中国移动通信集团吉林有限公司2012年安全评估与加固服务项目技术规范书中国移动通信集团吉林有限公司2012年9月 目 录1概述61.1背景61.2定义61.3卖方服务范围101.4时间要求111.5人员组织要求111.6保密要求121.7签署服务承诺书122项目描述132.1项目目标142.2项目应满足的原则152.3项目内容162.3.1安全评估、加固服务范围162.3.2安全风险评估要求172.3.3安全加固建议212.3.4安全应急支持222.3.5WEB系统风险监控服务242.3.6安全值守服务272.3.7安全培训服务282.3.8数据安全梳理282.3.9临时性工作安排92.4安全服务整体要求92.5安全服务工作要求102.6交付成果和报告122.7项目组织实施计划与管理控制152.7.1项目组织实施计划152.7.2项目管理控制152.7.3应急响应措施152.7.4项目沟通机制152.8服务期间要求162.9★服务承诺163项目验收174售后服务184.1项目协调会184.2售后服务185对报价书的要求195.1报价要求215.1.1服务清单要求225.1.2报价体系要求226 其他要求24 1概述1.1背景近年来网络安全的风险日益加大，面对严峻的网络安全形势，国家和企业都对防范网络安全风险非常重视。中国移动通信集团吉林有限公司作为基础电信业务运营商，具有一定的网络规模和用户群、业务系统丰富而复杂。“网络与信息安全”的核心任务是综合运用技术、管理等手段，保障企业各信息系统的安全，保证业务的连续性。“网络与信息安全”是企业运营与发展的基础和核心，是保证网络品质的基础，是保障客户利益的基础；同时也是中国移动乃至国家信息安全的需要。为了切实提高系统的安全保障水平，更好地促进公司各系统的安全防护工作，需要增强对于公司重要系统的安全风险控制，持续不断的发现系统安全风险并及时进行纠正，现提出《中国移动通信集团吉林有限公司安全服务技术规范书》。1.2定义1.2.1 本规范书为中国移动通信集团吉林有限公司(以下简称买方)相关系统风险评估审计、安全加固项目的主要技术服务要求，供服务提供商(以下简称卖方)编写应答书和报价之用。1.1.2 本技术规范书包括了项目、技术服务等主要要求，这些要求将在以下章节中相应地列出。1.1.3 卖方应根据本文件中的相关说明和要求，提出技术建议、技术方案和报价。技术建议书要求采用中文书写，设备技术资料可提供英文。技术建议书应包含但不限于以下内容：一、技术方案建议，包括以下内容：1）投标项目包括的安全评估对象及内容，所采取的评估手段、详细评估细则及作业指导书等技术内容。2）投标所使用设备制造商的背景和投标设备背景介绍。该部分要求详细描述投标人公司背景、详细描述类似安全服务经历、安全服务内容及要点。3）投标人额外推荐的评估内容、方法、使用工具及效果（本技术规范书中未列出的评估内容要求）。4）投标人评估方案及使用工具在国际、国内电信运营商使用情况和应用案例介绍。5）投标人可在技术建议书中详细列出本文件要求之外的其他技术性能，并提供相关技术资料和说明，也可以提出其他合理化建议和解决方案。6）投标人应给出不低于五个以往安全评估及加固项目的成功案例，并给出包括项目背景、项目内容、项目成果及文档成果（包括但不限于安全评估、加固、安全体系建设等）等具体信息，每个成功案例的描述不多余五张A4版面。7）投标人认为应说明的其它问题。二：评估启动时间和进度安排：包括合同签订后的各项工作开展内容等的时间进度安排表。三：新购设备到货计划和进度安排：包括合同签订后的设备货到现场时间进度安排表。四：评估及验收：投标人应提供每一阶段的详细安全评估及加固效果的验收方案。五：售后服务：详细介绍投标人能够提供的服务产品和服务流程。六：培训：详细介绍投标人能够提供的培训产品、课程、师资、内容和计划。七：投标设备技术文档，投标人应提供下列技术文档：1）评估过程中使用工具及其附件使用说明书，包括型号、功能、应用范围、详细的技术性能及标准、应用软件、操作原理、性能检验、方框图等；2）评估工具的操作和维护手册，包括电路原理图、印刷电路板图、操作方法等；3）评估工具可以扩展性能的范围，以及为扩展性能需要选配的部件名称；招标人有权复制投标人所提供的资料，作为设备的维护管理使用。4）投标使用工具设备的各种资格、资质证书或证明材料的复印件。1.1.4 投标人应按本文件的要求提供技术应答文件——《技术规范书点-点应答》，对本文件逐条逐项进行点-点应答。应答内容应采用“满足”、“部分满足”、“不满足”三种明确答复，不得作出其它应答，否则招标人有权视其为“不满足”。 “满足”、“部分满足”、“不满足”的定义如下：?“满足”：全面理解招标人要求并在技术上完全可以实现招标人的要求。?“部分满足”：理解招标人要求，但在技术上只能部分实现招标人的要求。?“不满足”：不理解招标人要求或者在技术上无法实现招标人的要求。　　1）对于本规范中的每项应答一般要求提供解释，包括解决方案等，否则招标人有权视其为“不满足”或“部分满足”。　　2）对于有明确数据指标要求的条目，投标人必须提供投标服务或产品的实际数据指标。　　3）对于要求投标人提供详细解释说明的条目，除按要求进行明确答复外，还应在应答文件及其附件中进行详细地解释说明。其中：对于要求在技术建议书中提供解释说明的条目，可引用或“参见”技术建议书的内容，此时必须给出技术建议书的章节号或页号；对于其他要求解释说明的条目，必须在点-点应答处解释说明。如果答复内容与解释内容不一致，或解释文字与本文件要求不符，或没有按要求提供解释说明，招标人有权视其为“不满足”。　　4）本文件的要求只是对实际业务需求的最基本技术要求，原则上投标人所投标设备应不劣于本文件的所有指标要求。如果投标人所投标设备存在“部分满足”或“不满足”项，要求投标人承诺开发，并在技术建议书中给出具体的开发计划和时间表。1.1.5 买方保留对本文件的解释和修改权。买方有权在签定合同前，根据需要修改和补充本技术规范书，修改补充后的最终技术规范书将作为合同的附件。1.1.6 卖方应对本文件内容进行严格地保密，未经买方授权不得将此文件泄漏给第三方，否则买方有权追究卖方的责任。1.3卖方服务范围本项目包括吉林移动CMNet、WAP、彩信、彩铃、IP承载网、BOSS系统（含BOSS网管）、经分系统、管理信息系统、门户网站、DNS、短信系统、GPRS、网管系统、安全管控系统、信令监测系统、WLAN等系统的风险评估和加固、安全应急支撑服务、重大节日安全职守服务、系统管理员安全培训等。卖方所提供技术服务主要是完成系统的风险评估、审计与安全加固工作，其中包括对买方现有系统的安全进行全面评估，提出可行的加固方案，提供相关的手册和报告，指导系统管理员和配合系统厂家人员进行安全加固。1.4时间要求 卖方应根据本文件的要求在接到本技术规范书之日起*日内提供三份应答书(中文)和四份报价书(中文)，要求同时提供文本文档和电子文档(U盘或光盘载体)。应答书和报价书应单独分开。未按时提供上述文件或提供不全者（文档要求见下文），买方均认为其自动放弃候选资格。确认和吉林移动公司合作的卖方应在本项目合同签订之后三个月内完成如下工作：相关系统主机和网络安全风险评估分析、系统应用和代码安全评估、并提交安全评估报告、加固实施方案，在买方相关人员对加固方案签字确认后，完成各系统加固实施工作。卖方应根据工作内容给出详细的时间安排表，并明确从事每项工作的人员。卖方应在完成服务后15个自然日内为买方提供系统安全验收工作。1.5人员组织要求卖方需向买方提供参与本项目工作人员详细名单及项目组组织结构，并附上核心项目人员简历。所报项目组成员一旦确定，不能擅自更改。项目确定后，必须保证所有人员的到位和工作饱满，同时保证现场人数5人以上，不允许项目人员在参与本项目过程中身兼其他项目工作。核心人员包括：项目经理、高级技术人员、关键岗位成员。1.6保密要求 项目过程中，卖方所收集、产生的所有本项目相关文档、资料，包括文字、图片、表格、数字等各种形式均归属买方所有，卖方有义务对所涉及内容保密，卖方需按照买方要求签署保密协议。1.7签署服务承诺书卖方在项目过程中，需要对项目人员、响应时限、服务质量、项目管理、系统安全保障时间等各方面进行必要的保障，并签署服务承诺书。服务承诺书包括响应时限、保密承诺、系统安全承诺、保障承诺等。服务厂家需承诺不因评估加固工作产生新的安全漏洞及隐患。2项目描述本次项目需达到的目标应包含但不仅限于最新的《电信网和互联网安全风险评估实施指南》，《信息系统安全等级保护评估指南》及中国移动各类设备最新安全配置规范的具体要求。根据工业和信息化部《关于开展2010年度通信网络安全防护检查工作的通知》（工信部保函 【2010】 275号）要求，对全网安全等级2级以上的系统进行安全防护检查和评估。中国移动通信集团吉林有限公司本次服务项目总体需求如下：（1）本期安全评估面向CMNet、WAP、彩信、彩铃、IP承载网、BOSS系统（含BOSS网管）、经分系统、管理信息系统、门户网站、DNS、短信中心、GPRS、网管系统、安全管控系统、信令监测系统、WLAN等系统。（2）依据风险评估结果报告，提供安全加固方案，指导和配合买方实施加固工作。买方决定需加固的设备、种类、数量。（3）进行网络结构梳理，将各自业务系统的网络进行分析，结合安全等级保护要求设计防护方案。（4）进行重大活动、节假日的现场安全值守工作。（5）建立起覆盖重要系统、明确安全风险、统一命令应急操作的网络安全应急预案，协助吉林公司开展网络安全应急实战演练，提供未来一年7*24小时的网络安全应急第三方技术支撑。2.1项目目标本次吉林移动各系统安全评估加固服务项目的主要目标是：?对工信部《关于开展通信网络安全检查工作的通知》文件内的检查内容进行现网评估，加固完成后满足相关检查事项的要求。?对集团公司各省现场安全检查发现的问题进行专项复查，举一反三，提供解决方案，避免再次出现类似问题。?对中国移动基线要求既设备安全功能和配置系列规范进行现网合规性评估，加固完成后满足基线要求。?由卖方结合买方业务系统和应用的实际风险评估情况及买方要求，形成可行的系统安全加固实施方案，并配合买方实施加固，确保系统安全得到稳步提升。?由卖方负责对买方要求评估系统的主机安全、网络安全、数据库安全、应用安全等进行全面评估，并提出可行的加固方案。?对买方因为业务限制不能直接实施加固的风险漏洞，由卖方负责生成可行并有效的替代方案。?由卖方根据买方要求进行评估的系统和设备，根据应用系统类别和安全状况，形成完善的包括主机评估、网络评估、应用评估、渗透测试的流程与方法论，并通过安全评估与加固交流，做好知识传递，进一步提高买方相关人员的自评与加固能力。?由卖方提供安全应急支持服务，协助买方初步建立起三级网络安全应急体系，提升买方安全应急响应处理能力。?规范系统的数据安全管理策略，发现并解决现有系统的安全问题；另一方面可以了解完整的敏感数据存储和访问控制信息，以及面临的风险情况，并将本次梳理的结果和过程作为日后数据安全保护工作开展的重要依据。2.2项目应满足的原则项目的方案设计与具体实施应满足以下原则：最小影响原则：加固工作应尽可能小的影响系统和网络的正常运行，不能对现网的运行和业务的正常提供产生显著影响（包括系统性能明显下降、网络拥塞、服务中断，如无法避免出现这些情况应在应答书上详细描述）；可控性原则：方法和过程要在双方认可的范围之内，安全服务的进度要按照进度表进度的安排，保证买方对于服务工作的可控性；整体性原则： 评估、加固内容应当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患；卖方遗漏的安全隐患在验收后半年内造成的买方损失，买方有权追究卖方的经济赔偿。针对性原则：修补、加固应根据评估报告，有针对性地加以解决。修改、加固后不能引入新的问题；标准性原则：服务方案的设计与实施应依据国内或国际的相关标准进行；规范性原则：服务提供商的工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制；★保密原则：对过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害买方的行为，否则买方有权追究卖方的责任。买方有权要求卖方在服务结束之后销毁所有和本项目有关的数据和文档。卖方应针对上述各项，在随后的各节中落实诸原则各方面要求，并予以详细解释。2.3项目内容2.3.1安全评估、加固服务范围本次安全评估和加固主要包含：安全风险评估、安全防护检查、安全加固支撑等。(1)设备：其中网络设备包含路由器、交换机等；安全设备包括防火墙等；主机系统包括各类小型机、PC服务器（Windows、linux、Hp-ux、Solaris等操作系统）等；(2)★应用软件：数据库软件（Oracle、sybase、informix、SQL server、DB2）等。要求能够对数据库的基本配置、口令策略、用户、角色、对象、存储过程，函数，包，触发器、传输协议、审计配置策略、数据库备份/回复机制等要素进行评估。(3)对现有系统的设备安全、代码安全与应用安全状况进行评估并提出加固方案。(4)除按照风险评估流程对各系统进行例行的渗透测试外，应对CMNET、DNS、门户网站、彩铃网站、网上营业厅、NO.7信令监测系统、话务网管通用操作终端系统进行全面、深入的渗透测试；对BOSS、BOMC、经分、OA等系统WEB应用的渗透测试。(5)对中间件及WEB系统：中间件以及WEB产品（Weblogic、WebSphere、Jboss、Tomcat、Tuxedo、Ngix、Apache）等。要求对中间件及WEB系统基本配置进行评估、对恶意攻击和高并发访问进行检测、对各种情况下传输协议的安全性进行评估、对各种服务和附加模块的安全性进行评估(6)防火墙安全控制策略最小化评估：对现有防火墙等安全设备的策略合理性进行评估，按照控制最小化原则，评估发现垃圾策略、控制策略粒度大等问题，并梳理出最终访问控制策略及相关说明文档。(7)评估规模： 软、硬件数量以加固服务实施时的实际数量为准。设备清单详见附件：设备明细。2.3.2安全风险评估要求参照YDT 1730-2008 《电信网和互联网安全风险评估实施指南》实施安全风险评估，在针对各专业网络的资产分析、脆弱性分析、威胁分析时，需要参照各专业网络的安全防护要求。安全风险评估包括风险评估准备、资产识别、脆弱性识别、威胁识别、已有安全措施的确认、风险分析等步骤，如图所示： (1)风险评估准备风险评估的准备是整个风险评估过程有效性的保证。在风险评估实施前，各单位应组建风险评估团队，确定此次风险评估的目标、范围、原则、依据、方式、方法、职责分工、结果形式和进度安排等内容，形成指导风险评估工作的方案。(2)资产识别资产是具有价值的资源，是安全防护体系保护的对象。评估者通过对定级对象包含的资产进行识别，明确被评估的资产并形成资产清单，根据资产清单对每一个资产进行后续的脆弱性识别、威胁识别、安全措施确认、风险分析等操作。评估者可根据企业自身情况灵活地把握资产划分粒度，但不可将某个定级对象整体作为一个资产进行评估。(3)脆弱性识别脆弱性是资产本身存在的，是资产中存在的弱点、缺陷与不足。在评估过程中，评估者应根据资产清单，针对每个资产分别识别其可能被威胁利用的脆弱性，脆弱性包括技术、管理等方面的脆弱性。脆弱性检查应包括对重点服务器的脆弱性安全检查、设备安全配置基线检查、重要系统渗透测试。(4)威胁识别威胁是一种对资产构成潜在破坏的可能性因素，是客观存在的。评估者通过威胁分析明确资产面临的人为、环境和技术等方面的威胁，重点对种植木马、后门、跨站等威胁进行识别。(5)已有安全措施的确认评估者应针对每一个脆弱性和威胁，对已经采取的安全措施及其有效性进行确认，并将已经采取的安全措施记录下来。(6)风险分析评估者完成资产识别、脆弱性识别和威胁识别后，判断威胁利用资产的脆弱性导致安全事件发生的可能性以及安全事件一旦发生造成的损失，分析资产存在的安全风险，结合已有的安全措施判断目前的安全风险是否在可接受的范围内。对于不可接受风险，评估者应制定风险处理计划并及时进行整改，采取新的安全措施降低、控制风险。在完成安全风险评估后，应标方应提供相关资料和过程文档：?《XX系统业网络安全现状分析》现状分析将包括专业系统的描述，对安全威胁现状的描述与分析，对系统脆弱性现状的描述与分析，对安全技术与安全管理现状的总结。?《XX系统网络安全评估报告》本报告根据前期评估获取的信息和分析结果，对专业网络主要资产的价值、客观的威胁、系统自身的脆弱性进行了定性的评估，然后采用了先进的风险计算方法对当前系统面临的风险进行了计算，并对系统的极度风险进行了详细的分析。报告应采用数字和图表的方式向系统管理人员和系统维护人员提供了宏观的风险分布状况。?《XX系统网络安全漏洞扫描报告》采用吉林移动认可的安全漏洞扫描设备对专业网络的网络进行脆弱性安全检查和分析，提供原始扫描报告以及漏洞对应表。为了便于管理员使用，漏洞对应表应以XLS提供，包括以下内容：设备IP地址威胁等级漏洞名称?《XX系统网络设备安全配置检查报告》根据集团公司设备安全配置规范，对专业网络的网元设备进行安全配置检查，提供设备配置符合程度和分析报告。安全配置检查不局限于用户帐号、用户密码、日志管理、远程维护等内容，应包括服务器、网络设备、防火墙、数据库等。?《XX系统网络渗透测试报告》对暴露在互联网上的网上营业厅、增值业务平台等系统进行渗透测试，完整地模拟黑客使用的漏洞发现技术和攻击手段，对目标网络/系统/主机/应用作深入的探测分析，实施无害攻击，取得系统安全威胁的真实证据。渗透测试需提供渗透测试报告。应答方应详细描述在安全风险评估的方案和各阶段工作的交付物。2.3.3安全加固建议针对安全风险评估报告、渗透测试报告、安全检查报告，乙方提供针对性的安全加固技术建议，以安全评估专家身份参与甲方的安全加固方案会议，协助评审安全加固方案。包括：?《XX系统安全建议方案》本报告分析专业网现阶段安全状况，对比行业标准的要求，提出技术和管理两个层面的整改方案，为专业网今后的安全规划和建设提供指导。?《XX系统安全加固方案》本报告针对专业网在漏洞扫描和安全配置检查中发现的问题，详细描述漏洞整改和配置调整方案，为专业网管理员提供参考。2.3.4 安全应急支持2.3.4.1本次安全应急服务项目的主要目标(1)针对建立起来的网络安全应急预案，协助吉林公司开展网络安全应急实战演练，通过演练来检验和改进应急预案；(2)为吉林移动提供未来一年7*24小时的网络安全应急第三方技术支撑，确保在发生重大安全事件时能够帮助吉林移动快速恢复业务，同时能够取证分析追踪溯源。2.3.4.2安全应急支撑服务内容以吉林移动CMNet、WAP、彩信、彩铃、BOSS系统（含BOSS网管）、门户网站、DNS、短信系统、GPRS、安全管控系统、WLAN等系统为核心，提供安全事件应急服务，安全应急支撑服务具体包括：(1)应急演练实施乙方应根据甲方的要求和时间安排，开展一次大规模的安全应急演练，具体演练过程中的要求如下：?应急方案设计乙方应依据甲方要求演练的目标，按照吉林移动的要求，制定符合吉林移动安全事件处理流程的应急演练方案。应急演练方案至少要包含应急演练的流程、应急演练的人员组织、演练环境的说明、演练的事件说明、演练的计划和具体操作等。?演练工具及相关素材的准备工作乙方负责准备演练的相关工具，包括攻击工具，攻击脚本的编写、开发和测试工作。工具必须通过严格的测试保证功能的有效和准确性，确保工具在使用过程中不会带来其他的影响。攻击脚本源代码等应提供给甲方，由甲方进行审核?演练环境搭建依据演练方案，完成软硬件演练环境搭建，并调测完成。演练环境的搭建要符合实际业务系统的状况，能够真实有效的反映事件的真实处理过程。?内部模拟演练内部模拟演练前组织演练相关人员讨论演练的事宜，统一大家对演练的认识。可以通过内部模拟演练，获取正式演练需要的数据，同时根据演练情况调整方案或演练环境。?正式演练演练过程中，要及时记录演练过程中出现的各种异常问题，出现突发的意外事件要有完善的应急措施来应对。?总结并完成演练报告演练完成后，形成《应急演练报告》，总结应急演练的经验和教训。(2)安全应急响应支持为吉林移动提供未来一年7*24小时的网络安全应急第三方技术支撑，确保在发生重大安全事件时能够帮助吉林移动快速恢复业务，同时能够取证分析追踪溯源。在合同期内，针对响应时限，卖方需满足：1) 一般需求响应，响应时限为24小时；2) 一般安全事件响应，响应时限为12小时；3) 重大安全事件响应，响应时限为2小时，需要现场解决的必须保证1小时内到达现场。卖方还可自行提供保障的时限承诺。2.3.5WEB系统风险监控服务为保障提供互联网络服务的各类WEB应用系统安全性，需要定期检查WEB系统安全，监视WEB系统风险。监控服务内容至少包括识别并清除网站挂马、识别并修复常见的Web应用漏洞、提供专家级安全建议和策略。监控期限为一年。安全服务结束后将web安全检查工具提交甲方所有。2.3.5.1风险监控内容?网页木马检测1）检查互联网网站WEB页面是否已经存在网页挂马，包括：Iframe框架挂马、JS文件挂马、JS变形挂马、body挂马、css挂马、Javascript挂马、WebShell；2）通过专业人员核实后标明网页木马所在的网页链接；3）每月提供一次《网页木马监控报告》，包括：挂马统计信息、挂马页面定位、网页挂马分析、修补建议。★网站漏洞检查1）检查互联网网站是否存在WEB程序安全漏洞，包括：网站SQL注入、XSS、远程代码可执行、目录遍历、文件包含、脚本源码泄露、CRLF注入、物理路径泄漏、Cookie篡改、URL重定向、应用错误信息、备份文件、脚本错误信息、敏感文件、敏感目录、目录权限、CVS信息泄漏、环境变量泄漏、Bash 信息泄漏、测试页面等方面漏洞检测等；2）能够采用深度遍历等方法对数据库或WEB服务程序目录建立风险列表，并定期发现各类安全漏洞3）通过专业人员核实后标明漏洞类型和存在的网页链接；4）每月提供一次《网站漏洞监控报告》，包括：漏洞统计信息、漏洞页面定位、网页漏洞分析、修补建议。4）在服务期间，如存在网站被攻击，提供应急响应服务。2.3.5.2风险监控报告?网页木马检测报告（1）报告相关内容描述报告检测对象；报告检测时间；报告检测结果总体描述；报告检测人员情况；（2）报告检测内容及统计描述所有检测对象都应进行以下类别的安全检测：“跨站脚本”、“SQL注入”、“代码执行”、“目录遍历”、“文件包含”、“脚本源码泄露”、“CRLF注入”、“物理路径泄露”、“COOKIE篡改”、“URL重定向”、“应用错误信息”、“备份文件”、“脚本错误信息”、“可能的敏感信息”、“可能的敏感目录”、“目录权限”；分别对上述检测类别中发现的问题分别进行统计；根据有无发现漏洞判断所有类别的安全检测在本次检查中是否通过；（3）报告检测详细情况描述对存在漏洞的所有地址进行准确定位；描述所有存在漏洞地址的漏洞类型；对每一项漏洞进行风险级别判断；（4）修补方案描述对报告中检查到的所有漏洞详细描述修补方法；修补方法必须详细且可操作；?网站漏洞检查报告（1）报告相关内容描述报告检测对象；报告检测时间；报告检测结果总体描述；报告检测人员情况；（2）报告检测内容及统计描述对所有被检查的内容进行统计，统计内容包括是否被挂马，以及被挂马的地址的数量；（3）报告检测详细情况描述标识所有确定被挂马的页面，并给出页面的具体地址；标识被检查出具有异常行为的页面，并给出页面的具体地址；（4）修补方案描述对报告中检查到的所有漏洞详细描述修补方法；修补方法必须详细且可操作；2.3.6安全值守服务1、重要节假日（十一、春节）及重大事件期间的安全值守（7×24小时值守10天），值守后向吉林移动提交安全值守报告和相关值守记录表。2、值守的范围包括?实时监控吉林移动门户网站、吉林农业信息网、吉林移动彩铃网站等的运行状况，是否发现攻击行为，如有攻击处理结果。?实时监控DNS服务器动行状况，记录DNS服务器的硬件动行状况和DNS请求的成功率。?作好网络入侵、病毒大范围爆发、大规模网络攻击的应急计划，制定相应应急处理流程。3、值守期间如发生安全事件，根据应急处理流程，通知相关责任人，紧急处理并提交相应的处理报告。2.3.7安全培训服务1、提供5天80人次系统管理员安全培训，课程由买方定制。2、提供10人次安全技术人员攻防培训。2.3.8数据安全梳理本服务要求通过对系统内部业务界面敏感信息的查看进行相关的角色权限控制，以保证业务操作员只能查看其业务操作范围内的敏感数据，从而减小敏感数据被泄密的风险。本次敏感信息的防护梳理服务，应根据应用系统实际提供的应用功能，详细梳理涉及敏感信息输出的接口、界面菜单和应用功能模块设计，并对相应的敏感信息进行输出、访问等进行控制，对敏感信息进行模糊化处理的研究。系统敏感数据保护研究项目可分为以下几部分研究内容，具体要求如下：2.3.8.1敏感数据梳理与分析2.3.8.1.1敏感数据分布现状调研收集组织内相关安全指导及策略文件信息资料并制定调研问卷等。准备工作包括但不限于：?调研目前敏感数据的安全防护措施?组织现有安全审计相关指导要求收集?组织现有安全审计策略收集?上述两类文档的审阅分析?制定服务的调研模板及知识问卷信息安全顾问即本次服务人员通过桌面访谈和现场技术检查的方式进行信息调研。调研信息包括但不限于：?系统功能操作流程涉及的敏感信息情况?系统敏感信息的采集方式及采集位置情况?系统敏感信息的存储方式及存储位置情况?系统日志存储分类情况调研成果：《现状及问题分析》、《敏感数据分布视图》。 以下为《个人详单数据分布》示例结果：应用编号功能权限名称（必填）功能权限ID（必填）描述信息数据库IP数据库用户crm-gryw-001用户开户(远程写卡)CSM_OPENUSR_REMOTE个人业务--开户业务--用户开户--用户开户(远程写卡)10.143.3.15/10.143.3.35uop_crm1crm-gryw-002代理商预录文CSM_RETURNOPENFORAGENT个人业务--开户业务--用户开户--代理商预录文10.143.3.15/10.143.3.35uop_crm1crm-gryw-003用户开户CSM_OPENUSER个人业务--开户业务--用户开户--用户开户10.143.3.15/10.143.3.35uop_crm1crm-gryw-004返单开户（版本一）CSM_RETURNOPENUSER个人业务--开户业务--用户开户--返单开户（版本一）10.143.3.15/10.143.3.35uop_crm1crm-gryw-005铁通用户开户crm5823个人业务--开户业务--用户开户--铁通用户开户10.143.3.15/10.143.3.35uop_crm1crm-gryw-006大屏幕选号CSM_SCREENPHONE个人业务--开户业务--用户开户--大屏幕选号10.143.3.15/10.143.3.35uop_crm1crm-gryw-007跨区入网CSM_ROAMOPENUSER个人业务--开户业务--用户开户--跨区入网10.143.3.15/10.143.3.35uop_crm1crm-gryw-008网上抢号查询CSM_OCCUPYTRADEQUERY个人业务--开户业务--用户开户--网上抢号查询10.143.3.15/10.143.3.35uop_crm12.3.8.1.2敏感信息流向及泄露的途径分析敏感信息可能泄露的途径主要通过系统的业务功能和接口泄露，泄露的类型包括界面泄露、接口泄露、传输泄露和恶意窃取。根据调研阶段输出的结论如客户详单、客户资料数据、订购关系数据等分布视图结合组织内部管理标准进行敏感数据定级；根据调研结果对数据进行敏感分级；在敏感数据分级定义的基础上，结合现有的敏感数据防护措施进行敏感数据泄露风险分析。分析成果：《敏感数据流向视图》、《敏感数据操作视图》、《敏感数据泄露分析》。以下为《敏感数据流向视图》示例结果：接口编号接口名称详单数据源系统详单数据目标系统传输方式（或接口方式）帐号传输频率（年、月、日、实时等）数据存储周期（年、月、日、不保存等）系统名称子系统（模块）接口负责人维护厂商系统名称子系统（模块）接口负责人维护厂商计费接口1采集程序　网元　　计费采集　亚信联创FTPdas实时1＋1个月计费接口2计费入库程序BOSS系统计费　亚信联创BOSS系统入库　亚信联创OCIucr_tdxx实时6＋1个月计费接口3综合查询服务端BOSS系统计费　亚信联创BOSS系统帐务管理　亚信联创TUXEDOuif_bil_qry实时不保留计费接口4公安查询接口BOSS系统计费　亚信联创　　　　FTPwind实时不保留CRM接口1CRM-电子渠道（网厅）BOSS系统计费　亚信联创　　　　TUXEDOuif_bil_qry实时不保留CRM接口2CRM-电子渠道（自助终端）BOSS系统计费　亚信联创　　　　TUXEDOuif_bil_qry实时不保留2.3.8.1.3敏感数据日记记录与审计分析在以上调研及分析的基础之上，进行敏感数据相关操作的日志记录及审计进行研究具体的研究方向如下：研究与分统敏感数据操作日志记录要求及审计要求：?用户登录与权限类审计日志具体内容；?业务操作类日志具体内容；?系统运行及开发管理类日志内容；?敏感数据操作审计流程及审计要求；研究成果：《敏感数据安全审计日志实现方案》。以下为业务支撑系统审计日志实现情况调研样例： 2.3.8.2敏感数据模糊化及加密研究进行敏感数据防泄漏，敏感数据模糊化研究，最终达到敏感数据始终处于一种安全加密的保护之下，具体的研究方向如下：1.研究系统业务操作界面的信息保护技术：操作菜单操作按钮显示数据2.研究敏感数据导出保护技术：数据脱敏/混淆技术数据自毁技术数据水印技术3.研究统一敏感数据管理系统的技术实现：功能范围集成技术4.研究敏感数据存储及传输加密/模糊化保护技术等研究成果：《涉密数据加密、模糊化、安全传输实现方案》2.3.8.3文档输出在完成了以上对系统的全面调研、分析、研究工作之后，提出敏感数据在各个环节中的补全要求，提出对系统改造需求和整改意见，完成最终的数据安全管理系统建设方案。根据对敏感数据的调研与梳理后的现状进行分析后，结合数据安全管理现状，与数据安全管理员协同编写出协助以后数据安全管理工作的管理文档。2.3.9临时性工作安排合同期间卖方需按照买方的工作安排进行与本项目相关的调整工作及临时工作，具体要求由买方负责提供，卖方予以落实。2.4安全服务整体要求(1)依据买方提供的系统关注要点，卖方应在标书应答时明确对关注点逐一列出评测点，并详细描述完成评估和加固此关注点的整体方案，应包含但不仅限于技术方案和实施方案。技术方案包括整体流程、技术方法和服务方案设计等，需要对每项技术方法及部署位置进行详细描述；实施方案包括人员组织、时间安排、工具配备、阶段性文档提交、验收标准、质量保证和风险规避措施等。(2)卖方应详细描述项目过程中人员的组成及各自职责的划分。卖方应配置有电信行业内安全项目管理经验的管理人员进行本项目的管理工作且在卖方单位内具备中层以上职务；技术人员要求具备大型安全加固服务项目的丰富实施经验，买方对卖方提供的项目管理人员需进行相关内容的考核，考核通过卖方方可安排，在协商确定项目组人员组成后未经买方确认不允许随意更换。(3)服务需要的运行环境(如场地、网络环境等)由买方提供，卖方应详细描述需要的运行环境的具体要求。买方有权对工作地点进行重新选择。(4)在标书应答时，卖方应以表格方式明确说明安全加固工作中使用的硬件平台（如笔记本电脑、工作站、测试服务器、测试网络设备等）、安全扫描工具和操作系统软件等。2.5安全服务工作要求 (1)卖方应根据买方要求提供详细的系统安全风险评估报告，根据安全评估报告结合自身搜集和整理的安全风险状况，提供详细的安全加固实施方案。(2)安全加固必须按照分层的原则，包括但不限于以下对象：网络服务、主机系统、应用系统、数据安全、安全系统、系统安全策略等。(3)安全风险状况分析必须使用手工分析、工具扫描结合的方式进行。请卖方详细描述所使用的工具的情况，包括软件名称版本、功能和性能描述（包括漏洞库规模、扫描效率等）、对环境和软硬件平台的要求以及使用工具软件和硬件平台的数量等。卖方人员负责在项目实施前完成扫描工具的安装及调试，评估环境的搭建。(4)卖方应根据规范应用安全评估流程与技术手段，结合买方网络与业务应用状况，在不影响业务系统运行、不留下恶意后门、不破坏系统文件的前提下，通过人工评估、工具扫描、探测等方法对各系统现有代码安全与应用安全状况进行系统评估。评估工作完成后应生成完成完整的评估报告，其中应针对买方系统应用类别，给出对应的完备的评估流程和评估技术规范。(5)卖方应详细描述安全风险评估的实施步骤和工作流程。具体包括准备工作、人员安排、时间进度、操作内容、网络调研、资产评估、威胁评估、脆弱性评估、风险综合分析，针对风险评估中识别的安全风险，特别是不可接受风险，制定风险控制和处理计划，提出系统安全改造方案，包括边界整合方案、部署安全产品等安全技术性方案。并形成最终安全评估改造方案。(6)对于要求重点进行渗透测试的系统，渗透测试后应单独提交每套系统的渗透测试报告。(7)依据评估结果，卖方应详细描述安全加固的实施步骤和工作流程。具体包括准备工作、加固策略的制定、加固项目、操作内容、人员安排、时间进度、可能对系统造成的影响等等。安全加固方式应经过论证，将可能带来的影响减至最小。(8)卖方应在加固建议中详细描述安全加固中需要人工参与的工作内容，以及可能对系统造成的影响。加固工作优先由买方人员完成，卖方应派遣具有丰富系统加固经验的安全工程师配合买方进行系统加固工作。(9)卖方在买方系统加固完成后应分析和整理安全加固服务实施结果和系统安全现状，向买方提供详细的加固后工具扫描和手工检查的最新结果报告。对于已解决和未解决的风险和漏洞应按照风险级别加以分类，提交详细的安全加固结果分析报告。(10)在加固实施过程中，如果需要提前进行系统测试，搭建测试环境所使用的服务器、网络设备及操作系统由卖方提供。(11)卖方应派遣具有丰富安全保障经验的资深系统安全工程师在买方进行现场安全保障工作。(12)安全监控服务应每月对检查对象检查一次，分别针对网站漏洞和网站挂马情况出具服务报告和解决方案。(13)在服务期内要定期对脆弱性服务系统进行脆弱更新服务，以保证系统脆弱性系统内容的完整性。(14)安全服务公告至少要求每周通过邮件等方式公告一次，对于重大安全事件随时公告，以便吉林移动作应急措施。2.6交付成果和报告服务中产生的全部档案资料版权归买方所有，卖方未经买方允许的情况下，不能以任何形式向第三方提供安全技术文档的全部或部分内容，交付文件必须包括但不限于如下成果和报告：(1)《吉林移动安全评估服务总体计划》(2)《吉林移动安全评估实施步骤及计划》(3)《吉林移动安全评估实施方案》(4)对评估过程的风险规避负责，如评估过程中出现异常则采取风险规避措施，提供《吉林移动安全评估风险规避方案》。(5)提供各系统风险评估详细报告?根据评估实施情况和所搜集到的信息，如资产评估数据、威胁评估数据、脆弱性评估数据等，完成评估报告撰写。?评估报告是风险评估结果的记录文件，是实施风险管理的主要依据，是对风险评估活动进行评审和认可的基础资料，必须做到有据可查。?报告应包括风险评估范围、风险计算方法、安全问题归纳及描述、风险级数、安全建议、风险控制措施建议、残余风险描述等。?风险评估过程应形成下列文件：信息资产识别清单、重要信息资产清单、威胁参考列表、脆弱性参考列表、风险评估记录（包括漏洞扫描记录、人工检查记录、渗透测试记录）(6)《中国移动吉林公司各业务系统安全加固建议》在项目调研及评估阶段，卖方应针对买方现有应用系统安全现状，进行业务系统调研和评估后提交《中国移动吉林公司各业务系统安全加固建议》。除此之外，卖方在此阶段还应展开对买方现有系统代码和应用安全的调研和评估，形成完整的《应用安全评估流程与技术规范》，提交《中国移动吉林公司各业务系统数据安全评估报告》，并针对评估结果给出可行的加固建议，做为《中国移动吉林公司各业务系统安全加固建议》的重要组成部分一起提交。(7)《中国移动吉林公司各业务系统安全加固实施方案与加固手册》卖方与买方相关系统管理员对加固实施方案进行讨论，确认实施方案中的加固方法和过程，不会对系统、应用和网络造成影响或中断，然后正式确定安全加固实施方案；对因为业务限制不能直接实施加固的风险漏洞，生成可行并有效的替代方案。此阶段完成时由服务提供商生成并提交《中国移动吉林公司各业务系统安全加固实施方案》。(8)《中国移动吉林公司各业务系统安全加固结果报告》根据加固实施方案，由卖方配合买方对于需要做加固和安全修补的主机设备、防火墙设备、网络设备、网络构架、数据库设备、终端、应用安全管理进行全面的加固工作。所有的加固工作必须不能够影响到买方的正常业务运行。然后由卖方申请在适当时间进行加固验证工作，在得到买方同意后，卖方使用扫描设备对已加固设备进行漏洞评估分析，以及主机的安全检查，验证加固工作是否解决了买方资产存在的中高级的风险。设备的性能检查分析检验是否存在设备加固后性能不稳定问题。以上加固及验证工作完成后由卖方生成《中国移动吉林公司各业务系统安全加固结果报告》。(9)《厂家配合情况报告》卖方在项目竣工后，须对设备厂家配合程度及效果给出评价，并提供厂家的具体行为陈述。该报告要求作为正式文件提供给买方。(10)《XX系统渗透测试报告》卖方应在完成渗透测试后，向买方提交被测系统渗透测试报告，详细说明渗透测试点、渗透测试结果、安全隐患及漏洞整改方案。(11)《中国移动吉林公司风险评估分析总结报告》客观、公正地评价负责风险评估和加固厂商的评估加固工作成果，并提交相应报告。(12)包含2.3项目内容提及到的全部文档。2.7项目组织实施计划与管理控制2.7.1项目组织实施计划卖方应针对本项目提供完整、详细的项目组织实施计划。计划包括项目进度表、人员配备，实施说明等。2.7.2项目管理控制卖方应针对本项目提供完整、详细的项目管理控制文档，以确保项目的顺利开展。文档包括质量管理体系、内部控制流程，等。2.7.3应急响应措施卖方应针对本项目提供相应的应急响应措施，以防范紧急事件的发生。措施包括应急响应流程、备选方案、人员组织、恢复机制等。2.7.4项目沟通机制卖方应针对本项目提供完善的沟通机制，以确保合作的顺畅无阻。沟通机制包括加固期间的日报、加固期间的周报、加固后的运行分析报告等。其中，对于卖方每周提交的《评估和加固项目组工作进展周报》，内容包括但不限于：评估和加固工作进展、各系统安全状况分析、风险及威胁分析、未来一周工作计划等。及时完成相关经验的交流和知识传递工作。具体时间根据买方工作安排调整。2.8服务期间要求为便于整个项目的顺利进行，在服务期间甲乙双方需要建立例会制度，会议时间及地点由买方根据项目实际情况安排，卖方需派项目相关人员参会，参会人员需提供上次例会以来项目的进展情况、遇到的问题等内容以PPT的形势提供给买方。2.9★服务承诺卖方进行系统安全加固操作必须经过系统管理员和安全管理员共同确定后方可执行，执行过程必须按照既定方案进行。在合同期内，针对响应时限，卖方需满足：1)一般需求响应，响应时限为24小时；2)一般安全事件响应，响应时限为12小时；3)重大安全事件响应，响应时限为2小时，需要现场解决的必须保证1小时内到达现场。卖方还可自行提供保障的时限承诺。3项目验收1、对分别承担风险评估及加固项目的验收要求所有经过安全评估或加固的系统在针对本系统的加固竣工后一年内不得出现由于风险评估不彻底遗留下的残余风险及系统加固不完善而造成的安全事件。所有经过评估的系统在一年内接受第三方或本公司进行的其它安全评估时不得出现卖方评估、加固时未指出的系统漏洞，否则推迟服务款项的支付。验收时，将严格按照卖方在对各系统关注点所承诺的逐条测试点进行验证，由买方确认各系统关注点风险是否有效规避或降低，达到买方预期效果要求方可通过验收。在安全服务期间，买方提出的安全技术支持服务，服务是否成功根据买方最终评审的结果为准。安全风险评估的结果，在操作系统没有发生软硬件变化基础上，之前出现的问题（已评估加固过的问题）应该不再出现。所有经过评估的系统在一年内接受第三方或本公司进行的其它安全评估时不得出现卖方评估、加固时未指出的系统漏洞，否则推迟服务款项的支付。4售后服务4.1项目协调会4.1.1 卖方应说明在服务过程中，可能需要召开的项目协调会次数、参加人员和主要内容。4.1.2 卖方应承担项目协调会所需的费用。4.2售后服务4.2.1 卖方说明在中国的技术支持队伍和机构情况，有无技术支持中心，地点设在何处，能够提供的技术服务的内容、时间和服务模式。4.2.2 对于加固过程中发现的主机和网络设备漏洞，卖方应提供项目验收后一年内的技术咨询服务，对于漏洞的修补、问题的排除给出建议和指导。5对报价书的要求A.卖方所提供的技术建议书应严格按照以下内容格式进行编制：一、项目标书及应答（必须在引用标书的基础上逐项应答）1、买方项目标书2、卖方点对点应答3、卖方附件一应答二、技术建议书（应包含针对本期项目的总体解决方案建议、网络组织、配置原则、计算过程等，以及其它应说明的内容）三、技术文件清单四、卖方承诺（包含版本升级计划和其他特殊商务承诺）五、实施计划及项目实施，人员现场培训的详细安排六、及相应的组织机构和人员情况（按照项目进度的安排提供各阶段各类项目服务人员的数量、详细阅历及资质、现场服务时间、工作量，其中项目经理必须参加过其它省移动安全项目，并且能够现场支持服务）七、验收及测试安排：包括系统的验收流程、测试内容、测试方法及相关测试手册等；八、技术服务、支持、保修。九、卖方相关资质或许可证（国家安全服务资质、国家级应急服务支撑单位资质、营业执照、税务登记证、组织机构代码证以及生产许可证和业绩情况等等）。相关要求：(1)乙方注册资金必须为1000万人民币以上，最好1500万以上；经营范围必须涉及技术服务类；（请提供相关材料）(2)乙方必须具有国家级信息安全服务（一级）资质认证及ISO9001认证，最好具有信息安全认证信息安全（二级）服务资质、信息安全风险评估服务（一级）资质认证及ISO27001认证；（请提供相关资质证明材料）(3)乙方必须在移动行业中具有广泛的风险评估服务项目经验，最近三年内至少具有5个超过30万的运营商行业的安全评估服务项目案例（请提供合同复印件），最好有10个以上安全评估负责的案例； (4)乙方提供的项目案例最好具备有对移动行业的门户网站、WLAN、DNS、网管系统等系统的风险评估过程并出具过相应的安全解决方案；（请提供合同复印件及相关证明材料）(5)乙方最好具有对WEB网站、WLAN、DNS等互联网设施评估的成功经验， 请列出至少1种以往评估过程中上述三类互联网设施纳入本公司发现纳入CVE漏洞说明。（请提供合同复印件及相关证明材料）十、提供近五年内通信行业的安全评估案例。B.标书点对点应答要求卖方的建议书中，要求对本规范书所提出各项要求进行逐条逐项答复、说明和解释，首先对实现或满足程度明确作出“满足”、“不满足”、“部分满足”等应答，然后作出具体、详细的说明。不得使用“明白”、“理解”等词语。对于一律未作出具体解释的，视为不满足。在答复中，要求明确满足的程度，凡采用“详见”、“参见”方式说明的，应指明参见文档的具体章节或页码。C．如需要向第三方购买设备,卖方应在建议书中详细提供：1).所需设备的购置厂家;2).所需设备的保修期限与方式;3).所需设备的售后技术服务种类和年限。5.1 报价要求1.卖方报价书中所有对买方的优惠均以折扣率体现，买方承诺报价中涉及的折扣率均与卖方在本次项目中所取得的市场份额无关，请参照附件三设备明细表，按照A包系统风险评估和设备加固、B包系统风险评估和设备加固、所有系统（AB包设备）总体风险评估三个项目，按附件二报价模板进行详细报价。2．买方应对本次报价作详细报价说明。并在总表中明确给出列表价、折扣率以及最终商务报价。3.报价内容包括：风险评估、安全加固、技术支持等；应分别单独报价。4．卖方应承诺当买方实际所购买服务的种类、数量、规模发生变化时服务的单价不提高、技术服务方面的水平不降低；卖方保证向买方提供的服务的单价不高于、技术服务方面的水平不低于以前卖方售出的所有相同或同类产品或服务，并承诺本次项目以后向买方出售的相同或同类服务单价不高于、技术服务方面的水平不低于本次项目的价格和服务。5.卖方应对和其他厂商在项目配合及售后支持等方面做出详细的说明和承诺。6.本标书应视为保证系统评估、加固后满足国家等保要求和集团公司相关设备安全标准所需的最低要求，如有遗漏，卖方应予以补充，否则一旦中标将认为卖方认同遗漏部分并免费提供。7.所有报价均应以人民币计列。8.卖方应提供技术服务的责任分工及详细的服务内容清单，应按服务清单分项报价，并提供报价依据和计算公式。 9．本次报价为一次性最终报价。5.1.1服务清单要求卖方应在规范书中详细提供：1)服务模块及列表；2)服务的主要功能；5.1.2报价体系要求请卖方按照以下各项要求分别报价：1)系统总价；2)服务模块单位3)服务模块单价4)后续服务等级、方式及相应报价；6 其他要求6.1 提供卖方的公司背景材料和资质状况。6.2卖方应提供项目组成员的详细技术背景资料。6.3 厂商应提供相应的资质证明以用作投标评审之用，需要(但不限于)以下资质：?国家信息安全产品测评认证中心二级信息安全服务资质，卖方应具备国家级应急服务支撑单位资质。6.4 卖方的项目成员中必须具备以下的相关资格：?乙方项目经理必须具有大型安全评估项目的项目经理的成功案例，项目规模不低于100万；参加案例中无论用户数量还是网络规模，都应相当于或超过本次安全风险评测服务项目的规模。?乙方项目组成员至少5人，且具有5年以上的安全咨询服务项目经验,至少具备CISP、CISSP、CIW、ISO27001 LA、CCIE等三类以上认证证书（请提供相关证明材料）。?以上人员需要附详细简历。?乙方应在进行互联网网站黑盒渗透测试期间必须至少委派1名渗透专家在长春本地现场进行测试，同时将渗透测试过程中的方法和原理、实施步骤、渗透方案提供给甲方以供参考。?项目成员应该具有大型企业安全咨询服务和加固项目的成功经验，参加案例中无论用户数量还是网络规模，都应相当于或超过本次安全加固服务项目的规模。?项目成员必须为卖方公司正式员工，严禁转包第三方厂商，同时在风险评估过程中未经甲方，未经与甲方协商确认乙方不允许随意更换评测人员。?本项目所涉及到的所有文档，所有权归买方，卖方须做好相关的保密工作，防止外泄。?我们将对本次服务的效果打分，作为以后招投标的依据。注：★项为必须满足项。