2-1网约车第三方检测机构需出具报告.doc

PAGE PAGE 1 网约车线上服务能力认定申请材料 需具备网络安全评估等相应安全服务能力的第三方检测机构提供四份报告： 网络安全定级报告； 网络安全符合性评测报告； 风险评估及整改报告； 网约车移动应用程序（APP）安全保障能力报告； 以下为报告具体要求： 报告一：网络安全定级报告 报告二：网络安全符合性评测报告 1.评估任务及标准概述，其中评估标准包括： （1）《电信网和互联网安全防护管理指南（YD/T 1728-2008）》 （2）《电信网和互联网信息服务业务系统安全防护要求（YD/T 2243-2016）》 （3）《电信网和互联网信息服务业务系统安全防护检测要求（YD/T 2244-2011）》 （4）《电信网和互联网管理安全等级保护要求（YD/T 1756-2008）》 （5）《电信网和互联网管理安全等级保护检测要求（YD/T 1757-2008）》 （6）《电信网和互联网安全防护基线配置要求 网络设备（YD/T 2698-2014）》 （7）《电信网和互联网安全防护基线配置要求 安全设备（YD/T 2699-2014）》 （8）《电信网和互联网安全防护基线配置要求 数据库（YD/T 2700-2014）》 （9）《电信网和互联网安全防护基线配置要求 操作系统（YD/T 2701-2014）》 （10）《电信网和互联网安全防护基线配置要求 中间件（YD/T 2702-2014）》等电信网和互联网安全防护系列标准。 （11）《电信网和互联网安全防护基线配置要求 WEB应用系统（YD/T 2703-2014）》 （12）《第三方安全服务能力评定准则（YD/T 2669-2013）》 2.符合性评测活动采取的技术措施，如采用访谈、检查、仪表测试、人工测试等方式，对受测网络单元的安全状况以及相关设备、系统潜在的安全隐患进行技术检测。 3.技术检测应包括系统安全加固、网络拓扑、冗余与灾难备份、网络及设备安全策略、设备漏洞、口令安全、介质管理、日志与安全审计等方面。技术检测对象应包括： （1）生产主机：检查生产运行主机的操作系统、数据库、中间件以及第三方软件，包括账号安全、口令安全、授权安全、Web安全、补丁安全、客户信息安全、开放端口安全、安全配置、日志与审计等； （2）网络设备：检查交换机、防火墙等网络设备，包括账号安全、口令安全、授权安全、Web安全、补丁安全、IP协议安全等； （3）安全防护设备：检查IPS、IDS、web应用防火墙、防dos设备等安全防护设备，包括账号安全、口令安全、授权安全、补丁安全、开放端口安全、Web安全、防护策略配置、告警配置、攻击防护、IP协议、日志与审计等； （4）其他：检查与约车主要平台相连的辅助系统的安全性，包括账号安全、口令安全、授权安全、补丁安全、客户信息安全、Web安全、开放端口安全、安全配置、日志与审计等。 4.符合性评测结果，包括符合性评测得分、达标率、不达标项说明，系统的整体安全性是否达到标准要求。 报告三：风险评估及整改报告 1.风险评估过程的描述，包括：采用的技术评估手段，如工具扫描、远程仪表测试、人工测试等方式；技术评估内容，如漏洞扫描、网络安全性检测、主机安全性检测、应用安全性检测、管理安全性检测和渗透性测试等。 2.风险评估分析结果说明，例如被检测网络与系统的安全隐患类型、漏洞数量和级别、可导致的后果，并附截图证据。 3.总结被检网络与系统存在的主要问题，以及针对检测发现的具体问题进行整改的情况。 报告四：网约车移动应用程序（APP）安全保障能力报告 根据《电信和互联网用户个人信息保护规定》（工信部令24号）及移动应用程序（APP）网络安全相关标准要求，重点证明网约车移动应用程序（APP）中不含恶意代码、在收集用户信息或调用系统权限时已告知并取得用户同意等。对于网约车移动应用程序（APP）后台系统，与网约车互联网平台的要求相同，应提供相应的网络与系统定级备案、网络安全符合性评测、风险评估及整改报告。 网约车相关移动应用程序（APP）安全保障能力报告内容应包括： 1.被测网约车相关移动应用程序（APP）列表，并提供应用软件运营者、主要功能、后台服务器及所在机房等信息。 2.安全检测的主要方法、测试人员组成、测试案例和测试结论等。经检测，应证明移动应用程序（APP）不含有《移动互联网恶意程序描述格式》等标准中所称恶意程序、符合“未经明示且经用户同意，不得实施收集使用用户个人信息等侵害用户合法权益或危害网络安全的行为。”等的规定。 3.报告应证明企业是否采取措施留存其所提供的应用软件、有关版本、上线时间、功能简介、用途、MD5等校验值、服务器接入等信息以备追溯检测，相关信息的留存时间应不短于60日。