三同步中涉及的日常安全工作課件

三同步中涉及的日常安全工作中國(guó)移動(dòng)通信集團(tuán)吉林有限公司三同步中涉及的日常安全工作中國(guó)移動(dòng)通信集團(tuán)吉林有限公司培訓(xùn)對(duì)象與人員能力要求：系統(tǒng)維護(hù)人員、安全管理人員課時(shí)安排：60分鐘培訓(xùn)目標(biāo)：一、理解網(wǎng)絡(luò)安全工作三同步的重要性；二、了解工程、維保等合同簽署安全條款的要求；三、了解工程設(shè)備安全驗(yàn)收入網(wǎng)工作要求與內(nèi)容四、清楚系統(tǒng)版本入網(wǎng)FOA測(cè)試工作要求與內(nèi)容；五、了解設(shè)備相關(guān)安全要求規(guī)范培訓(xùn)對(duì)象與人員能力要求：目錄第一章網(wǎng)絡(luò)安全三同步工作綜述第二章工程合同中安全條款簽署第三章工程階段設(shè)備入網(wǎng)安全驗(yàn)收第四章現(xiàn)網(wǎng)系統(tǒng)版本升級(jí)中FOA安全部分測(cè)試第五章相關(guān)設(shè)備的通用安全要求目錄第一章網(wǎng)絡(luò)安全三同步工作綜述第一章網(wǎng)絡(luò)安全三同步工作綜述

1.1本章摘要

1.3網(wǎng)絡(luò)安全三同步的重要性

1.2網(wǎng)絡(luò)安全三同步介紹第一章網(wǎng)絡(luò)安全三同步工作綜述1.1本章摘要網(wǎng)絡(luò)安全三同步介紹－本章摘要本章主要介紹了什么是網(wǎng)絡(luò)安全三同步，為什么要做好網(wǎng)絡(luò)安全三同步，日常維護(hù)中涉及哪些網(wǎng)絡(luò)安全三同步工作。網(wǎng)絡(luò)安全三同步介紹－本章摘要本章主要介紹了什么是網(wǎng)絡(luò)安全三同同步規(guī)劃圍繞信息系統(tǒng)完整的生命周期展開(kāi)，不同階段不同的安全工作內(nèi)容同步運(yùn)行同步建設(shè)1、通過(guò)安全日常運(yùn)維工作，持續(xù)保持系統(tǒng)安全防護(hù)水平。2、通過(guò)版本入網(wǎng)安全管理，促進(jìn)設(shè)備安全功能的提高。在新業(yè)務(wù)規(guī)劃的環(huán)節(jié)同步納入安全要求。明確對(duì)通用的業(yè)務(wù)安全要求，并與研究院等相關(guān)單位的合作，在新業(yè)務(wù)規(guī)范中同步增加安全要求。各省要對(duì)本省自有的新業(yè)務(wù)系統(tǒng)同步明確安全要求1、通過(guò)合同條款落實(shí)系統(tǒng)集成商、廠商的責(zé)任，避免乙方后期配合工作不積極而無(wú)據(jù)可依的問(wèn)題；2、加強(qiáng)系統(tǒng)入網(wǎng)安全驗(yàn)收，和工程期間安全管理，確保只有符合安全要求的系統(tǒng)才能上線。網(wǎng)絡(luò)安全三同步介紹同步規(guī)劃圍繞信息系統(tǒng)完整的生命周期展開(kāi)，不同階段不同的安全工網(wǎng)絡(luò)安全三同步介紹通過(guò)合同條款落實(shí)系統(tǒng)集成商、廠商的責(zé)任，避免無(wú)法律依據(jù)可依的問(wèn)題；確保只有符合安全要求的系統(tǒng)才能上線。資產(chǎn)通信網(wǎng)業(yè)務(wù)系統(tǒng)支撐系統(tǒng)業(yè)務(wù)安全需求；設(shè)備安全要求規(guī)劃、規(guī)范制定階段實(shí)施安全要求安全驗(yàn)收項(xiàng)目實(shí)施階段安全監(jiān)控安全維護(hù)安全應(yīng)急維護(hù)階段系統(tǒng)開(kāi)發(fā)安全規(guī)范安全功能測(cè)試安全方案測(cè)試系統(tǒng)開(kāi)發(fā)與測(cè)試階段網(wǎng)絡(luò)安全三同步介紹通過(guò)合同條款落實(shí)系統(tǒng)集成商、廠商的責(zé)任，避8重點(diǎn)安全要求落實(shí)情況與高風(fēng)險(xiǎn)問(wèn)題自查整改完成情況分析在項(xiàng)目規(guī)劃、建設(shè)環(huán)節(jié)強(qiáng)化落實(shí)安全要求，避免設(shè)備帶病入網(wǎng)，是做好后續(xù)安全維護(hù)工作的基礎(chǔ)，也是保證系統(tǒng)安全防護(hù)能力的第一重要控制點(diǎn)。系統(tǒng)本身，在安全設(shè)計(jì)上存在缺陷，設(shè)備上線前未達(dá)到相關(guān)的安全配置要求，上線后，整改影響系統(tǒng)的安全運(yùn)行后期整改，投入大、耗時(shí)、耗力網(wǎng)絡(luò)安全三同步的重要性8重點(diǎn)安全要求落實(shí)情況與高風(fēng)險(xiǎn)問(wèn)題自查整改完成情況分析在項(xiàng)目9序號(hào)編號(hào)系統(tǒng)問(wèn)題未完成整改省份原因分析1WT_12LSPLSP系統(tǒng)數(shù)據(jù)庫(kù)表中l(wèi)spp_record_tab明文存儲(chǔ)了近3個(gè)月的所有位置查詢的詳細(xì)信息，包括手機(jī)號(hào)、位置信息等；手機(jī)號(hào)未采用偽碼；位置信息未加密；15個(gè)系統(tǒng)設(shè)計(jì)、開(kāi)發(fā)階段沒(méi)有配置相關(guān)功能2WT_4LSP行業(yè)應(yīng)用白名單機(jī)制存在安全漏洞。沒(méi)有按照集團(tuán)業(yè)務(wù)規(guī)范要求，將用戶添加到白名單就能生產(chǎn)訂購(gòu)關(guān)系，沒(méi)有給用戶發(fā)短信提醒，也無(wú)需用戶短信確認(rèn)。12個(gè)系統(tǒng)設(shè)計(jì)、開(kāi)發(fā)階段沒(méi)有配置相關(guān)功能3WT_46網(wǎng)管1、安全域劃分后維護(hù)終端域的終端可以訪問(wèn)所有核心生產(chǎn)域的服務(wù)器以及網(wǎng)元2、網(wǎng)管系統(tǒng)大部分基于B/S結(jié)構(gòu)實(shí)現(xiàn)，安全防護(hù)僅依賴帳號(hào)密碼，存在登錄密碼提示友好、登錄名稱容易猜測(cè)、沒(méi)有驗(yàn)證碼等防止暴力破解的機(jī)制3、信令前置機(jī)存在弱口令以上問(wèn)題導(dǎo)致存在網(wǎng)管維護(hù)終端域從內(nèi)部發(fā)起針對(duì)核心生產(chǎn)域的攻擊的風(fēng)險(xiǎn)。12個(gè)系統(tǒng)設(shè)計(jì)、開(kāi)發(fā)階段沒(méi)有配置相關(guān)功能、沒(méi)有規(guī)避相關(guān)風(fēng)險(xiǎn)4WT_44網(wǎng)管發(fā)現(xiàn)弱口令，為應(yīng)用程序調(diào)用使用賬號(hào)。河南前期安全評(píng)估已發(fā)現(xiàn)該問(wèn)題，因涉及程序調(diào)整，變動(dòng)較大，目前還未實(shí)施完畢。10個(gè)系統(tǒng)設(shè)計(jì)、開(kāi)發(fā)階段沒(méi)有配置相關(guān)功能高風(fēng)險(xiǎn)問(wèn)題共60個(gè)，全國(guó)31個(gè)公司，整改率排名最低的10個(gè)問(wèn)題如下：（合并相同問(wèn)題后，剩余9項(xiàng)）網(wǎng)絡(luò)安全三同步的重要性9序號(hào)編號(hào)系統(tǒng)問(wèn)題未完成整改省份原因分析1WT_12LSPL第二章工程合同中安全條款簽署

2.1工程合同簽署安全條款的要求

2.3工程合同簽署信息通用安全責(zé)任

2.2工程合同簽署保密條款第二章工程合同中安全條款簽署2.1工程合同簽工程合同簽署安全條款的要求所有新簽合同以附件形式補(bǔ)充《保密協(xié)議》，明確中國(guó)移動(dòng)與合同乙方的安全保密責(zé)任。在新簽合同中以合同附件形式增加《中國(guó)移動(dòng)通用網(wǎng)絡(luò)與信息安全責(zé)任條款》，明確乙方在工程建設(shè)和售后服務(wù)中應(yīng)遵循的安全管理和技術(shù)要求。強(qiáng)化安全驗(yàn)收，確保落實(shí)合同相關(guān)要求在工程建設(shè)部門(mén)、維護(hù)管理部門(mén)統(tǒng)一組織的驗(yàn)收工作中，由相關(guān)網(wǎng)絡(luò)和系統(tǒng)維護(hù)部門(mén)在落實(shí)安全同步對(duì)乙方設(shè)備安全配置、安全補(bǔ)丁加載、乙方書(shū)面說(shuō)明材料提供等情況實(shí)施核查工作，確保合同相關(guān)安全條款全部得到落實(shí)。網(wǎng)通[2009]349號(hào)關(guān)于在工程及售后服務(wù)等合同中增加并落實(shí)相關(guān)安全要求的通知

工程合同簽署安全條款的要求所有新簽合同以附件形式補(bǔ)充《保密協(xié)工程合同簽署安全條款的要求工程期間網(wǎng)絡(luò)信息安全管理規(guī)定為強(qiáng)化工程期間網(wǎng)絡(luò)信息安全管理工作，保障網(wǎng)絡(luò)（系統(tǒng)）安全運(yùn)行，特制定本規(guī)定。工程周期根據(jù)時(shí)間進(jìn)度劃分為工程初期、工程建設(shè)階段、工程驗(yàn)收階段。工程性質(zhì)分為在網(wǎng)系統(tǒng)擴(kuò)容工程（包括系統(tǒng)改造）、新入網(wǎng)系統(tǒng)工程。。。。負(fù)責(zé)督察工程建設(shè)合作單位（工程建設(shè)的各合作方，包括系統(tǒng)開(kāi)發(fā)商、集成商、施工單位、設(shè)計(jì)單位、監(jiān)理單位等）簽署并遵守《中國(guó)移動(dòng)工程及售后服務(wù)合同保密協(xié)議》，沒(méi)有簽署《保密協(xié)議》的合作單位要及時(shí)補(bǔ)簽。工程合同簽署安全條款的要求工程期間網(wǎng)絡(luò)信息安全管理規(guī)定工程合同簽署安全條款的要求－合同分類工程合同簽署安全條款的要求－合同分類14系統(tǒng)基本信息 系統(tǒng)業(yè)務(wù)描述 設(shè)備清單 機(jī)房電源規(guī)劃 網(wǎng)絡(luò)拓?fù)鋱D IP地址 系統(tǒng)負(fù)責(zé)部門(mén)和負(fù)責(zé)人集成商等基本信息安全基礎(chǔ)信息表通用安全要求 4A管理 帳號(hào) 權(quán)限 角色 審計(jì) 日志的管理 日志內(nèi)容 日志查詢統(tǒng)計(jì)日志存儲(chǔ)與轉(zhuǎn)發(fā)通用安全要求（續(xù)）接口安全 端口管理 補(bǔ)丁管理網(wǎng)絡(luò)結(jié)構(gòu)方案一級(jí)系統(tǒng)安全模型二級(jí)及以上系統(tǒng)安全模型系統(tǒng)安全方案應(yīng)用安全方案業(yè)務(wù)安全方案網(wǎng)絡(luò)安全方案 數(shù)據(jù)信息安全方案數(shù)據(jù)存儲(chǔ)安全數(shù)據(jù)傳輸安全數(shù)據(jù)安全等級(jí)的變更數(shù)據(jù)訪問(wèn)安全數(shù)據(jù)備份和恢復(fù)終端安全方案

工程及開(kāi)發(fā)過(guò)程中的安全要求項(xiàng)目在規(guī)劃及建設(shè)階段的安全管理 項(xiàng)目的過(guò)程控制 代碼開(kāi)發(fā)要求 開(kāi)發(fā)文件的保護(hù) 部署及維護(hù)過(guò)程中的安全要求系統(tǒng)安裝及部署 系統(tǒng)維護(hù) 集成商安全資質(zhì)要求集成商公司安全資質(zhì)要求集成商項(xiàng)目組人員配置要求14系統(tǒng)基本信息 系統(tǒng)業(yè)務(wù)描述 設(shè)備清單 機(jī)房電源規(guī)劃 網(wǎng)絡(luò)拓?fù)鋱D IP地址 系統(tǒng)負(fù)責(zé)部門(mén)和負(fù)責(zé)人集成商等基本信息安全基礎(chǔ)信息表通用安全要求 4A管理 帳號(hào) 權(quán)限 角色 審計(jì) 日志的管理 日志內(nèi)容 日志查詢統(tǒng)計(jì)日志存儲(chǔ)與轉(zhuǎn)發(fā)通用安全要求（續(xù)）接口安全 端口管理 補(bǔ)丁管理網(wǎng)絡(luò)結(jié)構(gòu)方案一級(jí)系統(tǒng)安全模型二級(jí)及以上系統(tǒng)安全模型系統(tǒng)安全方案應(yīng)用安全方案業(yè)務(wù)安全方案網(wǎng)絡(luò)安全方案 數(shù)據(jù)信息安全方案數(shù)據(jù)存儲(chǔ)安全數(shù)據(jù)傳輸安全數(shù)據(jù)安全等級(jí)的變更數(shù)據(jù)訪問(wèn)安全數(shù)據(jù)備份和恢復(fù)終端安全方案

工程及開(kāi)發(fā)過(guò)程中的安全要求項(xiàng)目在規(guī)劃及建設(shè)階段的安全管理 項(xiàng)目的過(guò)程控制 代碼開(kāi)發(fā)要求 開(kāi)發(fā)文件的保護(hù) 部署及維護(hù)過(guò)程中的安全要求系統(tǒng)安裝及部署 系統(tǒng)維護(hù) 集成商安全資質(zhì)要求集成商公司安全資質(zhì)要求集成商項(xiàng)目組人員配置要求工程合同簽署安全條款的要求－主要內(nèi)容14系統(tǒng)基本信息 通用安全要求 通用安全要求（續(xù)）工程及開(kāi)發(fā)工程合同簽署信息通用安全責(zé)任乙方應(yīng)保證本工程新增設(shè)備符合中國(guó)移動(dòng)《中國(guó)移動(dòng)設(shè)備通用安全功能和配置規(guī)范》規(guī)定的安全配置要求。遵守中國(guó)移動(dòng)相關(guān)安全管理規(guī)定要求乙方應(yīng)保證本工程新增的IT設(shè)備安裝操作系統(tǒng)、應(yīng)用軟件已經(jīng)發(fā)布的所有安全補(bǔ)丁，關(guān)閉與業(yè)務(wù)無(wú)關(guān)端口，無(wú)關(guān)進(jìn)程和服務(wù)，按照最小化的原則進(jìn)行授權(quán)，并無(wú)重大安全漏洞、后門(mén)或者感染病毒。乙方提供的應(yīng)用軟件中賬號(hào)所使用的口令應(yīng)便于在維護(hù)中定期修改并已加密方式保存，不可固化在軟件里。在工程實(shí)施期間，甲方有權(quán)通過(guò)安全掃描軟件或者人工評(píng)估等手段，對(duì)本期工程新增設(shè)備和應(yīng)用軟件進(jìn)行檢查，并給出評(píng)估結(jié)果。一旦發(fā)現(xiàn)有重大安全漏洞、后門(mén)或者病毒感染，由乙方進(jìn)行立即修補(bǔ)、清除或者采用其他手段消除安全問(wèn)題。對(duì)于違反本規(guī)定導(dǎo)致的一切問(wèn)題，由乙方負(fù)全部責(zé)任。工程合同簽署信息通用安全責(zé)任乙方應(yīng)保證本工程新增設(shè)備符合中國(guó)工程合同簽署保密條款：乙方在中國(guó)移動(dòng)通信有限公司（或中國(guó)移動(dòng)通信集團(tuán)XX有限公司）實(shí)施XX系統(tǒng)工程規(guī)劃（或工程設(shè)計(jì)、工程建設(shè)、設(shè)備調(diào)測(cè)與維護(hù)、服務(wù)支持、合作運(yùn)營(yíng)等）期間，乙方人員需要使用甲方網(wǎng)絡(luò)與業(yè)務(wù)發(fā)展情況、網(wǎng)絡(luò)拓?fù)洹⒃O(shè)備信息、XX系統(tǒng)賬號(hào)、用戶數(shù)據(jù)和信息等，雙方就前述事宜中所涉及的保密信息達(dá)成以下一致：工程合同簽署保密條款：乙方在中國(guó)移動(dòng)通信有限公司（或中國(guó)移動(dòng)第三章工程階段設(shè)備入網(wǎng)安全驗(yàn)收

3.1本章摘要

3.3安全驗(yàn)收管理

3.4

系統(tǒng)管理員與入網(wǎng)安全驗(yàn)收工作

3.2安全入網(wǎng)驗(yàn)收的必要性第三章工程階段設(shè)備入網(wǎng)安全驗(yàn)收3.1本章摘要工程階段設(shè)備入網(wǎng)安全驗(yàn)收－本章摘要本章主要介紹設(shè)備入網(wǎng)安全驗(yàn)收的重要性，以及安全驗(yàn)收涉及的相關(guān)工作和規(guī)范要求，以及系統(tǒng)管理員如何做好入網(wǎng)安全驗(yàn)收工作。工程階段設(shè)備入網(wǎng)安全驗(yàn)收－本章摘要本章主要介紹設(shè)備入網(wǎng)安全驗(yàn)設(shè)備上線前設(shè)備上線后整改風(fēng)險(xiǎn)小，無(wú)業(yè)務(wù)壓力大，有業(yè)務(wù)壓力整改難度小大，涉及業(yè)務(wù)可用性整改成本投入低，整改投入由系統(tǒng)廠商承擔(dān)高，需要立項(xiàng)整改系統(tǒng)廠商可控性強(qiáng)弱安全入網(wǎng)驗(yàn)收的必要性了解設(shè)備的安全合規(guī)性降低設(shè)備帶病入網(wǎng)促進(jìn)建設(shè)環(huán)節(jié)加強(qiáng)設(shè)備安全設(shè)備上線前設(shè)備上線后整改風(fēng)險(xiǎn)小，無(wú)業(yè)務(wù)壓力大，有業(yè)務(wù)壓力整改安全入網(wǎng)驗(yàn)收的必要性－設(shè)備安全合規(guī)根據(jù)設(shè)定的安全標(biāo)準(zhǔn)，通過(guò)設(shè)備入網(wǎng)安全驗(yàn)收清晰了解到目前設(shè)備所處的安全水平和存在的安全隱患。MicrosoftTaskScheduler遠(yuǎn)程任意代碼執(zhí)行漏洞(精確掃描MS04-022/KB841873)Messenger服務(wù)遠(yuǎn)程堆溢出漏洞(MS03-043/KB82803)微軟DCOM接口緩沖區(qū)溢出漏洞(MS03-026/MS03-03)部分SMB用戶存在薄弱口令Oracletnslsnr沒(méi)有設(shè)置口令目標(biāo)主機(jī)沒(méi)有安裝MS04-011/KB835732補(bǔ)丁MSSQLServer默認(rèn)及易猜測(cè)賬號(hào)存在弱口令MicrosoftWindowsNTIISMDACRDS遠(yuǎn)程命令執(zhí)行漏洞IIS5.0/WebDAV遠(yuǎn)程緩沖區(qū)溢出(MS03-007)安全入網(wǎng)驗(yàn)收的必要性－設(shè)備安全合規(guī)根據(jù)設(shè)定的安全標(biāo)準(zhǔn)，通過(guò)設(shè)安全入網(wǎng)驗(yàn)收的必要性－促進(jìn)建設(shè)環(huán)節(jié)

加強(qiáng)設(shè)備安全通過(guò)安全驗(yàn)收強(qiáng)制把安全意識(shí)有效的傳遞到開(kāi)發(fā)廠商，讓其重視安全。只有在源頭開(kāi)始重視安全，業(yè)務(wù)系統(tǒng)的安全正常更能得到保障，在運(yùn)維階段安全維護(hù)的成本就更低。安全入網(wǎng)驗(yàn)收的必要性－促進(jìn)建設(shè)環(huán)節(jié)

加強(qiáng)設(shè)備安全通過(guò)安全驗(yàn)收安全入網(wǎng)驗(yàn)收的必要性－降低設(shè)備帶病入網(wǎng)經(jīng)新入網(wǎng)安全驗(yàn)收后，新業(yè)務(wù)系統(tǒng)安全風(fēng)險(xiǎn)明顯降低1.高風(fēng)險(xiǎn)漏洞數(shù)加固前后對(duì)比2.中風(fēng)險(xiǎn)漏洞數(shù)加固前后對(duì)比3.配置不符合項(xiàng)加固前后對(duì)比安全入網(wǎng)驗(yàn)收的必要性－降低設(shè)備帶病入網(wǎng)經(jīng)新入網(wǎng)安全驗(yàn)收后，新安全驗(yàn)收管理－安全入網(wǎng)驗(yàn)收工作內(nèi)容網(wǎng)絡(luò)層系統(tǒng)層應(yīng)用層防火墻策略檢查帳號(hào)安全

檢查服務(wù)端口

檢查防病毒軟件檢查系統(tǒng)日志安全檢查漏洞掃描

檢查安全配置

檢查弱口令檢查滲透測(cè)試檢查依據(jù)：《中國(guó)移動(dòng)防火墻安全功能及配置規(guī)范》檢查標(biāo)準(zhǔn)：已按照最小化權(quán)限的原則配置防護(hù)墻策略，不存在不明策略輸出文檔：《安全域檢查報(bào)告》檢查依據(jù)：《中國(guó)移動(dòng)安全域管理辦法》、《中國(guó)移動(dòng)支撐系統(tǒng)安全域劃分與邊界整合技術(shù)要求》和《中國(guó)移動(dòng)防火墻部署總體技術(shù)要求》檢查標(biāo)準(zhǔn)：檢查域拓?fù)洹踩騼?nèi)資產(chǎn)情況、VLAN訪問(wèn)控制策略、邊界互聯(lián)情況，確保符合要求輸出文檔：《安全域檢查報(bào)告》檢查依據(jù)：《中國(guó)移動(dòng)帳號(hào)口令管理辦法》檢查標(biāo)準(zhǔn)：設(shè)備的帳號(hào)長(zhǎng)度復(fù)雜度、密碼策略等安全策略符合要求輸出文檔：《帳號(hào)安全檢查報(bào)告》檢查依據(jù)：《中國(guó)移動(dòng)服務(wù)與端口管理辦法》檢查標(biāo)準(zhǔn)：所有必須開(kāi)放的端口其對(duì)應(yīng)的應(yīng)用軟件和功用必須列表登記，不允許存在非必要的開(kāi)放端口。輸出文檔：《服務(wù)端口檢查報(bào)告》檢查標(biāo)準(zhǔn)：檢查windows設(shè)備是否已經(jīng)安裝指定授權(quán)的防病毒軟件，并且檢查病毒庫(kù)是否已更新到最新。輸出文檔：《防病毒軟件檢查報(bào)告》檢查標(biāo)準(zhǔn)：檢查設(shè)備的系統(tǒng)層、數(shù)據(jù)庫(kù)和應(yīng)用層是否已用戶越權(quán)訪問(wèn)、用戶權(quán)限升級(jí)、更改口令、新建用戶、非正常時(shí)間登陸、多次錯(cuò)誤登陸、審計(jì)策略更改或其他異常事件提供審計(jì)功能。輸出文檔：《系統(tǒng)天志安全檢查報(bào)告》檢查標(biāo)準(zhǔn)：不允許存在已被CVE定義的高風(fēng)險(xiǎn)漏洞和中風(fēng)險(xiǎn)漏洞。輸出文檔：《漏洞掃描檢查報(bào)告》檢查依據(jù)：《中國(guó)移動(dòng)操作系統(tǒng)安全功能及配置規(guī)范》、《中國(guó)移動(dòng)數(shù)據(jù)庫(kù)安全功能及配置規(guī)范》、《中國(guó)移動(dòng)路由器安全功能及配置規(guī)范》、《中國(guó)移動(dòng)防火墻安全功能及配置規(guī)范》等規(guī)范要求檢查標(biāo)準(zhǔn)：檢查設(shè)備的安全配置是否已符合輸出文檔：《安全配置檢查報(bào)告》安全域檢查檢查依據(jù)：《帳號(hào)口令管理辦法》檢查標(biāo)準(zhǔn)：設(shè)備的帳號(hào)口令符合復(fù)雜度要求輸出文檔：《弱口令檢查報(bào)告》檢查標(biāo)準(zhǔn)：WEB網(wǎng)站不存在深層次安全問(wèn)題，如緩沖區(qū)溢出、跨站腳本攻擊、SQL注入等編程漏洞和通信協(xié)議中存在的漏洞等輸出文檔：《滲透測(cè)試報(bào)告》安全驗(yàn)收管理－安全入網(wǎng)驗(yàn)收工作內(nèi)容網(wǎng)絡(luò)層系統(tǒng)層應(yīng)用層防火墻策安全驗(yàn)收管理－適用范圍與驗(yàn)收?qǐng)?zhí)行安全驗(yàn)收范圍設(shè)備新入網(wǎng)設(shè)備擴(kuò)容入網(wǎng)設(shè)備調(diào)整進(jìn)入所指“設(shè)備”包括通信網(wǎng)、業(yè)務(wù)網(wǎng)和各支撐系統(tǒng)的IT設(shè)備安全驗(yàn)收?qǐng)?zhí)行部門(mén)職能：審核、確認(rèn)驗(yàn)收工單，擬定驗(yàn)收方案核查入網(wǎng)驗(yàn)收材料是否真實(shí)、是否符合安全驗(yàn)收標(biāo)準(zhǔn)按入網(wǎng)驗(yàn)收工單的設(shè)備清單進(jìn)行安全檢查輸出安全驗(yàn)收?qǐng)?bào)告，提出入網(wǎng)意見(jiàn)督促安全驗(yàn)收需求部門(mén)對(duì)遺留問(wèn)題進(jìn)行整改安全驗(yàn)收管理－適用范圍與驗(yàn)收?qǐng)?zhí)行安全驗(yàn)收范圍安全驗(yàn)收?qǐng)?zhí)行部門(mén)安全驗(yàn)收管理－安全入網(wǎng)驗(yàn)收流程安全驗(yàn)收管理－安全入網(wǎng)驗(yàn)收流程安全驗(yàn)收管理－基本檢查信息安全驗(yàn)收管理－基本檢查信息安全驗(yàn)收管理－基本檢查信息安全驗(yàn)收管理－基本檢查信息安全驗(yàn)收管理－基本檢查信息安全驗(yàn)收管理－基本檢查信息安全驗(yàn)收管理－檢查結(jié)果安全驗(yàn)收管理－檢查結(jié)果系統(tǒng)管理員與入網(wǎng)安全驗(yàn)收工作“安全責(zé)任分配的基本原則是“誰(shuí)主管，誰(shuí)負(fù)責(zé)”。每項(xiàng)網(wǎng)絡(luò)與信息資產(chǎn)，根據(jù)資產(chǎn)歸屬確定“責(zé)任人”。安全入網(wǎng)驗(yàn)收是確保業(yè)務(wù)系統(tǒng)安全的第一道防線，直接影響業(yè)務(wù)系統(tǒng)上線后的安全性。需要系統(tǒng)管理員積極配合，將安全工作往前移，將安全隱患消滅自萌芽狀態(tài)。從參加業(yè)務(wù)規(guī)化，建設(shè)過(guò)程環(huán)節(jié)做起學(xué)習(xí)入網(wǎng)安全驗(yàn)收流程，促進(jìn)安全要求落地提出驗(yàn)收手段改進(jìn)建議，提高驗(yàn)收效率堅(jiān)持正確應(yīng)用規(guī)范，推動(dòng)規(guī)范落地加強(qiáng)安全培訓(xùn)，提高安全驗(yàn)收能力系統(tǒng)管理員與入網(wǎng)安全驗(yàn)收工作“安全責(zé)任分配的基本原則是“誰(shuí)主序號(hào)階段問(wèn)題解決措施1初期階段1、安全檢查內(nèi)容不完善；2、各部門(mén)對(duì)規(guī)范不熟悉，出現(xiàn)扯皮現(xiàn)象；3、每個(gè)安全檢查內(nèi)容的報(bào)告格式不統(tǒng)一，不便于歸檔。1、提高規(guī)范的落地性，對(duì)集團(tuán)的要求進(jìn)行梳理明確安全檢查內(nèi)容；2、召開(kāi)宣貫會(huì)，對(duì)相關(guān)部門(mén)進(jìn)行宣貫，明確每個(gè)部門(mén)的職責(zé)；3、標(biāo)準(zhǔn)化輸出報(bào)告2中期階段1、因設(shè)備入網(wǎng)時(shí)，需提交較多表格，入網(wǎng)單位和入網(wǎng)廠商對(duì)安全入網(wǎng)驗(yàn)收的抵制情緒較高；2、安全驗(yàn)收部門(mén)在執(zhí)行過(guò)程發(fā)現(xiàn)依靠手工檢查存在技能要求較高、耗時(shí)耗力和業(yè)務(wù)關(guān)聯(lián)性差等問(wèn)題。1、為方便入網(wǎng)單位和入網(wǎng)廠商填寫(xiě)表格，制作了詳細(xì)的填寫(xiě)樣例。組織全公司安全專家撰寫(xiě)相應(yīng)的安全驗(yàn)收手冊(cè)；2、成立“安全自評(píng)估項(xiàng)目”項(xiàng)目軟課題，將大部分工作實(shí)現(xiàn)自動(dòng)化，提高工作效率。如何才能保證工程建設(shè)部門(mén)高度重視并嚴(yán)格執(zhí)行管理辦法：1、如何保證每個(gè)項(xiàng)目在上線前提交入網(wǎng)驗(yàn)收申請(qǐng)工單；2、如何保證每個(gè)項(xiàng)目通過(guò)入網(wǎng)驗(yàn)收后才允許入網(wǎng)。1.網(wǎng)絡(luò)部在審批項(xiàng)目入網(wǎng)上線時(shí)要求建設(shè)單位必須提供安全驗(yàn)收結(jié)果簽字確認(rèn)版書(shū)面掃描材料2.建議內(nèi)審部考慮通過(guò)內(nèi)審手段關(guān)聯(lián)項(xiàng)目建設(shè)信息抽查是否具有安全驗(yàn)收結(jié)果簽字確認(rèn)版書(shū)面掃描材料系統(tǒng)管理員與入網(wǎng)安全驗(yàn)收工作－驗(yàn)收經(jīng)驗(yàn)序號(hào)階段問(wèn)題解決措施1初期階段1、安全檢查內(nèi)容不完善；1、提第四章現(xiàn)網(wǎng)系統(tǒng)版本升級(jí)中FOA安全部分測(cè)試

4.1本章摘要

4.3版本入網(wǎng)申請(qǐng)安全部分要求

4.4

FOA現(xiàn)場(chǎng)測(cè)試安全部分要求

4.2設(shè)備版本入網(wǎng)的安全管理第四章現(xiàn)網(wǎng)系統(tǒng)版本升級(jí)中FOA安全部分測(cè)試4.1

本章節(jié)主要介紹了現(xiàn)網(wǎng)設(shè)備版本升級(jí)入網(wǎng)中涉及的網(wǎng)絡(luò)安全管理要求，以及入網(wǎng)申請(qǐng)材料與FOA現(xiàn)場(chǎng)測(cè)試報(bào)告材料中網(wǎng)絡(luò)安全部分材料的示例，以及在現(xiàn)場(chǎng)FOA測(cè)試中的注意事項(xiàng)。本章摘要本章節(jié)主要介紹了現(xiàn)網(wǎng)設(shè)備版本升級(jí)入網(wǎng)中涉及的網(wǎng)絡(luò)安全管理要設(shè)備版本入網(wǎng)的安全管理-設(shè)備入網(wǎng)管理流程設(shè)備入網(wǎng)管理流程入網(wǎng)管理流程是中國(guó)移動(dòng)網(wǎng)絡(luò)設(shè)備軟件版本（含軟件補(bǔ)?。?、硬件的入網(wǎng)認(rèn)證流程；包括在網(wǎng)通信網(wǎng)絡(luò)設(shè)備、IT等設(shè)備。本流程主要受理廠家提交的入網(wǎng)申請(qǐng)、并在內(nèi)部根據(jù)運(yùn)維管理的需要進(jìn)行各項(xiàng)入網(wǎng)的認(rèn)證和審核，相關(guān)結(jié)果反饋各廠家，形成一定的閉環(huán)管理。入網(wǎng)管理流程主要通過(guò)對(duì)各類軟件變更的規(guī)范化管理，進(jìn)一步加強(qiáng)對(duì)網(wǎng)絡(luò)軟件的集中、統(tǒng)一管理，確保入網(wǎng)的設(shè)備或版本滿足運(yùn)行維護(hù)的需要。設(shè)備入網(wǎng)管理流程關(guān)鍵點(diǎn)：

流程適用的業(yè)務(wù)包括網(wǎng)絡(luò)設(shè)備軟件版本、軟件補(bǔ)丁、硬件的入網(wǎng)認(rèn)證；IT設(shè)備軟、硬件的入網(wǎng)認(rèn)證；流程包括入網(wǎng)申請(qǐng)、入網(wǎng)測(cè)試、入網(wǎng)認(rèn)證發(fā)布三個(gè)階段；監(jiān)控點(diǎn)有：受理、認(rèn)證測(cè)試、審核、發(fā)布；設(shè)備版本入網(wǎng)的安全管理-設(shè)備入網(wǎng)管理流程設(shè)備入網(wǎng)管理流程設(shè)備版本入網(wǎng)的安全管理－綜述設(shè)備版本入網(wǎng)安全管理綜述

版本入網(wǎng)安全管理是完善現(xiàn)有入網(wǎng)管理內(nèi)容的一部分，是落實(shí)三同步的一項(xiàng)具體措施，入網(wǎng)中的安全部分所處的流程環(huán)節(jié)與總體入網(wǎng)管理流程保持一致，安全內(nèi)容部分是根據(jù)安全特點(diǎn)和相關(guān)安全管理要求針對(duì)入網(wǎng)環(huán)節(jié)的要求。通過(guò)版本入網(wǎng)安全管理，在入網(wǎng)申請(qǐng)環(huán)節(jié)要求設(shè)備原廠在實(shí)驗(yàn)室首先進(jìn)行安全功能與通用安全補(bǔ)丁兼容性測(cè)試，同時(shí)提交合規(guī)賬號(hào)、端口進(jìn)程等基礎(chǔ)信息；在FOA現(xiàn)場(chǎng)測(cè)試環(huán)節(jié)配合省公司開(kāi)展安全功能、通用安全補(bǔ)丁兼容性測(cè)試，管控平臺(tái)，端口進(jìn)程、合規(guī)賬號(hào)、防護(hù)措施是否正常應(yīng)用等項(xiàng)目的檢查，進(jìn)而促進(jìn)設(shè)備安全功能的提高，與安全補(bǔ)丁及時(shí)加載的實(shí)現(xiàn)。設(shè)備版本入網(wǎng)的安全管理－綜述設(shè)備版本入網(wǎng)安全管理綜述設(shè)備版本入網(wǎng)的安全管理－流程設(shè)備版本入網(wǎng)的安全管理－流程版本入網(wǎng)申請(qǐng)安全部分要求－申請(qǐng)要求版本入網(wǎng)申請(qǐng)要求：（由系統(tǒng)廠家發(fā)起提交）新系統(tǒng)（全新硬件平臺(tái)）初次入網(wǎng)，必須按照通用系統(tǒng)及平臺(tái)原廠發(fā)布的最新安全補(bǔ)丁信息，在實(shí)驗(yàn)室對(duì)相關(guān)通用平臺(tái)和軟件進(jìn)行補(bǔ)丁加載后，再實(shí)施相關(guān)業(yè)務(wù)的測(cè)試，并提交相關(guān)測(cè)試情況；存量系統(tǒng)軟件版本升級(jí)或者補(bǔ)丁，必須按照通用系統(tǒng)及平臺(tái)原廠發(fā)布的最新安全補(bǔ)丁信息，在實(shí)驗(yàn)室對(duì)相關(guān)通用平臺(tái)和軟件進(jìn)行補(bǔ)丁加載后，再實(shí)施相關(guān)業(yè)務(wù)的測(cè)試，并提交相關(guān)測(cè)試情況，如果因現(xiàn)網(wǎng)系統(tǒng)暫時(shí)未能實(shí)施的，需要做出詳細(xì)說(shuō)明和計(jì)劃；版本入網(wǎng)申請(qǐng)安全部分要求－申請(qǐng)要求版本入網(wǎng)申請(qǐng)要求：（由系統(tǒng)版本入網(wǎng)申請(qǐng)安全部分要求－申請(qǐng)材料版本入網(wǎng)申請(qǐng)材料要求：（由系統(tǒng)廠家提交）1、針對(duì)WLAN設(shè)備按照《中國(guó)移動(dòng)WLAN設(shè)備通用安全功能測(cè)試規(guī)范V2》進(jìn)行實(shí)驗(yàn)室測(cè)試與現(xiàn)場(chǎng)FOA測(cè)試，并提供測(cè)試結(jié)果（有對(duì)應(yīng)測(cè)試記錄表）；2、針對(duì)路由器、交換機(jī)等設(shè)備按照《中國(guó)移動(dòng)路由交換設(shè)備安全功能測(cè)試規(guī)范V1.1》進(jìn)行實(shí)驗(yàn)室測(cè)試與現(xiàn)場(chǎng)FOA測(cè)試，并提供測(cè)試結(jié)果（有對(duì)應(yīng)測(cè)試記錄表）；3、針對(duì)防火墻設(shè)備按照《中國(guó)移動(dòng)防火墻功能和配置規(guī)范》做出應(yīng)答和測(cè)試；4、其他設(shè)備按照《中國(guó)移動(dòng)設(shè)備通用安全功能測(cè)試規(guī)范V2.0》進(jìn)行實(shí)驗(yàn)室測(cè)試與現(xiàn)場(chǎng)FOA測(cè)試，并提供測(cè)試結(jié)果（有對(duì)應(yīng)測(cè)試記錄表）；版本入網(wǎng)申請(qǐng)安全部分要求－申請(qǐng)材料版本入網(wǎng)申請(qǐng)材料要求：（由版本入網(wǎng)申請(qǐng)安全部分要求－提交注意事項(xiàng)版本入網(wǎng)申請(qǐng)材料要求：（由系統(tǒng)廠家提交）材料提交注意事項(xiàng):詳細(xì)參見(jiàn)附件中《入網(wǎng)申請(qǐng)廠家提交安全部分材料》文件夾。1、附加材料文檔清單列表：材料

1：《XX系統(tǒng)安全相關(guān)基礎(chǔ)信息列表》；材料

2:

《XX系統(tǒng)通用安全功能測(cè)試記錄表V2.1（廠家提交）》、《材料2：XX系統(tǒng)WLAN通用安全功能測(cè)試記錄表V2（廠家提交）》或《材料2：XX系統(tǒng)路由交換設(shè)備安全功能測(cè)試記錄表（廠家提交）》（均使用相關(guān)系統(tǒng)安全功能規(guī)范測(cè)試記錄表做為反饋表）；防火墻設(shè)備按照《中國(guó)移動(dòng)防火墻功能和配置規(guī)范》做出應(yīng)答；材料3:《XX系統(tǒng)安全補(bǔ)丁說(shuō)明附件及安全補(bǔ)丁測(cè)試報(bào)告》材料4:《XX系統(tǒng)FOA安全測(cè)試方案初稿》（此方案是初稿，詳細(xì)可在FOA測(cè)試省公司制定本次安全測(cè)試實(shí)施方案時(shí)，根據(jù)現(xiàn)網(wǎng)情況協(xié)商制定。）2、實(shí)驗(yàn)室測(cè)試與現(xiàn)場(chǎng)測(cè)試均按照對(duì)應(yīng)的測(cè)試規(guī)范實(shí)施測(cè)試和記錄；3、安全補(bǔ)丁按照《材料3

XX系統(tǒng)安全補(bǔ)丁說(shuō)明附件及安全補(bǔ)丁測(cè)試報(bào)告》格式提供實(shí)驗(yàn)室安全補(bǔ)丁測(cè)試情況，和現(xiàn)場(chǎng)測(cè)試方案。版本入網(wǎng)申請(qǐng)安全部分要求－提交注意事項(xiàng)版本入網(wǎng)申請(qǐng)材料要求：版本入網(wǎng)申請(qǐng)安全部分要求－免測(cè)情況版本入網(wǎng)申請(qǐng)材料要求：（由系統(tǒng)廠家提交）三、可免測(cè)試情況和提交說(shuō)明方式1、相同系統(tǒng)軟件版本的設(shè)備安全功能測(cè)試已在前期FOA測(cè)試并通過(guò)，可用前期測(cè)試結(jié)果做為本次測(cè)試結(jié)果,可用前期測(cè)試結(jié)果做為本次測(cè)試申請(qǐng)內(nèi)容，同時(shí)在EMOS工單系統(tǒng)中說(shuō)明.在FOA測(cè)試任務(wù)下發(fā)省移動(dòng)公司后，F(xiàn)OA測(cè)試省公司需要對(duì)前期的測(cè)試情況進(jìn)行驗(yàn)證。

2、每次均需要對(duì)照現(xiàn)網(wǎng)與通用系統(tǒng)原廠發(fā)布的安全補(bǔ)丁信息進(jìn)行比照，并針對(duì)增量部分測(cè)試安全補(bǔ)丁，無(wú)增量安全補(bǔ)丁，可以在本測(cè)試周期內(nèi)不在進(jìn)行試驗(yàn)室測(cè)試，但仍需要在安全補(bǔ)丁材料里說(shuō)明安全補(bǔ)丁對(duì)比情況。3、針對(duì)端口進(jìn)程、合規(guī)賬號(hào)，日志、管控平臺(tái)接入、防護(hù)手段正常應(yīng)用等方便不能免測(cè)。4、填寫(xiě)《XX系統(tǒng)安全測(cè)試免測(cè)情況說(shuō)明》附件。版本入網(wǎng)申請(qǐng)安全部分要求－免測(cè)情況版本入網(wǎng)申請(qǐng)材料要求：（由版本入網(wǎng)申請(qǐng)安全部分要求－相關(guān)文件版本入網(wǎng)申請(qǐng)安全部分要求－相關(guān)文件FOA現(xiàn)場(chǎng)測(cè)試安全部分要求－工單文件FOA現(xiàn)場(chǎng)測(cè)試工作與測(cè)試結(jié)果反饋不規(guī)范，為了提高FOA現(xiàn)場(chǎng)測(cè)試工作的效率與效果，總部網(wǎng)絡(luò)部對(duì)前期入網(wǎng)安全要求進(jìn)行了修訂完善，強(qiáng)調(diào)了省公司FOA現(xiàn)場(chǎng)安全設(shè)備功能測(cè)試、安全補(bǔ)丁加載測(cè)試等安全測(cè)試工作。JT-001-110214-00004（2011-02-16）工單主題：關(guān)于加強(qiáng)執(zhí)行中國(guó)移動(dòng)新系統(tǒng)與版本入網(wǎng)測(cè)試（安全部分）要求與FOA現(xiàn)場(chǎng)測(cè)試工作的通知FOA現(xiàn)場(chǎng)測(cè)試安全部分要求－工單文件FOA現(xiàn)場(chǎng)測(cè)試工作與測(cè)試FOA現(xiàn)場(chǎng)測(cè)試安全部分要求－入網(wǎng)申請(qǐng)材料查看在接收到本次FOA測(cè)試工單時(shí)，應(yīng)認(rèn)真查看工單中的《入網(wǎng)申請(qǐng)廠家提交安全部分材料》相關(guān)附件材料，按照“FOA現(xiàn)場(chǎng)測(cè)試省公司總結(jié)提交部分”文件夾中《XX廠家XX系統(tǒng)XX公司XX地點(diǎn)FOA安全部分測(cè)試情況報(bào)告》中的相關(guān)任務(wù)與負(fù)責(zé)本次FOA測(cè)試的系統(tǒng)負(fù)責(zé)廠家充分溝通，完成本次FOA測(cè)試安全部分的具體測(cè)試方案。在現(xiàn)網(wǎng)FOA測(cè)試前，F(xiàn)OA測(cè)試執(zhí)行省公司要充分了解本次測(cè)試申請(qǐng)廠家的實(shí)驗(yàn)室測(cè)試情況，充分核實(shí)廠家實(shí)驗(yàn)室環(huán)境和現(xiàn)網(wǎng)環(huán)境的異同，以便制訂妥當(dāng)?shù)臏y(cè)試步驟和應(yīng)急措施，在測(cè)試前FOA執(zhí)行省公司應(yīng)熟悉測(cè)試步驟和FOA測(cè)試方案。測(cè)試方案應(yīng)包括對(duì)入網(wǎng)安全配置情況的檢查與安全策略實(shí)施效果的測(cè)試。FOA現(xiàn)場(chǎng)測(cè)試安全部分要求－入網(wǎng)申請(qǐng)材料查看在接收到本次FOFOA現(xiàn)場(chǎng)測(cè)試安全部分要求－測(cè)試注意事項(xiàng)FOA測(cè)試任務(wù)人員或測(cè)試小組中，應(yīng)將本系統(tǒng)歸屬維護(hù)業(yè)務(wù)維護(hù)單位的網(wǎng)絡(luò)安全管理員（業(yè)務(wù)室或班組的網(wǎng)絡(luò)安全管理員）納入其中，負(fù)責(zé)組織本次FOA測(cè)試安全方案編制、測(cè)試執(zhí)行指導(dǎo)與測(cè)試總結(jié)審核。FOA測(cè)試省公司應(yīng)嚴(yán)格按照通用設(shè)備、WLAN設(shè)備、路由與交換設(shè)備等設(shè)備相對(duì)應(yīng)的安全要求測(cè)試規(guī)范，進(jìn)行設(shè)備安全測(cè)試并記錄。FOA測(cè)試省公司應(yīng)按照進(jìn)行安全補(bǔ)丁測(cè)試與結(jié)果反饋。FOA測(cè)試省公司應(yīng)驗(yàn)證廠家入網(wǎng)申請(qǐng)時(shí)提交的端口服務(wù)進(jìn)程，賬號(hào)、日志等情況進(jìn)行測(cè)試，并反饋結(jié)果。FOA測(cè)試省公司應(yīng)測(cè)試本系統(tǒng)網(wǎng)絡(luò)管控平臺(tái)接入方案的相關(guān)內(nèi)容，可從連通性測(cè)試、登錄驗(yàn)證兩方面測(cè)試，記錄并反饋結(jié)果。FOA現(xiàn)場(chǎng)測(cè)試安全部分要求－測(cè)試注意事項(xiàng)FOA測(cè)試任務(wù)人員或FOA現(xiàn)場(chǎng)測(cè)試安全部分要求－測(cè)試報(bào)告要求填寫(xiě)《XX廠家XX系統(tǒng)版本號(hào)XX公司XX地點(diǎn)FOA安全部分測(cè)試情況報(bào)告》，（如《華為WAP系統(tǒng)版本號(hào)江蘇南京FOA安全部分測(cè)試情況報(bào)告》），與《材料1：XX廠家XX系統(tǒng)XX公司XX地點(diǎn)FOA安全補(bǔ)丁測(cè)試報(bào)告（現(xiàn)場(chǎng)公司提交）》

FOA現(xiàn)場(chǎng)測(cè)試完成后，在提交總結(jié)材料前，首先發(fā)本地安全管理員審核通過(guò)后，再提交最終材料反饋總部；涉及設(shè)備通用功能免測(cè)時(shí)，可將上次該設(shè)備經(jīng)過(guò)測(cè)試，通過(guò)并簽字的通用功能安全測(cè)試記錄做為本次安全功能測(cè)試記錄，其他均不涉及