1、网络管理部网络平安通信单元风险评测及渗透性测试服务技术规范书黑龙江移动网络管理部2016年6月1总体要求1.1 总述本规范书是中国移动通信集团黑龙江有限公司(以下简称买方)向为拟供应服务的网络管理部通信网络单元风险评测及渗透测试服务项目服务供货商(以下简称卖方)提出的规范书。1.1.2 卖方如不能满意本规范书中所提到的各项技术要求及业务功能指标,应在建议书中明确提出,否则即认为卖方能够按本文件要求供应相应服务。本规范书主要供应黑龙江移动网络管理部通信网络单元平安风险评估项目服务项目的总体要求,供卖方编写技术建议书。在满意买方的总体技术要求的状况下,卖方可征得买方的同意,提出适当的修改建议,并陈
2、述理由。若卖方认为买方的技术要求尚不明确或有漏项的地方,请具体加以说明并经双方商定。对规范书内容的澄清及修改将由买方以电子邮件形式发送全部得到规范书的厂家。1.1.4 本技术规范书的文档按版本化管理。在技术谈判过程中不断充溢内容,进行版本升级。1.1.5 卖方如不能满意本规范书中的要求,须要具体说明缘由。1.1.6 在技术谈判的各个阶段,项目单位将以书面形式要求应答方对有关问题进行进一步的技术澄清,应答方应以书面资料赐予正式应答;全部各阶段的技术澄清文件都将作为合同附件。技术澄清中各条目应首先应答为“满意”、“不满意”、“部分满意”,不得运用“明白”、“理解”等词语。当应答为“部分满意”或“不
3、满意”时,须要进行具体说明说明缘由。1.1.7说明与应答相互冲突的,以应答为准。1.1.8卖方如不能满意本规范书中的要求,须要具体说明缘由。总体描述部分应包含卖方综合状况,卖方应至少供应下列内容:1 .卖方的背景资料介绍:包括公司成立时间、成立地点、注册资金、银行存款、经营范围、2014年、2015年、2016年公司的业务收入和利润、企业类型、雇员总数、本地区雇员总数、黑龙江地区的办事机构类型、人员组成和经营范围及具有的相关资质及经营授权、其他须要说明的状况等。2 .卖方的市场定位、公司目标、业务运作状况,业务发展支配。3 .卖方的内部组织架构、具体说明黑龙江移动网络管理部通信网络单元平安风险
4、评估项目服务项目中乙方的人员配置、技术实力、平安认证及汇报机制。1.2 技术建议书的文件要求结合黑龙江移动网络管理部通信网络单元平安风险评估项目服务项目的实际状况,技术建议书至少要对以下方面做具体说明:(1)通信网络单元平安风险评测及渗透测试服务项目服务方案(2)场地及环境打算要求(3)平安服务进度支配(4)项目验收(5)技术服务及技术支持1.3 保密条款任何一方未经另一方同意不得向任何第三方透露本文档内容,双方一样同意任何一方在任何时候对其持有的有关另一方的事务或其事务运转操作方法等保密信息实行严格保密。除非有信息供应方书面许可,任何一方不得在任何时间向本坏议以外的任何第三方披露或供应保密信
5、息(包括但不限于:任何信息供应方不欲公开的观点、发觉、独创、公式、程序、支配、图表、模型、参数、数据、标准和专有技术隐私,和/或其中的任何学问产权)的任何内容(本协议另有约定的除外)。除非有信息供应方的书面指示,任何一方不得对保密信息进行拷贝或抄写。2项目概述2.1 项目背景依据通信网络平安防护管理方法(工业和信息化部第11号令)、工业和信息化部关于开展2013年基础电信网络平安防护检查工作的通知(工信部保函【2013】110号)及关于做好2015年省级基础电信企业网络与信息平安责任考核工作有关问题的通知(黑通管保(2015)53号)、关于做好2014年通信网网络平安工作的通知(网通20148
6、5号)关于建立专职团队开展集中化网络平安运营管理的通知(网通201543号)等上级公文要求,为进一步提高基础电信企业网络和业务系统防攻击、防病毒、防入侵、防瘫痪、防信息窃取的实力和水平,保障基础电信网络和重要业务系统的平安,爱护用户个人电子信息、促进通信行业网络平安防护工作体系化、规范化建设,需针对网络管理部全部15套二级及以上的通信网络单元(详见下表)实施通信网络风险评测工作,并针对工信部、省通信管理局的技术检查或严峻网络平安事务,解除潜在的平安隐患,消退平安威逼,彻底解决平安问题。序号定圾对联名称平安等级1中国移动IP承载网黑龙江省IP骨干网3.1级2中国移动移动通信网分蛆城黑龙江各省网部
7、分核心交换网31级3中国移动增值业务网消息网黑龙江省短消息网3.1级4中国移动WAP网关系统那龙江省省级WAP网关系统2级5中国移动互联网黑龙江省域名朋务系统域名解析系统2娘6中国移动移动通信网电路域黑龙江省哈尔滨市本地网无线接入子系统2t87中国移动出值业务网消息网黑龙江省多媒体消息网2级8中国移动增值业务网智能网黑龙江省省内智能网2级9中国移动接入网黑龙江省哈尔流市本地网下不同区域2级10中国移动支撑网黑龙江省网管系统2级11中国移动信令网黑龙江省省内信令网31级12中国移动移动通信网电路域黑龙江省哈尔滨市木地网关口局3.1级13中国移动移动通信网电路域黑龙江省哈尔滨市本地网核心交换网3.
8、1级14中国移动同步网黑龙江省省内同步网3.1级15中国移动光传送网器龙江省省内骨干传送网3.12.2 项目定义2.2.1本规范书为中国移动通信集团黑龙江有限公司网络管理部(以下简称甲方)通信网络单元风险评测及渗透测试服务服务要求,供服务供应商(以下简称乙方)编写应答书和报价之用。2.2.2本技术规范书包括了项目、技术服务等主要要求,这些要求将在以下章节中相应地列出。2.2.3乙方应依据本文件中的相关说明和要求,提出技术是议、技术方案和报价。2 .2.4甲方保留对本文件的说明和修改权。甲方有权在签定合同前,依据须要修改和补充本技术规范书,修改补充后的最终技术规范书将作为合同的附件。3 .2.5
9、乙方应对本文件内容进行严格地保密,未经甲方授权不得将此文件泄漏绐第三方,否则甲方有权追究乙方的责任。2.3 人员组织要求乙方需向甲方供应参与本项目工作人员具体名单及项目组组织结构,并附上核心项目人员简历,平安认证资质。所报项目组成员一旦确定,不能擅自更改。项目确定后,必需保证全部人员的到位和工作饱满,不允许项目人员在参与本项目过程中身兼其他项目工作。核心人员包括:项目经理、高级技术人员、关键岗位成员。2.4 保密要求项目过程中,乙方所收集、产生的全部本项目相关文档、资料,包括文字、图片、表格、数字等各种形式均归属甲方全部,乙方有义务对所涉及内容保密,乙方应需依据甲方要求签署保密协议。3项目描述
10、3.1 项目目标对黑龙江移动网络管理部通信网络单元进行符合性检查与风险风险评测,并提高各单位网络平安防护(符合性评测、风险评估)工作效果,包括资产识别、脆弱性识别、威逼识别、已有平安措施确认、风险分析,整改建议。通过对被检测网络单元进行信息风险评测,全面、完整地了解当前信息系统的平安状况,分析被测信息系统所面临的各种风险,依据测评结果发觉系统中存在的平安问题,并对严峻的问题提出相应的改进建议,达到以检测促平安的目的,实现重要信息系统的平安爱护等级监控与爱护的目的。3.2 项目应满意的原则项目的方案设计与具体实施应满意以下原则:最小影晌原则:工作应尽可能小的影响系统和网络的正常运行,不能对现网的
11、运行和业务的正常供应产生显著影响(包括系统性能明显下降、网络拥塞、服务中断,如无法避开出现这些状况应在应答书上具体描述);可控性原则:方法和过程要在双方认可的范围之内,平安服务的进度要依据进度表的支配,保证甲方对于服务工作的可控性;可行性原则:乙方提出的建设方案及平安服务内容应结合甲方现网状况及实际水平,是可以实际实施的;规范性原则:乙方工作中的过程和文档,应具有规范性,可以便于项目的跟踪和限制;保密原则:对过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害甲方的行为,否则甲方有权追究乙方的责任。甲方有权要求乙方在服务结束之后销毁全部和本项目有关的数据和文
12、档。3.3 项目内容依据工信部通信行业网络单元平安防护标准,对网络管理部二级及以上重要信息系统开展信息平安风险评估以及平安防护符合度测评工作,依据信息系统的重要程度明确的制定出相应的爱护措施,使之满意通信行业关于等级爱护不同级别的具体要求,对被测系统所涵置全部服务器、网络设备、平安设备、应用系统进行全面的信息平安测评和风险评测。增加信息系统平安的规范性和有效性,增加网络的抗攻击实力,以保证相关业务的正常运转,对社会的稳定发展起到主动的促进作用。测评工作分别从应用平安、网络平安、主机平安、数据平安与备份复原、平安管理制度、平安管理机构、人员平安管理、系统建设管理、系统运维管理等10个层面,对被测
13、系统开展信息平安等级爱护渗透测试工作,对检测过程中发觉的各类问题,给出相应的加固建议,出具等级爱护测评报告。(一)差距测评服务1、应用平安业务应用的中断状况,在维护或升级期间中断数据采集状况,业务数据的备份状况,应用系统的容灾备份状况等。2、网络平安包括:结构平安、访问限制、平安审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等。3、物理平安包括:物理位置的选择、物理访问限制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度限制、电力供应、电磁防护等。4.主机平安包括:身份鉴别、平安标记、访问限制、可信路径、平安审计、剩余信息爱护、入侵防范、恶意代码防范、资源限制等。5、数据
14、平安及备份复原包括:数据完整性、数据保密性、备份和复原等。6、平安管理制度包括:管理制度、制定和发布、评审和修订等。7、平安管理机构包括:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等。8、人员平安管理包括:人员录用、人员离岗、人员考核、平安意识教化和培训、外部人员访问管理等。9、系统建设管理包括:系统定级、平安方案设计、产品选购和运用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评、平安服务商选择等。10、平安运维管理包括:环境管理、资产管理、介质管理、设备管理、监控管理和平安管理中心、网络平安管理、系统平安管理、恶意代码防范管理、密码管理、变更管理、
15、备份与复原管理、平安事务处置、应急预案管理等。(二)风险评测服务1、网络平安性检测网络脆弱性检测主要包括网络结构及边界脆弱性检测、网络设备的脆弱性检测与网络平安设备的脆弱性检测。2、系统平安性检测系统脆弱性检测主要包括操作系统脆弱性检测、数据库脆弱性检测。3、应用平安性检测应用脆弱性检测主要包括:平安代码脆弱性检测、业务应用软件脆弱性检测与数据备份与复原。4、物理平安性检测物理脆弱性检测主要包括:环境脆弱性检测、设备脆弱性检测和存储介质脆弱性检测。5、平安管理评估管理平安性检测主要包括:管理机构、管理制度、人员管理、系统建设管理、系统运维管理等内容。6、平安基线检查平安基线检查主要参照中国移动
16、平安配置规范,对被测系统的全部主机、网络设备、数据库和中间件的平安配置进行检查,验证是否符合平安基线要求。7、平安漏洞扫描开展对被测重要信息系统涵盖的网络设备、系统服务器、管理终端、应用软件开展平安漏洞扫描工作,依据漏洞扫描结果开展漏洞分析汇总,提出合理性的加固建议。8、平安渗透检测依据网络脆弱性检测中发觉的脆弱点,模拟黑客攻击有重点的对其进行现场和远程渗透性测试与脸证,检验信息系统的抗攻击实力。3.4项目人员要求3.4.1 乙方应供应对于项目实施的具体人员支配和人员名单。其中进行现场评估时,乙方应派至少4名有4年以上工作阅历的平安高级工程师供应服务,并有1名固定的高级工程师在远程供应技术支持
17、要求项目实施责任落实到具体负责人;并供应组织结构,具体的人员名单、核心人员(包括但不限于:项目经理、现场实施人员、报告编制人。3.4.2 为做好此次信息平安检测工作,保证平安检测工作的顺当实施,高效率、高质量的完成,分别设立现场评估检测组和远程渗透测试组,成员及职责如下:(1)现场评估检测组负责现场风险评估工作的具体实施,开呈现场访谈、文档查阅、技术检测、报告撰写等工作。2)远程渗透测试组负责远程渗透测试工作的具体实施,通过互联网络模拟黑客行为对被检测系统供应的相关业务应用进行平安性测试及报告撰写等工作。3. 4.3乙方的项目成员中必需为本公司员工,严禁转包第三方厂商,同时在项目服务过程中未
18、经甲方,未经与甲方协商确认乙方不允许随意更换项目人员。3.5 平安服务整体要求1 .5.1本次技术服务项目须要的工作场地由甲方供应,乙方应具体描述须要的运行环境的具体要求。甲方有权对工作地点进行重新选择。3 .5.2合同期内由于工作须要,平安支持服务工作中乙方可能须要运用到的设备(如笔记本电脑、工作站、测试网络设备等)、平安扫描工具和操作系统软件等均由乙方供应。3.6 风险管理要求乙方应对项目实施阶段进行风险管理。1.项目启动前期:统一制定任务工作方案,对参与任务服务人员签订平安保密协议,设立统一接口人。2、项目进行阶段:各种电子资料有接口人干脆拷贝保存,不经过互联网,必要经过互联网的电子文档
19、必需进行加密处理,纸质文档由接口人保存,每份电子文档及纸质文档都要签署文档调阅清单;检测阶段的各种技术性工作必需严格遵循方案。网络、系统、应用上机检测必需由移动技术人员陪伴帮助,技术性操作,由乙方供应具体操作吩咐,经相关人员确认后,由技术人员实施。内网扫描工作,对重要生成服务的扫描时间必需放在业务空闲期,扫描期间移动网络、业务相关人员支配值守,若发觉问题,马上停止扫描工作,乙方人员协作移动工作人员调查问题缘由,待问题彻底解决后,在考虑是否重新启动扫描任务。渗透性测试任务(包括外网渗透和内网渗透),也必需在业务非繁忙期进行,并严格依据方案要求,严格限制对业务有影响的操作。3,项目结束阶段:纸质文
20、档依据文档调阅清单统一归还,电子文档由接口人同时上收后进行集中销毁。成果报告统一由接口人干脆上交移动接口人,不经过互联网,不经过第三方人员。4,风险应对:在进行远程渗透检测或其他风险评测时尽量不对系统造成任何负面影响。例如系统、应用异样,产生垃圾数据,数据紊乱等。一旦出现负面影响时将实行应对措施。3.7 交付成果和报告本次服务中产生的全部档案资料版权归甲方全部,乙方未经甲方允许的状况下,不能以任何形式向第三方供应平安技术文档的全部或部分内容。依据项目服务内容及检测范围,项目交付成果以报告文档的形式(电子和纸质两种形式)提交,具体交付文件如下所示:XKXX通信网络信息平安风险评估报告(Word)
21、和XXXX通信网络信息平安等级符合度测评报告(Word),以及项目总体发觉问题及整改建议汇报(ppt材料)。3.8 项目沟通机制乙方应针对本项目供应完善的沟通机制,以确保合作的顺畅无阻。乙方每月提交的工作月报,内容包括但不限于:总体工作进展、已发觉的平安隐患、将来一月工作支配(含人员支配)等。为便于整个项目的顺当进行,在服务期间甲乙双方须要建立例会制度,会议时间及地点由甲方依据项目实际状况支配,乙方需派项目相关人员参会,乙方参会人员需供应上次例会以来项目的进展状况、遇到的问题等内容。4项目验收本项目验收标准如下,不达到以下条件不予验收:1 .依据项目合同及技术规范书要求,完成要求的各项服务工作内容。2 .依据项目合同及技术规范书要求,提交各项要求文档、报告及相关技术方案。3 .乙方完成全部服务工作内容并提交相关文档给甲方后,由甲方组织召开项目验收会后进行项目验收。本技术规范书最终说明权归黑龙江移动全部。
免费区 
