1、Nmap掃描端口：TCP掃描：Nmap sS v -reason p- n Pn oX tcp4_lan_result Nmap sS v-reason p- -n Pn oX tcp4_wan_result 0-oX 表示只生成一個文件，若為-oA則生成三個獨立的文件Nmap -6 sS v -reason p- -n Pn oX tcp6_lan e eth1 fe80:1Nmap -6 sS v -reason p- -n Pn oX tcp6_wan e eth1 2012:1Eth1或者eth0等，是PC的網卡序號UDP掃描：V4 20小

2、時，v6 1分鐘Nmap sU v -reason p- n Pn oX udp4_lan_result Nmap sU v -reason p- n Pn oX udp4_wan_result 0Nmap -6 sU v -reason p- -n Pn oX udp6_lan e eth1 fe80:1Nmap -6 sU v -reason p- -n Pn oX udp6_wan e eth1 2012:1SCTP掃描（若產品涉及SCTP需掃描）Nmap sY v -reason p- n Pn oX sctp4_lan_result 19

3、Nmap sY v-reason p- -n Pn oX sctp4_wan_result 0Nmap -6 sYv -reason p- -n Pn oX sctp 6_lan e eth1 fe80:1Nmap -6 sYv -reason p- -n Pn oX sctp 6_wan e eth1 2012:1導出結果Nessus掃描漏洞AppScan掃描WEB漏洞Codenomicon掃描工具分類工具名稱工具類型供應商端口掃描*Nmap免費工具/系統層漏洞掃描*Nessus商用工具NessusWeb安全掃描*APPSCAN商用工具IBM協議畸形

4、報文測試Codenomicon商用工具Codenomicon協議畸形報文測試HUTAF xDefend自研工具華為中研測試工具部代碼安全審計Coverity Integrity Center商用工具Coverity代碼安全審計Fortify SCA商用工具Fortify防病毒軟件OfficeScan商用工具趨勢科技數據庫安全測試NGSSQuirreL商用工具NGSsoftware術語表術語定義敏感數據敏感數據的具體范圍取決于產品具體的應用場景，產品應根據風險進行分析和判斷。典型的敏感數據包括口令、銀行帳號、大批量個人數據、用戶通信內容和密鑰等。一類如果丟失或者泄漏，會對數據的所有者造成負面影響

5、的數據。本基線定義的“敏感數據”包括但不限于：口令、通行碼、密鑰、證書、License、隱私數據（如短消息的內容）、授權憑據、個人數據（如姓名、住址、電話等）、金融數據等。在程序文件、配置文件、日志文件、備份文件及數據庫中都有可能包含敏感數據。原始通信內容通信雙方（只要其中一方涉及自然人）之間的實際通信內容，包括語音類、短信/彩信類、傳真類、數據業務（如即時消息、Email、視頻通信、網頁瀏覽等）類等合法監聽敏感信息指合法監聽相關的事件信息，如監聽目標（通信參與方）、監聽時間、通信時間、通信時長等，不包括通信內容個人數據 指直接通過該數據或者結合該數據與其他的信息，可以識別出自然人的信息。匿名

6、化 指對個人數據進行的更改（例如單向散列、截短、替換等，如需保留個人數據真實值與替換值之間的對應關系，可以使用對稱加密或映射表方式，但密鑰/映射表必須由運營商控制），使原來有關個人的信息不再能歸屬到一個可識別的自然人，或推理這種歸屬需要耗費過多、不相稱的時間、費用和精力。來源：德國個人數據保護法安全刪除 指對數據刪除之后不可恢復，或者恢復需要付出過多、不相稱的時間、費用和精力。例如：對RAM（內存）用新的數據覆蓋或下電；對磁盤分區進行低格、對磁盤文件重寫三次或以上、對磁盤進行消磁、粉碎；對CD進行物理粉碎等。來源：參考德國合作項目顧問建議未公開接口 可繞過系統安全機制（認證、權限控制、日志記錄

7、等）對系統或數據進行訪問的功能（如客戶無法管理的固定口令/隱藏賬號機制、不記錄日志的非查詢操作等）及產品資料中未向客戶公開的命令/外部接口（如隱藏命令/參數、隱藏端口等接入方式）遠程訪問 通過Internet或局域網遠距離訪問設備的接入方式受限公開 對于涉及產品知識產權、高危操作、可外部調用的內部接口等不期望向所有客戶人員公開的內容，不在正式發布的面向所有客戶的產品資料中公開，僅主動向客戶/政府特定人員公開或僅在客戶要求時再公開（與客戶簽署保密協議），以規避因實現細節過度公開而導致的安全風險。在正式發布的面向客戶的產品資料中需注明受限公開資料的獲取方式/途徑。增值服務歐盟2002年58號文任何

8、要求對數據流（traffic data）或數據流以外的位置數據進行處理的服務，不包括為了必要的通信傳輸和計費目的所需要處理的數據流。操作員帳號業務系統分配給局方或者廠家人員用于對本業務系統進行業務運作、系統管理以及維護的帳號，如營業廳操作員的帳號等。SSL 協議SSL(Secure Socket Layer) 位于應用層和傳輸層之間，它可以為任何基于TCP 等可靠連接的應用層協議提供安全性保證。SSL 協議實現的安全機制包括：1、 數據傳輸的機密性：利用對稱密鑰算法對傳輸的數據進行加密。2、 身份認證機制：基于證書利用數字簽名方法對服務器和客戶端進行身份驗證，其中客戶端的身份認證是可選的。3、

9、 消息完整性驗證：消息傳輸過程中使用基于MD5 或 SHA的 MAC 算法來檢驗消息的完整性。SSL 的全稱是 “Secure Sockets Layer”，中文名為 “ 安全套接層協議層 ” 。 SSL協議指定了一種在應用程序協議（如 HTTP、 Telenet、NMTP 和 FTP等）和 TCP/IP 協議之間提供數據安全性分層的機制，它為 TCP/IP連接提供數據加密、服務器認證、消息完整性以及可選的客戶機認證。TLS 協議TLS 協議設計的具體目標是解決兩個通信實體之間的數據的保密性和完整性等，總體目標是為了在因特網上統一SSL 的標準。因此，在協議構成方面，TLS幾乎與SSL協議一樣

10、，主要分為TLS 記錄協議與TLS握手協議。TLS記錄協議與 SSL 記錄協議基本一致，字段的內容也基本相同。TLS記錄協議也有4種類型的客戶：握手協議、警告協議、改變密碼規格協議和應用數據協議等。為了便于TLS 的擴展，TLS記錄協議還支持額外的記錄類型。TLS 建立會話協商的參數、握手協議過程等與SSL 一致。TLS:（TLS：Transport Layer Security Protocol） 安全傳輸層協議（TLS）用于在兩個通信應用程序之間提供保密性和數據完整性。該協議由兩層組成：TLS 記錄協議（TLS Record）和TLS 握手協議（TLS Handshake）。較低的層為TL

11、S 記錄協議，位于某個可靠的傳輸協議（例如TCP）上面。 TLS 記錄協議提供的連接安全性具有兩個基本特性SSH協議SSH(the Secure Shell), 是一個很流行的、強大的、基于軟件的網絡安全工具。任何時候，只要電腦向網絡上發送數據，SSH都會自動加密。當接受到數據時，SSH會自動解密。SNMP簡單網絡管理協議（SNMP：Simple Network Management Protocol）是由互聯網工程任務組（IETF：Internet Engineering Task Force ）定義的一套網絡管理協議。該協議基于簡單網關監視協議（SGMP：Simple Gateway Mo

12、nitor Protocol）。利用SNMP，一個管理工作站可以遠程管理所有支持這種協議的網絡設備，包括監視網絡狀態、修改網絡設備配置、接收網絡事件警告等,SNMPv3是在SNMPv2基礎之上增加、完善了安全和管理機制.IPSecIPSec 是一套用來通過公共IP網絡進行安全通訊的協議格式，它包括數據格式協議、密鑰交換和加密算法等SFTPsftp是Secure File Transfer Protocol的縮寫，安全文件傳送協議。可以為傳輸文件提供一種安全的加密方法。程序帳號由程序使用的帳號，例如在某程序中實現SFTP自動傳輸文件的功能，那么在這段程序中使用的、為了實現SFTP自動登錄的帳號即

13、為程序帳號。最終用戶帳號屬于業務范疇的帳戶，如手機號、eMail用戶帳號等。身份認證驗證用戶身份的真實性。認證方法有基于用戶所知道的、基于用戶所擁有的、基于用戶個人特征。常見的用戶身份認證有：口令認證、智能卡認證、動態口令認證、數字證書認證、生物特征認證等。加密協議FTP、HTTP、Telnet協議都是以明文傳輸的應用層協議，傳輸過程中存在被竊聽的安全隱患，SFTP/FTPS、HTTPS、SSH是分別與之對應的加密應用層協議。初始密鑰用來導出主密鑰的密鑰。一般為操作員輸入或者寫死在代碼中，寫死在代碼中時必須遵循本基線中“密鑰管理”相關的要求。公司開發的加密庫，其中包含了密鑰導出函數：PKCS5

14、-deriveKey()，可以直接調用該函數導出加密的密鑰。Java中請參考類 PBEKeySpec。主密鑰用來加密（使用對稱算法）工作密鑰的密鑰。一般是使用密鑰導出算法對初始密鑰進行計算而得出。某些場景下，主密鑰就是工作密鑰，但一般不建議。工作密鑰用來加密（使用對稱算法或者 HMAC 算法）業務中敏感數據的密鑰。一般是隨機生成的。某些場景下，是由用戶/操作員輸入、然后使用密鑰導出算法計算得到。范圍、目標和任務工作范圍：所有合作產品版本。工作目標：版本在交付華為驗收時，均能滿足產品安全規范的要求。工作任務：所有合作產品版本需根據安全規范，在需求、設計、開發、測試、發布階段落實安全要求，確保滿足

15、華為產品網絡安全規范的要求。 合作方應根據安全要求，將安全作為產品需求的一部分納入產品規劃。 合作方應對產品在需求、設計、開發、測試、發布等環節對研發文檔（包括但不限于需求文檔、系統設計文檔、詳細設計文檔、測試方案、測試用例、產品手冊、版本變更記錄、特性變更記錄）、工具（包括但不限于編程工具、編譯工具、測試工具、配置管理工具）、源碼、變更（包括但不限于需求變更、設計變更、方案變更、版本變更）、產品版本（包括但不限于系統軟件版本管理、硬件版本管理、其它配套件版本管理）等要有清晰的記錄和管理，以確保可追溯性。 合作方應在編碼階段進行代碼安全掃描，解決高風險的代碼安全問題；應提供通信矩陣并說明所有開

16、放端口的用途，測試階段進行病毒掃描、端口掃描、漏洞掃描和Web安全測試。軟件安全：業務流程維度措施維度措施要求計劃完成時間前端發包時在工作任務書（SOW）中明確網絡安全部分質量目標及驗收標準，以及必做的規范動作。合作公司應根據SOW中明確的網絡安全目標及安全規范進行開發和維護。例行操作后端驗收準入條件中增加網絡安全要求；驗收環節增加安全部分驗收，確定供應商是否達成SOW中的網絡安全標準，并檢查相關輸出件合作公司在提交版本進行驗收前應進行自檢，確保達到網絡安全標準的驗收準入條件。例行操作公司測評制定并發布網絡安全成熟度評價標準，結合標準對合作公司進行定期測評合作公司需建立自己的產品安全體系，設置安全工程師的角色，培養員工的安全設計、安全開發、安全測試能力2012年6月底前提交培養計劃，8月底之前匯報安全體系建立進展情況稽核對外包項目進行抽查，審計網絡安全要求落實執行情況半年度例行稽核軟件安全：業務流程維度措施工具分類工具名稱工具類型