网URL地址/域名、邮箱地址)。 |
|
5.3.3 禁止破坏OS等系统原有安全框架、可能被外界质疑为后门的行为。 |
|
5.4.1 禁止对外提供服务的和能够被远程访问的进程使用root账户(或等同)权限运行。 |
|
加密 |
6.1.1 禁止使用私有加密算法。 |
6.1.2 产品必须使用通过认证的或业界开源公认的或经公司评估认可的密码算法库。 |
|
6.1.3 密码算法中使用到的随机数必须是密码学意义上的安全随机数。 |
|
6.1.4 产品在初始安装须默认使用安全算法,禁止使用公司认定的不安全的密码算法,升级场景下可保持兼容,出于行业标准遵从的场景例外。 |
|
6.2.1 用于数据加解密的工作密钥不能硬编码在代码中,根密钥场景仅可对部分密钥组件进行硬编码。 |
|
敏感数据保护 |
7.1.1 禁止认证凭据明文存储在系统中,应该加密保护。在不需要还原明文的场景,必须使用不可逆算法加密。 |
7.1.2 在非信任网络之间进行敏感数据的传输须采用安全传输通道或者加密后传输,有标准协议规定的除外。 |
|
7.1.3 对敏感数据的访问要有认证、授权或加密机制。 |
|
7.1.4 禁止在系统中存储的日志、调试信息、错误提示中明文打印认证凭据。 |
|
系统管理和维护安全 |
8.1.1 系统自身操作维护类口令必须满足“口令安全要求”。 |
8.1.2 管理面所有对系统产生影响的用户活动、操作指令必须记录日志,日志内容要能支撑事后的审计,记录包括用户ID、时间、事件类型、被访问资源的名称、访问发起端地址或标识、访问结果等;日志要有访问控制,应用系统禁止提供手动删除、修改审计日志的能力。 |
|
8.1.3 系统的管理平面和近端维护终端、网管维护终端间,初始安装必须默认支持使用安全协议,对于公司指定的已知不安全的协议应支持关闭。启用不安全协议须产生对应告警或用户提示。 |
|
8.1.4 禁止存在缺省口令,客户有特殊的账号口令管理需求的可例外。 1、产品发布的软件包中包含的默认账号禁止存在缺省口令,应采用First login登录模式,系统首次登录运行,必须强制设置满足口令复杂度的强口令;禁止空口令登录到系统进行其他操作。 a)开源三方件不支持First login登录模式的,则必须保证产品首次登录后,其口令必须被修改; 2、系统运行后,管理员新建/重置人机账号禁止存在缺省口令(如硬编码口令),必须由管理员设置初始口令或系统自动产生随机口令(以上口令都应满足口令复杂度要求),由管理员创建的账号用户,首次登录必须强制修改初始口令。 |
|
8.1.5 系统必须有明确的用户权限管理机制,新建账号默认不授予任何权限或者默认只指派最小权限的角色。 |
|
安全资料 |
9.1.1 产品发布的资料中须提供产品通信矩阵,描述机器/网元/模块间的通信关系,包括:通信使用的端口、协议、IP地址、认证方式、端口用途信息等。 |
9.1.2 产品发布前提供安全配置/加固指南。 |
|
9.1.3 产品发布的资料中须提供产品缺省内置的账号清单。 |
|
监听接口及防止非法监听 |
10.1.1 合法监听接口应遵循通用的国际标准。如果少数国家对此标准有特殊要求时,应严格限制该产品只能在该国销售或应用。如果被要求不能提供合法监听接口时,必须从产品和解决方案中删除此接口,确保现网设备无法通过任何形式启用。 |
10.1.2 系统中和合法监听相关的接口禁止存在合法监听网关正常接口之外的任何其它调用方式,包括命令、脚本、调试接口等。确保产品和解决方案的合法监听接口的安全性,防止被盗用、误用或滥用,防止被监听对象以及任何未经授权的第三方感知,防止相关信息或内容被泄露。 |
|
10.1.3 在正常业务流程和标准协议之外,禁止提供可在最终用户不知情同意的情况下,采集最终用户原始通信内容(语音类、短信/彩信类、传真类、数据业务类)的功能,即使该功能是为了保障网络运营和服务。 特定国家法律不禁止的情况下,可以对销售往该国的产品定制开发。 |
|
10.1.4 禁止终端产品提供与监听相关的功能和特性。 |
|
隐私保护 |
11.1.1 禁止在未经授权(签订数据转移协议或获得客户的明确同意等)前进行个人数据转移,产品出于定位问题目的从客户网络导出包含个人数据的数据时须对个人数据进行过滤、或匿名化或假名化处理。 |
11.1.2 涉及个人数据的采集/处理的功能须提供安全保护机制(如认证、权限控制、日志记录等),并通过产品资料向客户公开。 |
|
11.1.3 在正常业务流程和标准协议之外,禁止出于故障定位目的进行用户精确位置信息定位。在运营商提供增值服务时,如需处理用户精确位置数据,应获得运营商的授权,并在方案设计时,给予最终用户随时撤回同意的机会。 特定国家法律不禁止的情况下,可以对销售往该国的产品定制开发。 |
|
11.1.4 数据控制者必须在客户资料或界面中提供隐私声明,设备供应者必须在产品资料中提供产品处理的个人数据说明。 |
|
11.1.5 收集或使用个人数据前,必须明确提示用户,并获得用户的同意,并且允许用户随时关闭对个人数据的收集和使用。 |
|
11.1.6 个人数据收集范围、使用目的不得超出隐私声明,且遵循最小化原则,当个人数据的采集范围、使用目的发生变更时,应及时更新隐私声明。 |
|
11.1.7 对于移动终端,对系统或软件进行升级时必须通过界面或者资料的形式让用户知情且可控。 |
|
安全启动和完整性保护 |
12.1.1 产品对外发布的软件(包含软件包/补丁包)必须提供完整性校验机制,在安装、升级过程中对软件进行完整性验证。 |
12.1.2 关键基础设施的ICT类产品必须支持安全启动。 |
|
安全编码/编译 |
13.1.1 产品自研代码必须经过公司指定的静态代码检查工具扫描,并按照相应语言的告警清理要求进行清理。 |
13.1.2 产品的自研代码必须按照相应的编程规范使用安全函数替换不安全函数,禁止不正确的重定义安全函数或不正确的封装安全函数。 |
|
13.2.1 产品必须按规范开启安全编译选项。 |
|
生命周期管理 |
14.1.1 产品所使用的下属所有组件(包括平台、开源和第三方软件)禁止使用EOM或禁选后的版本。 |
14.1.2 提供给华为的产品如含有开源软件,提供开源软件名称、版本号列表。须对其开源软件的漏洞进行及时检测和修复,确保软件发布时不存在高级别安全漏洞。 |
|
14.1.3 软件包括纯软件、芯片软件及硬件附带软件(含免费软件)等在服务期内提供漏洞预警和补丁发布、安全问题整改、应急响应等安全支持服务。 |
|
14.1.4 产品使用通用操作系统、数据库、开源和三方组件存在已知漏洞,必须按照漏洞处理标准及时修复。 在软件生命周期内对于安全漏洞,从漏洞被告知厂家时开始计算,厂家应该在48小时内无条件免费提供基于CVSS3.0的漏洞评分,同时无条件免费提供规避措施和修复的补丁版本。 针对严重程度为高(cvss评分7.0-8.9)的漏洞,24小时内给出规避措施,45天内给出补丁 针对严重程度为严重(cvss评分9.0-10.0)的漏洞,24小时内给出规避措施,30天内给出补丁 针对个别漏洞,规避/给出补丁的时间无法满足SLA要求(如芯片漏洞,依赖芯片厂家提供规避方案和补丁),应提供符合业界最佳水平的及时定位/规避措施/给出补丁。 |
|
运营运维安全 |
15.1.1 对于通过华为应用商店、应用市场等发布的软件和应用,禁止存在病毒、木马,以及发送恶意广告、吸费、恶意消耗流量等恶意行为。 |
15.1.2 面向公网的接口禁止使用预置口令、空口令和弱口令。 |
|
15.1.3 禁止生产环境中存在超出修复时间要求的可利用的已知高危漏洞。 |
|
15.1.4 禁止对公网开放高危服务。 |
|
通用原则 |
16.1.1 测试发现的高风险(CVSS评分≥7分)安全问题(包括但不限于红线AB类要求),合作产品/部件正式销售前必须全部消减。 |
16.2.1 测试发现的中、低风险(CVSS评分<7分)安全问题(包括但不限于红线AB类要求)可在供应商承诺修复计划的基础上导入。 |