服務內(nèi)容和技術要求

1、二、服務內(nèi)容和技術要求1. 安全服務內(nèi)容：安全服務應至少包括以下內(nèi)容：漏洞掃描、滲透測試、電子銀行安全評估、源代碼安全審計、日志分析、漏洞應對、網(wǎng)站監(jiān)測、安全培訓。 對我行互聯(lián)網(wǎng)應用系統(tǒng)進行公網(wǎng)漏洞 掃描檢測，及時發(fā)現(xiàn)漏洞風險并配合進行修復整改。 針對我行現(xiàn)有開展和后續(xù)上線的電子渠道業(yè)務系統(tǒng)等重要業(yè)務（門戶網(wǎng)站、濱海匯贏金融服務平臺、濱海·濱樂購、網(wǎng)上銀行、手機銀行、微銀行、現(xiàn)金管理平臺系 統(tǒng)；移動 APP 有手機銀行等）進行全面的安全 評估工作。根據(jù)銀監(jiān)會電子銀行安全評估指引要求，針對我行電子銀行進行安全評估，出具評估報告，并按照銀監(jiān)會要求完成相關的 報送備案工作。根據(jù)我行 應用系

2、統(tǒng)需求，對我行 “微銀行”互聯(lián)網(wǎng)金融綜合服務平臺進行源代碼安全審計，配合進行問題修復，排除代碼安全隱患，提升代碼層系統(tǒng)安全等級。對我行生產(chǎn)互聯(lián)網(wǎng)信息安全數(shù)據(jù)和流量數(shù)據(jù)匯總整理，并進行有效分析，定期出具直 觀報表、報告。形成我行生產(chǎn)互聯(lián)網(wǎng)安全態(tài)勢的整體感知和 全面反映。 針對突發(fā)的大范圍高危漏洞影響事件，協(xié)助進行漏洞技術分析及配合 進行防護工作。 對我行 門戶網(wǎng)站、濱海匯贏網(wǎng)站和網(wǎng) 上銀行等重要網(wǎng)站 進行 7*24 小時監(jiān)控，保證我行門戶及重要網(wǎng)站健康平 穩(wěn)運行，保持良好企業(yè)形象。 對我行相關人 員進行信息安全意 識或技術培訓，提升人員信息安全意 識水平和技術能力。在合同簽署之日起 1 年內(nèi)提供

3、包年安全服 務（包括后續(xù)新上線的系統(tǒng)），提供符合國家、銀行業(yè)的相關政策法 規(guī)監(jiān)管部門的要求及相關的安全 檢查。在評估過程中，對排查發(fā)現(xiàn)的風險，按照對業(yè)務造成的危害、損失、程度及重要性提出整改 計劃，并協(xié)助我行按 時進行整改。保障我行電子銀行等重要系 統(tǒng)自身安全、穩(wěn)健、持續(xù)運行，適合銀行業(yè)務發(fā)展的需求。2. 項目技術要求：漏洞掃描：(1)對我行現(xiàn)有及后續(xù)上線的互聯(lián)網(wǎng)系統(tǒng)進行全面的公網(wǎng)漏洞 掃描工作，協(xié)助我行發(fā)現(xiàn)操作系統(tǒng)、應用、通訊傳輸層 面安全漏洞。 (2)供應商需要提前制定信息系統(tǒng)主機掃描計劃（包含掃描時間、掃描設備信息、負責人等），并嚴格按照掃描計劃開展信息系 統(tǒng)公網(wǎng)漏洞掃描工作。(3)供應

4、商在掃描開始前須對使用的掃描設備進行升級操作，確保掃描設備處于最新更新狀 態(tài)。(4)掃描時間須由行方統(tǒng)一安排指定 業(yè)務閑暇時段。(5)對于掃描過程中由掃描工具等因素造成的潛在 風險需提前告知行方，經(jīng)行方認可允許后，方可進行掃描。(6)掃描結(jié)束后，編制主機信息系 統(tǒng)漏洞掃描報告包括詳細的修復方案，提交至我行，督促并協(xié)助我行對信息系統(tǒng)的漏洞進行修復。(5)根據(jù)行方要求，適時進行復掃，檢驗修復效果。滲透測試：(1)由安全專家模擬黑客攻擊行為通過遠程或本地方式 對我行互聯(lián)網(wǎng)系統(tǒng)及手機 App 進行非破壞性的入侵 測試，發(fā)現(xiàn) SQL 注入、跨站腳本攻 擊、非法上傳、越權等所有當前流行的技 術漏洞及邏輯性

5、漏洞，并直觀反映漏洞的潛在危害，使更加真 實的了解到業(yè)務系統(tǒng)的安全性狀況，并為業(yè)務系統(tǒng)提供安全指 導建議。(2)測試完畢后，須出具詳細的測試報告和詳實的安全加固建 議，包括且不限于漏 洞修復、對 APP 加殼等的加固方案。(3)督促并協(xié)助我行對互聯(lián)網(wǎng)系統(tǒng)的滲透問題進行修復。(4)根據(jù)行方要求，適時進行復掃，檢驗修復效果。電子銀行安全評估(1)根據(jù)銀監(jiān)會電子銀行安全 評估指引要求，針對我行電子銀行進行安全評估。(2)電子銀行安全評估至少應包括以下內(nèi)容：（一）安全策略（二）內(nèi)控制度建設（三）風險管理狀況（四）系統(tǒng)安全性（五）電子銀行業(yè)務運行連續(xù)性計劃（六）電子銀行業(yè)務運行應急計劃（七）電子銀行風險

6、預警體系（八）其他重要安全環(huán)節(jié)和機制的管理(3)評估完成后，應及時撰寫評估報告，并于評估完成后 1 個月內(nèi)向行方提交由其 法定代表人或其授 權委托人簽字認可的評估報告。(4)協(xié)助行方按照要求完成向相關監(jiān)管機構(gòu)的報送報備工作。源代碼安全審計(1)以白盒的角度梳理代 碼，并實際操作體驗業(yè)務流程，實時發(fā)現(xiàn)程序代碼是否符合安全性要求，程序中是否存在安全 漏洞，是否存在冗余代碼、與功能無關的代碼、接口程序是否規(guī)范、是否存在不良編碼習慣，檢查代碼編寫漏洞、接口漏洞、邏輯漏洞、函數(shù)調(diào)用漏洞等。(2)在源代碼白盒審計基礎上結(jié)合使用安全掃描、黑盒滲透測試等手段，深度對代碼審計成效進行評估。(3)形成代碼審計報

7、告，包括問題修復技術方法，持續(xù)跟進并配合整改針對代碼審計出現(xiàn)的安全漏洞及整改 過程中出現(xiàn)的問題，定期進行總結(jié)并指導相關開發(fā)人員進行培訓，結(jié)合行方實際提出快捷有效的修復方案。日志分析(1)基于我行互 聯(lián)網(wǎng)接入?yún)^(qū) 現(xiàn)有安全設備（負載、DDos、IPS、防毒墻、WAF 、IDS 等）的日志輸出，對各類安全設備的日志每半月 匯總并分析。(2)根據(jù)各設備安全日志，綜合分析我行互 聯(lián)網(wǎng)區(qū)安全狀況及 態(tài)勢，每半月形成 報告，將安全狀況以 報表、圖表加文字描述的形式展 現(xiàn)。(3)對我行互聯(lián)網(wǎng)區(qū)入口流量、 ip 訪問量進行統(tǒng)計，對訪問 ip 來源區(qū)域進行統(tǒng)計。每半月形成報告，將訪問情況以報表、圖表加文字描述的形

8、式展 現(xiàn)。(4)根據(jù)行方要求，對報表樣式可以進行定制化。漏洞應對(1)針對突發(fā)的大范圍影響的高危 漏洞事件進行確認，對漏洞利用原理及傳播途徑進行技術分析，對可能造成的危害程 度及影響范圍作出有效預估。(2)針對官方發(fā)布漏洞修復 補丁進行驗證，在我行搭建的有效測試環(huán)境中進行補丁安裝測試，確保補丁安裝平穩(wěn)有效，不影響系統(tǒng)正常運行。(3)協(xié)助撰寫漏洞修 復文字通告等。(4)補丁安裝推廣 過程中，如反映有報錯等情況，協(xié)助行方進行處理。網(wǎng)站監(jiān)測(1)實時監(jiān)控 HTTP/HTTPS 網(wǎng)站域名可 訪問情況發(fā)現(xiàn)問題實時預警，所監(jiān)控的異常類型包括 DNS 解析異常、協(xié)議錯誤 、URL 不合法、 socket 連

9、接請求被拒絕等。(2)監(jiān)測我行各網(wǎng)站 動態(tài)解析域名所 對應的 IP 地址，一旦發(fā)現(xiàn)所解析出來的 IP 地址與預先設定的值不相符則發(fā)出告警。(3)利用搜索引擎技 術，通過所配置的頻率對網(wǎng)頁進行循環(huán)掃描，對網(wǎng)站靜態(tài)頁面（html、htm 等）、腳本包（括 css、javascript、vbscript 等）、圖片、可執(zhí)行文件（如 EXE 文件、activeX 控件等）及網(wǎng)站其他資源進行統(tǒng)計分析。監(jiān)控范圍包括網(wǎng)站內(nèi)部 資源（本域名下的資源）和網(wǎng)站外部資源（非本域名下的外鏈）。(4)利用豐富的掛 馬特征庫對網(wǎng)頁中存在的木 馬、病毒、惡意腳本等惡意代碼進行定性分析和 預警。(5)對網(wǎng)站文字 進行自動化提

10、取分析，通過比對非法文字 特征庫，對滿足特征的文 字（反動、分裂、暴力、色情等）進行定性分析 預警。(6)對網(wǎng)站內(nèi)容 變動情況進行審計，包括新增、刪除鏈接等。(7)針對門戶 網(wǎng)站、濱海匯贏網(wǎng)站和網(wǎng)上 銀行，提供全站頁面的掛馬、敏感內(nèi)容的分級監(jiān)測服務，包括一級頁面、二級頁面、三級頁面。每半月向行方交 付一次漏洞 掃描報告及事件 監(jiān)測報告。遇突發(fā)事件時，需提供及 時性的臨時事件網(wǎng)站 監(jiān)控報告。(8)供應商需采用自 動監(jiān)控加人工 監(jiān)控相結(jié)合的方式 ，利用自動化檢測平臺，組建 7×24 人工值守團隊，提供專家全天候?qū)崟r分析服務。(9)當有站點可用性 、DNS 域名解析事件、掛馬事件、篡改事件

11、、敏感內(nèi)容事件 發(fā)生時，及時通過郵件、短信、電話通知行方。(10)網(wǎng)站監(jiān)控產(chǎn)品需符合國家安全 標準、法律法規(guī)，需提供相關的產(chǎn)品登記證明。安全培訓(1)根據(jù)行方要求，主要以 講座的形式對行內(nèi)員工進行信息安全意識或技術的相關培訓。每年一次。(2)配合行方做好培 訓工作的相關 記錄，包括培訓方案、簽到表、培訓總結(jié)等。(3)依據(jù)行方需求的 信息安全技術培訓。3.項目方案要求：供應商依據(jù)項目實施要求提出可行的 項目實施方案，包括但不僅限于項目評估方法論，項目實施風險和規(guī)避措施，項目管理（項目溝通、項目運作、項目組織管理、保密方案等），項目實施計劃（按照我方要求按時完成工作），項目關鍵階段、項目驗收交付物

12、等。4.項目人員要求：供應商擬投入本項目的人員及簡介，及保證服務團隊穩(wěn) 定做出詳細說明，包括且不限于：（1）需包括姓名、年齡、學歷、專業(yè)、職務、業(yè)務專長 、資質(zhì)、相關工作經(jīng)歷，以及在相關項目中承擔的任 務和在本項目中的角色。（2）項目經(jīng)理具有 5 年以上信息安 全相關工作經(jīng)驗，至少須具備CISP、ISO27001LA、PMP、ITIL 同級別或更高級別證書其中 1 項資質(zhì)證書，具有較強的責任心，具有較強的組織、協(xié)調(diào)、溝通、學習能力，具有完成日常巡 檢安全設備的能力、學習使用各安全 設備的能力、分析各安全 設備日志的能力、使用信息安全 檢測軟件的能力和提出修復安全漏洞方案的 能力。（3）團隊所有

13、成員需具有近 3 年國內(nèi)至少 2 個類似項目成功實施經(jīng)驗 ,1 年以上信 息安全工作 經(jīng)驗，能協(xié)助完成日常巡 檢安全設備的工作、分析各安全設備日志的工作和使用信息安全 檢測軟件發(fā)現(xiàn)安全漏洞的工作，具備較強的責任心、學習能力和溝通能力。（4）當安全評估發(fā)現(xiàn)安全問題時，供應商應提供相應領域（如網(wǎng)絡、主機、編程等領域）高級技術專家或具有高級資質(zhì)認證 的專業(yè)技術人員配合行方 進行問題分析及制定整改 計劃。（5）項目所有實施成員必須為競爭性磋商 時遞交材料中的原廠人員，未經(jīng)采購人允許不得更換。（6）當發(fā)生重大信息 安全事件時，專業(yè)工程師須 15 分鐘內(nèi)響應并在 1 小時內(nèi)到達現(xiàn)場提供技術服務，給出應對加固、整改方案，并對業(yè)務部門的加固整改進行指導，故障問題必須在 4 小時內(nèi)處理完畢；對已經(jīng)發(fā)生的并處理完畢的安全事件撰寫分析 處理報告，就風險或事件的描述，危害內(nèi)容，發(fā)生的原因、排查過程、處置方法進行詳細說明.（7）合同期內(nèi)，供應商需按照行方 的服務管理規(guī)范和業(yè)務管理規(guī)范提供規(guī)范服務。6