服務內容和技術要求

1、1二、服務內容和技術要求1. 安全服務內容：安全服務應至少包括以下內容：漏洞掃描、滲透測試、電子銀行 安全評估、源代碼安全審計、日志分析、漏洞應對、網(wǎng)站監(jiān)測、安全 培訓。 對我行互聯(lián)網(wǎng)應用系統(tǒng)進行公網(wǎng)漏洞掃描檢測，及時發(fā)現(xiàn)漏 洞風險并配合進行修復整改。 針對我行現(xiàn)有開展和后續(xù)上線的電子渠道業(yè)務系統(tǒng)等重要業(yè) 務（門戶網(wǎng)站、濱海匯贏金融服務平臺、濱海濱樂購、網(wǎng)上銀行、 手機銀行、微銀行、現(xiàn)金管理平臺系統(tǒng)；移動 APP有手機銀行等） 進行全面的安全評估工作。 根據(jù)銀監(jiān)會電子銀行安全評估指引要求，針對我行電子 銀行進行安全評估，出具評估報告，并按照銀監(jiān)會要求完成相關的報 送備案工作。 根據(jù)我行應用系統(tǒng)

2、需求，對我行“微銀行”互聯(lián)網(wǎng)金融綜合服 務平臺進行源代碼安全審計，配合進行問題修復，排除代碼安全隱患, 提升代碼層系統(tǒng)安全等級。 對我行生產(chǎn)互聯(lián)網(wǎng)信息安全數(shù)據(jù)和流量數(shù)據(jù)匯總整理，并進 行有效分析，定期出具直觀報表、報告。形成我行生產(chǎn)互聯(lián)網(wǎng)安全態(tài) 勢的整體感知和全面反映。2針對突發(fā)的大范圍高危漏洞影響事件，協(xié)助進行漏洞技術分 析及配合進行防護工作。對我行門戶網(wǎng)站、濱海匯贏網(wǎng)站和網(wǎng)上銀行等重要網(wǎng)站進行 7*24小時監(jiān)控，保證我行門戶及重要網(wǎng)站健康平穩(wěn)運行，保持良好 企業(yè)形象。對我行相關人員進行信息安全意識或技術培訓，提升人員信 息安全意識水平和技術能力。在合同簽署之日起1年內提供包年安全服務(包括

3、后續(xù)新上線的 系統(tǒng))，提供符合國家、銀行業(yè)的相關政策法規(guī)監(jiān)管部門的要求及相 關的安全檢查。在評估過程中，對排查發(fā)現(xiàn)的風險，按照對業(yè)務造成 的危害、損失、程度及重要性提出整改計劃，并協(xié)助我行按時進行整 改。保障我行電子銀行等重要系統(tǒng)自身安全、穩(wěn)健、持續(xù)運行，適合 銀行業(yè)務發(fā)展的需求。2.項目技術要求：漏洞掃描：(1)對我行現(xiàn)有及后續(xù)上線的互聯(lián)網(wǎng)系統(tǒng)進行全面的公網(wǎng)漏洞掃 描工作，協(xié)助我行發(fā)現(xiàn)操作系統(tǒng)、應用、通訊傳輸層面安全漏洞。(2)供應商需要提前制定信息系統(tǒng)主機掃描計劃(包含掃描時間、 掃描設備信息、負責人等)，并嚴格按照掃描計劃開展信息系統(tǒng)公網(wǎng) 漏洞掃描工作。3(3)供應商在掃描開始前須對使用

4、的掃描設備進行升級操作，確保掃描設備處于最新更新狀態(tài)。掃描時間須由行方統(tǒng)一安排指定業(yè)務閑暇時段。(5) 對于掃描過程中由掃描工具等因素造成的潛在風險需提前告 知行方，經(jīng)行方認可允許后，方可進行掃描。(6) 掃描結束后，編制主機信息系統(tǒng)漏洞掃描報告包括詳細的修復方案，提交至我行，督促并協(xié)助我行對信息系統(tǒng)的漏洞進行修復。(5)根據(jù)行方要求，適時進行復掃，檢驗修復效果。 滲透測試：(1) 由安全專家模擬黑客攻擊行為通過遠程或本地方式對我行互聯(lián)網(wǎng)系統(tǒng)及手機App進行非破壞性的入侵測試，發(fā)現(xiàn) SQL注入、跨 站腳本攻擊、非法上傳、越權等所有當前流行的技術漏洞及邏輯性漏 洞，并直觀反映漏洞的潛在危害，使更

5、加真實的了解到業(yè)務系統(tǒng)的安 全性狀況，并為業(yè)務系統(tǒng)提供安全指導建議。(2) 測試完畢后，須出具詳細的測試報告和詳實的安全加固建議，包括且不限于漏洞修復、對 APP加殼等的加固方案。(3) 督促并協(xié)助我行對互聯(lián)網(wǎng)系統(tǒng)的滲透問題進行修復。(4) 根據(jù)行方要求，適時進行復掃，檢驗修復效果。 電子銀行安全評估4(1) 根據(jù)銀監(jiān)會電子銀行安全評估指引要求，針對我行電子 銀行進行安全評估。(2) 電子銀行安全評估至少應包括以下內容：安全策略（二）內控制度建設（三）風險管理狀況（四）系統(tǒng)安全性（五）電子銀行業(yè)務運行連續(xù)性計劃（六）電子銀行業(yè)務運行應急計劃（七）電子銀行風險預警體系（八）其他重要安全環(huán)節(jié)和機制

6、的管理（3）評估完成后，應及時撰寫評估報告，并于評估完成后1個月內向行方提交由其法定代表人或其授權委托人簽字認可的評估報告。（4） 協(xié)助行方按照要求完成向相關監(jiān)管機構的報送報備工作。 源代碼安全審計（1）以白盒的角度梳理代碼，并實際操作體驗業(yè)務流程，實時發(fā)現(xiàn) 程序代碼是否符合安全性要求，程序中是否存在安全漏洞，是否存在 冗余代碼、與功能無關的代碼、接口程序是否規(guī)范、是否存在不良編5碼習慣，檢查代碼編寫漏洞、接口漏洞、邏輯漏洞、函數(shù)調用漏洞等。（2）在源代碼白盒審計基礎上結合使用安全掃描、黑盒滲透測試等 手段，深度對代碼審計成效進行評估。（3）形成代碼審計報告，包括問題修復技術方法，持續(xù)跟進并配

7、合整改針對代碼審計出現(xiàn)的安全漏洞及整改過程中出現(xiàn)的問題，定期進行總結并指導相關開發(fā)人員進行培訓，結合行方實際提出快捷有效的 修復方案。 日志分析(1) 基于我行互聯(lián)網(wǎng)接入?yún)^(qū)現(xiàn)有安全設備(負載、DDos、IPS、防毒墻、WAF、IDS等)的日志輸出，對各類安全設備的日志每半月匯 總并分析。(2) 根據(jù)各設備安全日志，綜合分析我行互聯(lián)網(wǎng)區(qū)安全狀況及態(tài) 勢，每半月形成報告，將安全狀況以報表、圖表加文字描述的形式展 現(xiàn)。(3) 對我行互聯(lián)網(wǎng)區(qū)入口流量、ip訪問量進行統(tǒng)計，對訪問ip來源 區(qū)域進行統(tǒng)計。每半月形成報告，將訪問情況以報表、圖表加文字描述的形式展現(xiàn)。(4) 根據(jù)行方要求，對報表樣式可以進行定

8、制化。 漏洞應對(1) 針對突發(fā)的大范圍影響的高危漏洞事件進行確認，對漏洞利用 6原理及傳播途徑進行技術分析，對可能造成的危害程度及影響范圍作 出有效預估。(2) 針對官方發(fā)布漏洞修復補丁進行驗證，在我行搭建的有效測試 環(huán)境中進行補丁安裝測試，確保補丁安裝平穩(wěn)有效，不影響系統(tǒng)正常 運行。(3) 協(xié)助撰寫漏洞修復文字通告等。(4) 補丁安裝推廣過程中，如反映有報錯等情況，協(xié)助行方進行處 理。 網(wǎng)站監(jiān)測(1) 實時監(jiān)控HTTP/HTTPS網(wǎng)站域名可訪問情況發(fā)現(xiàn)問題實時預 警，所監(jiān)控的異常類型包括DNS解析異常、協(xié)議錯誤、URL不合法、 socket連接請求被拒絕等。(2) 監(jiān)測我行各網(wǎng)站動態(tài)解析域

9、名所對應的IP地址，一旦發(fā)現(xiàn)所 解析出來的IP地址與預先設定的值不相符則發(fā)出告警。利用搜索引擎技術，通過所配置的頻率對網(wǎng)頁進行循環(huán)掃描，對網(wǎng)站靜態(tài)頁面(html、htm等)、腳本(包括css、javascript、vbscript 等)、圖片、可執(zhí)行文件(如EXE文件、activeX控件等)及網(wǎng)站其 他資源進行統(tǒng)計分析。監(jiān)控范圍包括網(wǎng)站內部資源(本域名下的資源) 和網(wǎng)站外部資源(非本域名下的外鏈)。利用豐富的掛馬特征庫對網(wǎng)頁中存在的木馬、病毒、惡意腳本 等惡意代碼進行定性分析和預警。7(5) 對網(wǎng)站文字進行自動化提取分析，通過比對非法文字特征庫，對滿足特征的文字(反動、分裂、暴力、色情等)進行

10、定性分析預警。(6) 對網(wǎng)站內容變動情況進行審計，包括新增、刪除鏈接等。(7) 針對門戶網(wǎng)站、濱海匯贏網(wǎng)站和網(wǎng)上銀行，提供全站頁面的掛馬、敏感內容的分級監(jiān)測服務，包括一級頁面、二級頁面、三級頁面。 每半月向行方交付一次漏洞掃描報告及事件監(jiān)測報告。遇突發(fā)事件 時，需提供及時性的臨時事件網(wǎng)站監(jiān)控報告。(8) 供應商需采用自動監(jiān)控加人工監(jiān)控相結合的方式，利用自動化 檢測平臺，組建7X24人工值守團隊，提供專家全天候實時分析服務。(9) 當有站點可用性、DNS域名解析事件、掛馬事件、篡改事件、敏感內容事件發(fā)生時，及時通過郵件、短信、電話通知行方。(10)網(wǎng)站監(jiān)控產(chǎn)品需符合國家安全標準、法律法規(guī)，需提供

11、相關 的產(chǎn)品登記證明。 安全培訓(1) 根據(jù)行方要求，主要以講座的形式對行內員工進行信息安全意 識或技術的相關培訓。每年一次。(2) 配合行方做好培訓工作的相關記錄，包括培訓方案、簽到表、 培訓總結等。(3) 依據(jù)行方需求的信息安全技術培訓。3. 項目方案要求：供應商依據(jù)項目實施要求提出可行的項目實施方案，包括但不僅 8限于項目評估方法論，項目實施風險和規(guī)避措施，項目管理(項目溝 通、項目運作、項目組織管理、保密方案等)，項目實施計劃(按照 我方要求按時完成工作)，項目關鍵階段、項目驗收交付物等。4. 項目人員要求：供應商擬投入本項目的人員及簡介，及保證服務團隊穩(wěn)定做出詳 細說明，包括且不限于

12、：(1)需包括姓名、年齡、學歷、專業(yè)、職務、業(yè)務專長、資質、 相關工作經(jīng)歷，以及在相關項目中承擔的任務和在本項目中的角色。（2） 項目經(jīng)理具有5年以上信息安全相關工作經(jīng)驗，至少須具 備CISP、IS027001LA、PMP、ITIL同級別或更高級別證書其中1 項資質證書，具有較強的責任心，具有較強的組織、協(xié)調、溝通、學習能力，具有完成日常巡檢安全設備的能力、 學習使用各安全設備的 能力、分析各安全設備日志的能力、使用信息安全檢測軟件的能力和 提出修復安全漏洞方案的能力。（3） 團隊所有成員需具有近3年國內至少2個類似項目成功實 施經(jīng)驗,1年以上信息安全工作經(jīng)驗，能協(xié)助完成日常巡檢安全設備的 工

13、作、分析各安全設備日志的工作和使用信息安全檢測軟件發(fā)現(xiàn)安全 漏洞的工作，具備較強的責任心、學習能力和溝通能力。（4） 當安全評估發(fā)現(xiàn)安全問題時，供應商應提供相應領域（如網(wǎng) 絡、主機、編程等領域）高級技術專家或具有高級資質認證的專業(yè)技 9術人員配合行方進行問題分析及制定整改計劃。（5） 項目所有實施成員必須為競爭性磋商時遞交材料中的原廠人 員，未經(jīng)采購人允許不得更換。（6） 當發(fā)生重大信息安全事件時，專業(yè)工程師須 15分鐘內響應并在1小時內到達現(xiàn)場提供技術服務，給出應對加固、整改方案，并 對業(yè)務部門的加固整改進行指導，故障問題必須在 4小時內處理完 畢；對已經(jīng)發(fā)生的并處理完畢的安全事件撰寫分析處理報告，就風險或事件的描述，危害內容，發(fā)生的原因、排查過程、處置方法進行詳 細說明.(7)合同期內，供應商需按照行方的服務管理規(guī)范和業(yè)務管理規(guī)范提供規(guī)范服務。6. 項目