安徽移動(dòng)2013年支撐系統(tǒng)安全評(píng)估及加固服務(wù)技術(shù)規(guī)范書(shū)

1、安徽移動(dòng)安徽移動(dòng) 2013 年支撐系統(tǒng)安全評(píng)估與加年支撐系統(tǒng)安全評(píng)估與加固服務(wù)技術(shù)規(guī)范書(shū)固服務(wù)技術(shù)規(guī)范書(shū)中國(guó)移動(dòng)通信集團(tuán)安徽有限公司中國(guó)移動(dòng)通信集團(tuán)安徽有限公司二二一三年六月一三年六月安徽移動(dòng) 2013 年支撐系統(tǒng)安全評(píng)估與加固服務(wù)技術(shù)規(guī)范書(shū)I目目 錄錄1總則總則.11.1概述.11.2相關(guān)標(biāo)準(zhǔn).11.3技術(shù)建議書(shū)要求.11.4規(guī)范書(shū)有關(guān)內(nèi)容的澄清.21.5甲方在任何時(shí)候保留和擁有對(duì)本文件的解釋權(quán).21.6權(quán)利保護(hù).21.7報(bào)價(jià)范圍.21.8招標(biāo)人保留對(duì)本規(guī)范書(shū)的解釋和修改權(quán)。.31.9規(guī)范要求滿足.31.10由乙方原因造成的工期延誤，由乙方賠償甲方的損失。.32乙方技術(shù)建議書(shū)要求乙方技術(shù)建議

2、書(shū)要求.42.1技術(shù)規(guī)范書(shū)點(diǎn)對(duì)點(diǎn)應(yīng)答要求.42.2乙方應(yīng)在建議書(shū)中提供服務(wù)的詳細(xì)說(shuō)明，并說(shuō)明工作量的計(jì)算方法、依據(jù)。.42.3乙方應(yīng)在建議書(shū)中詳細(xì)提供：.42.4乙方應(yīng)在建議書(shū)中列出提供的書(shū)面技術(shù)資料詳細(xì)清單。.52.5乙方在建議書(shū)中應(yīng)說(shuō)明對(duì)服務(wù)開(kāi)始時(shí)間、服務(wù)內(nèi)容、時(shí)間進(jìn)度等的安排。.53項(xiàng)目概況項(xiàng)目概況.63.1根據(jù)集團(tuán)要求，開(kāi)展支撐系統(tǒng)第三方安全服務(wù)與安全加固服務(wù)工作.63.2項(xiàng)目范圍.63.3時(shí)間要求.103.4報(bào)價(jià)要求.103.5服務(wù)應(yīng)滿足的原則.103.6服務(wù)整體要求.114安全服務(wù)技術(shù)要求安全服務(wù)技術(shù)要求.13安徽移動(dòng) 2013 年支撐系統(tǒng)安全評(píng)估與加固服務(wù)技術(shù)規(guī)范書(shū)II4.1安全

3、審計(jì)服務(wù).134.1.1移動(dòng)網(wǎng)絡(luò)協(xié)議漏洞評(píng)估（下面僅為舉例，實(shí)際評(píng)估不限于列舉協(xié)議）.134.1.2核心網(wǎng)元配置評(píng)估.134.1.3網(wǎng)絡(luò)接口/安全域評(píng)估.144.1.4業(yè)務(wù)濫用評(píng)估.144.1.5綜合應(yīng)用層評(píng)估.144.1.6網(wǎng)絡(luò)系統(tǒng)體系架構(gòu)安全分析.154.1.7系統(tǒng)安全漏洞、安全配置合理性檢查.155安全加固整改建議服務(wù)技術(shù)要求安全加固整改建議服務(wù)技術(shù)要求.166項(xiàng)目進(jìn)度要求項(xiàng)目進(jìn)度要求.177驗(yàn)收標(biāo)準(zhǔn)驗(yàn)收標(biāo)準(zhǔn).187.1成功案例說(shuō)明.187.2服務(wù)方資質(zhì)要求.197.3服務(wù)人員要求.197.4罰款部分.19安徽移動(dòng) 2013 年支撐系統(tǒng)安全評(píng)估與加固服務(wù)技術(shù)規(guī)范書(shū)11 總總則則1.1 概

4、概述述本文件為中國(guó)移動(dòng)集團(tuán)安徽有限公司（以下簡(jiǎn)稱(chēng)為甲方） “安徽移動(dòng)支撐系統(tǒng)2013 年信息安全服務(wù)技術(shù)規(guī)范書(shū)”。本規(guī)范書(shū)作為服務(wù)提供商(以下簡(jiǎn)稱(chēng)為乙方)提供服務(wù)的規(guī)范要求。1.2 相相關(guān)關(guān)標(biāo)標(biāo)準(zhǔn)準(zhǔn)乙方所提供的所有服務(wù)及軟件應(yīng)符合技術(shù)標(biāo)準(zhǔn)的要求如下：（1）符合有關(guān)標(biāo)準(zhǔn)(如 ISO、IEEE、ITU-T、ETSI、IETF、OMA、3GPP 等)的，乙方應(yīng)在建議書(shū)中具體說(shuō)明，并附上相應(yīng)的詳細(xì)技術(shù)資料。（2）若乙方的服務(wù)包含自己的專(zhuān)用標(biāo)準(zhǔn)，應(yīng)在建議書(shū)中具體說(shuō)明，并附上相應(yīng)的詳細(xì)技術(shù)資料。（3）本文件中未給出，但 ISO、IEEE、ITU-T、ETSI、IETF、OMA、3GPP等已有建議的相應(yīng)系統(tǒng)

5、設(shè)備性能和功能，乙方均應(yīng)滿足。（4）遵循信息安全技術(shù) 信息安全評(píng)估規(guī)范 （GB/T20984-2007） ， 電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南 （YD/T1730-2008） ， 中國(guó)移動(dòng)網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)評(píng)估管理辦法（5）由于電信業(yè)務(wù)的特殊性，評(píng)估過(guò)程需遵循 ITU-T X.805 / ISO/IEC 18028-2 端到端通信系統(tǒng)安全架構(gòu)進(jìn)行。（6）評(píng)估還應(yīng)依據(jù)中國(guó)移動(dòng)已經(jīng)發(fā)布的各類(lèi)配置規(guī)范進(jìn)行。1.3 技技術(shù)術(shù)建建議議書(shū)書(shū)要要求求乙方提供的各項(xiàng)服務(wù)/工具應(yīng)完全符合甲方指明的標(biāo)準(zhǔn)，并滿足或高于甲方指出的要求。對(duì)于本文件未規(guī)定的有關(guān)設(shè)備/服務(wù)要求，乙方應(yīng)提出建議，并陳安徽移動(dòng) 2013 年

6、支撐系統(tǒng)安全評(píng)估與加固服務(wù)技術(shù)規(guī)范書(shū)2述其理由。1.4 規(guī)規(guī)范范書(shū)書(shū)有有關(guān)關(guān)內(nèi)內(nèi)容容的的澄澄清清乙方對(duì)于規(guī)范書(shū)的疑問(wèn)可以通過(guò)書(shū)面材料與甲方聯(lián)系。在規(guī)定的建議書(shū)提交最后期限以前，甲方將以書(shū)面材料給予答復(fù)，所有答復(fù)材料的復(fù)印件也將遞交至所有得到技術(shù)規(guī)范書(shū)的乙方。乙方對(duì)規(guī)范書(shū)的疑問(wèn)，需在規(guī)定的建議書(shū)提交最后期限 5 天前提出。在技術(shù)談判的各個(gè)階段，甲方將以書(shū)面或郵件形式要求乙方對(duì)有關(guān)問(wèn)題進(jìn)行進(jìn)一步的技術(shù)澄清，乙方應(yīng)以書(shū)面資料或郵件方式給予正式應(yīng)答；所有各階段的技術(shù)澄清文件都將作為合同附件。1.5 甲甲方方在在任任何何時(shí)時(shí)候候保保留留和和擁?yè)碛杏袑?duì)對(duì)本本文文件件的的解解釋釋權(quán)權(quán)甲方有權(quán)在簽定合同前，根

7、據(jù)需要修改和補(bǔ)充本技術(shù)規(guī)范書(shū)，修改補(bǔ)充后的最終技術(shù)規(guī)范書(shū)將作為合同的附件。1.6 權(quán)權(quán)利利保保護(hù)護(hù)本文檔所含的任何構(gòu)思、設(shè)計(jì)、工藝及其他技術(shù)信息均屬于安徽移動(dòng)通信有限責(zé)任公司所有，受中華人民共和國(guó)法律的保護(hù)。未經(jīng)本公司書(shū)面同意，任何單位和個(gè)人不得擅自摘抄、全部或部分復(fù)制本規(guī)范內(nèi)容，或者以其他任何方式使第三方知悉。1.7 報(bào)報(bào)價(jià)價(jià)范范圍圍本規(guī)范書(shū)對(duì)于服務(wù)、軟硬件和環(huán)境等方面的要求所涉及的費(fèi)用均包含在本次招標(biāo)的投標(biāo)范圍之內(nèi)。如果投標(biāo)人沒(méi)有提供明確的報(bào)價(jià)，可以認(rèn)為上述要求所需要的費(fèi)用由投標(biāo)人免費(fèi)提供。安徽移動(dòng) 2013 年支撐系統(tǒng)安全評(píng)估與加固服務(wù)技術(shù)規(guī)范書(shū)31.8 招招標(biāo)標(biāo)人人保保留留對(duì)對(duì)本本規(guī)規(guī)

8、范范書(shū)書(shū)的的解解釋釋和和修修改改權(quán)權(quán)。1.9 規(guī)規(guī)范范要要求求滿滿足足需要強(qiáng)調(diào)的是，乙方提供的推薦方案必須滿足本規(guī)范書(shū)要求。如果屆時(shí)由于乙方提供的建議方案太低或功能不足等原因而不能滿足本規(guī)范書(shū)需求，乙方需無(wú)償補(bǔ)足，并負(fù)全部責(zé)任。1.10 由由乙乙方方原原因因造造成成的的工工期期延延誤誤，由由 乙乙方方賠賠償償甲甲方方的的損損失失。安徽移動(dòng) 2013 年支撐系統(tǒng)安全評(píng)估與加固服務(wù)技術(shù)規(guī)范書(shū)42 乙乙方方技技術(shù)術(shù)建建議議書(shū)書(shū)要要求求2.1 技技術(shù)術(shù)規(guī)規(guī)范范書(shū)書(shū)點(diǎn)點(diǎn)對(duì)對(duì)點(diǎn)點(diǎn)應(yīng)應(yīng)答答要要求求乙方的建議書(shū)中，要求對(duì)本規(guī)范書(shū)所提出各項(xiàng)要求進(jìn)行逐條逐項(xiàng)答復(fù)、說(shuō)明和解釋。首先對(duì)實(shí)現(xiàn)或滿足程度明確作出“滿足”、

9、 “不滿足”、 “部分滿足”等應(yīng)答，然后作出具體、詳細(xì)的說(shuō)明和參見(jiàn)的章節(jié)。應(yīng)答中“滿足”表示本項(xiàng)目能夠提供相關(guān)功能和服務(wù)同時(shí)在服務(wù)及設(shè)備配置中已提供該功能，如果不是以上情況應(yīng)答為“部分滿足或不滿足”，并說(shuō)明情況以及“不滿足”部分相應(yīng)的情況。不得使用“明白”、 “理解”等詞語(yǔ)。2.2 乙乙方方應(yīng)應(yīng)在在建建議議書(shū)書(shū)中中提提供供服服 務(wù)務(wù)的的詳詳細(xì)細(xì)說(shuō)說(shuō)明明， 并并說(shuō)說(shuō)明明工工作作量量的的計(jì)計(jì)算算方方法法、依依據(jù)據(jù) 。 2.3 乙乙方方應(yīng)應(yīng)在在建建議議書(shū)書(shū)中中詳詳細(xì)細(xì)提提供供：（1）服務(wù)方案：服務(wù)方法、流程、項(xiàng)目時(shí)間安排、實(shí)施人員簡(jiǎn)歷等。（2）設(shè)備安全審計(jì)工具的系統(tǒng)原理、系統(tǒng)功能特性和性能指標(biāo)、軟件

10、的體系結(jié)構(gòu)及采用的關(guān)鍵技術(shù)和所具備的特點(diǎn)。（3）資產(chǎn)安全評(píng)估的詳細(xì)方案及實(shí)施步驟、人員職責(zé)分工、產(chǎn)出結(jié)果的詳細(xì)說(shuō)明。（4）系統(tǒng)風(fēng)險(xiǎn)安全評(píng)估的詳細(xì)方案及實(shí)施步驟、人員職責(zé)分工、產(chǎn)出結(jié)果的詳細(xì)說(shuō)明。（5）基礎(chǔ)安全加固的詳細(xì)方案及實(shí)施步驟、人員職責(zé)分工、產(chǎn)出結(jié)果的詳細(xì)說(shuō)明。（6）滲透測(cè)試的詳細(xì)方案及實(shí)施步驟、人員職責(zé)分工、產(chǎn)出結(jié)果的詳細(xì)說(shuō)明。（7）協(xié)助“三同步”進(jìn)行嚴(yán)格落地的詳細(xì)方案及實(shí)施步驟、人員職責(zé)分工、產(chǎn)安徽移動(dòng) 2013 年支撐系統(tǒng)安全評(píng)估與加固服務(wù)技術(shù)規(guī)范書(shū)5出結(jié)果的詳細(xì)說(shuō)明。（8）軟件功能分類(lèi)、功能模塊、功能列表、功能描述以及軟件和安裝所在硬件設(shè)備對(duì)照表。（9）服務(wù)中所涉及的多方合作的分

11、工界面。（10）服務(wù)中所使用的各類(lèi)工具的詳細(xì)說(shuō)明。2.4 乙乙方方應(yīng)應(yīng)在在建建議議書(shū)書(shū)中中列列出出提提供供的的書(shū)書(shū)面面技技術(shù)術(shù)資資料料詳詳細(xì)細(xì)清清單單。2.5 乙乙方方在在建建議議書(shū)書(shū)中中應(yīng)應(yīng)說(shuō)說(shuō)明明對(duì)對(duì) 服服務(wù)務(wù)開(kāi)開(kāi)始始 時(shí)時(shí)間間、服服務(wù)務(wù)內(nèi)內(nèi)容容、時(shí)時(shí)間間進(jìn)進(jìn)度度等等的的安安排排。安徽移動(dòng) 2013 年支撐系統(tǒng)安全評(píng)估與加固服務(wù)技術(shù)規(guī)范書(shū)63 項(xiàng)項(xiàng)目目概概況況3.1 根根據(jù)據(jù)集集團(tuán)團(tuán)要要求求，開(kāi)開(kāi)展展 支支撐撐系系統(tǒng)統(tǒng)第第三三方方 安安全全服服務(wù)務(wù)與與安安全全加加固固 服服務(wù)務(wù)工工作作為落實(shí)關(guān)于下發(fā) 2013 年業(yè)務(wù)支撐網(wǎng)安全工作指導(dǎo)意見(jiàn)的通知 （業(yè)通 2013 102 號(hào)）中“各公司每年

12、必須聘請(qǐng)第三方專(zhuān)業(yè)機(jī)構(gòu)對(duì)本省業(yè)務(wù)支撐系統(tǒng)開(kāi)展全面的安全評(píng)估與加固工作”的要求，提升支撐系統(tǒng)信息安全管理水平，特申請(qǐng)開(kāi)展支撐系統(tǒng)安全評(píng)估與加固服務(wù)。3.2 項(xiàng)項(xiàng)目目范范圍圍本項(xiàng)目服務(wù)包括支撐網(wǎng)非核心業(yè)務(wù)系統(tǒng)代碼安全審計(jì)服務(wù)、全網(wǎng)安全防護(hù)能力評(píng)測(cè)、風(fēng)險(xiǎn)評(píng)估、安全加固整改意見(jiàn)服務(wù)。（一）具體范圍如下：項(xiàng)目覆蓋業(yè)務(wù)支撐網(wǎng)和管理信息化網(wǎng)所有業(yè)務(wù)系統(tǒng)，主要包括但不限于：中國(guó)移動(dòng)網(wǎng)上營(yíng)業(yè)廳安徽省公司網(wǎng)上營(yíng)業(yè)廳中國(guó)移動(dòng)安徽省公司門(mén)戶網(wǎng)站安徽移動(dòng) BOSS 系統(tǒng)安徽移動(dòng) CRM 系統(tǒng)安徽移動(dòng) ITIL 系統(tǒng)安徽移動(dòng)客服系統(tǒng)安徽移動(dòng) VGOP 系統(tǒng)安徽移動(dòng) PBOSS 資源系統(tǒng)安徽移動(dòng) PBOSS 非資源系統(tǒng)安徽

13、移動(dòng) 2013 年支撐系統(tǒng)安全評(píng)估與加固服務(wù)技術(shù)規(guī)范書(shū)7安徽移動(dòng)渠道運(yùn)營(yíng)管理系統(tǒng)安徽移動(dòng)稽核系統(tǒng)安徽移動(dòng)語(yǔ)音合成系統(tǒng)安徽移動(dòng)渠道經(jīng)理平臺(tái)安徽移動(dòng)開(kāi)發(fā)測(cè)試平臺(tái)安徽移動(dòng)需求管控平臺(tái)安徽移動(dòng)傳播資源管理平臺(tái)安徽移動(dòng)自主開(kāi)發(fā)平臺(tái)分公司應(yīng)用遷移系統(tǒng)安徽移動(dòng)投訴預(yù)處理安徽移動(dòng)積分 POS 系統(tǒng)安徽移動(dòng)結(jié)算管理平臺(tái)安徽移動(dòng)統(tǒng)一運(yùn)營(yíng)管理平臺(tái)安徽移動(dòng)營(yíng)收稽核系統(tǒng)安徽移動(dòng) NG 終端銷(xiāo)售-自有賣(mài)場(chǎng)安徽移動(dòng)服務(wù)開(kāi)通后臺(tái)管理安徽移動(dòng)渠道經(jīng)理運(yùn)營(yíng)平臺(tái)安徽移動(dòng) NGBOSS 終端管理安徽移動(dòng) SMP 安全運(yùn)營(yíng)管理中心安徽移動(dòng)電子渠道運(yùn)營(yíng)管理平臺(tái)安徽移動(dòng)統(tǒng)一門(mén)戶安徽移動(dòng) ESOP 平臺(tái)安徽移動(dòng) 2013 年支撐系統(tǒng)安全評(píng)估

14、與加固服務(wù)技術(shù)規(guī)范書(shū)8以上均為現(xiàn)網(wǎng)系統(tǒng)，主要涉及業(yè)務(wù)支撐系統(tǒng)和管理信息化系統(tǒng)面向內(nèi)部用戶的應(yīng)用平臺(tái)，評(píng)估過(guò)程中一旦服務(wù)中斷對(duì)業(yè)務(wù)影響很大，要求服務(wù)廠家對(duì)以上網(wǎng)絡(luò)和系統(tǒng)深刻理解，有以上系統(tǒng)的安全評(píng)估服務(wù)經(jīng)驗(yàn)和加固經(jīng)驗(yàn)，確保評(píng)測(cè)活動(dòng)的順利開(kāi)展。業(yè)務(wù)支撐網(wǎng)和管理信息化網(wǎng)各類(lèi)系統(tǒng)資源，包含但不限于以下資源：主機(jī)、數(shù)據(jù)庫(kù)、中間件、防火墻等，系統(tǒng)資源多為業(yè)內(nèi)主流產(chǎn)品，如 HP-UNIX 服務(wù)器、SUN solaris 平臺(tái)服務(wù)器等，網(wǎng)絡(luò)設(shè)備如思科、華為等產(chǎn)品，安全設(shè)備如Nokia、華為防火墻等。（二）服務(wù)范圍系統(tǒng)包括但不限于：中國(guó)移動(dòng)網(wǎng)上營(yíng)業(yè)廳安徽省公司網(wǎng)上營(yíng)業(yè)廳、中國(guó)移動(dòng)安徽省公司門(mén)戶網(wǎng)站、安徽移動(dòng) B

15、OSS 系統(tǒng)、安徽移動(dòng) CRM 系統(tǒng)、安徽移動(dòng)ITIL 系統(tǒng)、安徽移動(dòng)客服系統(tǒng)、安徽移動(dòng) VGOP 系統(tǒng)、安徽移動(dòng) PBOSS 資源系統(tǒng)、安徽移動(dòng) PBOSS 非資源系統(tǒng)、安徽移動(dòng)渠道運(yùn)營(yíng)管理系統(tǒng)、安徽移動(dòng)稽核系統(tǒng)、安徽移動(dòng)語(yǔ)音合成系統(tǒng)、安徽移動(dòng)渠道經(jīng)理平臺(tái)、安徽移動(dòng)開(kāi)發(fā)測(cè)試平臺(tái)、安徽移動(dòng)需求管控平臺(tái)、安徽移動(dòng)傳播資源管理平臺(tái)、安徽移動(dòng)自主開(kāi)發(fā)平臺(tái)分公司應(yīng)用遷移系統(tǒng)、安徽移動(dòng)投訴預(yù)處理、安徽移動(dòng)積分 POS 系統(tǒng)、安徽移動(dòng)結(jié)算管理平臺(tái)、安徽移動(dòng)統(tǒng)一運(yùn)營(yíng)管理平臺(tái)、安徽移動(dòng)營(yíng)收稽核系統(tǒng)、安徽移動(dòng) NG 終端銷(xiāo)售-自有賣(mài)場(chǎng)、安徽移動(dòng)服務(wù)開(kāi)通后臺(tái)管理、安徽移動(dòng)渠道經(jīng)理運(yùn)營(yíng)平臺(tái)、安徽移動(dòng) NGBOSS

16、終端管理、安徽移動(dòng) SMP 安全運(yùn)營(yíng)管理中心、安徽移動(dòng)電子渠道運(yùn)營(yíng)管理平臺(tái)、安徽移動(dòng)統(tǒng)一門(mén)戶、安徽移動(dòng) ESOP 平臺(tái)。服務(wù)內(nèi)容包含但不限于以下內(nèi)容：1、資產(chǎn)的安全評(píng)估：目前各類(lèi)的系統(tǒng)資源和應(yīng)用資源越來(lái)越多，如何有效的進(jìn)行安全管控，首先就必須要對(duì)所有的資產(chǎn)進(jìn)行動(dòng)態(tài)的安全評(píng)估。在劃分網(wǎng)絡(luò)域的基礎(chǔ)上，針對(duì)業(yè)務(wù)特性，結(jié)合客戶敏感信息分類(lèi)，對(duì)所有的系統(tǒng)資源和應(yīng)用資源進(jìn)行安全登記劃分，確定資產(chǎn)的安全屬性，并在部門(mén)的應(yīng)用建設(shè)中，動(dòng)態(tài)的進(jìn)行調(diào)整管理，建立全面、可靠的資產(chǎn)安全評(píng)估體系。安徽移動(dòng) 2013 年支撐系統(tǒng)安全評(píng)估與加固服務(wù)技術(shù)規(guī)范書(shū)92、安全風(fēng)險(xiǎn)評(píng)估：對(duì)業(yè)務(wù)支撐系統(tǒng)和管理信息化系統(tǒng)開(kāi)展常規(guī)性、全面的

17、安全風(fēng)險(xiǎn)評(píng)估服務(wù)，確認(rèn)核心應(yīng)用、網(wǎng)絡(luò)環(huán)境的威脅及風(fēng)險(xiǎn)處置情況，制定全面的業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)分析報(bào)告，并給出系統(tǒng)及網(wǎng)絡(luò)環(huán)境加固方案，不斷降低全網(wǎng)的安全風(fēng)險(xiǎn)。 3、基礎(chǔ)安全加固：定期的對(duì)全網(wǎng)所有的系統(tǒng)資源開(kāi)展安全漏洞掃描和安全基線檢查，對(duì)發(fā)現(xiàn)的問(wèn)題進(jìn)行匯總并分配整改作業(yè)，跟蹤后續(xù)的整改完成情況。同時(shí)定期對(duì)業(yè)支和管信所有的應(yīng)用開(kāi)展循環(huán)的代碼安全審計(jì)工作，而不僅僅對(duì)部分系統(tǒng)開(kāi)展代碼安全審計(jì)工作，將代碼安全審計(jì)作為一項(xiàng)常規(guī)安全作業(yè)來(lái)執(zhí)行，從源頭保證應(yīng)用系統(tǒng)開(kāi)發(fā)安全質(zhì)量。4、滲透測(cè)試：定期對(duì)部門(mén)現(xiàn)網(wǎng)運(yùn)行的業(yè)務(wù)系統(tǒng)進(jìn)行滲透測(cè)試，通過(guò)專(zhuān)家經(jīng)驗(yàn)及專(zhuān)業(yè)工具，檢驗(yàn)系統(tǒng)的安全性和可靠性，并協(xié)助開(kāi)發(fā)廠商對(duì)發(fā)現(xiàn)的問(wèn)題提出解決方

18、案，并對(duì)問(wèn)題的整改進(jìn)行確認(rèn)，實(shí)現(xiàn)對(duì)代碼安全問(wèn)題“發(fā)現(xiàn)解決確認(rèn)”的閉環(huán)管理。 5、協(xié)助推動(dòng)安全“三同步”的嚴(yán)格落地。在項(xiàng)目啟動(dòng)階段主動(dòng)參與項(xiàng)目的安全評(píng)估，并檢驗(yàn)相應(yīng)的合規(guī)性安全文檔是否滿足要求，同時(shí)嚴(yán)格執(zhí)行上線、交維、重大變更等環(huán)節(jié)的應(yīng)用安全檢查和評(píng)估作業(yè)，確保安全監(jiān)管落到實(shí)處。乙方提供的服務(wù)應(yīng)包含以上的所有內(nèi)容，安排專(zhuān)人在現(xiàn)場(chǎng)開(kāi)展相關(guān)服務(wù)工作，并根據(jù)甲方需要?jiǎng)討B(tài)調(diào)整以上服務(wù)的側(cè)重點(diǎn)。乙方對(duì)甲方提供的所有信息（包含但不限于：文檔、拓?fù)鋱D、資源列表、設(shè)備信息、IP 地址分配信息等）、在服務(wù)期內(nèi)產(chǎn)出的各類(lèi)信息（包含但不限于：代碼信息、代碼安全審計(jì)報(bào)告、風(fēng)險(xiǎn)評(píng)估報(bào)告、安全掃描報(bào)告、加固建議書(shū)、項(xiàng)目安全

19、評(píng)估文檔等）應(yīng)遵守嚴(yán)格的保密原則，通過(guò)相應(yīng)的技術(shù)手段進(jìn)行嚴(yán)格的控制，未經(jīng)甲方允許，不得導(dǎo)出、轉(zhuǎn)存、引用及對(duì)外發(fā)布。乙方針對(duì)甲方通信網(wǎng)安全防護(hù)能力評(píng)測(cè)服務(wù)應(yīng)該遵循工信部網(wǎng)絡(luò)單元安全防護(hù)檢測(cè)評(píng)分方法（試行）的要求進(jìn)行網(wǎng)絡(luò)單元的安全防護(hù)能力評(píng)測(cè)。對(duì)于乙方發(fā)現(xiàn)的漏洞，應(yīng)提供詳細(xì)的漏洞利用操作步驟、方法及加固建議，安徽移動(dòng) 2013 年支撐系統(tǒng)安全評(píng)估與加固服務(wù)技術(shù)規(guī)范書(shū)10配合甲方督促業(yè)務(wù)系統(tǒng)廠家進(jìn)行加固。合同期間乙方需按照甲方的工作安排進(jìn)行與本項(xiàng)目相關(guān)的調(diào)整工作及臨時(shí)工作，具體要求由甲方負(fù)責(zé)提供，乙方予以落實(shí)。3.3 時(shí)時(shí)間間要要求求本項(xiàng)目中所涉及的服務(wù)內(nèi)容需在合同簽訂后實(shí)施，乙方要在 2013 年

20、 12 月31 日之前完成 3.2 項(xiàng)目范圍項(xiàng)目范圍覆蓋的所有系統(tǒng)及配套設(shè)備的安全服務(wù)內(nèi)容。具體要求參見(jiàn)第第 6 項(xiàng)項(xiàng) 項(xiàng)目進(jìn)度要求項(xiàng)目進(jìn)度要求。3.4 報(bào)報(bào)價(jià)價(jià)要要求求乙方的報(bào)價(jià)書(shū)中，需明確提供各項(xiàng)服務(wù)安排在現(xiàn)場(chǎng)的人員數(shù)。乙方的報(bào)價(jià)書(shū)中，需明確提供各服務(wù)內(nèi)容所需要的人天數(shù)及計(jì)算方式。3.5 服服務(wù)務(wù)應(yīng)應(yīng)滿滿足足的的原原則則安徽移動(dòng)安全評(píng)估與加固服務(wù)的方案設(shè)計(jì)與具體實(shí)施應(yīng)滿足以下原則： 保密原則：對(duì)服務(wù)的過(guò)程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格保密，未經(jīng)授權(quán)不得泄露給任何單位和個(gè)人，不得利用此數(shù)據(jù)進(jìn)行任何侵害需求方網(wǎng)絡(luò)的行為，否則需求方有權(quán)追究乙方的責(zé)任。 標(biāo)準(zhǔn)性原則：服務(wù)方案的設(shè)計(jì)與實(shí)施應(yīng)依據(jù)國(guó)內(nèi)或國(guó)際的相關(guān)

21、標(biāo)準(zhǔn)進(jìn)行； 規(guī)范性原則：服務(wù)提供商的工作中的過(guò)程和文檔，具有嚴(yán)格的規(guī)范性，可以便于項(xiàng)目的跟蹤和控制； 可控性原則：服務(wù)用的工具、方法和過(guò)程要在雙方認(rèn)可的范圍之內(nèi)，服務(wù)的進(jìn)度要跟上進(jìn)度表的安排，保證需求方對(duì)于服務(wù)工作的可控性； 整體性原則：服務(wù)的范圍和內(nèi)容應(yīng)當(dāng)整體全面，包括安全涉及的各個(gè)層面，安徽移動(dòng) 2013 年支撐系統(tǒng)安全評(píng)估與加固服務(wù)技術(shù)規(guī)范書(shū)11避免由于遺漏造成未來(lái)的安全隱患； 最小影響原則：服務(wù)工作應(yīng)盡可能小的影響系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行，不能對(duì)現(xiàn)網(wǎng)的運(yùn)行和業(yè)務(wù)的正常提供產(chǎn)生顯著影響（包括系統(tǒng)性能明顯下降、網(wǎng)絡(luò)擁塞、服務(wù)中斷，如無(wú)法避免出現(xiàn)這些情況應(yīng)在應(yīng)答書(shū)上詳細(xì)描述） ；乙方應(yīng)針對(duì)上述各

22、項(xiàng)，在技術(shù)方案中落實(shí)諸原則各方面要求，并予以詳細(xì)解釋。3.6 服服務(wù)務(wù)整整體體要要求求安全服務(wù)重點(diǎn)關(guān)注因?yàn)楦飨到y(tǒng)存在的漏洞、威脅、攻擊路徑導(dǎo)致安徽移動(dòng)客戶信息、計(jì)費(fèi)、營(yíng)銷(xiāo)信息、內(nèi)容信息泄露、篡改、非法傳播的風(fēng)險(xiǎn)。特別需要關(guān)注對(duì)互聯(lián)網(wǎng)開(kāi)放應(yīng)用的業(yè)務(wù)系統(tǒng)安全保障。甲方設(shè)置專(zhuān)門(mén)的項(xiàng)目組配合本次評(píng)估項(xiàng)目實(shí)施的整個(gè)過(guò)程。乙方在服務(wù)期間，需安排符合要求的人員現(xiàn)場(chǎng)開(kāi)展檢查工作。乙方應(yīng)詳細(xì)描述安徽移動(dòng)支撐系統(tǒng)安全服務(wù)的整體方案，包括整體服務(wù)安排、評(píng)估方法、人員組織、時(shí)間安排、階段性文檔提交和驗(yàn)收標(biāo)準(zhǔn)等。乙方應(yīng)詳細(xì)描述評(píng)估過(guò)程中評(píng)估人員的組成及各自職責(zé)的劃分。乙方應(yīng)配置有經(jīng)驗(yàn)的評(píng)估人員進(jìn)行本項(xiàng)目的評(píng)估工作，在應(yīng)

23、答文件中確定評(píng)估組織架構(gòu)和人員，明確指出在現(xiàn)場(chǎng)同時(shí)參與實(shí)施的人數(shù)，提供參與人員的詳細(xì)簡(jiǎn)歷；未經(jīng)與需求方協(xié)商確認(rèn)乙方不允許隨意更換；乙方應(yīng)確保選派高級(jí)咨詢(xún)?nèi)藛T參與整個(gè)項(xiàng)目，確保項(xiàng)目的進(jìn)度和質(zhì)量。本項(xiàng)目實(shí)施過(guò)程中所使用到的各種工具軟件由乙方推薦，經(jīng)甲方確認(rèn)后由乙方提供并在評(píng)估中使用。評(píng)估工具軟件運(yùn)行可能需要的硬件平臺(tái)（如筆記本電腦、PC、工作站等）和操作系統(tǒng)軟件等由乙方推薦，經(jīng)甲方確認(rèn)后由乙方提供并在評(píng)估中使安徽移動(dòng) 2013 年支撐系統(tǒng)安全評(píng)估與加固服務(wù)技術(shù)規(guī)范書(shū)12用。評(píng)估需要的運(yùn)行環(huán)境（如場(chǎng)地、網(wǎng)絡(luò)環(huán)境等）由甲方提供，乙方應(yīng)詳細(xì)描述甲方的運(yùn)行環(huán)境的具體要求。安徽移動(dòng) 2013 年支撐系統(tǒng)安全

24、評(píng)估與加固服務(wù)技術(shù)規(guī)范書(shū)134 安安全全服服務(wù)務(wù)技技術(shù)術(shù)要要求求該部分重點(diǎn)針對(duì)安徽移動(dòng)各類(lèi)系統(tǒng)，主動(dòng)發(fā)現(xiàn)安全隱患及不符合相關(guān)規(guī)范的問(wèn)題，及時(shí)整改，防患未然。主要包括安全評(píng)估服務(wù)。4.1 安安全全審審計(jì)計(jì)服服務(wù)務(wù)乙方需對(duì)甲方服務(wù)系統(tǒng)提供代碼安全審計(jì)服務(wù)。該服務(wù)需嚴(yán)格參照信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范 （GB/T20984-2007） 、 電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南 （YD/T1730-2008）以及中國(guó)移動(dòng)網(wǎng)絡(luò)安全評(píng)估規(guī)范和中國(guó)移動(dòng)各類(lèi)系統(tǒng)安全配置規(guī)范執(zhí)行； 防護(hù)能力測(cè)評(píng)按照工信部網(wǎng)絡(luò)單元安全防護(hù)檢測(cè)評(píng)分方法（試行） 要求執(zhí)行，風(fēng)險(xiǎn)評(píng)估服務(wù)主要包括：4.1.1移移動(dòng)動(dòng)網(wǎng)網(wǎng)絡(luò)絡(luò)協(xié)協(xié)議議

25、漏漏洞洞評(píng)評(píng)估估（下下面面僅僅為為舉舉例例，實(shí)實(shí)際際評(píng)評(píng)估估不不限限于于列列舉舉協(xié)協(xié)議議）MMS 網(wǎng)絡(luò)評(píng)估主要針對(duì) MMS 業(yè)務(wù)系統(tǒng)的相關(guān)協(xié)議（MM1 WAP 協(xié)議、MM3 SMTP/POP3 協(xié)議 MM7 的 SOAP 協(xié)議） ；互聯(lián)網(wǎng)交互協(xié)議（http/htts 協(xié)議） ；4.1.2核核心心 網(wǎng)網(wǎng)元元配配置置評(píng)評(píng)估估主要檢查移動(dòng)網(wǎng)元的核心配置方面是否存在安全隱患，其操作系統(tǒng)的安全問(wèn)題不在通信層面解決。其中包括的網(wǎng)元配置包括但不限于：NGBOSS 應(yīng)用主機(jī)、門(mén)戶/網(wǎng)廳應(yīng)用服務(wù)器；各類(lèi)數(shù)據(jù)庫(kù)、中間件等應(yīng)用軟件。 其中評(píng)估內(nèi)容包括但不限于：容災(zāi)配置，數(shù)據(jù)庫(kù)核心配置，主機(jī)安全數(shù)據(jù)配置，終端用戶數(shù)據(jù)

26、配置，用戶信息傳輸規(guī)則配置、COOKIES 配置、訪問(wèn)控制安徽移動(dòng) 2013 年支撐系統(tǒng)安全評(píng)估與加固服務(wù)技術(shù)規(guī)范書(shū)14配置、計(jì)費(fèi)數(shù)據(jù)配置。4.1.3網(wǎng)網(wǎng)絡(luò)絡(luò)接接口口 /安安全全域域評(píng)評(píng)估估其中評(píng)估內(nèi)容包括但不限于：核心系統(tǒng)與外部應(yīng)用進(jìn)行數(shù)據(jù)交互的接口使用情況；核心網(wǎng)絡(luò)域間接口設(shè)置情況；4.1.4業(yè)業(yè)務(wù)務(wù)濫濫用用評(píng)評(píng)估估可針對(duì)以上范圍內(nèi)的通信網(wǎng)絡(luò)評(píng)估是否存在以下但不限于的業(yè)務(wù)濫用情況匿名刪除用戶上網(wǎng)信息；短信網(wǎng)絡(luò)濫用；垃圾彩信、病毒彩信；惡意訂購(gòu)；SQL 注入等匿名刪除用戶上網(wǎng)信息4.1.5綜綜合合應(yīng)應(yīng)用用層層評(píng)評(píng)估估針對(duì)如基于 WEB 方式的業(yè)務(wù)是否存在緩沖區(qū)溢出，跨站腳本攻擊，上傳文件分析

27、等攻擊，包含但不限于應(yīng)用系統(tǒng)測(cè)試客戶端測(cè)試認(rèn)證機(jī)制測(cè)試會(huì)話管理機(jī)制測(cè)試訪問(wèn)控制測(cè)試輸入校驗(yàn)測(cè)試應(yīng)用邏輯測(cè)試安徽移動(dòng) 2013 年支撐系統(tǒng)安全評(píng)估與加固服務(wù)技術(shù)規(guī)范書(shū)154.1.6網(wǎng)網(wǎng)絡(luò)絡(luò)系系統(tǒng)統(tǒng)體體系系架架構(gòu)構(gòu)安安全全分分析析乙方應(yīng)對(duì)業(yè)務(wù)支撐、信息化網(wǎng)絡(luò)與整體架構(gòu)按照以下進(jìn)行詳細(xì)的分析。 網(wǎng)絡(luò)整體體系架構(gòu)設(shè)計(jì)的合理性與安全性分析； 系統(tǒng)邊界的安全防護(hù)及訪問(wèn)控制措施強(qiáng)度分析； 系統(tǒng)入侵檢測(cè)點(diǎn)的部署合理性分析； 系統(tǒng)網(wǎng)絡(luò)監(jiān)控的有效性分析； 系統(tǒng)與外界的通訊線路的冗余性分析； 系統(tǒng)關(guān)鍵設(shè)備設(shè)施的冗余性分析； 網(wǎng)絡(luò)設(shè)備的有效性分析原則及方法。4.1.7系系統(tǒng)統(tǒng)安安全全漏漏洞洞、安安全全配配置置合合理理

28、性性檢檢查查乙方應(yīng)對(duì)項(xiàng)目范圍內(nèi)所涉及的所有服務(wù)器 OS、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備、PC 客戶機(jī)等 IT 設(shè)備進(jìn)行全面的安全漏洞、弱口令掃描，并提供詳細(xì)的漏洞描述、漏洞整改臨時(shí)建議和補(bǔ)丁下載鏈接。乙方應(yīng)使用業(yè)界通用知名漏洞掃描工具。乙方應(yīng)對(duì)檢查出來(lái)的弱口令、高風(fēng)險(xiǎn)漏洞給業(yè)務(wù)系統(tǒng)管理員進(jìn)行手工驗(yàn)證，說(shuō)明漏洞的危害性，同時(shí)避免設(shè)備掃描出現(xiàn)誤報(bào)。所有經(jīng)過(guò)評(píng)估的系統(tǒng)在未經(jīng)更改的情況下，在服務(wù)期內(nèi)如接受第三方或甲所有經(jīng)過(guò)評(píng)估的系統(tǒng)在未經(jīng)更改的情況下，在服務(wù)期內(nèi)如接受第三方或甲方進(jìn)行的其它安全評(píng)估時(shí)不得出現(xiàn)未經(jīng)確認(rèn)的系統(tǒng)漏洞，并且所有經(jīng)過(guò)評(píng)估的方進(jìn)行的其它安全評(píng)估時(shí)不得出現(xiàn)未經(jīng)確認(rèn)的系統(tǒng)漏洞，并且所有經(jīng)過(guò)

29、評(píng)估的系統(tǒng)不能低于系統(tǒng)不能低于通信網(wǎng)絡(luò)安全防護(hù)管理辦法通信網(wǎng)絡(luò)安全防護(hù)管理辦法 （工信部第（工信部第 11 號(hào)令）所規(guī)定的安號(hào)令）所規(guī)定的安全標(biāo)準(zhǔn)，不得出現(xiàn)按照工信部標(biāo)準(zhǔn)進(jìn)行檢查未發(fā)現(xiàn)的安全隱患全標(biāo)準(zhǔn)，不得出現(xiàn)按照工信部標(biāo)準(zhǔn)進(jìn)行檢查未發(fā)現(xiàn)的安全隱患，同時(shí)確保安全，同時(shí)確保安全評(píng)估和加固過(guò)的系統(tǒng)通過(guò)集團(tuán)、工信部等各級(jí)主管部門(mén)組織的各類(lèi)檢查。評(píng)估和加固過(guò)的系統(tǒng)通過(guò)集團(tuán)、工信部等各級(jí)主管部門(mén)組織的各類(lèi)檢查。安徽移動(dòng) 2013 年支撐系統(tǒng)安全評(píng)估與加固服務(wù)技術(shù)規(guī)范書(shū)165 安安全全加加固固整整改改 建建議議服服務(wù)務(wù)技技術(shù)術(shù)要要求求乙方需向甲方提供所評(píng)估系統(tǒng)的安全加固建議服務(wù)。具體要求如下：a)乙方應(yīng)根

30、據(jù)甲方要求提供詳細(xì)的系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估報(bào)告，根據(jù)安全評(píng)估報(bào)告結(jié)合自身搜集和整理的安全風(fēng)險(xiǎn)狀況，提供詳細(xì)的安全加固實(shí)施方案。加固方案應(yīng)當(dāng)說(shuō)明加固過(guò)程對(duì)服務(wù)和性能的影響程度及存在的風(fēng)險(xiǎn)。加固實(shí)施技術(shù)方案應(yīng)包括具體的整體加固工作步驟、加固方法、應(yīng)急回退方法等內(nèi)容。b)安全加固建議必須按照分層的原則，包括但不限于以下對(duì)象：網(wǎng)絡(luò)服務(wù)、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)安全、安全系統(tǒng)、系統(tǒng)安全策略等。安徽移動(dòng) 2013 年支撐系統(tǒng)安全評(píng)估與加固服務(wù)技術(shù)規(guī)范書(shū)176 項(xiàng)項(xiàng)目目進(jìn)進(jìn)度度要要求求乙方應(yīng)在技術(shù)建議書(shū)中提交項(xiàng)目經(jīng)理、技術(shù)負(fù)責(zé)人、項(xiàng)目組成員名單（包括工作分工）以及上述人員的簡(jiǎn)歷。乙方應(yīng)在技術(shù)建議書(shū)中提交詳細(xì)的項(xiàng)

31、目組織及實(shí)施計(jì)劃；并且提交從合同簽訂之日起的周工作進(jìn)度安排。項(xiàng)目具體時(shí)間要求為：從合同簽訂之日起至 2013 年 8 月 31 日，應(yīng)完成一次安徽移動(dòng)業(yè)務(wù)支撐網(wǎng)和管理信息化網(wǎng)的資產(chǎn)安全評(píng)估服務(wù)。從合同簽訂之日起至 2013 年 12 月 31 日，乙方根據(jù)甲方提供的應(yīng)用系統(tǒng)清單，每 2 個(gè)月完成一次全應(yīng)用的安全風(fēng)險(xiǎn)評(píng)估服務(wù)。合同簽訂之日起至 2013 年 12 月 31 日，每月完成 1 次安徽移動(dòng)網(wǎng)上營(yíng)業(yè)廳和安徽移動(dòng)門(mén)戶網(wǎng)站的安全滲透測(cè)試服務(wù)。合同簽訂之日起至 2013 年 12 月 31 日，乙方根據(jù)甲方提供的應(yīng)用系統(tǒng)清單，對(duì)所有的應(yīng)用完成 1 次滲透測(cè)試服務(wù)。合同簽訂之日起至 2013

32、年 12 月 31 日，乙方根據(jù)甲方提供的系統(tǒng)資源清單，每月完成 1 次業(yè)務(wù)支撐網(wǎng)和管理信息化網(wǎng)的基礎(chǔ)安全加固服務(wù)。合同簽訂之日起至 2013 年 12 月 31 日，乙方根據(jù)甲方提供的項(xiàng)目建設(shè)清單，每月不定期的開(kāi)展項(xiàng)目安全評(píng)審和在建項(xiàng)目的安全合規(guī)性檢查服務(wù)。本文的最終解釋權(quán)歸需求方（中國(guó)移動(dòng)通信集團(tuán)安徽有限公司） ，需求方有權(quán)根據(jù)中國(guó)移動(dòng)集團(tuán)公司的最新規(guī)定進(jìn)行項(xiàng)目工作要求的調(diào)整。安徽移動(dòng) 2013 年支撐系統(tǒng)安全評(píng)估與加固服務(wù)技術(shù)規(guī)范書(shū)187 驗(yàn)驗(yàn)收收標(biāo)標(biāo)準(zhǔn)準(zhǔn)本項(xiàng)目驗(yàn)收主要依據(jù)以乙方提供的服務(wù)輸出物（報(bào)告、過(guò)程文檔等）是否完備、文檔質(zhì)量等幾個(gè)方面。對(duì)各階段工作的結(jié)果進(jìn)行綜合分析，形成安徽移動(dòng)要求的綜合分析報(bào)告及其他報(bào)告。這也是安全加固服務(wù)的最后階