互联网交互安全平台服务等级协议

IEEE802系列协议IEEE 802.1—概述、体系结构和网络互连，以及网络管理和性能测量。

IEEE 802.2—逻辑链路控制LLC。

最高层协议与任何一种局域网MAC子层的接口。

IEEE 802.3—CSMA/CD网络，定义CSMA/CD总线网的MAC子层和物理层的规范。

IEEE 802.4—令牌总线网。

定义令牌传递总线网的MAC子层和物理层的规范。

IEEE 802.5—令牌环形网。

定义令牌传递环形网的MAC子层和物理层的规范。

IEEE 802.6—城域网。

IEEE 802.7—宽带技术。

IEEE 802.8—光纤技术。

IEEE 802.9—综合话音数据局域网。

IEEE 802.10—可互操作的局域网的安全。

IEEE 802.11—无线局域网。

IEEE 802.12—优先高速局域网(100Mb/s)。

IEEE 802.13—有线电视(Cable-TV)802.1802.1为IEEE(Institute of Electrical and Electronics Engineers)的一个工作组(Working Group)。

此工作组负责IEEE802.1标准的制定。

IEEE802.1标准提供了一个对整个IEEE802系列协议的概述，描述了IEEE802标准和开放系统基本参照模型（即ISO的OSI7层模型）之间的联系，解释这些标准如何和高层协议交互，定义了标准化的媒体接入控制层（MAC）地址格式，并且提供一个标准用于鉴别各种不同的协议。

IEEE802.1工作组主要负责以下工作：802系列的局域网，城域网，个人网的体系结构。

802系列网络之间以及与其他广域网的互连问题。

802网络的网络管理媒体接入控制层（MAC）及逻辑链路控制（LLC）之上的协议层的一些问题。

IEEE 802.1是一组协议的集合，如生成树协议、VLAN协议等。

为了将各个协议区别开来，IEEE在制定某一个协议时，就在IEEE 802.1后面加上不同的小写字母，如IEEE 802.1w就是最近颁布的一个协议。

运维服务协议1.概述为促进公司业务发展，争对集团中需由博思数科及其他分公司技术团队协同保障的运维服务事项进行明确服务范围、规范收费行为、保障服务质量、支撑集团费用结算依据，特制定本协议设定合理的服务内容的收费标准，确保双方合作公平、高效且满意，提升服务交付时效，进而提升客户满意度。

2.名词解释用户需要博思数科运维支持中心提供服务的团队或人员3.运维服务标准3.1. 服务内容3.2. 服务资源(1)初级运维工程师：基础任务设施维护。

设备巡检、服务器的上下架操作。

按规定流程，执行操作文档以处理日常问题。

部署网络服务。

(2)中级运维工程师：负责服务器、网络设备等基础设施的配置和维护。

按规定流程，执行操作文档以处理日常问题。

监控服务器性能，及时发现并解决问题。

参与数据备份、恢复和紧急故障处理。

(3)高级运维工程师：负责基础设施的配置和维护，同时需要对网络系统进行优化。

负责自动化运维工具的研发，提高运维效率。

处理复杂的疑难问题，针对这些问题提出专业的解决方案。

负责自动化平台的研发需求收集、整理及提交。

3.3. 服务模式运维热线：运维热线是一种提供技术支持和故障处理的电话服务。

接收包括邮件、电话等即时通讯工具发出的用户请求或系统实时监控发出的请求信息。

运维人员通过电话、邮件等形式提供解决方案、故障排查和技术咨询等支持。

远程服务：远程服务是一种通过互联网或网络连接，远程控制和管理客户设备的技术支持方式。

运维人员借助远程桌面软件或其他远程访问工具，直接登录并操作客户设备，诊断和解决问题，提供技术支持，节省了物理上赶到现场的时间和成本。

现场服务：现场服务是指运维人员需要亲自前往客户所在地进行维修、安装、调试等服务。

当远程服务无法解决问题，或者需要对硬件故障进行维修时，就需要进行现场服务。

在现场服务中，运维人员将直接与设备或系统进行互动，并提供相应的技术支持和解决方案。

4.服务分类运维服务分类是指运维资源与客户类型和服务等级的匹配，根据不同用户的不同需求，我们将服务等级分为金牌服务、银牌服务和铜牌服务，以满足各类用户的个性化需求、保证高效高质量的运维服务。

网络安全等级保护信息安全管理制度机房管理制度为规范机房内部管理，确保系统安全可靠运行，特制定本制度。

一、机房内部实行区域安全责任制，有关责任人对自己相应责任区负责。

区域划分和相应责任人另行作出具体规定；二、工作人员进入机房实行权限管理制度，被授权人员按照权限刷卡进入相应区域；三、参观考察或者监测维修等非工作人员进入机房需经批准并登记，其在机房内的一切活动必须得到允许并接受监督；四、严禁将易燃易爆、强腐蚀、强磁性物品带入机房，未经许可不得将手机等移动通讯设备、摄影摄像设备和与工作无关的移动存储设备带入机房；五、未经允许严禁参观、拍照、录音、录像，禁止在机房内吸烟；六、进入机房必须戴鞋套或更换机房专用拖鞋；七、机房内物品摆放要整齐有序，机器设备要清洁干净，保持良好的卫生环境；严禁在机房内会客接待、大声喧哗，保持安静的工作环境；八、相关责任人要定时检查供电配电系统、空调通风系统、视频监控系统、门禁控制系统和消防安全系统等，确保各配套系统安全正常运转；九、严禁用机房内的计算机运行与工作无关的软件，以防计算机病毒感染；十、严禁随意拆卸设备、私自接线和开关电源等操作；十一、定时查看机房温度、湿度，保持其符合规定范围。

介质管理制度一、本规定所称介质包括：硬盘、软盘、光盘、磁带、数字证书介质（USB Key/IC卡）、系统密钥介质等，分涉密和非涉密两种；二、非涉密介质的使用管理；1、非涉密介质包括通用产品如服务器驱动、防病毒软件系统光盘/软盘等；2、非涉密介质，实行谁使用管理的原则。

三、涉密介质的使用管理；1、涉密介质管理遵循“统一购置、统一标识、统一备案、跟踪管理”的原则；2、实行专人管理。

收发应履行清点、登记、编号、签收等手续，严格登记交接手续。

要按类编号，注明涉密标识，并定期进行检查；3、涉密介质必须存放在安全场所的保密设备里；4、涉密介质严禁在与互联网连接的计算机和个人计算机上使用；5、各类涉密介质未经批准严禁外出使用，更不得外借使用。

关键信息基础设施API安全评估服务方案2022年12月目录1 服务概述 (1)1.1 服务概念 (1)1.2 服务必要性 (1)1.2.1 API面临的数据安全挑战 (1)1.2.2 合规监督力度加强 (2)1.3 服务收益 (2)2 实施标准和原则 (2)2.1 政策文件或标准 (2)2.2 服务原则 (3)3 服务详情 (4)3.1 API安全专家分析服务（SPA-DSP/ADP） (4)3.1.1 服务内容 (4)3.1.2 服务范围 (4)3.1.3 服务方式 (6)3.1.4 服务流程 (6)3.1.5 服务工具 (8)3.1.6 服务交付物 (8)3.2 API安全调研咨询服务 (9)3.2.1 服务内容 (9)3.2.2 服务范围 (9)3.2.3 服务方式 (12)3.2.4 服务流程 (12)3.2.5 服务交付物 (13)3.3 API安全渗透测试服务 (14)3.3.1 服务内容 (14)3.3.2 服务范围 (14)3.3.3 服务方式 (15)3.3.4 服务流程 (16)3.3.5 服务工具 (18)3.3.6 服务交付物 (19)4 服务优势 (19)4.1 方案优势 (19)4.1.1 API安全调用全程跟踪 (19)4.1.2 API安全建设全面可视 (19)4.1.3 API安全隐患深入排查 (19)4.2 服务优势 (20)4.2.1 提供质量稳定的效果 (20)4.2.2 提供问题闭环的方案 (21)4.2.3 提供高性价比的服务 (21)4.3 工具优势 (21)1服务概述1.1服务概念数字化转型过程中的信息流通以及各种程序、应用和系统之间的连接，API 在应用架构中变得更加普遍，作为连接数据和应用之间的重要通道，在提升业务服务效能的同时，也增加了企业的风险敞口，尤其是数据泄漏问题。

API安全评估服务通过调研咨询、专家分析和技术评估等手段，针对API在传输、存储、认证、授权、输入和输出的各个阶段的脆弱性和风险进行评估检测，深度排查客户实际应用架构中的潜在API安全隐患。

网络安全等级保护设计方案（三级）-运营体系设计XXX科技有限公司20XX年XX月XX日目录一运营体系概述 (3)二漏洞管理服务 (4)三安全评估服务 (5)四渗透测试服务 (6)五应急响应服务 (8)六应急演练服务 (9)七威胁监测与主动响应服务 (10)八网络安全培训服务 (11)九系统设计亮点 (11)9.1 价值主张 (11)9.2 安全可视能力 (11)9.3 持续检测能力 (13)一运营体系概述等级保护2.0标准所规定的技术要求并不只是通过产品来落地的；等保的管理要求也不只是体现在文档上。

要保证持续的践行等级保护的各项要求，还需要对安全产品和安全管理制度持续运营。

通过运营将等保2.0中的技术要求和管理要求有效落地。

安全运营工作即可以用户自己做，也可以由厂商提供安全服务，来帮助用户实现持续的安全运营。

安全运营体系保障等保2.0技术和管理落地系统自身的漏洞、来自内外部的威胁，是管理的基本要素。

以漏洞和威胁为基础，把技术和管理体系融合，帮助用户建立安全运营体系。

安全运营体系二漏洞管理服务漏洞管理服务有现场服务、云端服务两种不同的服务方式，满足不用用户场景下的需求。

漏洞管理服务服务内容：三安全评估服务根据用户网络安全实际需求，为用户提供资产梳理、漏洞扫描、基线核查、安全加固建议等一体化的安全评估服务。

资产梳理：安全访谈和调研，梳理信息资产和业务环境状况，针对重要业务系统制定评估详细方案。

脆弱性评估：通过web扫描，漏洞扫描、基线检查、漏洞验证等手段，识别业务系统安全脆弱性风险。

防御能力评估：通过模拟黑客进行信息收集、应用及系统入侵，验证防御体系的安全防御能力。

失陷检查：通过人工或工具产品检测主机系统上的恶意文件和网络行为，判断主机失陷状态。

安全整改建议：基于安全评估结果分析系统安全风险和威胁，给出针对性的风险处理方案。

四渗透测试服务目前绝大部分的安全产品只能利用已知的安全漏洞对系统进行程序化的漏洞分析，缺少灵活性，而渗透测试却能够在可控的前提下进行最贴近于真实情况的漏洞发掘，弥补了仅仅使用安全产品对系统分析的不足，通过渗透测试可以以攻击者的角度发现一些隐性存在的安全漏洞和风险点，有助于后续的网络安全建设。

移动互联网应用开发职业技能等级标准一、范围本标准规定了移动互联网应用开发职业技能等级对应的工作领域、工作任务及职业技能要求。

本标准适用于移动互联网应用开发职业技能培训、考核与评价，相关用人单位的人员聘用、培训与考核可参照使用。

二、规范性引用文件下列文件对于本标准的应用是必不可少的。

凡是标注日期的引用文件，仅标注日期的版本适用于本标准。

凡是不标注日期的引用文件，其最新版本适用于本标准。

GB/T22080-20I6信息技术安全技术信息安全管理体系GB/T37729-20I9信息技术智能移动终端应用软件（APP）技术要求GB/T38674-2020信息安全技术应用软件安全编程指南GB/T30284-2020信息安全技术移动通信智能终端操作系统安全技术要求GB/T38646-2020信息安全技术移动签名服务技术要求SJ/T11623-2016信息技术服务从业人员能力规范GB/T33850-2017信息技术服务质量评价指标体系SJ/T11691-2017信息技术服务服务级别协议指南ITILV4术语表（国际通用-信息技术基础架构库）三、术语和定义3.1原生应用NativeApp原生应用是一种移动应用程序，它使用相应平台支持的开发工具和语言所编写。

3.2混合应用HybridApp混合应用是原生应用与网站应用的结合，它的部分功能页面采用网页的形式呈现。

3.3进程Process进程是计算机中的程序关于某数据集合上的一次运行活动，它是系统进行资源分配和调度的基本单位，是操作系统结构的基础。

3.4线程ThrEAd线程是操作系统能够进行运算调度的最小单位，它被包含在进程之中，是进程中的实际运作单位。

3.5同步Synchronized同步指的是在两个或多个数据库、文件、模块、线程之间用来保持数据内容一致性的机制。

3.6异步Asynchronous异步与同步相对，它不使用阻塞当前线程来等待处理完成，而是允许后续操作，直至其它线程将处理完成，并回调通知此线程。

中国商飞公司信息化网络安全平台技术方案上海宝信软件股份有限公司2009年03月中国商飞公司信息化网络安全平台技术方案编制：编制日期：审核：审核日期：批准：批准日期：上海宝信软件股份有限公司修订历史目录1.网络及安全基础平台介绍 (4)1.1.网络安全基础平台概述 (5)1.2.网络安全基础平台规划目标及支撑范围 (5)2.技术方案 (5)2.1.网络安全基础平台层次架构 (6)2.1.1.涉密网网络安全基础平台层次架构图 (6)2.1.2.业务网网络安全基础平台层次架构图 (6)2.2.网络安全基础平台功能 (7)2.2.1.涉密网网络安全基础平台功能 (8)2.2.2.业务网网络安全基础平台功能 (9)3.建设计划建议 (12)1. 网络及安全基础平台介绍1.1. 网络安全基础平台概述中国商飞公司网络作为设计、制造、服务、管理等应用的数据流转平台，按照地域划分为公司行政办公区、客户服中心、总装制造和研发设计中心四个区域，其中公司总部在张杨路，设计研发中心在龙华，总装制造中心在大场而客户服务中心则在闵行紫竹，各区域之间通过租用运营商线路的方式实现高速互联，而公司客户和国内外供应商则通过IPSEC VPN、SSL VPN等方式接入，此外各协作单位通过专线等方式接入。

而在职能上，中国商飞公司网络又划分为涉密网和业务网两个物理隔离的网络。

其中涉密网同上级主管单位以及保密部门互联，主要用于涉密文件、流程的处理。

业务网则为集团与各成员单位之间在飞机设计、飞机制造、客户服务等各个环节有效的信息传递、交换和共享，形成基于数字化的飞机研制、生产、服务管理的业务环境提供服务，并对外提供IPSEC VPN、SSL VPN等安全的接入方式。

四个区域中都包含有涉密网以及业务网两部分。

1.2. 网络安全基础平台规划目标及支撑范围参照公安部于2005年发布的《信息系统安全等级保护基本要求》，从长远角度出发对中国商飞公司网络安全基础平台建设进行规划工作，实现涉密网网络安全平台建设达到信息系统安全等级保护基本要求第四级以及业务网网络安全平台建设达到信息系统安全等级保护基本要求第三级的目标，为商飞公司PDM、ERP、MES等数字化信息系统运行提供安全、可靠、高效的基础支撑环境。