安徽移动2016年支撑系统安全评估与加固服务技术规范书.doc

安徽移动安徽移动 2013 年支撑系统安全评估与加年支撑系统安全评估与加 固服务技术规范书固服务技术规范书 中国移动通信集团安徽有限公司中国移动通信集团安徽有限公司 二二一三年六月一三年六月 安徽移动 2013 年支撑系统安全评估与加固服务技术规范书 I 目目 录录 1总则总则.1 1.1概述1 1.2相关标准1 1.3技术建议书要求1 1.4规范书有关内容的澄清2 1.5甲方在任何时候保留和拥有对本文件的解释权2 1.6权利保护2 1.7报价范围2 1.8招标人保留对本规范书的解释和修改权。3 1.9规范要求满足3 1.10由乙方原因造成的工期延误，由乙方赔偿甲方的损失。3 2乙方技术建议书要求乙方技术建议书要求.4 2.1技术规范书点对点应答要求4 2.2乙方应在建议书中提供服务的详细说明，并说明工作量的计算方法、依据。4 2.3乙方应在建议书中详细提供：4 2.4乙方应在建议书中列出提供的书面技术资料详细清单。5 2.5乙方在建议书中应说明对服务开始时间、服务内容、时间进度等的安排。5 3项目概况项目概况.6 3.1根据集团要求，开展支撑系统第三方安全服务与安全加固服务工作6 3.2项目范围6 3.3时间要求10 3.4报价要求10 3.5服务应满足的原则10 3.6服务整体要求11 4安全服务技术要求安全服务技术要求.13 安徽移动 2013 年支撑系统安全评估与加固服务技术规范书 II 4.1安全审计服务13 4.1.1移动网络协议漏洞评估（下面仅为举例，实际评估不限于列举协议）13 4.1.2核心网元配置评估13 4.1.3网络接口/安全域评估.14 4.1.4业务滥用评估14 4.1.5综合应用层评估14 4.1.6网络系统体系架构安全分析15 4.1.7系统安全漏洞、安全配置合理性检查15 5安全加固整改建议服务技术要求安全加固整改建议服务技术要求.16 6项目进度要求项目进度要求.17 7验收标准验收标准.18 7.1成功案例说明18 7.2服务方资质要求19 7.3服务人员要求19 7.4罚款部分19 安徽移动 2013 年支撑系统安全评估与加固服务技术规范书 1 1 总总则则 1.1 概概述述 本文件为中国移动集团安徽有限公司（以下简称为甲方） “安徽移动支撑系统 2013 年信息安全服务技术规范书”。本规范书作为服务提供商(以下简称为乙方) 提供服务的规范要求。 1.2 相相关关标标准准 乙方所提供的所有服务及软件应符合技术标准的要求如下： （1）符合有关标准(如 ISO、IEEE、ITU-T、ETSI、IETF、OMA、3GPP 等) 的，乙方应在建议书中具体说明，并附上相应的详细技术资料。 （2）若乙方的服务包含自己的专用标准，应在建议书中具体说明，并附上相应 的详细技术资料。 （3）本文件中未给出，但 ISO、IEEE、ITU-T、ETSI、IETF、OMA、3GPP 等已有建议的相应系统设备性能和功能，乙方均应满足。 （4）遵循信息安全技术 信息安全评估规范 （GB/T20984-2007） ， 电信网 和互联网安全风险评估实施指南 （YD/T1730-2008） ， 中国移动网络与信息安 全风险评估管理办法 （5）由于电信业务的特殊性，评估过程需遵循 ITU-T X.805 / ISO/IEC 18028- 2 端到端通信系统安全架构进行。 （6）评估还应依据中国移动已经发布的各类配置规范进行。 1.3 技技术术建建议议书书要要求求 乙方提供的各项服务/工具应完全符合甲方指明的标准，并满足或高于甲方 指出的要求。对于本文件未规定的有关设备/服务要求，乙方应提出建议，并陈 安徽移动 2013 年支撑系统安全评估与加固服务技术规范书 2 述其理由。 1.4 规规范范书书有有关关内内容容的的澄澄清清 乙方对于规范书的疑问可以通过书面材料与甲方联系。在规定的建议书提 交最后期限以前，甲方将以书面材料给予答复，所有答复材料的复印件也将递 交至所有得到技术规范书的乙方。乙方对规范书的疑问，需在规定的建议书提 交最后期限 5 天前提出。 在技术谈判的各个阶段，甲方将以书面或邮件形式要求乙方对有关问题进 行进一步的技术澄清，乙方应以书面资料或邮件方式给予正式应答；所有各阶 段的技术澄清文件都将作为合同附件。 1.5 甲甲方方在在任任何何时时候候保保留留和和拥拥有有对对本本文文件件的的解解释释权权 甲方有权在签定合同前，根据需要修改和补充本技术规范书，修改补充后 的最终技术规范书将作为合同的附件。 1.6 权权利利保保护护 本文档所含的任何构思、设计、工艺及其他技术信息均属于安徽移动通信 有限责任公司所有，受中华人民共和国法律的保护。未经本公司书面同意，任 何单位和个人不得擅自摘抄、全部或部分复制本规范内容，或者以其他任何方 式使第三方知悉。 1.7 报报价价范范围围 本规范书对于服务、软硬件和环境等方面的要求所涉及的费用均包含在本 次招标的投标范围之内。如果投标人没有提供明确的报价，可以认为上述要求 所需要的费用由投标人免费提供。 安徽移动 2013 年支撑系统安全评估与加固服务技术规范书 3 1.8 招招标标人人保保留留对对本本规规范范书书的的解解释释和和修修改改权权。 1.9 规规范范要要求求满满足足 需要强调的是，乙方提供的推荐方案必须满足本规范书要求。如果届时由 于乙方提供的建议方案太低或功能不足等原因而不能满足本规范书需求，乙方 需无偿补足，并负全部责任。 1.10 由由乙乙方方原原因因造造成成的的工工期期延延误误，由由 乙乙方方赔赔偿偿甲甲方方 的的损损失失。 安徽移动 2013 年支撑系统安全评估与加固服务技术规范书 4 2 乙乙方方技技术术建建议议书书要要求求 2.1 技技术术规规范范书书点点对对点点应应答答要要求求 乙方的建议书中，要求对本规范书所提出各项要求进行逐条逐项答复、说 明和解释。首先对实现或满足程度明确作出“满足”、 “不满足”、 “部分满足”等应答， 然后作出具体、详细的说明和参见的章节。应答中“满足”表示本项目能够提供 相关功能和服务同时在服务及设备配置中已提供该功能，如果不是以上情况应 答为“部分满足或不满足”，并说明情况以及“不满足”部分相应的情况。不得使用 “明白”、 “理解”等词语。 2.2 乙乙方方应应在在建建议议书书中中提提供供服服 务务的的详详细细说说明明， 并并说说明明 工工作作量量的的计计算算方方法法、依依据据 。 2.3 乙乙方方应应在在建建议议书书中中详详细细提提供供： （1）服务方案：服务方法、流程、项目时间安排、实施人员简历等。 （2）设备安全审计工具的系统原理、系统功能特性和性能指标、软件的体系结 构及采用的关键技术和所具备的特点。 （3）资产安全评估的详细方案及实施步骤、人员职责分工、产出结果的详细说 明。 （4）系统风险安全评估的详细方案及实施步骤、人员职责分工、产出结果的详 细说明。 （5）基础安全加固的详细方案及实施步骤、人员职责分工、产出结果的详细说 明。 （6）渗透测试的详细方案及实施步骤、人员职责分工、产出结果的详细说明。 （7）协助“三同步”进行严格落地的详细方案及实施步骤、人员职责分工、产 安徽移动 2013 年支撑系统安全评估与加固服务技术规范书 5 出结果的详细说明。 （8）软件功能分类、功能模块、功能列表、功能描述以及软件和安装所在硬件 设备对照表。 （9）服务中所涉及的多方合作的分工界面。 （10）服务中所使用的各类工具的详细说明。 2.4 乙乙方方应应在在建建议议书书中中列列出出提提供供的的书书面面技技术术资资料料详详细细清清 单单。 2.5 乙乙方方在在建建议议书书中中应应说说明明对对 服服务务开开始始 时时间间、服服务务内内 容容、时时间间进进度度等等的的安安排排。 安徽移动 2013 年支撑系统安全评估与加固服务技术规范书 6 3 项项目目概概况况 3.1 根根据据集集团团要要求求，开开展展 支支撑撑系系统统第第三三方方 安安全全服服务务与与 安安全全加加固固 服服务务工工作作 为落实关于下发 2013 年业务支撑网安全工作指导意见的通知 （业通 2013 102 号）中“各公司每年必须聘请第三方专业机构对本省业务支撑系统 开展全面的安全评估与加固工作”的要求，提升支撑系统信息安全管理水平， 特申请开展支撑系统安全评估与加固服务。 3.2 项项目目范范围围 本项目服务包括支撑网非核心业务系统代码安全审计服务、全网安全防护 能力评测、风险评估、安全加固整改意见服务。 （一）具体范围如下： 项目覆盖业务支撑网和管理信息化网所有业务系统，主要包括但不限于： 中国移动网上营业厅安徽省公司网上营业厅 中国移动安徽省公司门户网站 安徽移动 BOSS 系统 安徽移动 CRM 系统 安徽移动 ITIL 系统 安徽移动客服系统 安徽移动 VGOP 系统 安徽移动 PBOSS 资源系统 安徽移动 PBOSS 非资源系统 安徽移动 2013 年支撑系统安全评估与加固服务技术规范书 7 安徽移动渠道运营管理系统 安徽移动稽核系统 安徽移动语音合成系统 安徽移动渠道经理平台 安徽移动开发测试平台 安徽移动需求管控平台 安徽移动传播资源管理平台 安徽移动自主开发平台分公司应用迁移系统 安徽移动投诉预处理 安徽移动积分 POS 系统 安徽移动结算管理平台 安徽移动统一运营管理平台 安徽移动营收稽核系统 安徽移动 NG 终端销售-自有卖场 安徽移动服务开通后台管理 安徽移动渠道经理运营平台 安徽移动 NGBOSS 终端管理 安徽移动 SMP 安全运营管理中心 安徽移动电子渠道运营管理平台 安徽移动统一门户 安徽移动 ESOP 平台 安徽移动 2013 年支撑系统安全评估与加固服务技术规范书 8 以上均为现网系统，主要涉及业务支撑系统和管理信息化系统面向内部用 户的应用平台，评估过程中一旦服务中断对业务影响很大，要求服务厂家对以 上网络和系统深刻理解，有以上系统的安全评估服务经验和加固经验，确保评 测活动的顺利开展。 业务支撑网和管理信息化网各类系统资源，包含但不限于以下资源：主机、 数据库、中间件、防火墙等，系统资源多为业内主流产品，如 HP-UNIX 服务器、 SUN solaris 平台服务器等，网络设备如思科、华为等产品，安全设备如 Nokia、华为防火墙等。 （二）服务范围 系统包括但不限于：中国移动网上营业厅安徽省公司网上营业厅、中国移 动安徽省公司门户网站、安徽移动 BOSS 系统、安徽移动 CRM 系统、安徽移动 ITIL 系统、安徽移动客服系统、安徽移动 VGOP 系统、安徽移动 PBOSS 资源系 统、安徽移动 PBOSS 非资源系统、安徽移动渠道运营管理系统、安徽移动稽核 系统、安徽移动语音合成系统、安徽移动渠道经理平台、安徽移动开发测试平 台、安徽移动需求管控平台、安徽移动传播资源管理平台、安徽移动自主开发 平台分公司应用迁移系统、安徽移动投诉预处理、安徽移动积分 POS 系统、安 徽移动结算管理平台、安徽移动统一运营管理平台、安徽移动营收稽核系统、 安徽移动 NG 终端销售-自有卖场、安徽移动服务开通后台管理、安徽移动渠道 经理运营平台、安徽移动 NGBOSS 终端管理、安徽移动 SMP 安全运营管理中心、 安徽移动电子渠道运营管理平台、安徽移动统一门户、安徽移动 ESOP 平台。 服务内容包含但不限于以下内容： 1、资产的安全评估：目前各类的系统资源和应用资源越来越多，如何有 效的进行安全管控，首先就必须要对所有的资产进行动态的安全评估。在划分 网络域的基础上，针对业务特性，结合客户敏感信息分类，对所有的系统资源 和应用资源进行安全登记划分，确定资产的安全属性，并在部门的应用建设中， 动态的进行调整管理，建立全面、可靠的资产安全评估体系。 安徽移动 2013 年支撑系统安全评估与加固服务技术规范书 9 2、安全风险评估：对业务支撑系统和管理信息化系统开展常规性、全面 的安全风险评估服务，确认核心应用、网络环境的威胁及风险处置情况，制定 全面的业务系统风险分析报告，并给出系统及网络环境加固方案，不断降低全 网的安全风险。 3、基础安全加固：定期的对全网所有的系统资源开展安全漏洞扫描和安 全基线检查，对发现的问题进行汇总并分配整改作业，跟踪后续的整改完成情 况。同时定期对业支和管信所有的应用开展循环的代码安全审计工作，而不仅 仅对部分系统开展代码安全审计工作，将代码安全审计作为一项常规安全作业 来执行，从源头保证应用系统开发安全质量。 4、渗透测试：定期对部门现网运行的业务系统进行渗透测试，通过专家 经验及专业工具，检验系统的安全性和可靠性，并协助开发厂商对发现的问题 提出解决方案，并对问题的整改进行确认，实现对代码安全问题“发现解决 确认”的闭环管理。 5、协助推动安全“三同步”的严格落地。在项目启动阶段主动参与项目的 安全评估，并检验相应的合规性安全文档是否满足要求，同时严格执行上线、 交维、重大变更等环节的应用安全检查和评估作业，确保安全监管落到实处。 乙方提供的服务应包含以上的所有内容，安排专人在现场开展相关服务工 作，并根据甲方需要动态调整以上服务的侧重点。 乙方对甲方提供的所有信息（包含但不限于：文档、拓扑图、资源列表、 设备信息、IP 地址分配信息等）、在服务期内产出的各类信息（包含但不限于： 代码信息、代码安全审计报告、风险评估报告、安全扫描报告、加固建议书、 项目安全评估文档等）应遵守严格的保密原则，通过相应的技术手段进行严格 的控制，未经甲方允许，不得导出、转存、引用及对外发布。 乙方针对甲方通信网安全防护能力评测服务应该遵循工信部网络单元安 全防护检测评分方法（试行）的要求进行网络单元的安全防护能力评测。 对于乙方发现的漏洞，应提供详细的漏洞利用操作步骤、方法及加固建议， 安徽移动 2013 年支撑系统安全评估与加固服务技术规范书 10 配合甲方督促业务系统厂家进行加固。合同期间乙方需按照甲方的工作安排进 行与本项目相关的调整工作及临时工作，具体要求由甲方负责提供，乙方予以 落实。 3.3 时时间间要要求求 本项目中所涉及的服务内容需在合同签订后实施，乙方要在 2013 年 12 月 31 日之前完成 3.2 项目范围项目范围覆盖的所有系统及配套设备的安全服务内容。具体 要求参见第第 6 项项 项目进度要求项目进度要求。 3.4 报报价价要要求求 乙方的报价书中，需明确提供各项服务安排在现场的人员数。 乙方的报价书中，需明确提供各服务内容所需要的人天数及计算方式。 3.5 服服务务应应满满足足的的原原则则 安徽移动安全评估与加固服务的方案设计与具体实施应满足以下原则： 保密原则：对服务的过程数据和结果数据严格保密，未经授权不得泄露给 任何单位和个人，不得利用此数据进行任何侵害需求方网络的行为，否则 需求方有权追究乙方的责任。 标准性原则：服务方案的设计与实施应依据国内或国际的相关标准进行； 规范性原则：服务提供商的工作中的过程和文档，具有严格的规范性，可 以便于项目的跟踪和控制； 可控性原则：服务用的工具、方法和过程要在双方认可的范围之内，服务 的进度要跟上进度表的安排，保证需求方对于服务工作的可控性； 整体性原则：服务的范围和内容应当整体全面，包括安全涉及的各个层面， 安徽移动 2013 年支撑系统安全评估与加固服务技术规范书 11 避免由于遗漏造成未来的安全隐患； 最小影响原则：服务工作应尽可能小的影响系统和网络的正常运行，不能 对现网的运行和业务的正常提供产生显著影响（包括系统性能明显下降、 网络拥塞、服务中断，如无法避免出现这些情况应在应答书上详细描述） ； 乙方应针对上述各项，在技术方案中落实诸原则各方面要求，并予以详细 解释。 3.6 服服务务整整体体要要求求 安全服务重点关注因为各系统存在的漏洞、威胁、攻击路径导致安徽移动 客户信息、计费、营销信息、内容信息泄露、篡改、非法传播的风险。特别需 要关注对互联网开放应用的业务系统安全保障。 甲方设置专门的项目组配合本次评估项目实施的整个过程。 乙方在服务期间，需安排符合要求的人员现场开展检查工作。 乙方应详细描述安徽移动支撑系统安全服务的整体方案，包括整体服务 安排、评估方法、人员组织、时间安排、阶段性文档提交和验收标准等。 乙方应详细描述评估过程中评估人员的组成及各自职责的划分。乙方应 配置有经验的评估人员进行本项目的评估工作，在应答文件中确定评估 组织架构和人员，明确指出在现场同时参与实施的人数，提供参与人员 的详细简历；未经与需求方协商确认乙方不允许随意更换；乙方应确保 选派高级咨询人员参与整个项目，确保项目的进度和质量。 本项目实施过程中所使用到的各种工具软件由乙方推荐，经甲方确认后 由乙方提供并在评估中使用。 评估工具软件运行可能需要的硬件平台（如笔记本电脑、PC、工作站等） 和操作系统软件等由乙方推荐，经甲方确认后由乙方提供并在评估中使 安徽移动 2013 年支撑系统安全评估与加固服务技术规范书 12 用。 评估需要的运行环境（如场地、网络环境等）由甲方提供，乙方应详细 描述甲方的运行环境的具体要求。 安徽移动 2013 年支撑系统安全评估与加固服务技术规范书 13 4 安安全全服服务务技技术术要要求求 该部分重点针对安徽移动各类系统，主动发现安全隐患及不符合相关规范 的问题，及时整改，防患未然。主要包括安全评估服务。 4.1 安安全全审审计计服服务务 乙方需对甲方服务系统提供代码安全审计服务。 该服务需严格参照信息安全技术 信息安全风险评估规范 （GB/T20984- 2007） 、 电信网和互联网安全风险评估实施指南 （YD/T1730-2008）以及 中国移动网络安全评估规范和中国移动各类系统安全配置规范执行； 防护能力测评按照工信部网络单元安全防护检测评分方法（试行） 要求 执行，风险评估服务主要包括： 4.1.1移移动动网网络络协协议议漏漏洞洞评评估估（下下面面仅仅为为举举例例，实实际际 评评估估不不限限于于列列举举协协议议） MMS 网络评估主要针对 MMS 业务系统的相关协议（MM1 WAP 协议、 MM3 SMTP/POP3 协议 MM7 的 SOAP 协议） ； 互联网交互协议（http/htts 协议） ； 4.1.2核核心心 网网元元配配置置评评估估 主要检查移动网元的核心配置方面是否存在安全隐患，其操作系统的安全 问题不在通信层面解决。其中包括的网元配置包括但不限于： NGBOSS 应用主机、门户/网厅应用服务器； 各类数据库、中间件等应用软件。 其中评估内容包括但不限于：容灾配置，数据库核心配置，主机安全数据 配置，终端用户数据配置，用户信息传输规则配置、COOKIES 配置、访问控制 安徽移动 2013 年支撑系统安全评估与加固服务技术规范书 14 配置、计费数据配置。 4.1.3网网络络接接口口 /安安全全域域评评估估 其中评估内容包括但不限于： 核心系统与外部应用进行数据交互的接口使用情况； 核心网络域间接口设置情况； 4.1.4业业务务滥滥用用评评估估 可针对以上范围内的通信网络评估是否存在以下但不限于的业务滥用情况 匿名删除用户上网信息； 短信网络滥用； 垃圾彩信、病毒彩信； 恶意订购； SQL 注入等 匿名删除用户上网信息 4.1.5综综合合应应用用层层评评估估 针对如基于 WEB 方式的业务是否存在缓冲区溢出，跨站脚本攻击，上传文 件分析等攻击，包含但不限于 应用系统测试 客户端测试 认证机制测试 会话管理机制测试 访问控制测试 输入校验测试 应用逻辑测试 安徽移动 2013 年支撑系统安全评估与加固服务技术规范书 15 4.1.6网网络络系系统统体体系系架架构构安安全全分分析析 乙方应对业务支撑、信息化网络与整体架构按照以下进行详细的分析。 网络整体体系架构设计的合理性与安全性分析； 系统边界的安全防护及访问控制措施强度分析； 系统入侵检测点的部署合理性分析； 系统网络监控的有效性分析； 系统与外界的通讯线路的冗余性分析； 系统关键设备设施的冗余性分析； 网络设备的有效性分析原则及方法。 4.1.7系系统统安安全全漏漏洞洞、安安全全配配置置合合理理性性检检查查 乙方应对项目范围内所涉及的所有服务器 OS、数据库、应用系统、网络设 备、PC 客户机等 IT 设备进行全面的安全漏洞、弱口令扫描，并提供详细的漏 洞描述、漏洞整改临时建议和补丁下载链接。乙方应使用业界通用知名漏洞扫 描工具。乙方应对检查出来的弱口令、高风险漏洞给业务系统管理员进行手工 验证，说明漏洞的危害性，同时避免设备扫描出现误报。 所有经过评估的系统在未经更改的情况下，在服务期内如接受第三方或甲所有经过评估的系统在未经更改的情况下，在服务期内如接受第三方或甲 方进行的其它安全评估时不得出现未经确认的系统漏洞，并且所有经过评估的方进行的其它安全评估时不得出现未经确认的系统漏洞，并且所有经过评估的 系统不能低于系统不能低于通信网络安全防护管理办法通信网络安全防护管理办法 （工信部第（工信部第 11 号令）所规定的安号令）所规定的安 全标准，不得出现按照工信部标准进行检查未发现的安全隐患全标准，不得出现按照工信部标准进行检查未发现的安全隐患，同时确保安全，同时确保安全 评估和加固过的系统通过集团、工信部等各级主管部门组织的各类检查。评估和加固过的系统通过集团、工信部等各级主管部门组织的各类检查。 安徽移动 2013 年支撑系统安全评估与加固服务技术规范书 16 5 安安全全加加固固整整改改 建建议议服服务务技技术术要要求求 乙方需向甲方提供所评估系统的安全加固建议服务。 具体要求如下： a)乙方应根据甲方要求提供详细的系统安全风险评估报告，根据安 全评估报告结合自身搜集和整理的安全风险状况，提供详细的安 全加固实施方案。加固方案应当说明加固过程对服务和性能的影 响程度及存在的风险。加固实施技术方案应包括具体的整体加固 工作步骤、加固方法、应急回退方法等内容。 b)安全加固建议必须按照分层的原则，包括但不限于以下对象：网 络服务、主机系统、应用系统、数据库安全、安全系统、系统安 全策略等。 安徽移动 2013 年支撑系统安全评估与加固服务技术规范书 17 6 项项目目进进度度要要求求 乙方应在技术建议书中提交项目经理、技术负责人、项目组成员名单（包 括工作分工）以及上述人员的简历。 乙方应在技术建议书中提交详细的项目组织及实施计划；并且提交从合同 签订之日起的周工作进度安排。 项目具体时间要求为： 从合同签订之日起至 2013 年 8 月 31 日，应完成一次安徽移动业务支撑网 和管理信息化网的资产安全评估服务。 从合同签订之日起至 2013 年 12 月 31 日，乙方根据甲方提供的应用系统 清单，每 2 个月完成一次全应用的安全风险评估服务。 合同签订之日起至 2013 年 12 月 31 日，每月完成 1 次安徽移动网上营业 厅和安徽移动门户网站的安全渗透测试服务。 合同签订之日起至 2013 年 12 月 31 日，乙方根据甲方提供的应用系统清 单，对所有的应用完成 1 次渗透测试服务。 合同签订之日起至 2013 年 12 月 31 日，乙方根据甲方提供的系统资源清 单，每月完成 1 次业务支撑网和管理信息化网的基础安全加固服务。 合同签订之日起至 2013 年 12 月 31 日，乙方根据甲方提供的项目建设清 单，每月不定期的开展项目安全评审和在建项目的安全合规性检查服务。 本文的最终解释权归需求方（中国移动通信集团安徽有限公司） ，需求方有 权根据中国移动集团公司的最新规定进行项目工作要求的调整。 安徽移动 2013 年支撑系统安全评估与加固服务技术规范书 18 7 验验收收标标准准 本项目验收主要依据以乙方提供的服务输出物（报告、过程文档等）是否 完备、文档质量等几个方面。 对各阶段工作的结果进行综合分析，形成安徽移动要求的综合分析报告及 其他报告。这也是安全加固服务的最后阶段，将由安徽移动组织相关人员进行 评审和验收，在整个过程中，服务提供方项目组将进行全力配合。 这一阶段将按照安徽移动的要求，本服务内容输出结果包含且不限于以下 文档内容： 系统代码安全审计报告：主要对系统代码安全审计发现的问题进行报 告，并针对发现的问题，逐一给出具体的解决方案和可行的加固建议。 系统安全防护能力与风险评估书：主要包括对系统风险的分析、会引 起的风险。报告中应指出的各种漏洞，应当详细描述漏洞的利用方法和危害程 度，并对该系统的安全防护能力进行打分。 系统安全加固建议书：每个系统安全加固服务前提供，包括对系统风 险的分析、拟执行的安全加固操作建议，优化后的安全水平说明、安全加固设 备的清单、需要调整的网络拓扑系统清单和拓扑图。 安徽移动支撑网代码安全审计服务（含安全评估）工作内容汇报（汇报 材料） 本项目评估中发现的问题应该有理有据，具体以得到加固厂家、设备厂家 的认可为准，需各方签字确认。 7.1 成成功功案案例例说说明明 服务方提供方自身需具有丰富 ISMS 信息安全管理体系建设实践经验，能 深刻理解电信业务及运营模式，服务提供方应列举近三年在运营商有代表性的 安全服务成功案例（包括安全管理体系、安全运维体系、安全技术服务、数据 安徽移动 2013 年支撑系统安全评估与加固服务技术规范书 19 业务安全、流程安全梳理等） ，并提供项目的联系人、联系方式、历史考核成绩， 包括手机、邮箱以便于审核、确认。 7.2 服服务务方方资资质质要要求求 本项目服务提供方须具备： 国家信息安全测评安全服务的资质 通信网络安全服务能力的资质 7.3 服服务务人人员员要要求求 1、本项目中涉及所有工作内容要求应答方派遣的安全专家与实施人员必须 具备安全方面的资质认证（如 CISA、CISP、CISSP、IISO27001 LA 等） ，且有 三年以上信息安全相关工作经验； 2、应答方必须保证本项目中所有工作内容所涉及人员的稳定性。在合同 生效期间，相关服务内容所涉及人员变动须提前 10 天知会需求方；项目成员必 须为本公司员工，如果应答方进行人员更换，更换的人员必须达到合同规定的 资质要求，否则需求方有权采取相应的处罚措施。 7.4 罚罚款款部部分分 在下列情况下，若甲方不能认可的，乙方应承担责任，具体赔偿方式及数 额双方另行约定： 1) 乙方在合同约定的时间内不能完成合同约定的计划，应提前做出书面解 释，经甲方认可，工期做适当顺延； 2)由于乙方评估未能发现的信息安全漏洞导致甲方被集团通告，或者发生 重大安全事件。 安徽移动 2013 年支撑系统安全评估与加固服务技术规范书 20 以下是附加文档，不需要以下是附加文档，不需要 的朋友下载后删除，谢谢的朋友下载后删除，谢谢 顶岗实习总结专题顶岗实习总结专题 1313 篇篇 第一篇第一篇: :顶岗实习总结顶岗实习总结 为了进一步巩固理论知识，将理论与实践有机地结合起来，按照 学校的计划要求，本人进行了为期个月的顶岗实习。这个月里的时 间里，经过我个人的实践和努力学习，在同事们的指导和帮助下， 对村的概况和村委会有了一定的了解，对村村委会的日常工作及内 部制度有了初步的认识，同时，在与其他工作人员交谈过程中学到 了许多难能可贵经验和知识。通过这次实践，使我对村委会实务有 所了解，也为我今后的顺利工作打下了良好的基础。 一、实习工作情况一、实习工作情况 村是一个（此处可添加一些你实习的那个村和村委会的介绍）我 到村村委会后，先了解了村的发展史以及村委会各个机构的设置情 况，村委会的规模、人员数量等，做一些力所能及的工作，帮忙清 理卫生，做一些后勤工作；再了解村的文化历史，认识了一些同事， 村委会给我安排了一个特定的指导人；然后在村委会学习了解其他 人员工作情况，实习期间我努力将自己在学校所学的理论知识向实 安徽移动 2013 年支撑系统安全评估与加固服务技术规范书 21 践方面转化，尽量做到理论与实践相结合。在实习期间我遵守了工 作纪律，不迟到、不早退，认真完成领导交办的工作。 我在村委会主要是负责管理日常信件的工作，这个工作看似轻松， 却是责任重大，来不得办点马虎。一封信件没有及时收发，很有可 能造成工作的失误、严重的甚至会造成巨大的经济损失。很感谢村 委会对我这个实习生的信任，委派了如此重要的工作给我。在实习 过程中，在信件收发管理上，我一直亲力亲为，片刻都不敢马虎。 为了做好信件的管理工作，我请教村委会的老同事、上网查阅相 关资料，整理出了一套信函管理的具体方法。每次邮递员送来的信 件，我都要亲自检查有无开封、损坏的函件，如果发现有损坏的函 件，我马上联络接收人亲自来查收。需要到邮局领取的函件，我都 亲自到邮局领取，并把信函分别发放到每个收件人的手里。对于收 到的所有信函，我都分门别类的登记，标注好收发人的单位、姓名 还有来函日期等等。我对工作的认真负责，受到了村委会领导和同 事们的一致好评，在他们的鼓励下，我的工作干劲更足了。 在工作之余，我还经常去村民家里，帮助他们做一些我力所能及 的事情，也让我收获了很多知识，学会了许多技能。我学会了一些 常见农作物的生长特征，也学会了怎么给农作物施肥，洒药。这些， 都将是我今后人生道路上的宝贵财富。 安徽移动 2013 年支撑系统安全评估与加固服务技术规范书 22 短短个月的实习生活很快就过去了，这次实习是我从学校踏入社 会的第一步。在这里，我感受到了村民们的纯朴，也体会到了农村 生活的不易，更加深刻的认识到了作为当代大学生身上肩负的使命。 在这次实习生活中，村委会的叔叔、阿姨们对我十分的照顾，在工 作中，在生活上都给予了我很多的帮助，也对我寄予了很高的期望。 通过这次实习，锻炼了我的做事能力，养成了对人对事的责任心， 也坚定了我加强学习，提升自我价值的信心。 二、发现的问题和建议二、发现的问题和建议 在此次在村村委会顶岗实习的工作中，确实让我学到了不少书本 以外的知识，同时我也发现了不少问题。 第一，该村村委会的工作人员文化水平相对偏低，在村务工作的 处理上，方式方法比较粗放。 第二，村委会工作人员思想比较守旧，缺乏对新事物、新观念的 学习和认识。 第三，村委会的现代化办公水平还比较低，虽然配备了电脑等现 代化办公工具，但是实际的利用程度很低。 第四，村委会人员由于不是国家编制，工作人员的工作热情和工 作态度不是很积极。 三、实习的心得体会三、实习的心得体会 安徽移动 2013 年支撑系统安全评估与加固服务技术规范书 23 刚开始去村村委会实习的时候，我的心情充满了激动、兴奋、期 盼、喜悦。我相信，只要我认真学习，好好把握，做好每一件事， 实习肯定会有成绩。但后来很多东西看似简单，其实要做好它很不 容易。通过实践我深有感触，实习期虽然很短，却使我懂得了很多。 不仅是进行了一次良好的校外实习 本文来自公务员之家，查看正文请使用公务员之家站内搜索查看 正文。 第二篇第二篇: :会计顶岗实习工作总结会计顶岗实习工作总结 从我踏进实习单位的那一刻起，我就知道我将经历一段特殊的不 平凡的并且充满收获的人生旅程，那旅程必定在我的生命中写下浓 墨重彩的一笔，必定会在我的生命中留下绚烂多彩的回忆，必定会 给我带来生命中无与伦比的财富。 一、实习目的一、实习目的 毕业实习是我们大学期间的最后一门课程,不知不觉我们的大学 时光就要结束了,在这个时候,我们非常希望通过实践来检验自己掌 握的知识的正确性。在这个时候，我来到圣鹿源生物科技股份有限 公司在这里进行我的毕业实习。 二、实习内容及过程二、实习内容及过程 安徽移动 2013 年支撑系统安全评估与加固服务技术规范书 24 为了达到毕业实习的预期目的。在学校与社会这个承前启后的实 习环节，我们对自己、对工作有了更具体的认识和客观的评价。在 整个的实习工程中,我总共做了以下的一些工作,同时自己的能力也 得到了相应的提高。 1.工作能力。在实习过程中，积极肯干，虚心好学、工作认真负 责，胜任单位所交给我的工作，并提出一些合理化建议，多做实际 工作，为企业的效益和发展做出贡献。 2.实习方式。在实习单位，师傅指导我的日常实习，以双重身份 完成学习与工作两重任务。向单位员工一样上下班，完成单位工作； 又以学生身份虚心学习，努力汲取实践知识。 3.实习收获。主要有四个方面。一是通过直接参与企业的运作过 程，学到了实践知识，同时进一步加深了对理论知识的理解，使理 论与实践知识都有所提高，圆满地完成了教学的实践任务。二是提 高了实际工作能力，为就业和将来的工作取得了一些宝贵的实践经 验。三是在实习单位受到认可并促成就业 本文来自公务员之家，查看正文请使用公务员之家站内搜索查看 正文。 第三篇第三篇: :工厂车间顶岗实习总结工厂车间顶岗实习总结 我怀着激动的心情踏上了期待已久的顶岗实习之路，当我坐上离 开学校的的班车那一刻起，我就知道我将经历一段特殊的不平凡的 安徽移动 2013 年支撑系统安全评估与加固服务技术规范书 25 并且收获的人生旅程，那旅程必定在我的生命中写下浓墨重彩的一 笔，必定会在我的生命中留下绚烂多彩的回忆，并定会给我带来生 命中无与伦比的财富。那时候对自己的未来希，希在那里能大展拳 脚，实现自己的抱负。那时候想的是多么多么的好啊，直到此刻我 才觉得我当时是那么的幼稚，不可能你刚出来什么都没有就让你做 好的岗位。 是的，顶岗实习的生活是艰辛的挑战的。当我们来到实习点面对 一间间产房和一条条流水线时，很多人后悔为什么当初选择了到海 信科龙顶岗实习，但是我想说，这是我所预料到的，这也是我想要 的，我知道人只有在艰苦的环境中才能磨练出坚强的意志，我也知 道吃得苦中苦，方为人上认得道理，我自然还不是人上人，但是我 相信在这个世界上每一个人都渴成功，都渴自己有限的生命能创造 出的价值，都渴为更多的人做出自己能做的一切，都渴在看来你的 生命无可，我自然也比例外。我知道我的实习之路还刚刚开始，我 要经历的还有很多。到啦海信科龙之后，尽管他们很就帮我们把食 宿解决啦，但那里生活习惯和在湖南的时候相差太大，吃的很不习 惯。对我们湖南人来说菜里面没有一点辣椒是吃不下的，因此在那 里的时候开始一段时间都只是吃一点点饭，很快身材就“苗条”啦。 我的实习岗位被分配在总装车间箱发组，面对一台台发好泡的冰 箱从自己流过，而我的工作就是和这些冰箱打交道。我在这里做的 安徽移动 2013 年支撑系统安全评估与加固服务技术规范书 26 装冰箱的托板，是将托板固定在冰箱上，这个岗位说难也不难，就 是要你记得哪种型号的冰箱用哪种托板，要不要带电容，是几微法 的电容。要分清楚，不能弄错，不然会导致以后的环节出错，冰箱 制冷时有可能电容会发爆炸。所以这个一定要很认真的做，不能粗 心大意，害别人帮你善后。 带我的师傅是一个个中专生，开始时我觉得做这个很简单，不用 学，一看就会，做是会做，不过不是最省力的方法，就那么做啦一 天，做得很累，后来，我看师傅做看他做的很轻松很快，我就在想 为什么我不行呢，难到是我不如他，我知道我不是只是我不够虚心， 不想学，看不起这个岗位，是我的态度，既然找到的根本原因，那 就好解决啦。后来，仔细看师傅的动作，怎么最省力，怎么最舒服。 并且不懂的地方虚心讨叫那些老员工。就这样到我正式独立上岗时， 我也像我师傅那样独立上岗啦，并不用要人帮忙啦。 就这样一直到今年，我把我那条的岗位都学会啦，并且我自己也 当师傅啦，而且是带三个徒弟，分别教他们不同的岗位该怎么做， 开始当别人师傅时我觉得很好玩，终于不用自己做啦，可以徒弟来 做啦，就这样想，所以当徒弟一来时，我就给他做啦，当时我是舒 服啦，不过后来就不是那么的啦，我没有认真的教他们 本文来自公务员之家，查看正文请使用公务员之家站内搜索查看 正文。 安徽移动 2013 年支撑系统安全评估与加固服务技术规范书 27 第四篇第四篇: :师范系中学顶岗实习总结师范系中学顶岗实习总结 大一的时候就知道大三的上学期学校有顶岗实习活动，也知道这 个机会对于我们师范生来说很难得，所以我毅然地选择了顶岗。不 知道顶岗的生活会是怎样，学校怎么样，学生好不好管，会是收获 满满还是不如不曾经历过，一切都充满疑惑。曾经问过师哥师姐， 答案却是相差甚大，一切都是未知数。可转眼间，实习已接近尾声， 中学是一个小社会，是大社会的一个缩影，顶岗实习是大学步入社 会的一个缩影，是大学进入社会的一个过渡。在这为期半年的实习 中，我们有最初的迷茫、紧张、陌生到现在的习惯、大方自然，工 作、生活看似单调，但是，不论从刚开始的听课，到后来的讲课， 参加班级管理，我们都受益匪浅：不在懒床，不再拖拉，多了责任， 多了经验，也收获了幸福。 从脚步迈入二中这所学校大门开始，我就知道自己已经不仅仅是 一个大学生了，我现在是一个老师，我要以老师的身份来完成这半 年的实习生涯。另外在这里,学校的领导和老师都给了我很多帮助。 学校完全把我们这些顶岗实习生看成正式老师,无论哪一方面都更正 式老师一样,没有区别。这对我们这些实习生来说实在是一次难得的 锻炼的机会。另外，学校还专门为我们配有指导老师。他们无论在 教学技能和教学经验上都能给我们很多指导和帮助。使我们在教学 这条路上少走弯路。每个礼拜我们的指导老师都会来听我们的课。 每一次准备的过程都是在不断的进步。而我们每个礼拜也会去听指 安徽移动 2013 年支撑系统安全评估与加固服务技术规范书 28 导老师的课，从他们身上，我们能够看到自己的不足，使自己在教 学实际中扬长避短。 初为人师，总是有些紧张。我带着羞涩与忐忑抱着课本和教案走 上讲台时，尽管我做了很多准备，但当我真正面对那么多双眼睛时， 我还是紧张了。同学们，现在开始上课。我机械得重复了在台下不 知念了多少遍的开场白。然而，这句话说完，下句该说什么呢？突 然间我的脑袋一片空白，只能感觉到有十几双眼睛正齐刷刷地盯着 我，让我感到十分地不自在。短暂的犹豫之后，我剩下来的只有微 笑，因为我想起了那句话：微笑是法宝。这时学生也对着我微笑， 看着他们那一张张稚气的面孔，我所有的紧张都在这一瞬间消失了， 透过那一双双澄清的眼睛，我也似乎读到了那一颗颗纯净的心。等 我大汗淋漓的走下讲台，我知道我已成功地走出第一步。从此以后， 我便穿梭于讲台与办公室之间。 刚来到这里，对于我们最重要的就是身份的变换，我们不在是天 天由老师管理的学生了，我们变成老师了，我们不但要处理好自己 的事情，还要管理好孩子，特别是作为班主任，一切的工作都显得 那么细致入微，因为这里是县城，大部分来自乡村的孩子都住宿， 所以教师又充当着另一种身份家长。初为人师，总是有些紧张。 我带着羞涩与忐忑抱着课本和教案走上讲台时，尽管我做了很多准 备，但当我真正面对那么多双眼睛时，我还是紧张了。同学们，现 在开始上课。我机械得重复了在台下不知念了多少遍的开场白。然 安徽移动 2013 年支撑系统安全评估与加固服务技术规范书 29 而，这句话说完，下句该说什么呢？突然间我的脑袋一片空白，只 能感觉到有十几双眼睛正齐刷刷地盯着我，让我感到十分地不自在。 短暂的犹豫之后，我剩下来的只有微笑，因为我想起了那句话 本文来自公务员之家，查看正文请使用公务员之家站内搜索查看 正文。 第五篇第五篇: :初中教师顶岗实习教学总结初中教师顶岗实习教学总结 选择顶岗实习是我从上大一就决定了的事情，如今实习已经结束， 回想这四个多月的经历发现自己收获了很多。顶岗生活丰富多彩也 充满了酸甜苦辣。但是选择它我无悔。下面我对自己的顶岗生活进 行一个小小的总结。 一、自信登讲台，紧张不再来一、自信登讲台，紧张不再来 清楚地记得初登讲台是面对 80 多双眼睛自己内心的忐忑不安， 当时感觉自己做自我介绍是声音都在打颤，后来不断给自己加油打 气，慢慢的可以自信的站在讲台上，自然流畅地给他们上每一节课。 我想这是每一位初登讲台者必然要经历的一个过程。在这一过程中 我由一名学生转变为一名教师，开始肩负更多的责任。 二、掌握重难点，清晰理思路二、掌握重难点，清晰理思路 一直都听说讲课是一门艺术，老师是演员，他们在课堂上扮演形 形色色的角色。初登讲台的我们对教材不熟悉，不能够很好的掌握 安徽移动 2013 年支撑系统安全评估与加固服务技术规范书 30 每课的重点难点，为了更好的掌握教材我不断的向指导老师请教， 刚开始每将一节课之前我都会问指导老师自己备课是否合适，听他 的意见。还经常邀请指导老师听我讲课，让他给我指出自己讲课过 程中的缺点和不足，刚开始的时候老师的最多的一点就是每节课重 点不突出，在经过一次次的锻炼后老师对我说现在已经能很好的把 握一节课的重点难点了。听了这些话我明白自己有进步了一点。 三、板书不发愁三、板书不发愁 上课的过程中板书是不可或缺的，由于在实习之前我没有很好的 练板书以至于刚开始时都搞不清楚 本文来自公务员之家，查看正文请使用公务员之家站内搜索查看 正文。 第六篇第六篇: :大学生顶岗实习总结大学生顶岗实习总结 一、实习目的一、实习目的 顶岗实习是我们大学期间的最重要的一门课程，不知不觉我们已 经走过大半大学时光，在这个时候，我们非常希望通过实践来检验 自己掌握的知识的正确性。在这个时候，我来到电机限公司，在这 里进行我的顶岗实习。 二、实习单位及岗位介绍二、实习单位及岗位介绍 安徽移动 2013 年支撑系统安全评估与加固服务技术规范书 31 电机有限公司，地处市区经济圈的中心地带，交通便捷，地理位 置优越，是集研发、生产、销售、服务为一体的高新科技企业。公 司多年来集中有限资源、充分挖掘出了自身的比较竞争优势，通过 观念创新、技术创新、服务创新来保证企业高速发展。主要生产电 子零部件、计算机外围设备、电子机械设备，音频调谐器、视频调 谐器、调制解调器、电源器件、发送接收模块、光盘驱动器等。主 要产品全部出口，为市优秀外商投资企业。 三、实习内容及过程三、实习内容及过程 为了达到毕业实习的预期目的，在学校与社会这个承前启后的实 习环节，我们对自己、对工作有了更具体的认识和客观的评价。以 下是我的毕业实习报告总结： 1、工作能力：在实习过程中，积极肯干，虚心好学、工作认真 负责，胜任单位所交给我的工作，并提出一些合理化建议，多做实 际工作，为企业的效益和发展做出贡献。 2.实习方式：在实习单位，师傅指导我的日常实习，以双重身份 完成学习与工作两重任务 本文来自公务员之家，查看正文请使用公务员之家站内搜索查看 正文。 第七篇第七篇: :师范专业中学顶岗实习总结师范专业中学顶岗实习总结 安徽移动 2013 年支撑系统安全评估与加固服务技术规范书 32 青春如岁月，似流水。岁月和流水却像饭卡里的钱弹指间就挥霍 尽了。在人生的岔路口徘徊，想搭上青春的最后一班列车。回首平 庸的过往动觉惭愧不堪。 大学四年的生活已经过半，记忆中还是一无所留，生活更多的时 候是一潭死水，每一天生活只是对前一天的不