34项目人员要求-中国移动采购与招标网.docx

《34项目人员要求-中国移动采购与招标网.docx》由会员分享，可在线阅读，更多相关《34项目人员要求-中国移动采购与招标网.docx（14页珍藏版）》请在第壹文秘上搜索。

1、网络管理部网络平安通信单元风险评测及渗透性测试服务技术规范书黑龙江移动网络管理部2016年6月1总体要求1.1 总述本规范书是中国移动通信集团黑龙江有限公司（以下简称买方）向为拟供应服务的网络管理部通信网络单元风险评测及渗透测试服务项目服务供货商（以下简称卖方）提出的规范书。1.1.2 卖方如不能满意本规范书中所提到的各项技术要求及业务功能指标，应在建议书中明确提出，否则即认为卖方能够按本文件要求供应相应服务。本规范书主要供应黑龙江移动网络管理部通信网络单元平安风险评估项目服务项目的总体要求，供卖方编写技术建议书。在满意买方的总体技术要求的状况下，卖方可征得买方的同意，提出适当的修改建议，并陈

2、述理由。若卖方认为买方的技术要求尚不明确或有漏项的地方，请具体加以说明并经双方商定。对规范书内容的澄清及修改将由买方以电子邮件形式发送全部得到规范书的厂家。1.1.4 本技术规范书的文档按版本化管理。在技术谈判过程中不断充溢内容，进行版本升级。1.1.5 卖方如不能满意本规范书中的要求，须要具体说明缘由。1.1.6 在技术谈判的各个阶段，项目单位将以书面形式要求应答方对有关问题进行进一步的技术澄清，应答方应以书面资料赐予正式应答；全部各阶段的技术澄清文件都将作为合同附件。技术澄清中各条目应首先应答为“满意”、“不满意”、“部分满意”，不得运用“明白”、“理解”等词语。当应答为“部分满意”或“不

3、满意”时，须要进行具体说明说明缘由。1.1.7说明与应答相互冲突的，以应答为准。1.1.8卖方如不能满意本规范书中的要求，须要具体说明缘由。总体描述部分应包含卖方综合状况，卖方应至少供应下列内容：1 .卖方的背景资料介绍：包括公司成立时间、成立地点、注册资金、银行存款、经营范围、2014年、2015年、2016年公司的业务收入和利润、企业类型、雇员总数、本地区雇员总数、黑龙江地区的办事机构类型、人员组成和经营范围及具有的相关资质及经营授权、其他须要说明的状况等。2 .卖方的市场定位、公司目标、业务运作状况，业务发展支配。3 .卖方的内部组织架构、具体说明黑龙江移动网络管理部通信网络单元平安风险

4、评估项目服务项目中乙方的人员配置、技术实力、平安认证及汇报机制。1.2 技术建议书的文件要求结合黑龙江移动网络管理部通信网络单元平安风险评估项目服务项目的实际状况，技术建议书至少要对以下方面做具体说明：（1）通信网络单元平安风险评测及渗透测试服务项目服务方案（2）场地及环境打算要求（3）平安服务进度支配（4）项目验收（5）技术服务及技术支持1.3 保密条款任何一方未经另一方同意不得向任何第三方透露本文档内容，双方一样同意任何一方在任何时候对其持有的有关另一方的事务或其事务运转操作方法等保密信息实行严格保密。除非有信息供应方书面许可，任何一方不得在任何时间向本坏议以外的任何第三方披露或供应保密信

5、息（包括但不限于：任何信息供应方不欲公开的观点、发觉、独创、公式、程序、支配、图表、模型、参数、数据、标准和专有技术隐私，和/或其中的任何学问产权）的任何内容（本协议另有约定的除外）。除非有信息供应方的书面指示，任何一方不得对保密信息进行拷贝或抄写。2项目概述2.1 项目背景依据通信网络平安防护管理方法（工业和信息化部第11号令）、工业和信息化部关于开展2013年基础电信网络平安防护检查工作的通知（工信部保函【2013】110号）及关于做好2015年省级基础电信企业网络与信息平安责任考核工作有关问题的通知（黑通管保（2015）53号）、关于做好2014年通信网网络平安工作的通知（网通20148

6、5号）关于建立专职团队开展集中化网络平安运营管理的通知（网通201543号）等上级公文要求，为进一步提高基础电信企业网络和业务系统防攻击、防病毒、防入侵、防瘫痪、防信息窃取的实力和水平，保障基础电信网络和重要业务系统的平安，爱护用户个人电子信息、促进通信行业网络平安防护工作体系化、规范化建设，需针对网络管理部全部15套二级及以上的通信网络单元（详见下表）实施通信网络风险评测工作，并针对工信部、省通信管理局的技术检查或严峻网络平安事务，解除潜在的平安隐患，消退平安威逼，彻底解决平安问题。序号定圾对联名称平安等级1中国移动IP承载网黑龙江省IP骨干网3.1级2中国移动移动通信网分蛆城黑龙江各省网部

7、分核心交换网31级3中国移动增值业务网消息网黑龙江省短消息网3.1级4中国移动WAP网关系统那龙江省省级WAP网关系统2级5中国移动互联网黑龙江省域名朋务系统域名解析系统2娘6中国移动移动通信网电路域黑龙江省哈尔滨市本地网无线接入子系统2t87中国移动出值业务网消息网黑龙江省多媒体消息网2级8中国移动增值业务网智能网黑龙江省省内智能网2级9中国移动接入网黑龙江省哈尔流市本地网下不同区域2级10中国移动支撑网黑龙江省网管系统2级11中国移动信令网黑龙江省省内信令网31级12中国移动移动通信网电路域黑龙江省哈尔滨市木地网关口局3.1级13中国移动移动通信网电路域黑龙江省哈尔滨市本地网核心交换网3.

8、1级14中国移动同步网黑龙江省省内同步网3.1级15中国移动光传送网器龙江省省内骨干传送网3.12.2 项目定义2.2.1本规范书为中国移动通信集团黑龙江有限公司网络管理部（以下简称甲方）通信网络单元风险评测及渗透测试服务服务要求，供服务供应商（以下简称乙方）编写应答书和报价之用。2.2.2本技术规范书包括了项目、技术服务等主要要求，这些要求将在以下章节中相应地列出。2.2.3乙方应依据本文件中的相关说明和要求，提出技术是议、技术方案和报价。2 .2.4甲方保留对本文件的说明和修改权。甲方有权在签定合同前，依据须要修改和补充本技术规范书，修改补充后的最终技术规范书将作为合同的附件。3 .2.5

9、乙方应对本文件内容进行严格地保密，未经甲方授权不得将此文件泄漏绐第三方，否则甲方有权追究乙方的责任。2.3 人员组织要求乙方需向甲方供应参与本项目工作人员具体名单及项目组组织结构，并附上核心项目人员简历，平安认证资质。所报项目组成员一旦确定，不能擅自更改。项目确定后，必需保证全部人员的到位和工作饱满，不允许项目人员在参与本项目过程中身兼其他项目工作。核心人员包括：项目经理、高级技术人员、关键岗位成员。2.4 保密要求项目过程中，乙方所收集、产生的全部本项目相关文档、资料，包括文字、图片、表格、数字等各种形式均归属甲方全部，乙方有义务对所涉及内容保密，乙方应需依据甲方要求签署保密协议。3项目描述

10、3.1 项目目标对黑龙江移动网络管理部通信网络单元进行符合性检查与风险风险评测，并提高各单位网络平安防护（符合性评测、风险评估）工作效果，包括资产识别、脆弱性识别、威逼识别、已有平安措施确认、风险分析，整改建议。通过对被检测网络单元进行信息风险评测，全面、完整地了解当前信息系统的平安状况，分析被测信息系统所面临的各种风险，依据测评结果发觉系统中存在的平安问题，并对严峻的问题提出相应的改进建议，达到以检测促平安的目的，实现重要信息系统的平安爱护等级监控与爱护的目的。3.2 项目应满意的原则项目的方案设计与具体实施应满意以下原则：最小影晌原则：工作应尽可能小的影响系统和网络的正常运行，不能对现网的

11、运行和业务的正常供应产生显著影响（包括系统性能明显下降、网络拥塞、服务中断，如无法避开出现这些状况应在应答书上具体描述）；可控性原则：方法和过程要在双方认可的范围之内，平安服务的进度要依据进度表的支配，保证甲方对于服务工作的可控性；可行性原则：乙方提出的建设方案及平安服务内容应结合甲方现网状况及实际水平，是可以实际实施的；规范性原则：乙方工作中的过程和文档，应具有规范性，可以便于项目的跟踪和限制；保密原则：对过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害甲方的行为，否则甲方有权追究乙方的责任。甲方有权要求乙方在服务结束之后销毁全部和本项目有关的数据和文

12、档。3.3 项目内容依据工信部通信行业网络单元平安防护标准，对网络管理部二级及以上重要信息系统开展信息平安风险评估以及平安防护符合度测评工作，依据信息系统的重要程度明确的制定出相应的爱护措施，使之满意通信行业关于等级爱护不同级别的具体要求，对被测系统所涵置全部服务器、网络设备、平安设备、应用系统进行全面的信息平安测评和风险评测。增加信息系统平安的规范性和有效性，增加网络的抗攻击实力，以保证相关业务的正常运转，对社会的稳定发展起到主动的促进作用。测评工作分别从应用平安、网络平安、主机平安、数据平安与备份复原、平安管理制度、平安管理机构、人员平安管理、系统建设管理、系统运维管理等10个层面，对被测

13、系统开展信息平安等级爱护渗透测试工作，对检测过程中发觉的各类问题，给出相应的加固建议，出具等级爱护测评报告。（一）差距测评服务1、应用平安业务应用的中断状况，在维护或升级期间中断数据采集状况，业务数据的备份状况，应用系统的容灾备份状况等。2、网络平安包括：结构平安、访问限制、平安审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等。3、物理平安包括：物理位置的选择、物理访问限制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度限制、电力供应、电磁防护等。4.主机平安包括：身份鉴别、平安标记、访问限制、可信路径、平安审计、剩余信息爱护、入侵防范、恶意代码防范、资源限制等。5、数据

14、平安及备份复原包括：数据完整性、数据保密性、备份和复原等。6、平安管理制度包括：管理制度、制定和发布、评审和修订等。7、平安管理机构包括：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等。8、人员平安管理包括：人员录用、人员离岗、人员考核、平安意识教化和培训、外部人员访问管理等。9、系统建设管理包括：系统定级、平安方案设计、产品选购和运用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评、平安服务商选择等。10、平安运维管理包括：环境管理、资产管理、介质管理、设备管理、监控管理和平安管理中心、网络平安管理、系统平安管理、恶意代码防范管理、密码管理、变更管理、

15、备份与复原管理、平安事务处置、应急预案管理等。（二）风险评测服务1、网络平安性检测网络脆弱性检测主要包括网络结构及边界脆弱性检测、网络设备的脆弱性检测与网络平安设备的脆弱性检测。2、系统平安性检测系统脆弱性检测主要包括操作系统脆弱性检测、数据库脆弱性检测。3、应用平安性检测应用脆弱性检测主要包括：平安代码脆弱性检测、业务应用软件脆弱性检测与数据备份与复原。4、物理平安性检测物理脆弱性检测主要包括：环境脆弱性检测、设备脆弱性检测和存储介质脆弱性检测。5、平安管理评估管理平安性检测主要包括：管理机构、管理制度、人员管理、系统建设管理、系统运维管理等内容。6、平安基线检查平安基线检查主要参照中国移动平安配置规范，对被测系统的全部主机、网络设备、数据库和中间件的平安配置进行检查，验证是否符合平安基线要求。7、平安漏洞扫描开展对被测重要信息系统涵盖的网络设备、系统服务器、管理终端、应用软件开展平安漏洞扫描工作，依据漏洞扫描结果开展漏洞分析汇总，提出合理性的加固建议。8、平安渗透检测依据网络脆弱性检测中发觉的脆弱点，模拟黑客攻击有重点的对其进行现场和远程渗透性测试与脸证，检验信息系统的抗攻击实力。3