XX移動(dòng)信息系統(tǒng)運(yùn)營(yíng)部互聯(lián)網(wǎng)暴露面資產(chǎn)與智能終端應(yīng)用安全實(shí)施細(xì)則

1、XX移動(dòng)信息系統(tǒng)運(yùn)營(yíng)部互聯(lián)網(wǎng)暴露面資產(chǎn)與智能終端應(yīng)用安全實(shí)施細(xì)則第一章總則第一條為保障中國(guó)移動(dòng)通信集團(tuán)XX有限公司（以下簡(jiǎn)稱“XX公司”）信息系統(tǒng)運(yùn)營(yíng)部中各類暴露面資產(chǎn)與智能終端應(yīng)用的安全，特制定本實(shí)施細(xì)則。第二條本辦法中IT系統(tǒng)涵蓋管理信息系統(tǒng)、業(yè)務(wù)支撐系統(tǒng)、網(wǎng)管支撐系統(tǒng)。第三條本辦法中互聯(lián)網(wǎng)暴露面資產(chǎn)（以下簡(jiǎn)稱暴露面資產(chǎn)）指具有公網(wǎng)IP地址、可以從公網(wǎng)訪問的資產(chǎn)，包括向互聯(lián)網(wǎng)直接提供訪問端口或通過反向代理提供訪問的，包括 已投入使用的與仍處于工程狀態(tài)的。第四條本辦法中智能終端應(yīng)用指運(yùn)行在用戶手機(jī)、Pad等終端上的客戶端應(yīng)用程序，包括APP、微信小程序與支付寶小程序等。第五條本辦法由信息系統(tǒng)

2、運(yùn)營(yíng)部安全運(yùn)營(yíng)部負(fù)責(zé)制定和解釋。第六條本辦法自發(fā)布之日起實(shí)行，安全運(yùn)營(yíng)部將根據(jù)集團(tuán)或XX公司最新管理要求定期復(fù)審和修訂。第二章組織與職責(zé)第七條暴露面資產(chǎn)與智能終端應(yīng)用安全管理責(zé)任劃分的基本原則是：“誰(shuí)主管，誰(shuí)負(fù)責(zé)，誰(shuí)接入，誰(shuí)負(fù)責(zé)”。第八條安全運(yùn)營(yíng)部是信息系統(tǒng)運(yùn)營(yíng)部IT系統(tǒng)暴露面資產(chǎn)與智能終端應(yīng)用安全的管理部門，負(fù)責(zé)根據(jù)集團(tuán)和XX公司要求制定暴露面資產(chǎn)與智能終端應(yīng)用安全管理制度，負(fù)責(zé) 組織應(yīng)用滲透，并按照集團(tuán)與主管單位要求完成對(duì)智能終端應(yīng)用的報(bào)備，負(fù)責(zé)根據(jù) 管理要求對(duì)各部門落實(shí)執(zhí)行情況進(jìn)行監(jiān)督。第九條基礎(chǔ)設(shè)施維護(hù)部、管理系統(tǒng)運(yùn)營(yíng)部、網(wǎng)管系統(tǒng)運(yùn)營(yíng)部是XX公司IT系統(tǒng)暴露面資產(chǎn)安全的維護(hù)部門，負(fù)責(zé)所

3、維護(hù)的暴露面資產(chǎn)的報(bào)備工作。在建工程項(xiàng)目的相關(guān)職責(zé)， 由項(xiàng)目隨工部門承擔(dān)。第十條業(yè)務(wù)系統(tǒng)開發(fā)部、數(shù)據(jù)資產(chǎn)運(yùn)營(yíng)部、資源與能力運(yùn)營(yíng)部、管理系統(tǒng)運(yùn)營(yíng)部、網(wǎng)管系 統(tǒng)運(yùn)營(yíng)部、基礎(chǔ)設(shè)施維護(hù)部是XX公司IT系統(tǒng)暴露面資產(chǎn)與智能終端應(yīng)用安全的開 發(fā)部門，負(fù)責(zé)所開發(fā)的智能終端應(yīng)用的報(bào)備工作，并配合維護(hù)部門進(jìn)行應(yīng)用站點(diǎn)類 暴露面資產(chǎn)報(bào)備工作。在建工程項(xiàng)目的相關(guān)職責(zé)，由項(xiàng)目隨工部門承擔(dān)。第十一條 基礎(chǔ)設(shè)施維護(hù)部、管理系統(tǒng)運(yùn)營(yíng)部、網(wǎng)管系統(tǒng)運(yùn)營(yíng)部是暴露面資產(chǎn)與智能終端應(yīng)用 安全管理的網(wǎng)絡(luò)管理部門，負(fù)責(zé)落實(shí)對(duì)防火墻與反向代理等策略的安全管理要求， 并根據(jù)集團(tuán)與主管單位要求完成對(duì)暴露面資產(chǎn)的報(bào)備。第三章人員職責(zé)第十二條 暴

4、露面資產(chǎn)與智能終端應(yīng)用安全管理涉及人員主要包括： 安全運(yùn)營(yíng)部安全管理員；開發(fā)部門安全管理員、系統(tǒng)責(zé)任人；維護(hù)部門安全管理員、系統(tǒng)責(zé)任人； 網(wǎng)絡(luò)管理部門策略管理員；第十三條 安全運(yùn)營(yíng)部安全管理員主要職責(zé)如下：根據(jù)上級(jí)管理單位要求制定信息系統(tǒng)運(yùn)營(yíng)部IT系統(tǒng)暴露面資產(chǎn)與智能終端應(yīng)用管理 制度，落實(shí)專項(xiàng)安全工作；組織對(duì)智能終端應(yīng)用及web或包含H5頁(yè)面站點(diǎn)的應(yīng)用滲透 對(duì)暴露面資產(chǎn)及智能終端應(yīng)用新增、變更組織安全評(píng)估； 根據(jù)上級(jí)管理單位要求，對(duì)智能終端應(yīng)用進(jìn)行報(bào)備；對(duì)暴露面資產(chǎn)與智能終端應(yīng)用管理中的安全管理工作進(jìn)行監(jiān)督檢查；對(duì)上級(jí)管理單位發(fā)現(xiàn)的問題組織查證與整改。第十四條維護(hù)部門安全管理員主要職責(zé)如下：

5、總體負(fù)責(zé)本部門管理要求落實(shí)；在發(fā)現(xiàn)未報(bào)備暴露面資產(chǎn)時(shí)配合策略管理員確認(rèn)責(zé)任人；第十五條維護(hù)部門系統(tǒng)責(zé)任人主要職責(zé)如下：根據(jù)需求對(duì)暴露面資產(chǎn)進(jìn)行報(bào)備；對(duì)暴露面資產(chǎn)進(jìn)行安全自查與加固；在暴露面資產(chǎn)發(fā)成變動(dòng)時(shí)，及時(shí)更新報(bào)備信息;第十六條 開發(fā)部門安全管理員主要職責(zé)如下：總體負(fù)責(zé)本部門管理要求落實(shí)；在發(fā)現(xiàn)未報(bào)備智能終端應(yīng)用時(shí)配合確認(rèn)責(zé)任人；第十七條 開發(fā)部門責(zé)任人主要職責(zé)如下：根據(jù)需求對(duì)智能終端應(yīng)用進(jìn)行報(bào)備；配合維護(hù)部門系統(tǒng)責(zé)任人進(jìn)行應(yīng)用站點(diǎn)類暴露面資產(chǎn)報(bào)備；對(duì)應(yīng)用站點(diǎn)、應(yīng)用接口與智能終端應(yīng)用進(jìn)行安全自查與整改；在智能終端應(yīng)用發(fā)成變動(dòng)時(shí)，及時(shí)更新報(bào)備信息；在應(yīng)用站點(diǎn)類暴露面資產(chǎn)發(fā)生變動(dòng)時(shí)，及時(shí)通知維護(hù)

6、部門系統(tǒng)責(zé)任人;第十八條策略管理員主要的職責(zé)如下：所管網(wǎng)段內(nèi)暴露面資產(chǎn)相關(guān)策略的日常管理；對(duì)新增與變更的暴露面資產(chǎn)策略與報(bào)備信息一致性的審核；根據(jù)集團(tuán)與主管單位要求完成對(duì)暴露面資產(chǎn)的報(bào)備暴露面資產(chǎn)策略新增與變更的執(zhí)行；對(duì)未報(bào)備暴露面資產(chǎn)情況的核實(shí)與反饋；根據(jù)管理要求，對(duì)暴露面資產(chǎn)進(jìn)行策略限制、臨時(shí)關(guān)停與恢復(fù)；第四章暴露面資產(chǎn)安全管理第十九條 暴露面資產(chǎn)的報(bào)備管理的基本原則是：“先報(bào)備，后開放”;“全量報(bào)備，提前申報(bào)”。第二十條 暴露面資產(chǎn)的報(bào)備管理主要包含報(bào)備新增，報(bào)備變更，報(bào)備注銷與補(bǔ)充報(bào)備四類場(chǎng) 景，其中：報(bào)備新增，指一個(gè)未使用的公網(wǎng)IP端口，被分配上線使用，或一條新的 反向代理策略需被添

7、加，包括因工程項(xiàng)目配合與測(cè)試等原因申請(qǐng)，也包括做了源地 址限定等保護(hù)策略的；報(bào)備變更，指一個(gè)在用的公網(wǎng)IP端口或反向代理策略、應(yīng)用場(chǎng)景、使用用途等報(bào)備 信息發(fā)生變更以及保護(hù)性策略做較大調(diào)整的，如指向新站點(diǎn)，服務(wù)對(duì)象變化或源地 址限定成段增加；報(bào)備注銷，指一個(gè)在用的公網(wǎng)IP端口或反向代理策略不再需要使用，如源站點(diǎn)退服 或收為內(nèi)網(wǎng)訪問等；補(bǔ)充報(bào)備，指日常運(yùn)營(yíng)中發(fā)現(xiàn)在用未報(bào)備公網(wǎng)IP端口或反向代理策略，或報(bào)備信息 不符后，對(duì)其報(bào)備信息進(jìn)行補(bǔ)錄的情況。第二十一條 暴露面資產(chǎn)的報(bào)備工作由維護(hù)部門負(fù)責(zé)，開發(fā)部門配合；第二十二條 暴露面資產(chǎn)的報(bào)備新增與報(bào)備變更當(dāng)維護(hù)部門需新增或?qū)ΜF(xiàn)有暴露面資產(chǎn)進(jìn)行變更時(shí)，應(yīng)

8、提前參照附件1:暴露面資 產(chǎn)與智能終端應(yīng)用新增、變更、補(bǔ)充填寫報(bào)備表，明確報(bào)備對(duì)象相關(guān)信息，并根 據(jù)附件列表，在開發(fā)部門的配合下提交相應(yīng)附件；安全運(yùn)營(yíng)部根據(jù)上述材料組織對(duì)報(bào)備對(duì)象的安全評(píng)估，通過后通知維護(hù)部門提出策 略新增與變更申請(qǐng)；維護(hù)部門發(fā)起網(wǎng)絡(luò)策略新增與變更申請(qǐng)時(shí)，應(yīng)附上安全運(yùn)營(yíng)部的通知作為依據(jù)； 網(wǎng)絡(luò)管理部門核對(duì)報(bào)備信息與策略變更工單一致性，并按要求完成集團(tuán)平臺(tái)報(bào)備， 通過后開通策略；第二十三條暴露面資產(chǎn)的報(bào)備注銷對(duì)于不再使用的暴露面資產(chǎn)，維護(hù)部門應(yīng)在3個(gè)工作日內(nèi)參照附件3：暴露面資產(chǎn) 與智能終端應(yīng)用注箱填寫報(bào)備表，發(fā)起暴露面資產(chǎn)注銷流程，經(jīng)安全運(yùn)營(yíng)部審核 后，由網(wǎng)絡(luò)管理部門關(guān)閉端口移

9、除策略，并完成集團(tuán)平臺(tái)的報(bào)備注銷，以降低互聯(lián) 網(wǎng)暴露面風(fēng)險(xiǎn)。第二十四條暴露面資產(chǎn)的補(bǔ)充報(bào)備對(duì)于檢查中發(fā)現(xiàn)的未經(jīng)報(bào)備或報(bào)備信息不符的暴露面資產(chǎn)，由安全運(yùn)營(yíng)部通知網(wǎng)絡(luò) 管理部門向維護(hù)部門進(jìn)行核實(shí)，網(wǎng)絡(luò)管理部門應(yīng)在3個(gè)工作日內(nèi)完成補(bǔ)充報(bào)備材料 的提交以及集團(tuán)平臺(tái)的報(bào)備；第二十五條網(wǎng)絡(luò)管理部門應(yīng)對(duì)公網(wǎng)地址段、防火墻與反向代理設(shè)備進(jìn)行集中管理，對(duì)工程建設(shè) 與日常運(yùn)營(yíng)中涉及公網(wǎng)地址段、防火墻與反向代理設(shè)備新增、變動(dòng)或退服的，應(yīng)通 知策略管理員，并確保其對(duì)所有公網(wǎng)地址段、在網(wǎng)防火墻與反向代理設(shè)備具有控制 權(quán)；嚴(yán)禁廠商對(duì)公網(wǎng)地址段、在網(wǎng)防火墻與反向代理設(shè)備具有獨(dú)立控制權(quán)；嚴(yán)禁未 經(jīng)安全運(yùn)營(yíng)部批準(zhǔn)開通或變更任何

10、暴露面資產(chǎn)相關(guān)策略，包括但不限于防火墻策略 與反向代理策略。第二十六條對(duì)掃描、滲透中發(fā)現(xiàn)漏洞的暴露面資產(chǎn)，山安全運(yùn)營(yíng)部評(píng)估后安排策略管理員臨時(shí) 關(guān)?；蛳拗?，待漏洞修復(fù)后再做恢復(fù)。第五章智能終端應(yīng)用安全管理第二十七條 智能終端應(yīng)用的報(bào)備管理的基本原則是：“全量報(bào)備，及時(shí)更新”，“先報(bào)備，后 發(fā)布，先申報(bào)，后推送”。第二十八條 智能終端應(yīng)用的報(bào)備管理主要包含報(bào)備新增，報(bào)備變更，報(bào)備注銷與補(bǔ)充報(bào)備四類 場(chǎng)景，其中：報(bào)備新增，指一個(gè)新的智能終端應(yīng)用需上線發(fā)布，不同平臺(tái)版本或衍生版本應(yīng)獨(dú)立 報(bào)備；報(bào)備變更，指一個(gè)已報(bào)備的在用智能終端應(yīng)用，其應(yīng)用場(chǎng)景、服務(wù)對(duì)象、使用用途、 發(fā)布渠道等報(bào)備信息發(fā)生變更，如版

11、本升級(jí)、服務(wù)對(duì)象變化、發(fā)布渠道變化等； 報(bào)備注銷，指一個(gè)已報(bào)備的智能終端應(yīng)用不再需要使用，如智能終端應(yīng)用退服或整 合等；補(bǔ)充報(bào)備，指日常運(yùn)營(yíng)中發(fā)現(xiàn)智能終端應(yīng)用未報(bào)備、新版本發(fā)布未報(bào)備，或其他報(bào) 備信息與實(shí)情明顯不符后，對(duì)其報(bào)備信息進(jìn)行補(bǔ)錄的情況。第二十九條 智能終端應(yīng)用的報(bào)備工作由開發(fā)部門負(fù)責(zé)，維護(hù)部門配合。第三十條 智能終端應(yīng)用的報(bào)備新增與報(bào)備變更當(dāng)開發(fā)部門需新增或?qū)ΜF(xiàn)有智能終端應(yīng)用進(jìn)行變更時(shí)，應(yīng)提前根據(jù)是否涉及暴露面 資產(chǎn)變動(dòng)，參照附件1:暴露面資產(chǎn)與智能終端應(yīng)用新增、變更、補(bǔ)充（涉及） 或附件2：智能終端應(yīng)用升級(jí)（不涉及）填寫報(bào)備表，明確報(bào)備對(duì)象相關(guān)信息， 并根據(jù)附件列表，在維護(hù)部門的配

12、合下提交相應(yīng)附件；安全運(yùn)營(yíng)部根據(jù)上述材料組織對(duì)報(bào)備對(duì)象的安全評(píng)估，通過后按要求完成集團(tuán)平價(jià) 報(bào)備，完成后通知開發(fā)部門發(fā)布應(yīng)用；涉及暴露面資產(chǎn)新增或變更的，安全運(yùn)營(yíng)部 將同步通知維護(hù)部門提出網(wǎng)絡(luò)策略新增與變更申請(qǐng)；第三十一條智能終端應(yīng)用的報(bào)備注銷對(duì)于不再使用的智能終端應(yīng)用，開發(fā)部門應(yīng)在3個(gè)工作日內(nèi)參照附件3：暴露面資 產(chǎn)與智能終端應(yīng)用注銷填寫報(bào)備表，發(fā)起智能終端應(yīng)用報(bào)備注銷流程，經(jīng)安全運(yùn) 營(yíng)部審核后，由網(wǎng)絡(luò)管理部門關(guān)閉端口移除策略，并完成集團(tuán)平臺(tái)的報(bào)備注銷，降 低系統(tǒng)安全風(fēng)險(xiǎn)。第三十二條 智能終端應(yīng)用的補(bǔ)充報(bào)備對(duì)于檢查中發(fā)現(xiàn)的未經(jīng)報(bào)備或報(bào)備信息不符的智能終端應(yīng)用，山安全運(yùn)營(yíng)部核實(shí)情 況后通知開發(fā)部門補(bǔ)充報(bào)備，開發(fā)部門應(yīng)在2個(gè)工作日內(nèi)完成補(bǔ)充報(bào)備材料提交；第三十三條智能終端應(yīng)用的發(fā)布參照上線進(jìn)行管理，嚴(yán)禁通過任何渠道私下發(fā)布未報(bào)備版本的 智能終端應(yīng)用，包括但不限于應(yīng)用市場(chǎng)與獨(dú)立下載鏈接。第三十四條對(duì)掃描、滲透中發(fā)現(xiàn)漏洞的智能終端應(yīng)用，由安全運(yùn)營(yíng)部評(píng)估后關(guān)閉升級(jí)推送并撤 除下載鏈接，待漏洞修復(fù)后恢復(fù)。第六章與問責(zé)第三十五條 安全運(yùn)營(yíng)部在日常管理考核中對(duì)各部門的執(zhí)行情況進(jìn)行評(píng)分和通報(bào)，包含但不限于 以下情況：1、