安徽移动支撑系统安全评估与加固服务技术规范书

安徽移动2023年支撑系统安全评估与加固服务技术规范书中国移动通信集团安徽有限公司六月目录1 总则 11.1 概述 11.2 相关标准 11.3 技术建议书规定 11.4 规范书有关内容的澄清 21.5 甲方在任何时候保存和拥有对本文献的解释权 21.6 权利保护 21.7 报价范围 21.8 招标人保存对本规范书的解释和修改权。 31.9 规范规定满足 31.10 由乙方因素导致的工期延误，由乙方补偿甲方的损失。 32 乙方技术建议书规定 42.1 技术规范书点对点应答规定 42.2 乙方应在建议书中提供服务的具体说明，并说明工作量的计算方法、依据。 42.3 乙方应在建议书中具体提供： 42.4 乙方应在建议书中列出提供的书面技术资料具体清单。 52.5 乙方在建议书中应说明对服务开始时间、服务内容、时间进度等的安排。 53 项目概况 63.1 根据集团规定，开展支撑系统第三方安全服务与安全加固服务工作 63.2 项目范围 63.3 时间规定 103.4 报价规定 103.5 服务应满足的原则 103.6 服务整体规定 114 安全服务技术规定 134.1 安全审计服务 134.1.1 移动网络协议漏洞评估（下面仅为举例，实际评估不限于列举协议） 134.1.2 核心网元配置评估 134.1.3 网络接口/安全域评估 144.1.4 业务滥用评估 144.1.5 综合应用层评估 144.1.6 网络系统体系架构安全分析 154.1.7 系统安全漏洞、安全配置合理性检查 155 安全加固整改建议服务技术规定 166 项目进度规定 177 验收标准 187.1 成功案例说明 187.2 服务方资质规定 197.3 服务人员规定 197.4 罚款部分 19总则概述本文献为中国移动集团安徽有限公司（以下简称为甲方）“安徽移动支撑系统2023年信息安全服务技术规范书”。本规范书作为服务提供商(以下简称为乙方)提供服务的规范规定。相关标准乙方所提供的所有服务及软件应符合技术标准的规定如下：（1）符合有关标准(如ISO、IEEE、ITU-T、ETSI、IETF、OMA、3GPP等)的，乙方应在建议书中具体说明，并附上相应的具体技术资料。（2）若乙方的服务包含自己的专用标准，应在建议书中具体说明，并附上相应的具体技术资料。（3）本文献中未给出，但ISO、IEEE、ITU-T、ETSI、IETF、OMA、3GPP等已有建议的相应系统设备性能和功能，乙方均应满足。（4）遵循《信息安全技术信息安全评估规范》（GB/T20984-2023），《电信网和互联网安全风险评估实行指南》（YD/T1730-2023），《中国移动网络与信息安全风险评估管理办法》（5）由于电信业务的特殊性，评估过程需遵循ITU-TX.805/ISO/IEC18028-2端到端通信系统安全架构进行。（6）评估还应依据中国移动已经发布的各类配置规范进行。技术建议书规定乙方提供的各项服务/工具应完全符合甲方指明的标准，并满足或高于甲方指出的规定。对于本文献未规定的有关设备/服务规定，乙方应提出建议，并陈述其理由。规范书有关内容的澄清乙方对于规范书的疑问可以通过书面材料与甲方联系。在规定的建议书提交最后期限以前，甲方将以书面材料给予答复，所有答复材料的复印件也将递交至所有得到技术规范书的乙方。乙方对规范书的疑问，需在规定的建议书提交最后期限5天前提出。在技术谈判的各个阶段，甲方将以书面或邮件形式规定乙方对有关问题进行进一步的技术澄清，乙方应以书面资料或邮件方式给予正式应答；所有各阶段的技术澄清文献都将作为协议附件。甲方在任何时候保存和拥有对本文献的解释权甲方有权在签定协议前，根据需要修改和补充本技术规范书，修改补充后的最终技术规范书将作为协议的附件。权利保护本文档所含的任何构思、设计、工艺及其他技术信息均属于安徽移动通信有限责任公司所有，受中华人民共和国法律的保护。未经本公司书面批准，任何单位和个人不得擅自摘抄、所有或部分复制本规范内容，或者以其他任何方式使第三方知悉。报价范围本规范书对于服务、软硬件和环境等方面的规定所涉及的费用均包含在本次招标的投标范围之内。假如投标人没有提供明确的报价，可以认为上述规定所需要的费用由投标人免费提供。招标人保存对本规范书的解释和修改权。规范规定满足需要强调的是，乙方提供的推荐方案必须满足本规范书规定。假如届时由于乙方提供的建议方案太低或功能局限性等因素而不能满足本规范书需求，乙方需无偿补足，并负所有责任。由乙方因素导致的工期延误，由乙方补偿甲方的损失。乙方技术建议书规定技术规范书点对点应答规定乙方的建议书中，规定对本规范书所提出各项规定进行逐条逐项答复、说明和解释。一方面对实现或满足限度明确作出“满足”、“不满足”、“部分满足”等应答，然后作出具体、具体的说明和参见的章节。应答中“满足”表达本项目可以提供相关功能和服务同时在服务及设备配置中已提供该功能，假如不是以上情况应答为“部分满足或不满足”，并说明情况以及“不满足”部分相应的情况。不得使用“明白”、“理解”等词语。乙方应在建议书中提供服务的具体说明，并说明工作量的计算方法、依据。乙方应在建议书中具体提供：（1）服务方案：服务方法、流程、项目时间安排、实行人员简历等。（2）设备安全审计工具的系统原理、系统功能特性和性能指标、软件的体系结构及采用的关键技术和所具有的特点。（3）资产安全评估的具体方案及实行环节、人员职责分工、产出结果的具体说明。（4）系统风险安全评估的具体方案及实行环节、人员职责分工、产出结果的具体说明。（5）基础安全加固的具体方案及实行环节、人员职责分工、产出结果的具体说明。（6）渗透测试的具体方案及实行环节、人员职责分工、产出结果的具体说明。（7）协助“三同步”进行严格落地的具体方案及实行环节、人员职责分工、产出结果的具体说明。（8）软件功能分类、功能模块、功能列表、功能描述以及软件和安装所在硬件设备对照表。（9）服务中所涉及的多方合作的分工界面。（10）服务中所使用的各类工具的具体说明。乙方应在建议书中列出提供的书面技术资料具体清单。乙方在建议书中应说明对服务开始时间、服务内容、时间进度等的安排。项目概况根据集团规定，开展支撑系统第三方安全服务与安全加固服务工作为贯彻《关于下发2023年业务支撑网安全工作指导意见的告知》（业通[2023]102号）中“各公司每年必须聘请第三方专业机构对本省业务支撑系统开展全面的安全评估与加固工作”的规定，提高支撑系统信息安全管理水平，特申请开展支撑系统安全评估与加固服务。项目范围本项目服务涉及支撑网非核心业务系统代码安全审计服务、全网安全防护能力评测、风险评估、安全加固整改意见服务。（一）具体范围如下：项目覆盖业务支撑网和管理信息化网所有业务系统，重要涉及但不限于：中国移动网上营业厅安徽省公司网上营业厅中国移动安徽省公司门户网站安徽移动BOSS系统安徽移动CRM系统安徽移动ITIL系统安徽移动客服系统安徽移动VGOP系统安徽移动PBOSS资源系统安徽移动PBOSS非资源系统安徽移动渠道运营管理系统安徽移动稽核系统安徽移动语音合成系统安徽移动渠道经理平台安徽移动开发测试平台安徽移动需求管控平台安徽移动传播资源管理平台安徽移动自主开发平台分公司应用迁移系统安徽移动投诉预解决安徽移动积分POS系统安徽移动结算管理平台安徽移动统一运营管理平台安徽移动营收稽核系统安徽移动NG终端销售-自有卖场安徽移动服务开通后台管理安徽移动渠道经理运营平台安徽移动NGBOSS终端管理安徽移动SMP安全运营管理中心安徽移动电子渠道运营管理平台安徽移动统一门户安徽移动ESOP平台以上均为现网系统，重要涉及业务支撑系统和管理信息化系统面向内部用户的应用平台，评估过程中一旦服务中断对业务影响很大，规定服务厂家对以上网络和系统深刻理解，有以上系统的安全评估服务经验和加固经验，保证评测活动的顺利开展。业务支撑网和管理信息化网各类系统资源，包含但不限于以下资源：主机、数据库、中间件、防火墙等，系统资源多为业内主流产品，如HP-UNIX服务器、SUNsolaris平台服务器等，网络设备如思科、华为等产品，安全设备如Nokia、华为防火墙等。（二）服务范围系统涉及但不限于：中国移动网上营业厅安徽省公司网上营业厅、中国移动安徽省公司门户网站、安徽移动BOSS系统、安徽移动CRM系统、安徽移动ITIL系统、安徽移动客服系统、安徽移动VGOP系统、安徽移动PBOSS资源系统、安徽移动PBOSS非资源系统、安徽移动渠道运营管理系统、安徽移动稽核系统、安徽移动语音合成系统、安徽移动渠道经理平台、安徽移动开发测试平台、安徽移动需求管控平台、安徽移动传播资源管理平台、安徽移动自主开发平台分公司应用迁移系统、安徽移动投诉预解决、安徽移动积分POS系统、安徽移动结算管理平台、安徽移动统一运营管理平台、安徽移动营收稽核系统、安徽移动NG终端销售-自有卖场、安徽移动服务开通后台管理、安徽移动渠道经理运营平台、安徽移动NGBOSS终端管理、安徽移动SMP安全运营管理中心、安徽移动电子渠道运营管理平台、安徽移动统一门户、安徽移动ESOP平台。服务内容包含但不限于以下内容：1、资产的安全评估：目前各类的系统资源和应用资源越来越多，如何有效的进行安全管控，一方面就必须要对所有的资产进行动态的安全评估。在划分网络域的基础上，针对业务特性，结合客户敏感信息分类，对所有的系统资源和应用资源进行安全登记划分，拟定资产的安全属性，并在部门的应用建设中，动态的进行调整管理，建立全面、可靠的资产安全评估体系。2、安全风险评估：对业务支撑系统和管理信息化系统开展常规性、全面的安全风险评估服务，确认核心应用、网络环境的威胁及风险处置情况，制定全面的业务系统风险分析报告，并给出系统及网络环境加固方案，不断减少全网的安全风险。3、基础安全加固：定期的对全网所有的系统资源开展安全漏洞扫描和安全基线检查，对发现的问题进行汇总并分派整改作业，跟踪后续的整改完毕情况。同时定期对业支和管信所有的应用开展循环的代码安全审计工作，而不仅仅对部分系统开展代码安全审计工作，将代码安全审计作为一项常规安全作业来执行，从源头保证应用系统开发安全质量。4、渗透测试：定期对部门现网运营的业务系统进行渗透测试，通过专家经验及专业工具，检查系统的安全性和可靠性，并协助开发厂商对发现的问题提出解决方案，并对问题的整改善行确认，实现对代码安全问题“发现解决确认”的闭环管理。5、协助推动安全“三同步”的严格落地。在项目启动阶段积极参与项目的安全评估，并检查相应的合规性安全文档是否满足规定，同时严格执行上线、交维、重大变更等环节的应用安全检查和评估作业，保证安全监管落到实处。乙方提供的服务应包含以上的所有内容，安排专人在现场开展相关服务工作，并根据甲方需要动态调整以上服务的侧重点。乙方对甲方提供的所有信息（包含但不限于：文档、拓扑图、资源列表、设备信息、IP地址分派信息等）、在服务期内产出的各类信息（包含但不限于：代码信息、代码安全审计报告、风险评估报告、安全扫描报告、加固建议书、项目安全评估文档等）应遵守严格的保密原则，通过相应的技术手段进行严格的控制，未经甲方允许，不得导出、转存、引用及对外发布。乙方针对甲方通信网安全防护能力评测服务应当遵循工信部《网络单元安全防护检测评分方法（试行）》的规定进行网络单元的安全防护能力评测。对于乙方发现的漏洞，应提供具体的漏洞运用操作环节、方法及加固建议，配合甲方督促业务系统厂家进行加固。协议期间乙方需按照甲方的工作安排进行与本项目相关的调整工作及临时工作，具体规定由甲方负责提供，乙方予以贯彻。时间规定本项目中所涉及的服务内容需在协议签订后实行，乙方要在2023年12月31日之前完毕3.2项目范围覆盖的所有系统及配套设备的安全服务内容。具体规定参见第6项项目进度规定。报价规定乙方的报价书中，需明确提供各项服务安排在现场的人员数。乙方的报价书中，需明确提供各服务内容所需要的人天数及计算方式。服务应满足的原则安徽移动安全评估与加固服务的方案设计与具体实行应满足以下原则：保密原则：对服务的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得运用此数据进行任何侵害需求方网络的行为，否则需求方有权追究乙方的责任。标准性原则：服务方案的设计与实行应依据国内或国际的相关标准进行；规范性原则：服务提供商的工作中的过程和文档，具有严格的规范性，可以便于项目的跟踪和控制；可控性原则：服务用的工具、方法和过程要在双方认可的范围之内，服务的进度要跟上进度表的安排，保证需求方对于服务工作的可控性；整体性原则：服务的范围和内容应当整体全面，涉及安全涉及的各个层面，避免由于漏掉导致未来的安全隐患；最小影响原则：服务工作应尽也许小的影响系统和网络的正常运营，不能对现网的运营和业务的正常提供产生显著影响（涉及系统性能明显下降、网络拥塞、服务中断，如无法避免出现这些情况应在应答书上具体描述）；乙方应针对上述各项，在技术方案中贯彻诸原则各方面规定，并予以具体解释。服务整体规定安全服务重点关注由于各系统存在的漏洞、威胁、袭击途径导致安徽移动客户信息、计费、营销信息、内容信息泄露、篡改、非法传播的风险。特别需要关注对互联网开放应用的业务系统安全保障。甲方设立专门的项目组配合本次评估项目实行的整个过程。乙方在服务期间，需安排符合规定的人员现场开展检查工作。乙方应具体描述安徽移动支撑系统安全服务的整体方案，涉及整体服务安排、评估方法、人员组织、时间安排、阶段性文档提交和验收标准等。乙方应具体描述评估过程中评估人员的组成及各自职责的划分。乙方应配置有经验的评估人员进行本项目的评估工作，在应答文献中拟定评估组织架构和人员，明确指出在现场同时参与实行的人数，提供参与人员的具体简历；未经与需求方协商确认乙方不允许随意更换；乙方应保证选派高级征询人员参与整个项目，保证项目的进度和质量。本项目实行过程中所使用到的各种工具软件由乙方推荐，经甲方确认后由乙方提供并在评估中使用。评估工具软件运营也许需要的硬件平台（如笔记本电脑、PC、工作站等）和操作系统软件等由乙方推荐，经甲方确认后由乙方提供并在评估中使用。评估需要的运营环境（如场地、网络环境等）由甲方提供，乙方应具体描述甲方的运营环境的具体规定。安全服务技术规定该部分重点针对安徽移动各类系统，积极发现安全隐患及不符合相关规范的问题，及时整改，防患未然。重要涉及安全评估服务。安全审计服务乙方需对甲方服务系统提供代码安全审计服务。该服务需严格参照《信息安全技术信息安全风险评估规范》（GB/T20984-2023）、《电信网和互联网安全风险评估实行指南》（YD/T1730-2023）以及《中国移动网络安全评估规范》和中国移动各类系统安全配置规范执行；防护能力测评按照工信部《网络单元安全防护检测评分方法（试行）》规定执行，风险评估服务重要涉及：移动网络协议漏洞评估（下面仅为举例，实际评估不限于列举协议）MMS网络评估重要针对MMS业务系统的相关协议（MM1WAP协议、MM3SMTP/POP3协议MM7的SOAP协议）；互联网交互协议（http/htts协议）；核心网元配置评估重要检查移动网元的核心配置方面是否存在安全隐患，其操作系统的安全问题不在通信层面解决。其中涉及的网元配置涉及但不限于：NGBOSS应用主机、门户/网厅应用服务器；各类数据库、中间件等应用软件。其中评估内容涉及但不限于：容灾配置，数据库核心配置，主机安全数据配置，终端用户数据配置，用户信息传输规则配置、COOKIES配置、访问控制配置、计费数据配置。网络接口/安全域评估其中评估内容涉及但不限于：核心系统与外部应用进行数据交互的接口使用情况；核心网络域间接口设立情况；业务滥用评估可针对以上范围内的通信网络评估是否存在以下但不限于的业务滥用情况匿名删除用户上网信息；短信网络滥用；垃圾彩信、病毒彩信；恶意订购；SQL注入等匿名删除用户上网信息综合应用层评估针对如基于WEB方式的业务是否存在缓冲区溢出，跨站脚本袭击，上传文献分析等袭击，包含但不限于应用系统测试客户端测试认证机制测试会话管理机制测试访问控制测试输入校验测试应用逻辑测试网络系统体系架构安全分析乙方应对业务支撑、信息化网络与整体架构按照以下进行具体的分析。网络整体体系架构设计的合理性与安全性分析；系统边界的安全防护及访问控制措施强度分析；系统入侵检测点的部署合理性分析；系统网络监控的有效性分析；系统与外界的通讯线路的冗余性分析；系统关键设备设施的冗余性分析；网络设备的有效性分析原则及方法。系统安全漏洞、安全配置合理性检查乙方应对项目范围内所涉及的所有服务器OS、数据库、应用系统、网络设备、PC客户机等IT设备进行全面的安全漏洞、弱口令扫描，并提供具体的漏洞描述、漏洞整改临时建议和补丁下载链接。乙方应使用业界通用知名漏洞扫描工具。乙方应对检查出来的弱口令、高风险漏洞给业务系统管理员进行手工验证，说明漏洞的危害性，同时避免设备扫描出现误报。所有通过评估的系统在未经更改的情况下，在服务期内如接受第三方或甲方进行的其它安全评估时不得出现未经确认的系统漏洞，并且所有通过评估的系统不能低于《通信网络安全防护管理办法》（工信部第11号令）所规定的安全标准，不得出现按照工信部标准进行检查未发现的安全隐患，同时保证安全评估和加固过的系统通过集团、工信部等各级主管部门组织的各类检查。安全加固整改建议服务技术规定乙方需向甲方提供所评估系统的安全加固建议服务。具体规定如下：乙方应根据甲方规定提供具体的系统安全风险评估报告，根据安全评估报告结合自身搜集和整理的安全风险状况，提供具体的安全加固实行方案。加固方案应当说明加固过程对服务和性能的影响限度及存在的风险。加固实行技术方案应涉及具体的整体加固工作环节、加固方法、应急回退方法等内容。安全加固建议必须按照分层的原则，涉及但不限于以下对象：网络服务、主机系统、应用系统、数据库安全、安全系统、系统安全策略等。项目进度规定乙方应在技术建议书中提交项目经理、技术负责人、项目组成员名单（涉及工作分工）以及上述人员的简历。乙方应在技术建议书中提交具体的项目组织及实行计划；并且提交从协议签订之日起的周工作进度安排。项目具体时间规定为：从协议签订之日起至2023年8月31日，应完毕一次安徽移动业务支撑网和管理信息化网的资产安全评估服务。从协议签订之日起至2023年12月31日，乙方根据甲方提供的应用系统清单，每2个月完毕一次全应用的安全风险评估服务。协议签订之日起至2023年12月31日，每月完毕1次安徽移动网上营业厅和安徽移动门户网站的安全渗透测试服务。协议签订之日起至2023年12月31日，乙方根据甲方提供的应用系统清单，对所有的应用完毕1次渗透测试服务。协议签订之日起至2023年12月31日，乙方根据甲方提供的系统资源清单，每月完毕1次业务支撑网和管理信息化网的基础安全加固服务。协议签订之日起至2023年12月31日，乙方根据甲方提供的项目建设清单，每月不定期的开展项目安全评审和在建项目的安全合规性检查服务。本文的最终解释权归需求方（中国移动通信集团安徽有限公司），需求方有权根据中国移动集团公司的最新规定进行项目工作规定的调整。验收标准本项目