YD_T 3162-2016邮件系统安全防护检测要求.pdf

ICS 33.040M 10中华人民共和国通信行业标准YD/T3162-2016邮件系统安全防护检测要求Security protection testing requirements for the mail system2016-07-11发布2016-10-01实施中华人民共和国工业和信息化部发布 YD/T 316220165.1.1.3信息保护测试编号：邮件系统-第1级-业务及应用安全-信息保护-01测试项目：《邮件系统安全防护要求》5.1.1.3-a，应满足YD/T2692-2014《电信网和互联网用户个人电子信息保护通用技术要求和管理要求》测试步骤：1）访谈邮件系统运维人员，查看邮件系统设计/验收文档等是否符合YD/T2692-2014《电信网和互联网用户个人电子信息保护通用技术要求和管理要求》中相关要求：2）检查邮件系统在使用用户数据信息时，是否符合YD/T2692-2014《电信网和互联网用户个人电子信息保护通用技术要求和管理要求》中相关要求预期结果：1）邮件系统设计/验收文档等符合YD/T2692-2014《电信网和互联网用户个人电子信息保护通用技术要求和管理要求》中相关要求：2）邮件系统在使用用户数据信息时符合YD/T2692-2014《电信网和互联网用户个人电子信息保护通用技术要求和管理要求》中相关要求判定原则：达到以上预期结果，则通过，否则不通过5.1.1.4Web安全测试编号：邮件系统-第1级-业务及应用安全-Web安全-01测试项目：《邮件系统安全防护要求》5.1.1.4-a，应满足YD/T2703-2014《电信网和互联网安全防护基线配置要求及检测要Web应用系统》要求测试步骤：1）访谈邮件系统运维和安全管理人员，检查邮件系统设计/验收文档等是否符合YD/T2703-2014《电信网和互联网安全防护基线配置要求及检测要求Web应用系统》中相关要求；2）检查邮件系统Web应用系统安全基线配置是否符合YD/T2703-2014《电信网和互联网安全防护基线配置要求及检测要求-Web应用系统》中相关要求预期结果：1）邮件系统设计/验收文档等符合YD/T2703-2014电信网和互联网安全防护基线配置要求及检测要求-Web应用系统》中相关要求；2）邮件系统Web应用系统安全基线配置符合YD/T2703-2014《电信网和互联网安全防护基线配置要求及检测要求-Web应用系统》中相关要求判定原则：达到以上预期结果，则通过，否则不通过 YD/T 316220165.1.1.5对外接口安全测试编号：邮件系统-第1级-业务及应用安全-对外接口安全-01测试项目：《邮件系统安全防护要求》5.1.1.5-a，应提供数据有效性检验功能，保证通过接口输入或通过通信接口输入的数据格式或长度符合系统设定要求1）访谈相关技术人员，检查业务设计/验收文档、业务安全策略、业务管理和配置文档，检查文档中是否有数据有效性校验功能，对接口数据的格式或长度是否有规定：2）测试输入不同格式或长度数据，检查邮件系统是否提供数据有效性检验功能预期结果：1)设计/验收文档中有数据有效性校验功能，且对接口数据的格式或长度做了规定：2）邮件系统提供数据有效性检验功能，通过接口输入或通过通信接口输入的数据格式或长度是否符合系统设定要求判定原则：达到以上预期结果，则通过，否则不通过5.1.2网络安全5.1.2.1网络结构测试编号：邮件系统-第1级-网络安全-网络结构-01测试项目：《邮件系统安全防护要求》5.1.2.1-a，应绘制与当前运行情况相符的系统拓扑结构图测试步骤：1）访读相关技术人员，检查业务设计验收文档、业务安全策路、业务管理和配置文档，检查邮件系统是否绘制与当前运行情况相符的系统拓扑结构图：2）进入现场检查网络及设备实际组网情况，检查是否与系统拓扑结构图相一致预期结果：1）已绘制与当前运行情况相符的系统拓扑结构图；2）网络及设备实际组网情况与系统拓扑结构图相一致判定原则：达到以上预期结果，则通过，否则不通过 YD/T 316220165.1.2.2网络监测测试编号：邮件系统-第1级-网络安全-网络监测-01测试项目：《邮件系统安全防护要求》5.1.2.2-a，应在系统边界部署访间安全监测设备，并启用有效的安全监测控制策略测试步骤：1）检查系统边界是否部署了访问安全监测设备，是否启用了有效的控制策略：2）通过技术手段测试相关系统能否在边界处抵街和防范各类攻击和入侵预期结果：1）系统边界部署了访问安全监测设备且启用了有效的控制策略：2）系统能有效抵御和防范各种攻击和入侵判定原则：达到以上预期结果，则通过，否则不通过5.1.2.3安全审计测试编号：邮件系统-第1级-网络安全-安全审计-01测试项目：《邮件系统安全防护要求》5.1.2.3-a