信息安全及风险控制要求中国移动

运营商安全承诺书移动版尊敬的用户：为了确保您在使用移动通信服务过程中的安全和满意度，我们作为中国移动运营商，特向您作出以下安全承诺：一、网络信息安全我们承诺将严格遵守国家相关法律法规，加强网络信息安全管理，采取有效措施保护您的个人信息和隐私权。

我们将使用先进的技术手段，建立健全的安全防护体系，确保网络的安全稳定，防止网络攻击、信息泄露等安全风险。

同时，我们将加强用户身份验证，严格控制用户信息的查询、使用和传输，确保您的信息安全。

二、服务质量保障我们承诺为您提供高质量、高效率的移动通信服务。

我们将不断优化网络覆盖，提升网络速度和稳定性，为您提供顺畅的通话和上网体验。

同时，我们将加强服务质量监控，及时发现和解决服务中存在的问题，确保您的通信需求得到及时满足。

三、诚信经营我们承诺诚信经营，严格遵守行业规范和商业道德，不进行任何虚假宣传和误导消费者的行为。

我们将真实、准确、全面地向您提供服务信息，确保您能够充分了解和选择适合您的通信服务。

同时，我们将加强服务质量管理，提供优质的服务咨询和投诉处理，维护您的合法权益。

四、用户隐私保护我们承诺尊重和保护用户的隐私权。

我们将不会收集、使用、存储、传输您的个人信息，除非获得您的明确授权或者法律法规要求。

我们将加强用户数据的保护，采取有效措施防止用户数据泄露、滥用和侵权行为，确保您的隐私安全。

五、紧急通信服务我们承诺在紧急情况下为您提供及时、可靠的紧急通信服务。

如果您遇到紧急情况，可以通过紧急呼叫功能快速联系紧急救援机构，我们将提供必要的协助和支持。

六、用户教育与培训我们承诺积极开展用户教育与培训，提高用户的安全意识和自我保护能力。

我们将定期向您发送安全提示和提醒，提供安全使用移动通信服务的指导和建议，帮助您识别和防范各种安全风险。

七、持续改进与创新我们承诺不断改进和创新，以满足您日益增长的需求。

我们将密切关注行业发展趋势和用户需求变化，加强技术研发和产品创新，为您提供更加丰富、智能、安全的通信服务。

中国移动通信企业标准 中国移动管理信息系统安全防护体系总体技术要求 G e n e r a l T e c h n i c a l R e q u i r e m e n t s F o r S e c u r i t y P r o t e c t i o n S y s t e m o f C M C C M I S 版本号：1.0.0 中国移动通信集团公司 发布2010-1-15发布 2010-1-15实施QB-X-017-2009目录前言 (II)1.范围 (1)2.规范性引用文件 (1)3.术语、定义和缩略语 (1)4. 综述 (2)4.1背景 (2)4.2本要求的范围和主要内容 (3)5. 目标和原则 (4)6. 安全防护技术体系 (4)6.1整体说明 (4)6.2安全域划分技术要求 (5)6.3安全域防护技术要求 (6)6.4安全加固规范 (6)6.5安全基线规范 (7)6.6信息安全风险评估技术要求 (7)6.7灾难备份与恢复实施技术要求 (7)7.编制历史 (7)前言本标准是中国移动管理信息系统安全防护的整体技术要求，是中国移动开展管理信息系统安全防护和安全运维工作的说明和依据。

本标准是一系列用于加强安全防护、加强系统自身安全的规范和标准，涵盖安全架构、安全评估、系统自身安全加固、安全防护等方面。

本标准是《中国移动管理信息系统安全防护体系技术规范》系列标准之一，该系列标准的结构、名称或预计的名称如下：序号标准编号标准名称[1] QB-X-017-2009 中国移动管理信息系统安全防护体系总体技术要求[2] QB-X-018-2009 中国移动管理信息系统安全域边界防护技术要求[3] QB-X-019-2009 中国移动管理信息系统安全域划分技术要求[4] QB-X-020-2009 中国移动管理信息系统安全基线规范[5] QB-X-021-2009 中国移动管理信息系统安全加固规范[6] QB-X-022-2009 中国移动管理信息系统安全风险评估规范[7] QB-X-023-2009 中国移动管理信息系统集中灾备系统技术规范本标准由中移技〔2010〕17号印发。

中国移动网络与信息安全责任条款
中国移动通用网络与信息安全责任条款
本条款所指的乙方，如无特别说明，专指承担中国移动工程建设项目的集成商或者提供维保服务的厂商
本条款所包含的安全责任如无特别说明，分别适用于设备到货、入场施工、项目验收以及系统运行维护整个过程的各个环节，集成商需要严格执行
向甲方提供维保服务的乙方在服务期间需要遵循条款2规定，如更换设备、升级软件或调整配置，需要遵循条款1、31
1、乙方应保证本工程新增设备符合中国移动《中国移动设备通用安全功能和配置规范》规定的安全配置要求
2、乙方应遵守中国移动相关安全管理规定要求，具体规定如下：
a) 《中国移动安全域管理办法》； b) 《中国移动帐号口令管理办法》；
c) 《中国移动远程接入安全管理办法》； d) 《中国移动网络互联安全管理办法》
3、乙方应保证本工程新增的设备安装操作系统、应用软件已经发布的所有安全补丁，关闭与业务无关端口，无关进程和服务，按照最小化的原则进行授权，并无重大安全漏洞、后门或者感染病毒
4、乙方提供的应用软件中账号所使用的口令应便于在维护中定期修改并已加密方式保存，不可固化在软件里
5、乙方在设备上线前，应参照《中国移动系统安全相关基础信息列表》格式，详细提供本工程新增设备和应用的进程、端口、账号等方面的情况
6、在工程实施期间，甲方有权通过安全扫描软件或者人工评估等手段，对本期工程新增设备和应用软件进行检查，并给出评估结果一旦发现有重大安全漏洞、后门或者病毒感染，由乙方进行立即修补、清除或者采用其他手段消除安全问题对于违反本规定导致的一切问题，由乙方负全部责任
1。

中国移动网络与信息安全总纲中国移动通信集团公司2006年7月本文档版权由中国移动通信集团公司所有。

未经中国移动通信集团公司书面许可，任何单位和个人不得以任何形式摘抄、复制本文档的部分或全部，并以任何形式传播。

中国移动 [注]的通信网络和支撑系统是国家基础信息设施，必须加以妥善保护。

随着网络和通信技术的快速发展，网络互联与开放、信息共享带来了日益增长的安全威胁。

为了企业乃至国家的网络与信息安全，为了保障客户利益，加强各方面的安全工作刻不容缓！制订和颁布本标准的目的是为中国移动的网络与信息安全管理工作建立科学的体系，力争通过科学规范的全过程管理，结合成熟和领先的技术，确保安全控制措施落实到位，为各项业务的安全运行提供保障。

本标准主要依据国际规范，参考业界的成熟经验，结合中国移动的实际情况进行补充、修改、完善而来。

本标准目前主要针对互联网、支撑网等IT系统安全。

[注]：本标准所称“中国移动”是指中国移动通信集团公司及由其直接或间接控股的公司。

中国移动通信集团公司，以下简称“集团公司”。

各移动通信有限责任公司，以下简称“各省公司”。

前言 (22)目录 (33)总则 (99)1．网络与信息安全的基本概念 (99)2．网络与信息安全的重要性和普遍性 (99)3．中国移动网络与信息安全体系与安全策略 (1010)4．安全需求的来源 (1111)5．安全风险的评估 (1212)6．安全措施的选择原则 (1212)7．安全工作的起点 (1212)8．关键性的成功因素 (1313)9．安全标准综述 (1313)10．适用范围 (1616)第一章组织与人员 (1717)第一节组织机构 (1717)1．领导机构 (1717)2．工作组织 (1717)3．安全职责的分配 (1818)4．职责分散与隔离 (1919)5．安全信息的获取和发布 (1919)6．加强与外部组织之间的协作 (2020)7．安全审计的独立性 (2020)第二节岗位职责与人员考察 (2020)1．岗位职责中的安全内容 (2020)2．人员考察 (2020)3．保密协议 (2121)4．劳动合同 (2121)5．员工培训 (2121)第三节第三方访问与外包服务的安全 (2121)1．第三方访问的安全 (2121)2．外包服务的安全 (2222)第四节客户使用业务的安全 (2323)第二章网络与信息资产管理 (2525)第一节网络与信息资产责任制度 (2525)1．资产清单 (2525)2．资产责任制度 (2525)第二节资产安全等级及相应的安全要求 (2727)1．信息的安全等级、标注及处置 (2727)2．网络信息系统安全等级 (2929)第三章物理及环境安全 (3030)第一节安全区域 (3030)1．安全边界 (3030)2．出入控制... 错误!未定义书签。

• 66•移动支付的迅速普及和不断发展给人们的生产与生产带来极大方便，但在享受快捷方便的移动支付的同时也会担忧其安全问题。

那么不管是企业、用户还是政府部门都应了解我国移动支付的发展情况，并想办法加强对其风险的分析和管控，保证安全使用移动支付，推动我国移动支付更快更好地发展。

移动支付属于先进的消费方式、支付手段，发展速度极快，不仅改变人们的支付习惯，还让传统金融业面临巨大变革。

然而当下我国移动支付产业依旧处于较低级的发展阶段，因为互联网的应用越来越普及，各类网络金融犯罪层出不穷，尽管移动支付凭借便捷性受到好评，但风险较多，分析我国移动支付的发展、风险和管控具有重要意义。

一、我国移动支付的发展移动支付又被称作手机支付，是消费者在购买商品时利用移动终端（一般是指手机）完成支付，具有移动性、实时性、便捷性等优点（冯亚娇，互联网金融下移动支付风险分析：时代金融，2017）。

从全球来看，互联网在加速演变，从日韩到欧美、非洲，移动支付在快速发展，成为新的增长点，我国相关机构也在积极推动移动支付的发展。

移动支付产业在我国先后经历业务导入期（2002~2004年，中国移动开展移动支付业务）、地域扩展期（2004~2007年，快速复制若干业务模式，促进移动支付的地域扩展，培养消费者的使用习惯）、规模扩张期（2007~2010年，产业链日益成熟，应用环境也得到改善，发展规模越来越大）、产业成熟期（2010年至今，业务种类丰富多样，渗透率较高，消费者使用移动支付的习惯日益成熟、稳定），每一个时期都有明显的特征，呈现出上升趋势。

我国移动支付从2000年到2018年发生了翻天覆地的改变，用户使用移动支付的意愿越来越强烈。

截至2018年6月，我国网民数量超过8亿，互联网普及率约60%，在全球排名第一；手机网民也接近8亿，在网民群体中占据超过98%的比例，网购人群也超过5亿，在网民群体中占据近70%的比例，几乎达到全民网购的盛况，为我国移动支付的发展奠定坚实基础、提供强大助推力。

中国移动网络与信息安全总纲精品资料网（）25万份精华管理资料，2万多集管理视频讲座中国移动网络与信息安全总纲中国移动通信集团公司2006年7月本文档版权由中国移动通信集团公司所有。

未经中国移动通信集团公司书面许可，任何单位和个人不得以任何形式摘抄、复制本文档的部分或全部，并以任何形式传播。

中国移动[注]的通信网络和支撑系统是国家基础信息设施，必须加以妥善保护。

随着网络和通信技术的快速发展，网络互联与开放、信息共享带来了日益增长的安全威胁。

为了企业乃至国家的网络与信息安全，为了保障客户利益，加强各方面的安全工作刻不容缓！制订和颁布本标准的目的是为中国移动的网络与信息安全管理工作建立科学的体系，力争通过科学规范的全过程管理，结合成熟和领先的技术，确保安全控制措施落实到位，为各项业务的安全运行提供保障。

本标准主要依据国际规范，参考业界的成熟经验，结合中国移动的实际情况进行补充、修改、完善而来。

本标准目前主要针对互联网、支撑网等IT系统安全。

[注]：本标准所称“中国移动”是指中国移动通信集团公司及由其直接或间接控股的公司。

中国移动通信集团公司，以下简称“集团公司”。

各移动通信有限责任公司，以下简称“各省公司”。

前言 (2)目录 (3)总则 (13)1．网络与信息安全的基本概念 (13)2．网络与信息安全的重要性和普遍性 (13)3．中国移动网络与信息安全体系与安全策略 (14)4．安全需求的来源 (16)5．安全风险的评估 (17)6．安全措施的选择原则 (18)7．安全工作的起点 (18)8．关键性的成功因素 (19)9．安全标准综述 (20)10．适用范围 (24)第一章组织与人员 (26)第一节..................................................... 组织机构261．领导机构 (26)2．工作组织 (27)3．安全职责的分配 (28)4．职责分散与隔离 (29)5．安全信息的获取和发布 (30)6．加强与外部组织之间的协作 (30)7．安全审计的独立性 (31)第二节...................................... 岗位职责与人员考察311．岗位职责中的安全内容 (31)2．人员考察 (32)3．保密协议 (33)4．劳动合同 (33)5．员工培训 (33)第三节.......................... 第三方访问与外包服务的安全341．第三方访问的安全 (34)2．外包服务的安全 (35)第四节...................................... 客户使用业务的安全37第二章网络与信息资产管理 (38)第一节................................ 网络与信息资产责任制度381．资产清单 (38)2．资产责任制度 (39)第二节....................... 资产安全等级及相应的安全要求421．信息的安全等级、标注及处置 (42)2．网络信息系统安全等级 (44)第三章物理及环境安全 (46)第一节..................................................... 安全区域461．安全边界 (46)2．出入控制 (47)3．物理保护 (48)4．安全区域工作规章制度 (49)5．送货、装卸区与设备的隔离 (50)第二节..................................................... 设备安全511．设备安置及物理保护 (51)2．电源保护 (52)3．线缆安全 (53)4．工作区域外设备的安全 (54)5．设备处置与重用的安全 (54)第三节............................................ 存储媒介的安全551．可移动存储媒介的管理 (55)2．存储媒介的处置 (55)3．信息处置程序 (56)4．系统文档的安全 (57)第四节............................................... 通用控制措施581．屏幕与桌面的清理 (58)2．资产的移动控制 (59)第四章通信和运营管理的安全 (60)第一节............................................ 操作流程与职责601．规范操作细则 (60)2．设备维护 (61)3．变更控制 (62)4．安全事件响应程序 (62)5．开发、测试与现网设备的分离 (63)第二节.......................... 系统的规划设计、建设和验收641．系统规划和设计 (64)2．审批制度 (64)3．系统建设和验收 (65)4．设备入网管理 (67)第三节............................................ 恶意软件的防护67第四节...................................... 软件及补丁版本管理69第五节............................................ 时钟和时间同步70第六节..................................................... 日常工作701．维护作业计划管理 (70)2．数据与软件备份 (70)3．操作日志 (72)4．日志审核 (72)5．故障管理 (73)6．测试制度 (74)7．日常安全工作 (74)第七节............................................... 网络安全控制75第八节......................................... 信息与软件的交换761．信息与软件交换协议 (76)2．交接过程中的安全 (76)3．电子商务安全 (77)4．电子邮件的安全 (78)5．电子办公系统的安全 (79)6．信息发布的安全 (80)7．其他形式信息交换的安全 (81)第五章网络与信息系统的访问控制 (82)第一节............................................... 访问控制策略82第二节............................................... 用户访问管理841．用户注册 (84)2．超级权限的管理 (85)3．口令管理 (87)4．用户访问权限核查 (88)第三节..................................................... 用户职责881．口令的使用 (88)2．无人值守的用户设备 (89)第四节............................................... 网络访问控制901．网络服务使用策略 (91)2．逻辑安全区域的划分与隔离 (91)3．访问路径控制 (92)4．外部连接用户的验证 (93)5．网元节点验证 (93)6．端口保护 (94)7．网络互联控制 (94)8．网络路由控制 (95)9．网络服务的安全 (95)第五节...................................... 操作系统的访问控制951．终端自动识别 (96)2．终端登录程序 (96)3．用户识别和验证 (97)4．口令管理系统 (97)5．限制系统工具的使用 (98)6．强制警报 (99)7．终端超时关闭 (99)8．连接时间限制 (100)第六节............................................... 应用访问控制1001．信息访问限制 (100)2．隔离敏感应用 (101)第七节................................... 系统访问与使用的监控1011．事件记录 (102)2．监控系统使用情况 (102)第八节............................................ 移动与远程工作1041．移动办公 (104)2．远程办公 (105)第六章系统开发与软件维护的安全 (107)第一节............................................ 系统的安全需求107第二节............................................ 应用系统的安全1091．输入数据验证 (109)2．内部处理控制 (110)3．消息认证 (111)4．输出数据验证 (112)第三节............................................ 系统文件的安全1121．操作系统软件的控制 (112)2．系统测试数据的保护 (113)3．系统源代码的访问控制 (114)第四节................................ 开发和支持过程中的安全1151．变更控制程序 (115)2．软件包的变更限制 (116)3．后门及特洛伊代码的防范 (117)4．软件开发外包的安全控制 (118)第五节......................................... 加密技术控制措施1181．加密技术使用策略 (119)2．使用加密技术 (119)3．数字签名 (120)4．不可否认服务 (121)5．密钥管理 (121)第七章安全事件响应及业务连续性管理 (124)第一节...................................... 安全事件及安全响应1241．及时发现与报告 (125)2．分析、协调与处理 (125)3．总结与奖惩 (127)第二节............................................ 业务连续性管理1271．建立业务连续性管理程序 (127)2．业务连续性和影响分析 (128)3．制定并实施业务连续性方案 (129)4．业务连续性方案框架 (130)5．维护业务连续性方案 (132)第八章安全审计 (134)第一节......................................... 遵守法律法规要求1341．识别适用的法律法规 (134)2．保护知识产权 (135)3．保护个人信息 (135)4．防止网络与信息处理设施的不当使用 (136)5．加密技术控制规定 (136)6．保护公司记录 (137)7．收集证据 (137)第二节............................................ 安全审计的内容138第三节............................................... 安全审计管理1381．独立审计原则 (139)2．控制安全审计过程 (139)3．保护审计记录和工具 (140)参考文献 (141)术语和专有名词 (142)附录1：安全体系第二层项目清单（列表） (143)总则1．网络与信息安全的基本概念网络与信息安全包括下列三个基本属性：➢机密性（Confidentiality）：确保网络设施和信息资源只允许被授权人员访问。

【最新资料，WORD文档，可编辑修改】第一章总则为在确保中国移动通信有限公司（以下简称“有限公司”）及各省公司（有限公司和各省公司统称“中国移动”）网络安全前提下，高效、可控地推动网络与信息系统风险评估工作，依据《电信网和互联网安全防护管理指南》（YD/T 1728-2008）、《电信网和互联网安全风险评估实施指南》（YD/T 1730-2008）等国家政策、行业标准和有限公司相关规定，制定本办法。

本办法所指的网络和信息系统安全风险评估（以下简称“风险评估”）是指对网络和信息系统等信息资产在技术、管理等方面存在的脆弱性、威胁、发生概率、安全事件影响等安全风险情况进行分析，找出安全风险，有针对性的提出改进措施的活动。

本办法自发布之日起实施，各省公司应制定具体实施细则。

第二章适用范围本办法适用于有限公司、各省公司根据行业监管要求或者自身安全要求，针对中国移动通信网、业务网、各支撑系统以及其它服务类信息系统，如电梯控制系统、门禁系统等发起的各类风险评估。

涉及的部门包括：总部及各省公司网络与信息安全工作办公室，其它网络安全工作管理职能部门，各级通信网、业务网和各支撑系统维护部门，如网络部门、业务支撑部门、管理信息系统部门、办公设施管理部门等等。

第三章评估工作宏观要求风险评估内容及组织方式（一）风险评估以识别网络和信息系统等信息资产的价值，发现信息资产在技术、管理等方面存在的脆弱性、威胁，评估威胁发生概率、安全事件影响，计算安全风险为主要目标，同时有针对性的提出改进措施、技术方案和管理要求。

（二）有限公司和各省公司应重点针对没有具体、可操作安全规范指导或者管理办法要求的安全领域，如电信业务流程层面，进行风险评估；（三）风险评估原则上以自评估为主，如自身人员数量、技术水平、评估标准支撑能力等不足或者时间紧迫、意义重大，可在上报有限公司审批、加强管理的前提下引入第三方评估，并应侧重通过白客渗透测试技术，发现深层次安全问题，如缓冲区溢出等编程漏洞、业务流程和通信协议中存在的漏洞等等。