信息系统部安全评估技术支撑服务技术规范书

信息系统部安全评估技术支撑服务技术规范书/r/n/r/nPAGE/r/n11/r/n//r/nNUMPAGES/r/n11/r/n信息系统部/r/n安全/r/n评估/r/n技术支撑/r/n服务技术规范书/r/n

/r/n一/r/n、/r/n总/r/n体要求/r/n1、/r/n总述/r/n1.1/r/n本规范书是中国移动通信集团黑龙江有限公司（以下简称买方）向为拟进行黑龙江移动/r/n信息系统/r/n部/r/n安全/r/n评估技术支撑/r/n服务项目服务供货商（以下简称卖方）提出的规范书。/r/n1.2卖方如不能满足本规范书中所提到的各项技术要求及业务功能指标，应在建议书中明确提出，否则即认为卖方能够按本文件要求提供服务。/r/n1.3本规范书主要提供黑龙江移动/r/n信息系统/r/n部/r/n安全/r/n评估技术支撑服务/r/n的总体要求，供卖方编写技术建议书。在满足买方的总体技术要求的情况下，卖方可征得买方的同意，提出适当的修改建议，并陈述理由。若卖方认为买方的技术要求尚不明确或有漏项的地方，请详细加以说明并经双方商定。对规范书内容的澄清及修改将由买方以电子邮件形式发送所有得到规范书的厂家。/r/n1.4中国移动通信集团公司颁发的有关技术规定和行业标准是本规范书不可分割的部分。本规范书未提到的部分应遵从信息产业及工业化部相关文件之规定。/r/n1.5买方有权在签订合同前，根据需要修改本规范书，修改后的最终稿将作为合同附件。在技术谈判的过程中，本文件的有关要求可能出现改动，买方保留对本规范书的解释和修改权。本规范书的修改和解释权属于中国移动通信集团黑龙江有限公司。/r/n1.6本技术规范书的文档按版本化管理。在技术谈判过程中不断充实内容，进行版本升级。/r/n1.7卖方如不能满足本规范书中的要求，需要详细说明原因。/r/n2、技术建议书的文件要求/r/n黑龙江省移动/r/n信息系统/r/n部/r/n安全/r/n评估技术支撑服务/r/n建议书至少要对维护服务工作有重要影响的方面做详细说明，包括但不限于下述项目：/r/n（1/r/n）漏洞扫描服务/r/n（2/r/n）配置检查服务/r/n（3/r/n）应急响应服务/r/n（/r/n4/r/n）人员配置情况/r/n(5)/r/n代码安全与应用安全/r/n(6)/r/n/r/n安全加固服务/r/n(7)/r/n木马检测/r/n(/r/n8)/r/n/r/n项目组织实施技术及管理/r/n(9)/r/n部分/r/n服务报告/r/n/r/n/r/n/r/n1)《XXXX安全评估实施方案》/r/n2)《XXXX安全评估报告》,。/r/n3)《XXXX业务系统安全加固实施方案与加固手册》/r/n4)《XX系统渗透测试报告》/r/n/r/n/r/n卖方应至少提供下列内容：/r/n（1）卖方的背景资料介绍：包括公司成立时间、成立地点、注册资金、经营范围、企业类型、雇员总数、本地区雇员总数、本地办事机构类型、人员组成、相关资质等，其他需要说明的情况等。/r/n（2）卖方成功实施的与本项目相关服务案例，卖方需提供项目合同或中标通知书文件作为证明材料，并具体说/r/n明案例的项目名称，项目周期，/r/n合同金额/r/n等详细的项目信息/r/n。/r/n（3）卖方服务能力描述，卖方需提供主要技术人员的能力资质证明材料、服务过程、质量把控机制与流程。/r/n（4）卖方的各项服务工作方案详细描述，包括服务方法、流程、交付等内容。/r/n3、/r/n保密条款/r/n任何一方未经另一方同意不得向任何第三方透露本文档内容，双方一致同意任何一方在任何时候对其持有的有关另一方的事务或其事务运转操作方法等保密信息实行严格保密。除非有信息提供方书面许可，任何一方不得在任何时间向本协议以外的任何第三方披露或提供保密信息（包括但不限于：任何信息提供方不欲公开的观点、发现、发明、公式、程序、计划、图表、模型、参数、数据、标准和专有技术秘密，和/或其中的任何知识产权）的任何内容（本协议另有约定的除外）。除非有信息提供方的书面指示，任何一方不得对保密信息进行拷贝或抄写。/r/n二/r/n、技术规范书点对点应答要求/r/n卖方的建议书中，要求对本规范书所提出各项要求进行逐条逐项答复、说明和解释。首先对实现或满足程度明确做出“满足”/r/n、/r/n“不满足”/r/n、/r/n“部分满足”应答，/r/n对于答/r/n“满足”/r/n项/r/n，/r/n均应分项具体详细描述/r/n；/r/n对于答/r/n“不满足”、“部分满足”内容应做出具体、详细的/r/n原因/r/n说明/r/n，以及/r/n满足技术规范书要求的时限/r/n等/r/n；不应采用参见xx节或xx页的方式作为应答。否则，该条应答将视为不能被满足。/r/n三/r/n、服务基本要求/r/n服务的主要目的是通过对/r/n买方/r/n设备系统定期/r/n漏洞扫描与评估等预防性工作/r/n，/r/n了解系统的安全情况，/r/n提高设备系统的/r/n安全性/r/n。/r/n卖方公司及服务工程师要求如下:/r/n01.在中华人民共和国注册的独立法人且注册资金在500万元及以上；/r/n02.一般纳税人;/r/n03.应答厂商具备ISO9001质量管理体系认证证书(原件);/r/n04.近三年（2014-2016年）具备息安全服务和代码审计类服务案例；/r/n05.原厂商需具备中国通信企业协会颁发的通信网络安全服务能力评定证书;如为代理商还需具备针对本项目的唯一授权书；/r/n06./r/n原厂商/r/n中国信息安全认证中心颁发“通信网络安全服务能力评定证书（风险评估类）二级”/r/n/r/n如为代理商还需具备针对本项目的唯一授权书；/r/n四/r/n、/r/n服务具体内容/r/n1、/r/n服务内容与频率/r/n服务内容/r/n周期与频率/r/n检查/r/n安全入侵情况/r/n周/r/n//r/n/r/n52/r/n次/r/n漏洞扫描/r/n月/r/n/12/r/n次/r/n配置检查/r/n月/r/n/12/r/n次/r/n安全加固/r/n月/r/n/12/r/n次/r/n安全通告/r/n月/r/n/12/r/n次/r/n安全预警/r/n按需/r/n应急响应/r/n按需/r/n迎检自查/r/n按需/r/n技术支持/r/n按需/r/n2、具体服务/r/n要求/r/n（1）/r/n漏洞/r/n扫描/r/n服务/r/n卖方/r/n需使用/r/n2/r/n种工具对客户指定信息系统的服务器、网络设备/r/n、网站等/r/n进行/r/n系统和/r/nWEB/r/n漏洞/r/n扫描，并提供/r/n漏洞扫描报告，以使管理员明确掌握信息系统资产所存在的安全漏洞情况，/r/n同时对扫描出的问题进行分类归纳，并提供解决建议。/r/n卖方/r/n需/r/n在技术建议书中/r/n对漏洞扫描的工作流程、方法有详细的说明，/r/n以及/r/n对于漏洞扫描过程中可能存在的风险以及风险的规避措施要有明确的说明。/r/n（2/r/n）配置检查/r/n服务/r/n /r/n卖方/r/n通过采用统一的安全配置标准来规范技术人员在各类系统上的/r/n配置/r/n操作。基线配置核查以业务系统自身网元设备的安全功能的完善和改造为主，包括各类操作系统、网络设备、数据库和中间件的账号、密码、审计策略等安全配置要求，并对不符合标准的配置项提供操作建议。/r/n卖方/r/n参照的基线标准文件应符合/r/n移动/r/n集团的要求。为降低配置检查过程中人为的误操作，/r/n卖方/r/n需采用市场主流的商业化工具提供/r/n该项/r/n服务。/r/n安全加固/r/n服务/r/n卖方/r/n需/r/n通过安全加固技术手段提高操作系统、网络设备的安全性和抗攻击能力，增强/r/n黑龙江移动/r/n系统的抗攻击性。定期的安全评估和安全加固服务使信息系统保持在一个较高的安全水平之上。安全加固工作要在安全评估工作完成后执行。/r/n卖方/r/n技术专家根据前期/r/n漏洞扫描/r/n与配置检查/r/n报告，针对高/r/n中风险漏洞/r/n(根据CVE标准定义)/r/n和不符合配置项/r/n为/r/n买方/r/n提供可操作的安全加固操作方案以及安全优化建议。同时需要/r/n卖方/r/n技术人员协助并指导/r/n买方/r/n及/r/n系统/r/n集成厂商人员对网络设备、服务器及WEB应用进行安全加固操作。对于由业务环境原因无法进行修补的漏洞，提出相应的规避建议，同时登记在遗留问题记录中，以备后续查找和参考。/r/n（/r/n4/r/n）/r/n安全通告服务/r/n服务周期内卖方/r/n须/r/n每月/r/n为买方/r/n提供最新的安全信息/r/n，/r/n内容包括但不局限以下内容/r/n：/r/n1/r/n）/r/n最新的安全漏洞信息/r/n2/r/n）/r/n行业安全事件动态信息/r/n3/r/n）/r/n0/r/nday系统漏洞、网络攻击等事件信息及解决办法/r/n（/r/n5/r/n）/r/n安全预警/r/n服务/r/n在互联网出现影响范围大、破坏力强、可利用程度高的安全漏洞时，卖方需在12小时内通过邮件、电话或形式通知买方。通知的内容至少应包括漏洞的形成原因、影响范围、检测方法、处理措施等并结合实际情况协助买方在买方得到通知后24小时内制定IT系统评估计方案、漏洞检查方案及漏洞修复方案。/r/n应急响应/r/n服务/r/n服务期内/r/n卖方/r/n安排相对固定的技术专家和具备运营商行/r/n业运维经验/r/n的技术人员，为黑龙江省电信提供应急响应支持服务，包括并不限于提供远程安全支持和现场安全支持，判断事件类型，协助技术人员及业务厂商人员进行安全事件分析处理，对发现的问题提出解决方案并及时处理降低影响。/r/n卖方/r/n需对事件的分级/r/n、/r/n响应的事件/r/n、/r/n处理时间/r/n、应急响应/r/n的流程/r/n、/r/n方法有详细的说明/r/n。响应时间在两个小时以内，/r/n并在应急响应处理结束后/r/n24小时内提供应急响应报告，报告内详细描述事件的原因和处理过程。/r/n（/r/n7/r/n）/r/n迎检自查/r/n针对移动/r/n集团及工信部等上级管理部门开展的安全检查工作，提前为黑龙江/r/n移动/r/n提供检查前的部门内部安全自查服务，提供专业评估设备以及专业的安/r/n全技术人员，配合进行内部检查及安全整改，满足应对上级部门的安全检查要求。/r/n木马检测/r/n、肉鸡/r/n检测/r/n检查/r/n信息/r/n系统/r/n部维护/r/n的网站，/r/nWEB页面是否已经存在网页挂马，提供检查方案。包括：/r/nIframe/r/n框架挂马、JS文件挂马、JS变形挂马、body挂马、/r/ncss/r/n挂/r/n马、/r/nJavascript/r/n挂马、/r/nWebShell/r/n。/r/n代码安全与应用安全/r/n现在互联网安全越来越往非网络层往应用层偏移，其中90%漏洞都是存在于非网络层，而是在应用层。包含且/r/n不限于/r/n以下/r/n大妈安全/r/n跨站脚本；/r/n/r/nSQL/r/n注入；/r/n/r/n系统信息泄露；/r/n/r/n程序中存在密码硬编码；/r/n/r/n拒绝服务攻击；/r/n/r/n/r/n系统资源无法释放；/r/n/r/n信任边界模糊；/r/n/r/n工具支持的其他测试内容/r/n（/r/n9/r/n）/r/n现场技术支持服务/r/n卖方应提供本地化服务和技术支持，/r/n且/r/n具备完善的服务支撑流程管理体系/r/n。主要工作包括：/r/n1/r/n）/r/n买方技术性咨询/r/n，/r/n卖方/r/n工程师至少应在24小时内给予答复/r/n，最终答复不应/r/n多/r/n于5个/r/n自然日/r/n。/r/n2/r/n）/r/n安全设备故障/r/n及/r/n安全策略失效的/r/n一般性安全事件/r/n，卖方/r/n工程师应在10分钟内给予/r/n买方/r/n确认并进入受理环节。/r/n五、网络及网络信息安全保障/r/n现场服务人员需遵守买方制定的各项信息安全保密制度，人员入场前需与卖方签署保密协议并提交买方备案，现场服务人员各项工作需依据《黑龙江移动业务支撑系统网络与信息安全管理办法》中“合作伙伴安全管理”章节中的相关规定开展。/r/n在/r/n本服务/r/n项目实施过程中，必须要保证网络的安全与稳定，买方内部机密信息完整，网络安全保障是其它服务要求的前提，需详细描述在维护服务过程中，对网络安全方面采取的保障措施及方法。/r/n六/r/n、培训/r/n为提交/r/n信息系统部的/r/n安全/r/n技术/r/n水平/r/n，为/r/n信息/r/n系统部/r/n提供/r/n1/r/n0/r/n人天/r/n的技术培训/r/n，提供/r/nCISP、CISSP/r/n等专业/r/n安全课程/r/n或/r/n相关网络安全培训/r/n。/r/n七/r/n、/r/n维护质量考核/r/n维护服务考核周期分为季度考核和年度考核。季度/r/n考核/r/n是维护/r/n服务考核/r/n的/r/n基础周期，/r/n是及时/r/n发现维护服务/r/n工作/r/n中存在问题和隐患/r/n、/r/n进行整改的基础/r/n。/r/n季度/r/n考/r/n核/r/n作为衡量/r/n各/r/n维护/r/n厂商/r/n每季度维护/r/n服务质量/r/n的/r/n依据/r/n。年度/r/n考核/r/n是/r/n对维护/r/n厂商/r/n年度服务结果/r/n的/r/n总体考核/r/n，/r/n年度考核成绩/r/n取/r/n各季度考核成绩的平均值。/r/n维护/r/n服务/r/n季度/r/n考核内容/r/n包括基础管理/r/n考核、/r/n维护/r/n质量考核/r/n，维护/r/n服务年度考核内容/r/n在季度/r/n考核/r/n内容/r/n基础上增加扣分项和加分项。/r/n1/r/n）/r/n基础管理考核/r/n内容/r/n包括/r/n维护/r/n厂商/r/n资质/r/n管理、/r/n文档/r/n管理、设备软件管理、/r/n应急/r/n通信保障管理/r/n、人员/r/n管理/r/n等/r/n方面。/r/n/r/n=1\*GB3/r/n/r/n①/r/n资质/r/n管理：/r/n维护厂商资质管理是维护服务工作开展的前提，应包括维护厂商资质、人员数量、人员资质和技术支持服务体系资质等。人员变更需提前一个月通知/r/n信息系统部/r/n，并提供至少同等技术水平的替代人员，新增人员需经过/r/n信息系统部/r/n组织的考试认证后方可纳入维护人员队伍。维护厂商必须做好维护人员稳定工作，/r/n信息系统部/r/n应对维护人员流失率进行考核。/r/n/r/n=2\*GB3/r/n/r/n②/r/n/r/n文档管理：维护/r/n厂商/r/n应做好技术资料和维护原始记录数据的收集管理，并做好归类存档，定期做好各类报表和报告的编制和上报工作。/r/n/r/n=3\*GB3/r/n/r/n③/r/n/r/n设备软件/r/n管理：/r/n维护/r/n厂商/r/n应/r/n提供/r/n维护/r/n设备/r/n软件/r/n，并/r/n做好设备软件更新管理工作。/r/n/r/n=4\*GB3/r/n/r/n④/r/n/r/n应急/r/n通信保障管理：/r/n维护厂商应提供应急保障团队联系方式，制定应急保障预案，重大节假日和重大活动前提供应急团队值班表。按应急预案配备相关资源，应急保障队伍要服从/r/n信息系统部/r/n的统一指挥和调度。/r/n⑤/r/n/r/n人员管理：维护厂商驻场人员需遵照/r/n信息系统部/r/n工作时间要求，确保出勤率。驻场人员应具备相关资质认证，具备独立维护和现场处理故障能力，每年需通过/r/n信息系统部/r/n技术水平考核。/r/n2/r/n）/r/n维护质量考核/r/n内容/r/n包括日常/r/n服务/r/n质量、/r/n故障处理/r/n服务质量/r/n等/r/n。/r/n/r/n=1\*GB3/r/n/r/n①/r/n日常服务：巡检服务是IT设备稳定运行的基本保障手段，维护厂商应编制定期维护作业计划，提交/r/n信息系统部/r/n审核通过后严格执行；/r/n每月提交/r/n标准格式的巡检报告和检测分析报告；遇到故障事件时应及时向/r/n信息系统部/r/n提交故障修复申请。/r/n/r/n=2\*GB3/r/n/r/n②/r/n/r/n故障处理服务是指当/r/n信息系统部/r/n系统出现故障时，相应维护厂商根据实际情况采取合适高效的措施快速恢复业务，包括必要时的现场操作，并在此之后尽快制定和实施相应方案消除相关故障隐患。/r/n/r/n=3\*GB3/r/n/r/n③/r/n业务/r/n恢复/r/n时限/r/n定义/r/n：从接到故障通知，到通过实施解决方案/替代方法/r/n将现网业务/r/n恢复到发生故障前的状态。如果故障必须现场解决，在相关业务恢复时限基础上增加双方协商认可的路途时间。/r/n/r/n=4\*GB3/r/n/r/n④/r/n清除/r/n故障/r/n问题/r/n时限定义：/r/n从接到故障处理服务请求，到通过实施解决方案将此系统故障清除的时间。对于平台软件故障，维护厂商需要同/r/n信息系统/r/n部/r/n维护/r/n人员确认，并明确提供软件补丁所需时间；对于平台硬件故障，维护厂商需要同/r/n信息系统/r/n部/r/n维护/r/n人员确认，并明确硬件到货及更换所需时间。/r/n3/r/n）扣分项：/r/n主要包括安全生产事故和其它影响到中国移动的事件。扣分条件包括但不限于下述情况：维护厂商在维护过程中未遵照安全生产条例规范操作，发生安全生产事故的扣/r/n2/r/n分；发生人员伤亡安全责任事故的扣/r/n5/r/n分；发生严重违约行为的扣/r/n10/r/n分；因维护厂商原因导致重大IT系统故障的扣/r/n5/r/n分；因维护厂商维护不当导致的大面积投诉扣/r/n5/r/n分；因维护厂商原因发生媒体曝光事件、影响到我公司的劳资纠纷的扣/r/n10/r/n分；发生代/r/n维人员/r/n偷盗通信设备的扣/r/n10/r/n分；维护厂商人为阻挠考核人员进行现场检查或者采取欺骗、作弊等手段误导考核结果致使维护考核工作无法正常开展的扣/r/n10/r/n分。/r/n厂商服务人员未遵照或履行《黑龙江移动/r/n信息系统部/r/n网络与信息安全管理办法》中“合作伙伴安全管理”章节中的各项规定和义务的，视情节严重扣除5至20分，其中未引发安全事件的每发生一次扣5分，引发安全事件未造成严重后果的每发生一次扣10分，引发安全事件造成业务中断、信息泄露等严重后果的每发生一次扣20分。/r/n4/r/n）/r/n加分项/r/n：/r/n对于积极开展创新工作，技术创新、合理化建议取得显著效果；在应急通信保障方面做出重要贡献的，受到省公司通报表扬的；参加集团或省公司组织的技术竞赛，获得名次的；承担省市公司专项工作和课题，成绩突出以及工作配合表现突出的，酌情给予加分。/r/n5/r/n）/r/n季度考核流程/r/n：/r/n由/r/n信息系统部/r/n在/r/n每季度末/r/n，和各/r/n维护/r/n厂商共同完成考核。/r/n考核结果由买方进行备案/r/n。/r/n /r/n6/r/n）/r/n年度考核流程/r/n：/r/n由/r/n信息系统部/r/n在合同期最后一个月内，和各/r/n维护/r/n厂商共同完成考核。由/r/n信息系统部/r/n维护/r/n负责人召集相关维护人员和使用人员，成立/r/n维护/r/n服务考核小组（人员为奇数，且不少于5人），对本合同期内，/r/n维护/r/n厂商服务质量进行考核。考核结果形成会议纪要，由考核小组集体确认备案（纸质签字或/r/n电子存档），作为付款依据/r/n。/r/n /r/n7/r/n）/r/n维护/r/n服务考核结果管理/r/n维护/r/n服务考核周期分为季度考核和年度考核。季度考核是/r/n维护/r/n服务考核的基础周期，是及时发现/r/n维护/r/n服务工作中存在问题和隐患、进行整改的基础。季度考核作为衡量/r/n各/r/n维护/r/n厂商每季度/r/n维护/r/n服务质量的依据，年度考核是对/r/n维护/r/n厂商年度服务结果的总体考核。/r/n维护/r/n服务季度考核内容包括基础管理考核、维护质量考核。/r/n维护/r/n服务年度考核成绩取季度考核成绩平均分，并增加扣分项和加分项。/r/n买方/r/n与/r/n卖方/r/n对考核结果进行合同约定，把考核结果与/r/n维护/r/n费用结算、年度准入资格相挂钩。年度考核成绩低于90分，扣除合同额的/r/n2/r/n0%作为考核款；年度考核分数低于80分时，扣除合同额的20%作为考核款，经/r/n买方省/r/n公司/r/n总经理办公会决策，取消该/r/n维护/r/n厂商两年内（由合同终止日起）在当地承担/r/n维护/r/n工作的资格。同时另行组织新的/r/n维护/r/n厂商予以替代，对情节恶劣的/r/n维护/r/n厂商将向/r/n买方/r/n集团公司备案/r/n。/r/n/r/n=1\*GB3/r/n/r/n①/r/n季度红黄牌机制/r/n维护厂商季度考核成绩低于80分，给予维护厂商红牌警示，经过1个季度，季度考核成绩应达到90分（含90分）以上。如未达到，经省公司总经理办公会决策，立即终止该维护厂商在该项目的维护服务协议，并取消该维护厂商两年内（由合同终止日起）在当地承担维护工作的资格，同时另行组织新的维护厂商予以替代，对情节恶劣的维护厂商将向集团公司备案。/r/n维护厂商季度考核成绩低于90分，给予维护厂商黄牌警示，经过1个季度，季度考核成绩应达到90分（含90分）以上，如未达到，经省公司总经理办公会决策，合同到期后终止该维护厂商在该项