安徽移动支撑系统安全评估与加固服务关键技术标准规范书.docx
《安徽移动支撑系统安全评估与加固服务关键技术标准规范书.docx》由会员分享,可在线阅读,更多相关《安徽移动支撑系统安全评估与加固服务关键技术标准规范书.docx(15页珍藏版)》请在冰点文库上搜索。
安徽移动支撑系统安全评估与加固服务关键技术标准规范书
安徽移动支撑系统安全评估与加固服务技术规范书
中华人民共和国移动通信集团安徽有限公司
二〇一三年六月
1总则
1.1概述
本文献为中华人民共和国移动集团安徽有限公司(如下简称为甲方)“安徽移动支撑系统信息安全服务技术规范书”。
本规范书作为服务提供商(如下简称为乙方)提供服务规范规定。
1.2有关原则
乙方所提供所有服务及软件应符合技术原则规定如下:
(1)符合关于原则(如ISO、IEEE、ITU-T、ETSI、IETF、OMA、3GPP等),乙方应在建议书中详细阐明,并附上相应详细技术资料。
(2)若乙方服务包括自己专用原则,应在建议书中详细阐明,并附上相应详细技术资料。
(3)本文献中未给出,但ISO、IEEE、ITU-T、ETSI、IETF、OMA、3GPP等已有建议相应系统设备性能和功能,乙方均应满足。
(4)遵循《信息安全技术信息安全评估规范》(GB/T20984-),《电信网和互联网安全风险评估实行指南》(YD/T1730-),《中华人民共和国移动网络与信息安全风险评估管理办法》
(5)由于电信业务特殊性,评估过程需遵循ITU-TX.805/ISO/IEC18028-2端到端通信系统安全架构进行。
(6)评估还应根据中华人民共和国移动已经发布各类配备规范进行。
1.3技术建议书规定
乙方提供各项服务/工具应完全符合甲方指明原则,并满足或高于甲方指出规定。
对于本文献未规定关于设备/服务规定,乙方应提出建议,并陈述其理由。
1.4规范书关于内容澄清
乙方对于规范书疑问可以通过书面材料与甲方联系。
在规定建议书提交最后期限此前,甲方将以书面材料予以答复,所有答复材料复印件也将递交至所有得到技术规范书乙方。
乙方对规范书疑问,需在规定建议书提交最后期限5天前提出。
在技术谈判各个阶段,甲方将以书面或邮件形式规定乙方对关于问题进行进一步技术澄清,乙方应以书面资料或邮件方式予以正式应答;所有各阶段技术澄清文献都将作为合同附件。
1.5甲方在任何时候保存和拥有对本文献解释权
甲方有权在签定合同前,依照需要修改和补充本技术规范书,修改补充后最后技术规范书将作为合同附件。
1.6权利保护
本文档所含任何构思、设计、工艺及其她技术信息均属于安徽移动通信有限责任公司所有,受中华人民共和国法律保护。
未经我司书面批准,任何单位和个人不得擅自摘抄、所有或某些复制本规范内容,或者以其她任何方式使第三方知悉。
1.7报价范畴
本规范书对于服务、软硬件和环境等方面规定所涉及费用均包括在本次招标投标范畴之内。
如果投标人没有提供明确报价,可以以为上述规定所需要费用由投标人免费提供。
1.8招标人保存对本规范书解释和修改权。
1.9规范规定满足
需要强调是,乙方提供推荐方案必要满足本规范书规定。
如果届时由于乙方提供建议方案太低或功能局限性等因素而不能满足本规范书需求,乙方需免费补足,并负所有责任。
1.10由乙方因素导致工期延误,由乙方补偿甲方损失。
2乙方技术建议书规定
2.1技术规范书点对点应答规定
乙方建议书中,规定对本规范书所提出各项规定进行逐条逐项答复、阐明和解释。
一方面对实现或满足限度明确作出“满足”、“不满足”、“某些满足”等应答,然后作出详细、详细阐明和参见章节。
应答中“满足”表达本项目可以提供有关功能和服务同步在服务及设备配备中已提供该功能,如果不是以上状况应答为“某些满足或不满足”,并阐明状况以及“不满足”某些相应状况。
不得使用“明白”、“理解”等词语。
2.2乙方应在建议书中提供服务详细阐明,并阐明工作量计算办法、根据。
2.3乙方应在建议书中详细提供:
(1)服务方案:
服务办法、流程、项目时间安排、实行人员简历等。
(2)设备安全审计工具系统原理、系统功能特性和性能指标、软件体系构造及采用核心技术和所具备特点。
(3)资产安全评估详细方案及实行环节、人员职责分工、产出成果详细阐明。
(4)系统风险安全评估详细方案及实行环节、人员职责分工、产出成果详细阐明。
(5)基本安全加固详细方案及实行环节、人员职责分工、产出成果详细阐明。
(6)渗入测试详细方案及实行环节、人员职责分工、产出成果详细阐明。
(7)协助“三同步”进行严格落地详细方案及实行环节、人员职责分工、产出成果详细阐明。
(8)软件功能分类、功能模块、功能列表、功能描述以及软件和安装所在硬件设备对照表。
(9)服务中所涉及多方合伙分工界面。
(10)服务中所使用各类工具详细阐明。
2.4乙方应在建议书中列出提供书面技术资料详细清单。
2.5乙方在建议书中应阐明对服务开始时间、服务内容、时间进度等安排。
3项目概况
3.1依照集团规定,开展支撑系统第三方安全服务与安全加固服务工作
为贯彻《关于下发业务支撑网安全工作指引意见告知》(业通[]102号)中“各公司每年必要聘请第三方专业机构对我省业务支撑系统开展全面安全评估与加固工作”规定,提高支撑系统信息安全管理水平,特申请开展支撑系统安全评估与加固服务。
3.2项目范畴
本项目服务涉及支撑网非核心业务系统代码安全审计服务、全网安全防护能力评测、风险评估、安全加固整治意见服务。
(一)详细范畴如下:
项目覆盖业务支撑网和管理信息化网所有业务系统,重要涉及但不限于:
中华人民共和国移动网上营业厅安徽省公司网上营业厅
中华人民共和国移动安徽省公司门户网站
安徽移动BOSS系统
安徽移动CRM系统
安徽移动ITIL系统
安徽移动客服系统
安徽移动VGOP系统
安徽移动PBOSS资源系统
安徽移动PBOSS非资源系统
安徽移动渠道运营管理系统
安徽移动稽核系统
安徽移动语音合成系统
安徽移动渠道经理平台
安徽移动开发测试平台
安徽移动需求管控平台
安徽移动传播资源管理平台
安徽移动自主开发平台分公司应用迁移系统
安徽移动投诉预解决
安徽移动积分POS系统
安徽移动结算管理平台
安徽移动统一运营管理平台
安徽移动营收稽核系统
安徽移动NG终端销售-自有卖场
安徽移动服务开通后台管理
安徽移动渠道经理运营平台
安徽移动NGBOSS终端管理
安徽移动SMP安全运营管理中心
安徽移动电子渠道运营管理平台
安徽移动统一门户
安徽移动ESOP平台
以上均为现网系统,重要涉及业务支撑系统和管理信息化系统面向内部顾客应用平台,评估过程中一旦服务中断对业务影响很大,规定服务厂家对以上网络和系统深刻理解,有以上系统安全评估服务经验和加固经验,保证评测活动顺利开展。
业务支撑网和管理信息化网各类系统资源,包括但不限于如下资源:
主机、数据库、中间件、防火墙等,系统资源多为业内主流产品,如HP-UNIX服务器、SUNsolaris平台服务器等,网络设备如思科、华为等产品,安全设备如Nokia、华为防火墙等。
(二)服务范畴
系统涉及但不限于:
中华人民共和国移动网上营业厅安徽省公司网上营业厅、中华人民共和国移动安徽省公司门户网站、安徽移动BOSS系统、安徽移动CRM系统、安徽移动ITIL系统、安徽移动客服系统、安徽移动VGOP系统、安徽移动PBOSS资源系统、安徽移动PBOSS非资源系统、安徽移动渠道运营管理系统、安徽移动稽核系统、安徽移动语音合成系统、安徽移动渠道经理平台、安徽移动开发测试平台、安徽移动需求管控平台、安徽移动传播资源管理平台、安徽移动自主开发平台分公司应用迁移系统、安徽移动投诉预解决、安徽移动积分POS系统、安徽移动结算管理平台、安徽移动统一运营管理平台、安徽移动营收稽核系统、安徽移动NG终端销售-自有卖场、安徽移动服务开通后台管理、安徽移动渠道经理运营平台、安徽移动NGBOSS终端管理、安徽移动SMP安全运营管理中心、安徽移动电子渠道运营管理平台、安徽移动统一门户、安徽移动ESOP平台。
服务内容包括但不限于如下内容:
1、资产安全评估:
当前各类系统资源和应用资源越来越多,如何有效进行安全管控,一方面就必要要对所有资产进行动态安全评估。
在划分网络域基本上,针对业务特性,结合客户敏感信息分类,对所有系统资源和应用资源进行安全登记划分,拟定资产安全属性,并在部门应用建设中,动态进行调节管理,建立全面、可靠资产安全评估体系。
2、安全风险评估:
对业务支撑系统和管理信息化系统开展常规性、全面安全风险评估服务,确认核心应用、网络环境威胁及风险处置状况,制定全面业务系统风险分析报告,并给出系统及网络环境加固方案,不断减少全网安全风险。
3、基本安全加固:
定期对全网所有系统资源开展安全漏洞扫描和安全基线检查,对发现问题进行汇总并分派整治作业,跟踪后续整治完毕状况。
同步定期对业支和管信所有应用开展循环代码安全审计工作,而不但仅对某些系统开展代码安全审计工作,将代码安全审计作为一项常规安全作业来执行,从源头保证应用系统开发安全质量。
4、渗入测试:
定期对部门现网运营业务系统进行渗入测试,通过专家经验及专业工具,检查系统安全性和可靠性,并协助开发厂商对发现问题提出解决方案,并对问题整治进行确认,实现对代码安全问题“发现解决确认”闭环管理。
5、协助推动安全“三同步”严格落地。
在项目启动阶段积极参加项目安全评估,并检查相应合规性安全文档与否满足规定,同步严格执行上线、交维、重大变更等环节应用安全检查和评估作业,保证安全监管落到实处。
乙方提供服务应包括以上所有内容,安排专人在现场开展有关服务工作,并依照甲方需要动态调节以上服务侧重点。
乙方对甲方提供所有信息(包括但不限于:
文档、拓扑图、资源列表、设备信息、IP地址分派信息等)、在服务期内产出各类信息(包括但不限于:
代码信息、代码安全审计报告、风险评估报告、安全扫描报告、加固建议书、项目安全评估文档等)应遵守严格保密原则,通过相应技术手段进行严格控制,未经甲方容许,不得导出、转存、引用及对外发布。
乙方针对甲方通信网安全防护能力评测服务应当遵循工信部《网络单元安全防护检测评分办法(试行)》规定进行网络单元安全防护能力评测。
对于乙方发现漏洞,应提供详细漏洞运用操作环节、办法及加固建议,配合甲方督促业务系统厂家进行加固。
合同期间乙方需按照甲方工作安排进行与本项目有关调节工作及暂时工作,详细规定由甲方负责提供,乙方予以贯彻。
3.3时间规定
本项目中所涉及服务内容需在合同订立后实行,乙方要在12月31日之前完毕3.2项目范畴覆盖所有系统及配套设备安全服务内容。
详细规定参见第6项项目进度规定。
3.4报价规定
乙方报价书中,需明确提供各项服务安排在现场人员数。
乙方报价书中,需明确提供各服务内容所需要人天数及计算方式。
3.5服务应满足原则
安徽移动安全评估与加固服务方案设计与详细实行应满足如下原则:
◆保密原则:
对服务过程数据和成果数据严格保密,XX不得泄露给任何单位和个人,不得运用此数据进行任何侵害需求方网络行为,否则需求方有权追究乙方责任。
◆原则性原则:
服务方案设计与实行应根据国内或国际有关原则进行;
◆规范性原则:
服务提供商工作中过程和文档,具备严格规范性,可以便于项目跟踪和控制;
◆可控性原则:
服务用工具、办法和过程要在双方承认范畴之内,服务进度要跟上进度表安排,保证需求方对于服务工作可控性;
◆整体性原则:
服务范畴和内容应当整体全面,涉及安全涉及各个层面,避免由于漏掉导致将来安全隐患;
◆最小影响原则:
服务工作应尽量小影响系统和网络正常运营,不能对现网运营和业务正常提供产生明显影响(涉及系统性能明显下降、网络拥塞、服务中断,如无法避免浮现这些状况应在应答书上详细描述);
乙方应针对上述各项,在技术方案中贯彻诸原则各方面规定,并予以详细解释。
3.6服务整体规定
安全服务重点关注由于各系统存在漏洞、威胁、袭击途径导致安徽移动客户信息、计费、营销信息、内容信息泄露、篡改、非法传播风险。
特别需要关注对互联网开放应用业务系统安全保障。
甲方设立专门项目组配合本次评估项目实行整个过程。
∙乙方在服务期间,需安排符合规定人员现场开展检查工作。
∙乙方应详细描述安徽移动支撑系统安全服务整体方案,涉及整体服务安排、评估办法、人员组织、时间安排、阶段性文档提交和验收原则等。
∙乙方应详细描述评估过程中评估人员构成及各自职责划分。
乙方应配备有经验评估人员进行本项目评估工作,在应答文献中拟定评估组织架构和人员,明确指出在现场同步参加实行人数,提供参加人员详细简历;未经与需求方协商确认乙方不容许随意更换;乙方应保证选派高档征询人员参加整个项目,保证项目进度和质量。
∙本项目实行过程中所使用到各种工具软件由乙方推荐,经甲方确认后由乙方提供并在评估中使用。
∙评估工具软件运营也许需要硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等由乙方推荐,经甲方确认后由乙方提供并在评估中使用。
∙评估需要运营环境(如场地、网络环境等)由甲方提供,乙方应详细描述甲方运营环境详细规定。
4安全服务技术规定
该某些重点针对安徽移动各类系统,积极发现安全隐患及不符合有关规范问题,及时整治,防患未然。
重要涉及安全评估服务。
4.1安全审计服务
乙方需对甲方服务系统提供代码安全审计服务。
该服务需严格参照《信息安全技术信息安全风险评估规范》(GB/T20984-)、《电信网和互联网安全风险评估实行指南》(YD/T1730-)以及《中华人民共和国移动网络安全评估规范》和中华人民共和国移动各类系统安全配备规范执行;
防护能力测评按照工信部《网络单元安全防护检测评分办法(试行)》规定执行,风险评估服务重要涉及:
4.1.1移动网络合同漏洞评估(下面仅为举例,实际评估不限于列举合同)
∙MMS网络评估重要针对MMS业务系统有关合同(MM1WAP合同、MM3SMTP/POP3合同MM7SOAP合同);
∙互联网交互合同(http/htts合同);
4.1.2核心网元配备评估
重要检查移动网元核心配备方面与否存在安全隐患,其操作系统安全问题不在通信层面解决。
其中涉及网元配备涉及但不限于:
∙NGBOSS应用主机、门户/网厅应用服务器;
∙各类数据库、中间件等应用软件。
其中评估内容涉及但不限于:
容灾配备,数据库核心配备,主机安全数据配备,终端顾客数据配备,顾客信息传播规则配备、COOKIES配备、访问控制配备、计费数据配备。
4.1.3网络接口/安全域评估
其中评估内容涉及但不限于:
∙核心系统与外部应用进行数据交互接口使用状况;
∙核心网络域间接口设立状况;
4.1.4业务滥用评估
可针对以上范畴内通信网络评估与否存在如下但不限于业务滥用状况
∙匿名删除顾客上网信息;
∙短信网络滥用;
∙垃圾彩信、病毒彩信;
∙恶意订购;
∙SQL注入等
∙匿名删除顾客上网信息
4.1.5综合应用层评估
针对如基于WEB方式业务与否存在缓冲区溢出,跨站脚本袭击,上传文献分析等袭击,包括但不限于
∙应用系统测试
∙客户端测试
∙认证机制测试
∙会话管理机制测试
∙访问控制测试
∙输入校验测试
∙应用逻辑测试
4.1.6网络系统体系架构安全分析
乙方应对业务支撑、信息化网络与整体架构按照如下进行详细分析。
●网络整体体系架构设计合理性与安全性分析;
●系统边界安全防护及访问控制办法强度分析;
●系统入侵检测点布置合理性分析;
●系统网络监控有效性分析;
●系统与外界通讯线路冗余性分析;
●系统核心设备设施冗余性分析;
●网络设备有效性分析原则及办法。
4.1.7系统安全漏洞、安全配备合理性检查
乙方应对项目范畴内所涉及所有服务器OS、数据库、应用系统、网络设备、PC客户机等IT设备进行全面安全漏洞、弱口令扫描,并提供详细漏洞描述、漏洞整治暂时建议和补丁下载链接。
乙方应使用业界通用知名漏洞扫描工具。
乙方应对检查出来弱口令、高风险漏洞给业务系统管理员进行手工验证,阐明漏洞危害性,同步避免设备扫描浮现误报。
所有通过评估系统在未经更改状况下,在服务期内如接受第三方或甲方进行其他安全评估时不得浮现未经确认系统漏洞,并且所有通过评估系统不能低于《通信网络安全防护管理办法》(工信部第11号令)所规定安全原则,不得浮现按照工信部原则进行检查未发现安全隐患,同步保证安全评估和加固过系统通过集团、工信部等各级主管部门组织各类检查。
5安全加固整治建议服务技术规定
乙方需向甲方提供所评估系统安全加固建议服务。
详细规定如下:
a)乙方应依照甲方规定提供详细系统安全风险评估报告,依照安全评估报告结合自身收集和整顿安全风险状况,提供详细安全加固实行方案。
加固方案应当阐明加固过程对服务和性能影响限度及存在风险。
加固实行技术方案应涉及详细整体加固工作环节、加固办法、应急回退办法等内容。
b)安全加固建议必要按照分层原则,涉及但不限于如下对象:
网络服务、主机系统、应用系统、数据库安全、安全系统、系统安全方略等。
6项目进度规定
乙方应在技术建议书中提交项目经理、技术负责人、项目构成员名单(涉及工作分工)以及上述人员简历。
乙方应在技术建议书中提交详细项目组织及实行筹划;并且提交从合同订立之日起周工作进度安排。
项目详细时间规定为:
从合同订立之日起至8月31日,应完毕一次安徽移动业务支撑网和管理信息化网资产安全评估服务。
从合同订立之日起至12月31日,乙方依照甲方提供应用系统清单,每2个月完毕一次全应用安全风险评估服务。
合同订立之日起至12月31日,每月完毕1次安徽移动网上营业厅和安徽移动门户网站安全渗入测试服务。
合同订立之日起至12月31日,乙方依照甲方提供应用系统清单,对所有应用完毕1次渗入测试服务。
合同订立之日起至12月31日,乙方依照甲方提供系统资源清单,每月完毕1次业务支撑网和管理信息化网基本安全加固服务。
合同订立之日起至12月31日,乙方依照甲方提供项目建设清单,每月不定期开展项目安全评审和在建项目安全合规性检查服务。
本文最后解释权归需求方(中华人民共和国移动通信集团安徽有限公司),需求方有权依照中华人民共和国移动集团公司最新规定进行项目工作规定调节。
7验收原则
本项目验收重要根据以乙方提供服务输出物(报告、过程文档等)与否完备、文档质量等几种方面。
对各阶段工作成果进行综合分析,形成安徽移动规定综合分析报告及其她报告。
这也是安全加固服务最后阶段,将由安徽移动组织有关人员进行评审和验收,在整个过程中,服务提供方项目组将进行全力配合。
这一阶段将按照安徽移动规定,本服务内容输出成果包括且不限于如下文档内容:
《系统代码安全审计报告》:
重要对系统代码安全审计发现问题进行报告,并针对发现问题,逐个给出详细解决方案和可行加固建议。
《系统安全防护能力与风险评估书》:
重要涉及对系统风险分析、会引起风险。
报告中应指出各种漏洞,应当详细描述漏洞运用办法和危害限度,并对该系统安全防护能力进行打分。
《系统安全加固建议书》:
每个系统安全加固服务前提供,涉及对系统风险分析、拟执行安全加固操作建议,优化后安全水平阐明、安全加固设备清单、需要调节网络拓扑系统清单和拓扑图。
《安徽移动支撑网代码安全审计服务(含安全评估)工作内容报告(报告材料)》
本项目评估中发现问题应当有理有据,详细以得到加固厂家、设备厂家承以为准,需各方签字确认。
7.1成功案例阐明
服务方提供方自身需具备丰富ISMS信息安全管理体系建设实践经验,能深刻理解电信业务及运营模式,服务提供方应列举近三年在运营商有代表性安全服务成功案例(涉及安全管理体系、安全运维体系、安全技术服务、数据业务安全、流程安全梳理等),并提供项目联系人、联系方式、历史考核成绩,涉及手机、邮箱以便于审核、确认。
7.2服务方资质规定
本项目服务提供方须具备:
⏹国家信息安全测评安全服务资质
⏹通信网络安全服务能力资质
7.3服务人员规定
1、本项目中涉及所有工作内容规定应答方派遣安全专家与实行人员必要具备安全面资质认证(如CISA、CISP、CISSP、IISO27001LA等),且有三年以上信息安全有关工作经验;
2、应答方必要保证本项目中所有工作内容所涉及人员稳定性。
在合同生效期间,有关服务内容所涉及人员变动须提前10天知会需求方;项目成员必要为我司员工,如果应答方进行人员更换,更换人员必要达到合同规定资质规定,否则需求方有权采用相应惩罚办法。
7.4罚款某些
在下列状况下,若甲方不能承认,乙方应承担责任,详细补偿方式及数额双方另行商定:
1)乙方在合同商定期间内不能完毕合同商定筹划,应提前做出书面解释,经甲方承认,工期做恰当顺延;
2)由于乙方评估未能发现信息安全漏洞导致甲方被集团告示,或者发生重大安全事件。
升级会员 