中国通信企业协会通信网络安全服务能力评定准则(试行)

附件1：通信网络代维企业资质等级评定办法第一章总则第一条为了适应通信信息产业发展和通信网络所有人对通信网络代维的需要，规范通信网络代维服务市场秩序，保证通信网络代维服务质量和网络的安全畅通，制订本办法。

第二条通信网络代维服务是指通信网络所有人委托相关企业对通信网络中的设备或系统进行的运行维护活动或管理服务，包括以维持通信网络性能和保障网络安全畅通为目的、按照规定的周期和标准进行的维护管理活动，也包括为排除网络故障而进行的修复作业。

第三条通信网络代维企业资质是承担通信网络代维的企业从事通信网络代维综合能力的体现，包括对代维企业的基本要求、绩效要求及企业的管理和认证要求等。

第四条从事通信网络代维服务的企业，按照本办法取得通信网络代维企业资质等级证书后，承接相应范围的通信网络代维服务项目。

第五条通信网络的所有人，应优先选择持有相应通信网络代维企业资质等级证书的企业承担通信网络代维服务项目。

第二章组织管理第六条中国通信企业协会负责通信网络代维企业资质等级评定办法的发布和通信网络代维企业资质等级证书的批准颁发。

第七条中国通信企业协会通信网络运营专业委员会（以下简称运营专委会）负责资质等级评定的总体组织和管理工作，包括资质等级评定的总体规划、体系建设、起草发布实施文件和资质等级标准、人员资格评定、资质证书审核等工作。

第八条运营专委会组建成立运维服务企业资质评定中心（以下简称评定中心），负责受理企业的资质等级申请、评定、证书和档案管理、获证企业监督审查、证书发放等具体工作。

第九条工业和信息化部电信研究院认证机构（以下简称认证机构）根据资质等级评定办法和标准负责对申请代维企业资质等级证书的企业进行审查和获证企业监督审查的具体实施。

第十条从事资质等级评定的相关工作人员应具有胜任本岗位工作的能力，坚持公正、公平、科学、实事求是的原则。

第三章资质等级第十一条通信网络代维企业资质等级分为正式和临时等级。

正式等级包括甲、乙、丙三个等级；新设立的或条件不满足正式等级标准的代维企业可申请临时等级。

通信网络安全服务能力评定申请指南©2014—中国通信企业协会通信网络安全专业委员会2014年3月20日目录引言......................................... 错误!未定义书签。

一、评定依据................................. 错误!未定义书签。

二、类型与级别划分........................... 错误!未定义书签。

三、评定准则................................. 错误!未定义书签。

四、评定流程................................. 错误!未定义书签。

4.1通信网络安全服务能力评定工作流程图........ 错误!未定义书签。

4.2申请阶段.................................. 错误!未定义书签。

4.3材料审查阶段.............................. 错误!未定义书签。

4.4能力评定阶段.............................. 错误!未定义书签。

4.4.1书面评定............................... 错误!未定义书签。

4.4.2现场评定............................... 错误!未定义书签。

4.4.3综合评定............................... 错误!未定义书签。

4.4.4出具《报告》........................... 错误!未定义书签。

4.4.5专家评审............................... 错误!未定义书签。

4.5证书发放阶段.............................. 错误!未定义书签。

4.5.1公示................................... 错误!未定义书签。

网络安全防护检查报告数据中心测试单位：报告日期：目录第1章系统槪况 (4)1.2管理制度 (4)第2章：评测方法和工具 (6)2.1测试方式 (6)2.2测试工具 (6)2.3评分方法 (6)2.3.1符合性评测评分方法 (6)2.3.2风险评估评分方法 (7)第3章测试内容 (9)3.1测试内容概述 (9)3.2扫描和渗透测试接入点 (10)3.3 通信网络安全管理审核 (10)第四章符合性评测结果 (11)4.1业务安全 (11)4.2网络安全 (11)4.3主机安全 (11)4.4中间件安全 (12)4.5安全域边界安全 (12)4.6集中运维安全管系统安全 (12)4.7灾难备份及恢复 (13)4.8管理安全 (13)4.9 第三方服务安全 (14)第5章风险评估结果 (14)5.1存在的安全隐患 (14)第6章综合评分 (15)6.1符合性得分 (15)6.2风险评估 (15)6.3综合得分 (15)所依据的标准和规范有：>《YD/T 2584-2013互联网数据中心IDC安全防护要求》《YD/T 2585-2013互联网数据中心IDC安全防护检测要求》《YD/T 2669-2013第三方安全服务能力评定准则》《网络和系统安全防护检查评分方法》«2Q14年度通信网络安全防护符合性评测表-互联网数据中心IDC》还参考标准YD/T 1754-2QQ8〈<电信和互联网物理环境安全等级保护要求》YD/T 1755-2QQ8〈<电信和互联网物理环境安全等级保护检测要求》YD/T 1756-2QQ8《电信和互联网管理安全等级保护要求》GB/T 20274信息系统安全保障评估框架>GB/T 20984-2007《信息安全风险评估规范》第1章系统槪况IDC由负责管理和维护，其中各室配备了数名工程师，负责IDC设备硬、软件维护，数据制作，故障处理、信息安全保障、机房环境动力设备和空调维护。

信息安全服务能力评估准则信息安全是指针对信息系统进行保护和防御的一系列措施和活动。

评估信息安全服务能力是为了确保组织能够提供有效的信息安全服务，以保护其信息系统和数据不受未经授权的访问、使用、披露、破坏等威胁。

因此，信息安全服务能力评估准则对于组织来说具有重要的意义。

1.组织安全政策和策略评估组织的安全政策和策略是否健全、有效。

包括了解组织信息安全管理的目标、原则、职责和权责分工，以及信息安全风险管理、安全控制和安全事件响应等方面的制度和流程。

2.信息安全组织和人员评估组织是否设立了信息安全管理部门或相关职位，确保信息安全工作的责任明确。

同时，评估组织的信息安全人员的资质和能力，包括专业知识、技能和经验。

还需要评估培训计划和培训成果，以保证信息安全人员能够始终保持专业的知识和技能水平。

3.风险管理和安全控制评估组织的风险管理和安全控制措施。

包括了解组织的风险评估和风险处理的流程和方法，以及信息系统的安全控制措施。

此外，还需要评估是否制定了相应的安全措施和进行了有效的实施和监控。

4.安全事件响应评估组织的安全事件响应能力。

包括了解组织的安全事件处理流程和方法，以及相关的应急预案和应急响应能力。

需要评估组织的安全事件响应团队的组织结构、工作职责、技术手段和响应能力，以及安全事件的记录、追踪和分析能力。

5.安全监控和评估评估组织的安全监控和评估能力。

包括了解组织的安全事件监控手段和技术、监控频率和深度，以及对系统和应用的安全性能进行评估的方法和工具。

还需要评估组织的安全检查和评估结果的分析和处理能力，以及形成的安全报告和建议的有效性和及时性。

6.信息安全技术和工具评估组织的信息安全技术和工具的选择和使用情况。

包括了解组织的安全设备和系统的选型和配置情况，以及信息安全工具的使用和管理方式。

还需要评估组织对于新技术和新工具的关注和应用程度，以及与供应商的合作和沟通情况。

评估信息安全服务能力的方法主要包括文件资料的审查、调查问卷和访谈、系统漏洞扫描和渗透测试等。

通信网络安全服务能力评定管理办法第一章总则第一条为提高通信网络安全服务质量，确保服务过程的安全可控性，促进通信网络安全服务行业的健康发展，协助政府主管部门加强对通信网络安全服务的指导，依据《通信网络安全防护管理办法》，制定本办法。

第二条本办法适用于对中华人民共和国境内的通信网络安全服务单位提供安全服务的能力进行评定，可作为电信管理机构把握通信网络安全服务整体情况的参考，可作为电信运营企业选择通信网络安全服务的依据，也可以作为通信网络安全服务单位改进自身能力的指导。

第三条通信网络安全服务能力评定（以下简称能力评定）是指对通信网络安全服务单位从事通信网络安全服务综合能力的评定，包括技术能力、服务能力、质量保证能力、人员构成与素质、经营业绩、资产状况、获得奖励情况等要素。

第四条通信网络安全服务单位经过能力评定可取得《中国通信企业协会通信网络安全服务能力资格证书》（以下简称证书）。

第二章能力评定类型与等级第五条通信网络安全服务能力分为两种类型：风险评估、安全设计与集成。

风险评估是指运用科学的方法和手段，系统地分析通信网络及相关系统所面临的威胁及其存在的脆弱性，评估安全事件可能造成的危害程度，并提出有针对性的防护对策和安全措施，防范和化解通信网络及相关系统安全风险，将风险控制在可接受的水平，为最大限度地保障通信网络及相关系统的安全提供科学依据；安全设计与集成是指对所服务的通信网络的安全框架进行设计，形成安全建设规划，并对计划实施的安全策略细化，在安全解决方案的基础上，实施安全产品集成、安全软件定制开发、安全加固或其它的安全技术和咨询服务。

第六条通信网络安全服务能力分为三个级别，由低至高依次是：一级、二级和三级。

第七条对各级别能力的具体要求可参见《通信网络安全服务能力评定准则》的有关规定。

第三章能力评定组织管理第八条中国通信企业协会负责能力评定的发证工作，中国通信企业协会通信网络安全专业委员会（以下简称通信安委会）负责能力评定一级级别组织专家评审工作；二级及以上级别申请的协调和管理工作，包括组织技术专家评定1、组织专家评审2、公布能力评定结果和管理证后监督。

信息通信行业各领域信用评价标准下载提示：该文档是本店铺精心编制而成的，希望大家下载后，能够帮助大家解决实际问题。

文档下载后可定制修改，请根据实际需要进行调整和使用，谢谢！本店铺为大家提供各种类型的实用资料，如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等，想了解不同资料格式和写法，敬请关注！Download tips: This document is carefully compiled by this editor. I hope that after you download it, it can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you! In addition, this shop provides you with various types of practical materials, such as educational essays, diary appreciation, sentence excerpts, ancient poems, classic articles, topic composition, work summary, word parsing, copy excerpts, other materials and so on, want to know different data formats and writing methods, please pay attention!信息通信行业各领域信用评价标准一、引言信息通信行业在当今社会扮演着重要角色，其发展水平直接影响着整个社会经济的运行。

中国通信企业协会通信网络安全服务能力评定准则（试行）中国通信企业协会通信网络安全服务能力评定准则（试行）1 通信网络安全服务概述1.1 概念本准则所述的通信网络包括通信网和互联网，所涉及的安全服务是指为了适应通信网络安全管理的需要，运用科学的方法和手段，通过有效的措施来保障通信网络的正常运行，为企业提供全面或部分安全评估、设计与集成的服务，包含从安全体系到具体的技术解决措施。

1.2 类型本准则涉及到的通信网络安全服务可以分为二个类型：风险评估、安全设计与集成。

a)风险评估运用科学的方法和手段，系统地分析通信网络及相关系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，并提出有针对性的抵御威胁的防护对策和安全措施，防范和化解通信网络及相关系统安全风险，将风险控制在可接受的水平，为最大限度地保障通信网络及相关系统的安全提供科学依据。

b)安全设计与集成对所服务的通信网络的安全框架进行设计，形成安全建设规划，并对计划实施的安全策略细化，在安全解决方案的基础上，实施安全产品集成、安全软件定制开发、安全加固与整改或其它的安全技术和咨询服务。

2 通信网络安全服务能力等级的评判原则通信网络安全服务能力是对通信网络安全服务提供商的客观评价，直接反应了通信网络安全服务提供商的服务资格、水平和能力。

通信网络安全服务能力要求分别针对每一类服务提供商分为基本要求和分类要求，基本要求是指所有通信网络安全服务提供商都必须要达到的安全能力要求；分类要求是指对不同类型的通信网络安全服务提供商提出了不同的能力要求，其中风险评估、安全设计与集成类服务分别提出了三级能力要求，由高到低依次是甲级、乙级、丙级能力。

在本准则中，高等级能力的要求涵盖了低等级能力要求的所有方面。

通信网络安全服务能力评定要求是对通信网络安全服务提供商的资格状况、经济实力、技术能力、服务队伍、服务过程能力等方面的具体衡量和评价。

3 通信网络安全服务能力等级基本要求3.1 法律要求a)在中华人民共和国境内注册成立（港澳台地区除外）；b)由中国公民投资、中国法人投资或者国家投资的，具有独立法人资格及相关部门颁发的合法经营资格的企事业单位（港澳台地区除外）；c)从事涉密的通信网络安全服务提供商必须满足国家保密机关的相关要求；d)从事通信网络安全服务工作一年以上，无违法记录；e)法人及主要业务、技术人员无犯罪记录。

中国通信企业协会网络安全人员能力认证考试知识点大纲技术类专业级(CACE-CPAC-PLT)中国通信企业协会网络安全人员能力认证中心2017年3月目录第1章政策法规及道德规范 (10)1.1 国家网络安全相关法律法规 (10)1.1.1 我国网络安全管理体制 (10)1.1.2 网络安全相关法律法规 (10)1.1.3 信息安全等级保护相关法规政策 (10)1.2 电信和互联网行业网络安全管理政策 (10)1.2.1 通信网络安全相关法规政策 (10)1.2.2 网络安全防护 (11)1.2.3 网络安全威胁治理 (11)1.2.4 网络安全应急保障 (11)1.3 道德规范 (11)第2章安全管理标准 (11)2.1 国外主要标准介绍 (11)2.2 国内主要安全标准概述 (11)2.3 国内外安全管理标准的对比 (12)第3章安全体系框架 (12)3.1 安全体系设计的指导思想与理念 (12)3.2 安全技术体系框架及主要内容 (12)3.3 安全技术体系框架设计的落地 (12)第4章密码技术 (13)4.1加密算法与编码技术 (13)4.1.1 对称加密算法与编码技术 (13)4.1.2 非对称加密算法与编码技术 (13)4.2 常见密码技术原理 (13)4.2.1 经典加密算法 (13)4.2.2 现代加密算法 (14)4.3 高级加密标准 (14)4.3.1 高级加密标准简介 (14)4.3.2 实现 (14)4.3.3 实用的攻击 (14)4.3.4 链接模式 (14)4.4 PKI技术 (15)4.4.1 PKI技术概述 (15)4.4.2 PKI技术发展 (15)4.4.3 PKI系统组成 (15)4.4.4 PKI原理 (15)4.4.5 安全服务 (15)4.4.6 PKI与防火墙等其他技术 (15)4.5 密码破解技术 (16)4.5.1 密码分析学 (16)4.5.2 常用软件的口令加密和存储方法 (16)4.5.3 密码破解实现 (16)4.6密钥管理、数字签名、散列函数与证书 (16)4.6.1 概述 (16)4.6.2 密钥交换 (16)4.6.3 可靠性 (17)4.6.4 数字签名 (17)4.6.5 公钥基础设施和证书 (17)4.7密码学的的未来 (17)4.7.1 量子密码学简介 (17)4.7.2 量子系统概述 (17)4.7.3 量子因子分解 (18)4.7.4 量子密钥管理 (18)第5章第五章安全协议 (18)5.1 安全协议分析 (18)5.1.1 安全协议的安全性 (18)5.1.2 安全分析的基本方法 (18)5.1.3 典型网络安全协议分析 (19)5.2 TCP/IP协议分析 (19)5.3 网络接口层协议分析 (19)5.3.1 WEP协议 (19)5.3.2 WPA协议 (19)5.4 网际层协议分析--虚拟专用网络协议（IPSEC） (20)5.4.1 VPN (20)5.4.2 IPSEC (20)5.5 传输层安全分析 (20)5.5.1 TLS/SSL协议 (20)5.5.2 Socks协议 (21)5.6 应用层协议分析 (21)5.6.1 SSH协议 (21)5.6.2 SET协议 (21)5.6.3 kerberos协议 (21)5.7 几种常见安全协议的对比 (22)5.7.1 网络认证协议Kerberos (22)5.7.2 安全电子交易协议SET (22)5.7.3 安全套接层协议SSL (22)5.7.4 安全超文本传输协议SHTTP (22)5.7.5 安全电子邮件协议S/MIME (23)5.7.6 安全协议对比分析 (23)5.7.7 总结 (23)第6章网络安全攻击技术 (23)6.1 网络攻击技术原理 (23)6.1.1 网络欺骗 (23)6.1.2 嗅探技术 (24)6.1.3 扫描技术 (24)6.1.4 口令破解技术 (24)6.1.5 缓冲区溢出攻击 (24)6.1.6 SQL注入 (24)6.1.7 恶意代码 (25)6.2 网络安全攻击事件案例和原理分析 (25)6.2.1 国内事件 (25)6.2.2 国外事件 (25)6.3 黑客与攻击技术实战分析 (26)6.3.1 僵尸网络 (26)6.3.2 缓冲区溢出攻击 (26)6.3.3 拒绝服务攻击 (26)6.3.4 分布式拒绝服务攻击 (26)6.4 网络安全入侵实战 (27)6.4.1 命令行下的入侵 (27)6.4.2 图形界面的入侵等 (27)6.4.3 流行远程控制木马的使用方法 (27)6.4.4 键盘记录程序的使用方法 (27)6.5 网络安全攻击防范技术分析 (27)6.5.1 Windows命令行工具 (27)6.5.2 攻击检测和防范方法之日志分析 (28)6.5.3 针对SOAP的渗透测试与防护 (28)第7章风险评估实施流程 (29)7.1 风险评估准备工作 (29)7.1.1 组建风险评估项目团队 (29)7.1.2 确定风险评估范围 (29)7.1.3 确定风险评估方式 (29)7.1.4 制定风险评估计划 (29)7.2 风险评估实施流程 (30)7.2.1 风险要素识别 (30)7.2.2 风险分析 (30)7.2.3 风险处置 (30)7.3 建立风险评估工作长效机制 (30)第8章风险识别与评价 (30)8.1 资产识别 (30)8.2 威胁识别 (31)8.3 脆弱性识别 (31)8.4 已有安全措施的确认 (31)8.5 风险评价 (31)8.5.1 风险计算原理 (31)8.5.2 风险结果的判定 (32)8.5.3 控制措施的选择 (32)8.5.4 残余风险的评价 (32)第9章扫描、渗透及常用工具 (32)9.1 扫描工具 (32)9.1.1 Nmap (32)9.1.2 Nessus (33)9.1.3 Appscan (33)9.2 弱口令探测工具 (33)9.2.1 hydra (33)9.2.2 medusa (33)9.2.3 cain (33)9.3 嗅探工具 (34)9.3.1 ettercap (34)9.3.2 wireshark (34)9.4 WEB系统渗透工具 (34)9.4.1 BurpSuite (34)9.4.2 SQLmap (34)9.5 漏洞利用工具 (34)第10章风险评估报告 (35)10.1 风险评估报告的形式 (35)10.2 风险评估结果分析 (35)第11章安全加固与整改 (35)11.1 技术加固安全基线 (35)11.2 加固内容 (35)11.3 加固流程 (35)第12章网络安全设备 (36)12.1 防火墙 (36)12.1.1 防火墙策略 (36)12.1.2 防火墙配置和应用 (36)12.1.3 防火墙日志分析 (36)12.1.4 绕过防火墙的主要攻击方法 (36)12.2 IDS (37)12.2.1 IDS核心技术 (37)12.2.2 IDS发展趋势 (37)12.2.3 下一代IPS (37)12.3 防病毒 (37)12.3.1 病毒检测的基本原理 (37)12.3.2 病毒查杀日志分析重点 (37)12.3.3 经典虚拟化防病毒技术方案 (37)12.4 DDOS防护 (38)第13章安全体系架构设计 (38)13.1 网络架构安全基础 (38)13.2 网络架构安全设计 (38)13.2.1 网络安全域划分应考虑的主要因素 (38)13.2.2 IP地址规划方法 (38)13.2.3 VLAN划分的作用与策略 (38)13.2.4 路由交换设备安全配置常见的要求 (39)13.2.5 网络边界访问控制策略的类型 (39)13.2.6 网络冗余配置应考虑的因素 (39)第14章网络安全事件的监测与发现 (40)14.1 蜜罐技术 (40)14.2 入侵检测 (40)14.3 APT (40)第15章应急响应简介 (41)15.1 应急响应的概念 (41)15.2 应急响应的组织机构 (41)15.3 应急响应的特点 (41)15.4 应急响应的流程 (41)第16章常见安全事件应急处置 (42)16.1 恶意代码型事件的处理 (42)16.1.1 判别范例 (42)16.1.2 蠕虫 (42)16.1.3 病毒 (42)16.2 DDos型事件处理 (42)16.2.1 DDOS攻击技术概述 (42)16.2.2 分布式拒绝服务攻击体系结构图 (42)16.3 中间人攻击事件处理 (43)第17章应急响应分析技术手段 (43)17.1 日志分析 (43)17.1.1 日志分析的概念以及常见的日志类型 (43)17.1.2 日志分析工具 (43)17.1.3 日志中的安全事件 (44)17.2 后门检测 (44)17.2.1 Windows后门检测 (44)17.2.2 UNIX/Linux后门检测 (44)17.2.3 Webshell检测 (45)17.3 样本分析 (45)17.3.1 静态分析 (45)17.3.2 动态分析 (45)17.3.3 清理与查杀 (46)17.4 流量分析 (46)17.4.1 网络数据包抓取与分析原理 (46)17.4.2 抓包工具 (46)17.4.3 分析工具 (46)17.4.4 不同网络攻击的流量表现特征 (46)17.4.5 处理异常流量的方法 (47)第一部分综述第1章政策法规及道德规范1.1国家网络安全相关法律法规了解国家安全委员会和中央网络安全和信息化领导小组，重点领会总书记“419”讲话内容和精神。