信息系统部安全评估技术支撑服务技术规范书

1、信息系统部安全评估技术支撑服务技术规范书一、总体要求1、总述1.1本规范书是中国移动通信集团黑龙江有限公司（以下简称买方）向为拟进行黑龙江移动信息系统部安全评估技术支撑服务项目服务供货商（以下简称卖方）提出的规范书。1.2 卖方如不能满足本规范书中所提到的各项技术要求及业务功能指标，应在建议书中明确提出，否则即认为卖方能够按本文件要求提供服务。1.3 本规范书主要提供黑龙江移动信息系统部安全评估技术支撑服务的总体要求，供卖方编写技术建议书。在满足买方的总体技术要求的情况下，卖方可征得买方的同意，提出适当的修改建议，并陈述理由。若卖方认为买方的技术要求尚不明确或有漏项的地方，请详细加以说明并经双

2、方商定。对规范书内容的澄清及修改将由买方以电子邮件形式发送所有得到规范书的厂家。1.4 中国移动通信集团公司颁发的有关技术规定和行业标准是本规范书不可分割的部分。本规范书未提到的部分应遵从信息产业及工业化部相关文件之规定。1.5 买方有权在签订合同前，根据需要修改本规范书，修改后的最终稿将作为合同附件。在技术谈判的过程中，本文件的有关要求可能出现改动，买方保留对本规范书的解释和修改权。本规范书的修改和解释权属于中国移动通信集团黑龙江有限公司。1.6 本技术规范书的文档按版本化管理。在技术谈判过程中不断充实内容，进行版本升级。1.7 卖方如不能满足本规范书中的要求，需要详细说明原因。2、技术建议

3、书的文件要求黑龙江省移动信息系统部安全评估技术支撑服务建议书至少要对维护服务工作有重要影响的方面做详细说明，包括但不限于下述项目：（1）漏洞扫描服务（2）配置检查服务（3）应急响应服务（4）人员配置情况(5)代码安全与应用安全(6) 安全加固服务(7)木马检测(8) 项目组织实施技术及管理(9)部分服务报告1)XXXX 安全评估实施方案2)XXXX 安全评估报告,。3)XXXX 业务系统安全加固实施方案与加固手册4)XX 系统渗透测试报告 卖方应至少提供下列内容：（1）卖方的背景资料介绍：包括公司成立时间、成立地点、注册资金、经营范围、企业类型、雇员总数、本地区雇员总数、本地办事机构类型、人员

4、组成、相关资质等，其他需要说明的情况等。（2）卖方成功实施的与本项目相关服务案例，卖方需提供项目合同或中标通知书文件作为证明材料，并具体说明案例的项目名称，项目周期，合同金额等详细的项目信息。（3）卖方服务能力描述，卖方需提供主要技术人员的能力资质证明材料、服务过程、质量把控机制与流程。（4）卖方的各项服务工作方案详细描述，包括服务方法、流程、交付等内容。3、保密条款任何一方未经另一方同意不得向任何第三方透露本文档内容，双方一致同 意任何一方在任何时候对其持有的有关另一方的事务或其事务运转操作方法等 保密信息实行严格保密。除非有信息提供方书面许可，任何一方不得在任何时 间向本协议以外的任何第三

5、方披露或提供保密信息（包括但不限于：任何信息 提供方不欲公开的观点、发现、发明、公式、程序、计划、图表、模型、参数、数据、标准和专有技术秘密，和/或其中的任何知识产权）的任何内容（本协议另有约定的除外）。除非有信息提供方的书面指示，任何一方不得对保密信息进行拷贝或抄写。二、技术规范书点对点应答要求卖方的建议书中，要求对本规范书所提出各项要求进行逐条逐项答复、说明和解释。首先对实现或满足程度明确做出“满足”、“不满足”、“部分满足”应答，对于答“满足”项，均应分项具体详细描述；对于答“不满足”、“部分满足”内容应做出具体、详细的原因说明，以及满足技术规范书要求的时限等；不应采用参见 xx 节或

6、xx 页的方式作为应答。否则，该条应答将视为不能被满足。三、服务基本要求服务的主要目的是通过对买方设备系统定期漏洞扫描与评估等预防性工作， 了解系统的安全情况，提高设备系统的安全性。卖方公司及服务工程师要求如下:01.在中华人民共和国注册的独立法人且注册资金在 500 万元及以上；l02.一般纳税人;l03.应答厂商具备 ISO9001 质量管理体系认证证书(原件);l04.近三年（2014-2016 年）具备息安全服务和代码审计类服务案例；l05.原厂商需具备中国通信企业协会颁发的通信网络安全服务能力评定证书;如为代理商还需具备针对本项目的唯一授权书；l06.原厂商中国信息安全认证中心颁发“

7、通信网络安全服务能力评定证书（风险评估类）二级”如为代理商还需具备针对本项目的唯一授权书；四、服务具体内容1、服务内容与频率服务内容周期与频率检查安全入侵情况周 / 52 次漏洞扫描月 / 12 次配置检查月 / 12 次安全加固月 / 12 次安全通告月 / 12 次安全预警按需应急响应按需迎检自查按需技术支持按需2、具体服务要求（1）漏洞扫描服务卖方需使用 2 种工具对客户指定信息系统的服务器、网络设备、网站等进行系统和 WEB 漏洞扫描，并提供漏洞扫描报告，以使管理员明确掌握信息系统资产所存在的安全漏洞情况，同时对扫描出的问题进行分类归纳，并提供解决建议。卖方需在技术建议书中对漏洞扫描的

8、工作流程、方法有详细的说明，以及对于漏洞扫描过程中可能存在的风险以及风险的规避措施要有明确的说明。（2）配置检查服务卖方通过采用统一的安全配置标准来规范技术人员在各类系统上的配置操作。基线配置核查以业务系统自身网元设备的安全功能的完善和改造为主，包括各类操作系统、网络设备、数据库和中间件的账号、密码、审计策略等安全配置要求，并对不符合标准的配置项提供操作建议。卖方参照的基线标准文件应符合移动集团的要求。为降低配置检查过程中人为的误操作，卖方需采用市场主流的商业化工具提供该项服务。（3） 安全加固服务卖方需通过安全加固技术手段提高操作系统、网络设备的安全性和抗攻击能力，增强黑龙江移动系统的抗攻击

9、性。定期的安全评估和安全加固服务使信息系统保持在一个较高的安全水平之上。安全加固工作要在安全评估工作完成后执行。卖方技术专家根据前期漏洞扫描与配置检查报告，针对高中风险漏洞(根据CVE标准定义)和不符合配置项为买方提供可操作的安全加固操作方案以及安全优化建议。同时需要卖方技术人员协助并指导买方及系统集成厂商人员对网络设备、服务器及WEB应用进行安全加固操作。对于由业务环境原因无法进行修补的漏洞，提出相应的规避建议，同时登记在遗留问题记录中，以备后续查找和参考。（4）安全通告服务服务周期内卖方须每月为买方提供最新的安全信息，内容包括但不局限以下内容：1）最新的安全漏洞信息2）行业安全事件动态信息

10、3）0day系统漏洞、网络攻击等事件信息及解决办法（5）安全预警服务在互联网出现影响范围大、破坏力强、可利用程度高的安全漏洞时，卖方需在 12 小时内通过邮件、电话或形式通知买方。通知的内容至少应包括漏洞的形成原因、影响范围、检测方法、处理措施等并结合实际情况协助买方在买方得到通知后 24 小时内制定IT系统评估计方案、漏洞检查方案及漏洞修复方案。（6） 应急响应服务服务期内卖方安排相对固定的技术专家和具备运营商行业运维经验的技术人员，为黑龙江省电信提供应急响应支持服务，包括并不限于提供远程安全支持和现场安全支持，判断事件类型，协助技术人员及业务厂商人员进行安全事件分析处理，对发现的问题提出解

11、决方案并及时处理降低影响。卖方需对事件的分级、响应的事件、处理时间、应急响应的流程、方法有详细的说明。响应时间在两个小时以内，并在应急响应处理结束后 24 小时内提供应急响应报告，报告内详细描述事件的原因和处理过程。（7）迎检自查针对移动集团及工信部等上级管理部门开展的安全检查工作，提前为黑龙江移动提供检查前的部门内部安全自查服务，提供专业评估设备以及专业的安全技术人员，配合进行内部检查及安全整改，满足应对上级部门的安全检查要求。（7） 木马检测 、肉鸡检测检查信息系统部维护的网站，WEB 页面是否已经存在网页挂马，提供检查方案。包括：Iframe 框架挂马、JS 文件挂马、JS 变形挂马、b

12、ody 挂马、css 挂马、Javascript 挂马、WebShell。（8） 代码安全与应用安全现在互联网安全越来越往非网络层往应用层偏移，其中 90%漏洞都是存在于非网络层，而是在应用层。包含且不限于以下大妈安全跨站脚本； SQL 注入； 系统信息泄露； 程序中存在密码硬编码； 拒绝服务攻击； 系统资源无法释放； 信任边界模糊； 工具支持的其他测试内容（9）现场技术支持服务卖方应提供本地化服务和技术支持，且具备完善的服务支撑流程管理体系。主要工作包括：1）买方技术性咨询，卖方工程师至少应在 24 小时内给予答复，最终答复不应多于 5 个自然日。2）安全设备故障及安全策略失效的一般性安全事

13、件，卖方工程师应在 10分钟内给予买方确认并进入受理环节。五、网络及网络信息安全保障现场服务人员需遵守买方制定的各项信息安全保密制度，人员入场前需与卖方签署保密协议并提交买方备案，现场服务人员各项工作需依据黑龙江移动业务支撑系统网络与信息安全管理办法中“合作伙伴安全管理”章节中的相关规定开展。在本服务项目实施过程中，必须要保证网络的安全与稳定，买方内部机密信息完整，网络安全保障是其它服务要求的前提，需详细描述在维护服务过程中，对网络安全方面采取的保障措施及方法。六、培训为提交信息系统部的安全技术水平，为信息系统部提供 10 人天的技术培训， 提供CISP、CISSP等专业安全课程或相关网络安全

14、培训。七、维护质量考核维护服务考核周期分为季度考核和年度考核。季度考核是维护服务考核的基础周期，是及时发现维护服务工作中存在问题和隐患、进行整改的基础。季度考核作为衡量各维护厂商每季度维护服务质量的依据。年度考核是对维护厂商年度服务结果的总体考核，年度考核成绩取各季度考核成绩的平均值。维护服务季度考核内容包括基础管理考核、维护质量考核，维护服务年度考核内容在季度考核内容基础上增加扣分项和加分项。1）基础管理考核内容包括维护厂商资质管理、文档管理、设备软件管理、 应急通信保障管理、人员管理等方面。 资质管理：维护厂商资质管理是维护服务工作开展的前提，应包括维护厂商资质、人员数量、人员资质和技术支

15、持服务体系资质等。人员变更需提前一个月通知信息系统部，并提供至少同等技术水平的替代人员，新增人员需经过信息系统部组织的考试认证后方可纳入维护人员队伍。维护厂商必须做好维护人员稳定工作，信息系统部应对维护人员流失率进行考核。 文档管理：维护厂商应做好技术资料和维护原始记录数据的收集管理， 并做好归类存档，定期做好各类报表和报告的编制和上报工作。 设备软件管理：维护厂商应提供维护设备软件，并做好设备软件更新管理工作。 应急通信保障管理：维护厂商应提供应急保障团队联系方式，制定应急保障预案，重大节假日和重大活动前提供应急团队值班表。按应急预案配备相关资源，应急保障队伍要服从信息系统部的统一指挥和调度

16、。 人员管理：维护厂商驻场人员需遵照信息系统部工作时间要求，确保出勤率。驻场人员应具备相关资质认证，具备独立维护和现场处理故障能力，每年需通过信息系统部技术水平考核。2）维护质量考核内容包括日常服务质量、故障处理服务质量等。 日常服务：巡检服务是IT设备稳定运行的基本保障手段，维护厂商应编制定期维护作业计划，提交信息系统部审核通过后严格执行；每月提交标准格式的巡检报告和检测分析报告；遇到故障事件时应及时向信息系统部提交故障修复申请。 故障处理服务是指当信息系统部系统出现故障时，相应维护厂商根据实际情况采取合适高效的措施快速恢复业务，包括必要时的现场操作，并在此之后尽快制定和实施相应方案消除相关

17、故障隐患。业务恢复时限定义：从接到故障通知，到通过实施解决方案/替代方法将现网业务恢复到发生故障前的状态。如果故障必须现场解决，在相关业务恢复时限基础上增加双方协商认可的路途时间。 清除故障问题时限定义：从接到故障处理服务请求，到通过实施解决方案将此系统故障清除的时间。对于平台软件故障，维护厂商需要同信息系统部维护人员确认，并明确提供软件补丁所需时间；对于平台硬件故障，维护厂商需要同信息系统部维护人员确认，并明确硬件到货及更换所需时间。3）扣分项：主要包括安全生产事故和其它影响到中国移动的事件。扣分条件包括但不限于下述情况：维护厂商在维护过程中未遵照安全生产条例规范操 作，发生安全生产事故的扣

18、 2 分；发生人员伤亡安全责任事故的扣 5 分；发生严重违约行为的扣 10 分；因维护厂商原因导致重大IT系统故障的扣 5 分；因维护厂商维护不当导致的大面积投诉扣 5 分；因维护厂商原因发生媒体曝光事件、影响到我公司的劳资纠纷的扣 10 分；发生代维人员偷盗通信设备的扣 10 分； 维护厂商人为阻挠考核人员进行现场检查或者采取欺骗、作弊等手段误导考核 结果致使维护考核工作无法正常开展的扣 10 分。厂商服务人员未遵照或履行黑龙江移动信息系统部网络与信息安全管理办法中“合作伙伴安全管理” 章节中的各项规定和义务的，视情节严重扣除 5 至 20 分，其中未引发安全事件的每发生一次扣 5 分，引发

19、安全事件未造成严重后果的每发生一次扣 10 分，引发安全事件造成业务中断、信息泄露等严重后果的每发生一次扣 20 分。4）加分项：对于积极开展创新工作，技术创新、合理化建议取得显著效果； 在应急通信保障方面做出重要贡献的，受到省公司通报表扬的；参加集团或省公司组织的技术竞赛，获得名次的；承担省市公司专项工作和课题，成绩突出以及工作配合表现突出的，酌情给予加分。5）季度考核流程：由信息系统部在每季度末，和各维护厂商共同完成考核。考核结果由买方进行备案。6）年度考核流程：由信息系统部在合同期最后一个月内，和各维护厂商共同完成考核。由信息系统部维护负责人召集相关维护人员和使用人员，成立维护服务考核小

20、组（人员为奇数，且不少于 5 人），对本合同期内，维护厂商服务质量进行考核。考核结果形成会议纪要，由考核小组集体确认备案（纸质签字或电子存档），作为付款依据。7）维护服务考核结果管理维护服务考核周期分为季度考核和年度考核。季度考核是维护服务考核的基础周期，是及时发现维护服务工作中存在问题和隐患、进行整改的基础。季度考核作为衡量各维护厂商每季度维护服务质量的依据，年度考核是对维护厂商年度服务结果的总体考核。维护服务季度考核内容包括基础管理考核、维护质量考核。维护服务年度考核成绩取季度考核成绩平均分，并增加扣分项和加分项。买方与卖方对考核结果进行合同约定，把考核结果与维护费用结算、年度准入资格相挂

21、钩。年度考核成绩低于 90 分，扣除合同额的 20%作为考核款；年度考核分数低于 80 分时，扣除合同额的 20%作为考核款，经买方省公司总经理办公会决策，取消该维护厂商两年内（由合同终止日起）在当地承担维护工作的资格。同时另行组织新的维护厂商予以替代，对情节恶劣的维护厂商将向买方集团公司备案。 季度红黄牌机制维护厂商季度考核成绩低于 80 分，给予维护厂商红牌警示，经过 1 个季度， 季度考核成绩应达到 90 分（含 90 分）以上。如未达到，经省公司总经理办公会决策，立即终止该维护厂商在该项目的维护服务协议，并取消该维护厂商两年内（由合同终止日起）在当地承担维护工作的资格，同时另行组织新的维护厂商予以替代，对情节