




版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
1、二、服務(wù)內(nèi)容和技術(shù)要求1. 安全服務(wù)內(nèi)容:安全服務(wù)應(yīng)至少包括以下內(nèi)容:漏洞掃描、滲透測試、電子銀行安全評估、源代碼安全審計(jì)、日志分析、漏洞應(yīng)對、網(wǎng)站監(jiān)測、安全培訓(xùn)。 對我行互聯(lián)網(wǎng)應(yīng)用系統(tǒng)進(jìn)行公網(wǎng)漏洞掃描檢測,及時(shí)發(fā)現(xiàn)漏洞風(fēng)險(xiǎn)并配合進(jìn)行修復(fù)整改。 針對我行現(xiàn)有開展和后續(xù)上線的電子渠道業(yè)務(wù)系統(tǒng)等重要業(yè)務(wù)(門戶網(wǎng)站、濱海匯贏金融服務(wù)平臺、濱海·濱樂購、網(wǎng)上銀行、手機(jī)銀行、微銀行、現(xiàn)金管理平臺系統(tǒng);移動(dòng)APP有手機(jī)銀行等)進(jìn)行全面的安全評估工作。 根據(jù)銀監(jiān)會(huì)電子銀行安全評估指引要求,針對我行電子銀行進(jìn)行安全評估,出具評估報(bào)告,并按照銀監(jiān)會(huì)要求完成相關(guān)的報(bào)送備案工作。 根據(jù)我行應(yīng)用系統(tǒng)需求,對
2、我行“微銀行”互聯(lián)網(wǎng)金融綜合服務(wù)平臺進(jìn)行源代碼安全審計(jì),配合進(jìn)行問題修復(fù),排除代碼安全隱患,提升代碼層系統(tǒng)安全等級。 對我行生產(chǎn)互聯(lián)網(wǎng)信息安全數(shù)據(jù)和流量數(shù)據(jù)匯總整理,并進(jìn)行有效分析,定期出具直觀報(bào)表、報(bào)告。形成我行生產(chǎn)互聯(lián)網(wǎng)安全態(tài)勢的整體感知和全面反映。 針對突發(fā)的大范圍高危漏洞影響事件,協(xié)助進(jìn)行漏洞技術(shù)分析及配合進(jìn)行防護(hù)工作。 對我行門戶網(wǎng)站、濱海匯贏網(wǎng)站和網(wǎng)上銀行等重要網(wǎng)站進(jìn)行7*24小時(shí)監(jiān)控,保證我行門戶及重要網(wǎng)站健康平穩(wěn)運(yùn)行,保持良好企業(yè)形象。 對我行相關(guān)人員進(jìn)行信息安全意識或技術(shù)培訓(xùn),提升人員信息安全意識水平和技術(shù)能力。在合同簽署之日起1年內(nèi)提供包年安全服務(wù)(包括后續(xù)新上線的系統(tǒng)),
3、提供符合國家、銀行業(yè)的相關(guān)政策法規(guī)監(jiān)管部門的要求及相關(guān)的安全檢查。在評估過程中,對排查發(fā)現(xiàn)的風(fēng)險(xiǎn),按照對業(yè)務(wù)造成的危害、損失、程度及重要性提出整改計(jì)劃,并協(xié)助我行按時(shí)進(jìn)行整改。保障我行電子銀行等重要系統(tǒng)自身安全、穩(wěn)健、持續(xù)運(yùn)行,適合銀行業(yè)務(wù)發(fā)展的需求。2. 項(xiàng)目技術(shù)要求: 漏洞掃描:(1)對我行現(xiàn)有及后續(xù)上線的互聯(lián)網(wǎng)系統(tǒng)進(jìn)行全面的公網(wǎng)漏洞掃描工作,協(xié)助我行發(fā)現(xiàn)操作系統(tǒng)、應(yīng)用、通訊傳輸層面安全漏洞。(2)供應(yīng)商需要提前制定信息系統(tǒng)主機(jī)掃描計(jì)劃(包含掃描時(shí)間、掃描設(shè)備信息、負(fù)責(zé)人等),并嚴(yán)格按照掃描計(jì)劃開展信息系統(tǒng)公網(wǎng)漏洞掃描工作。(3)供應(yīng)商在掃描開始前須對使用的掃描設(shè)備進(jìn)行升級操作,確保掃描設(shè)
4、備處于最新更新狀態(tài)。(4)掃描時(shí)間須由行方統(tǒng)一安排指定業(yè)務(wù)閑暇時(shí)段。(5)對于掃描過程中由掃描工具等因素造成的潛在風(fēng)險(xiǎn)需提前告知行方,經(jīng)行方認(rèn)可允許后,方可進(jìn)行掃描。(6)掃描結(jié)束后,編制主機(jī)信息系統(tǒng)漏洞掃描報(bào)告包括詳細(xì)的修復(fù)方案,提交至我行,督促并協(xié)助我行對信息系統(tǒng)的漏洞進(jìn)行修復(fù)。(5)根據(jù)行方要求,適時(shí)進(jìn)行復(fù)掃,檢驗(yàn)修復(fù)效果。 滲透測試:(1)由安全專家模擬黑客攻擊行為通過遠(yuǎn)程或本地方式對我行互聯(lián)網(wǎng)系統(tǒng)及手機(jī)App進(jìn)行非破壞性的入侵測試,發(fā)現(xiàn)SQL注入、跨站腳本攻擊、非法上傳、越權(quán)等所有當(dāng)前流行的技術(shù)漏洞及邏輯性漏洞,并直觀反映漏洞的潛在危害,使更加真實(shí)的了解到業(yè)務(wù)系統(tǒng)的安全性狀況,并為業(yè)
5、務(wù)系統(tǒng)提供安全指導(dǎo)建議。(2)測試完畢后,須出具詳細(xì)的測試報(bào)告和詳實(shí)的安全加固建議,包括且不限于漏洞修復(fù)、對APP加殼等的加固方案。(3)督促并協(xié)助我行對互聯(lián)網(wǎng)系統(tǒng)的滲透問題進(jìn)行修復(fù)。(4)根據(jù)行方要求,適時(shí)進(jìn)行復(fù)掃,檢驗(yàn)修復(fù)效果。 電子銀行安全評估(1)根據(jù)銀監(jiān)會(huì)電子銀行安全評估指引要求,針對我行電子銀行進(jìn)行安全評估。(2)電子銀行安全評估至少應(yīng)包括以下內(nèi)容: (一)安全策略 (二)內(nèi)控制度建設(shè) (三)風(fēng)險(xiǎn)管理狀況 (四)系統(tǒng)安全性 (五)電子銀行業(yè)務(wù)運(yùn)行連續(xù)性計(jì)劃 (六)電子銀行業(yè)務(wù)運(yùn)行應(yīng)急計(jì)劃 (七)電子銀行風(fēng)險(xiǎn)預(yù)警體系 (八)其他重要安全環(huán)節(jié)和機(jī)制的管理(3)評估完成后,應(yīng)及時(shí)撰寫評估
6、報(bào)告,并于評估完成后1個(gè)月內(nèi)向行方提交由其法定代表人或其授權(quán)委托人簽字認(rèn)可的評估報(bào)告。(4)協(xié)助行方按照要求完成向相關(guān)監(jiān)管機(jī)構(gòu)的報(bào)送報(bào)備工作。 源代碼安全審計(jì)(1)以白盒的角度梳理代碼,并實(shí)際操作體驗(yàn)業(yè)務(wù)流程,實(shí)時(shí)發(fā)現(xiàn)程序代碼是否符合安全性要求,程序中是否存在安全漏洞,是否存在冗余代碼、與功能無關(guān)的代碼、接口程序是否規(guī)范、是否存在不良編碼習(xí)慣,檢查代碼編寫漏洞、接口漏洞、邏輯漏洞、函數(shù)調(diào)用漏洞等。(2)在源代碼白盒審計(jì)基礎(chǔ)上結(jié)合使用安全掃描、黑盒滲透測試等手段,深度對代碼審計(jì)成效進(jìn)行評估。(3)形成代碼審計(jì)報(bào)告,包括問題修復(fù)技術(shù)方法,持續(xù)跟進(jìn)并配合整改針對代碼審計(jì)出現(xiàn)的安全漏洞及整改過程中出現(xiàn)
7、的問題,定期進(jìn)行總結(jié)并指導(dǎo)相關(guān)開發(fā)人員進(jìn)行培訓(xùn),結(jié)合行方實(shí)際提出快捷有效的修復(fù)方案。 日志分析(1)基于我行互聯(lián)網(wǎng)接入?yún)^(qū)現(xiàn)有安全設(shè)備(負(fù)載、DDos、IPS、防毒墻、WAF、IDS等)的日志輸出,對各類安全設(shè)備的日志每半月匯總并分析。(2)根據(jù)各設(shè)備安全日志,綜合分析我行互聯(lián)網(wǎng)區(qū)安全狀況及態(tài)勢,每半月形成報(bào)告,將安全狀況以報(bào)表、圖表加文字描述的形式展現(xiàn)。(3)對我行互聯(lián)網(wǎng)區(qū)入口流量、ip訪問量進(jìn)行統(tǒng)計(jì),對訪問ip來源區(qū)域進(jìn)行統(tǒng)計(jì)。每半月形成報(bào)告,將訪問情況以報(bào)表、圖表加文字描述的形式展現(xiàn)。(4)根據(jù)行方要求,對報(bào)表樣式可以進(jìn)行定制化。 漏洞應(yīng)對(1)針對突發(fā)的大范圍影響的高危漏洞事件進(jìn)行確認(rèn),
8、對漏洞利用原理及傳播途徑進(jìn)行技術(shù)分析,對可能造成的危害程度及影響范圍作出有效預(yù)估。(2)針對官方發(fā)布漏洞修復(fù)補(bǔ)丁進(jìn)行驗(yàn)證,在我行搭建的有效測試環(huán)境中進(jìn)行補(bǔ)丁安裝測試,確保補(bǔ)丁安裝平穩(wěn)有效,不影響系統(tǒng)正常運(yùn)行。(3)協(xié)助撰寫漏洞修復(fù)文字通告等。(4)補(bǔ)丁安裝推廣過程中,如反映有報(bào)錯(cuò)等情況,協(xié)助行方進(jìn)行處理。 網(wǎng)站監(jiān)測(1)實(shí)時(shí)監(jiān)控HTTP/HTTPS網(wǎng)站域名可訪問情況發(fā)現(xiàn)問題實(shí)時(shí)預(yù)警,所監(jiān)控的異常類型包括DNS解析異常、協(xié)議錯(cuò)誤、URL不合法、socket連接請求被拒絕等。(2)監(jiān)測我行各網(wǎng)站動(dòng)態(tài)解析域名所對應(yīng)的IP地址,一旦發(fā)現(xiàn)所解析出來的IP地址與預(yù)先設(shè)定的值不相符則發(fā)出告警。(3)利用搜索
9、引擎技術(shù),通過所配置的頻率對網(wǎng)頁進(jìn)行循環(huán)掃描,對網(wǎng)站靜態(tài)頁面(html、htm等)、腳本(包括css、javascript、vbscript等)、圖片、可執(zhí)行文件(如EXE文件、activeX控件等)及網(wǎng)站其他資源進(jìn)行統(tǒng)計(jì)分析。監(jiān)控范圍包括網(wǎng)站內(nèi)部資源(本域名下的資源)和網(wǎng)站外部資源(非本域名下的外鏈)。(4)利用豐富的掛馬特征庫對網(wǎng)頁中存在的木馬、病毒、惡意腳本等惡意代碼進(jìn)行定性分析和預(yù)警。(5)對網(wǎng)站文字進(jìn)行自動(dòng)化提取分析,通過比對非法文字特征庫,對滿足特征的文字(反動(dòng)、分裂、暴力、色情等)進(jìn)行定性分析預(yù)警。(6)對網(wǎng)站內(nèi)容變動(dòng)情況進(jìn)行審計(jì),包括新增、刪除鏈接等。(7)針對門戶網(wǎng)站、濱海匯
10、贏網(wǎng)站和網(wǎng)上銀行,提供全站頁面的掛馬、敏感內(nèi)容的分級監(jiān)測服務(wù),包括一級頁面、二級頁面、三級頁面。每半月向行方交付一次漏洞掃描報(bào)告及事件監(jiān)測報(bào)告。遇突發(fā)事件時(shí),需提供及時(shí)性的臨時(shí)事件網(wǎng)站監(jiān)控報(bào)告。(8)供應(yīng)商需采用自動(dòng)監(jiān)控加人工監(jiān)控相結(jié)合的方式,利用自動(dòng)化檢測平臺,組建7×24人工值守團(tuán)隊(duì),提供專家全天候?qū)崟r(shí)分析服務(wù)。(9)當(dāng)有站點(diǎn)可用性、DNS域名解析事件、掛馬事件、篡改事件、敏感內(nèi)容事件發(fā)生時(shí),及時(shí)通過郵件、短信、電話通知行方。(10)網(wǎng)站監(jiān)控產(chǎn)品需符合國家安全標(biāo)準(zhǔn)、法律法規(guī),需提供相關(guān)的產(chǎn)品登記證明。 安全培訓(xùn)(1)根據(jù)行方要求,主要以講座的形式對行內(nèi)員工進(jìn)行信息安全意識或技術(shù)的
11、相關(guān)培訓(xùn)。每年一次。(2)配合行方做好培訓(xùn)工作的相關(guān)記錄,包括培訓(xùn)方案、簽到表、培訓(xùn)總結(jié)等。(3)依據(jù)行方需求的信息安全技術(shù)培訓(xùn)。3.項(xiàng)目方案要求: 供應(yīng)商依據(jù)項(xiàng)目實(shí)施要求提出可行的項(xiàng)目實(shí)施方案,包括但不僅限于項(xiàng)目評估方法論,項(xiàng)目實(shí)施風(fēng)險(xiǎn)和規(guī)避措施,項(xiàng)目管理(項(xiàng)目溝通、項(xiàng)目運(yùn)作、項(xiàng)目組織管理、保密方案等),項(xiàng)目實(shí)施計(jì)劃(按照我方要求按時(shí)完成工作),項(xiàng)目關(guān)鍵階段、項(xiàng)目驗(yàn)收交付物等。4.項(xiàng)目人員要求:供應(yīng)商擬投入本項(xiàng)目的人員及簡介,及保證服務(wù)團(tuán)隊(duì)穩(wěn)定做出詳細(xì)說明,包括且不限于:(1)需包括姓名、年齡、學(xué)歷、專業(yè)、職務(wù)、業(yè)務(wù)專長、資質(zhì)、相關(guān)工作經(jīng)歷,以及在相關(guān)項(xiàng)目中承擔(dān)的任務(wù)和在本項(xiàng)目中的角色。(2
12、)項(xiàng)目經(jīng)理具有5年以上信息安全相關(guān)工作經(jīng)驗(yàn),至少須具備CISP、ISO27001LA、PMP、ITIL同級別或更高級別證書其中1項(xiàng)資質(zhì)證書,具有較強(qiáng)的責(zé)任心,具有較強(qiáng)的組織、協(xié)調(diào)、溝通、學(xué)習(xí)能力,具有完成日常巡檢安全設(shè)備的能力、學(xué)習(xí)使用各安全設(shè)備的能力、分析各安全設(shè)備日志的能力、使用信息安全檢測軟件的能力和提出修復(fù)安全漏洞方案的能力。(3)團(tuán)隊(duì)所有成員需具有近3年國內(nèi)至少2個(gè)類似項(xiàng)目成功實(shí)施經(jīng)驗(yàn),1年以上信息安全工作經(jīng)驗(yàn),能協(xié)助完成日常巡檢安全設(shè)備的工作、分析各安全設(shè)備日志的工作和使用信息安全檢測軟件發(fā)現(xiàn)安全漏洞的工作,具備較強(qiáng)的責(zé)任心、學(xué)習(xí)能力和溝通能力。(4)當(dāng)安全評估發(fā)現(xiàn)安全問題時(shí),供應(yīng)
13、商應(yīng)提供相應(yīng)領(lǐng)域(如網(wǎng)絡(luò)、主機(jī)、編程等領(lǐng)域)高級技術(shù)專家或具有高級資質(zhì)認(rèn)證的專業(yè)技術(shù)人員配合行方進(jìn)行問題分析及制定整改計(jì)劃。(5)項(xiàng)目所有實(shí)施成員必須為競爭性磋商時(shí)遞交材料中的原廠人員,未經(jīng)采購人允許不得更換。(6)當(dāng)發(fā)生重大信息安全事件時(shí),專業(yè)工程師須15分鐘內(nèi)響應(yīng)并在1小時(shí)內(nèi)到達(dá)現(xiàn)場提供技術(shù)服務(wù),給出應(yīng)對加固、整改方案,并對業(yè)務(wù)部門的加固整改進(jìn)行指導(dǎo),故障問題必須在4小時(shí)內(nèi)處理完畢;對已經(jīng)發(fā)生的并處理完畢的安全事件撰寫分析處理報(bào)告,就風(fēng)險(xiǎn)或事件的描述,危害內(nèi)容,發(fā)生的原因、排查過程、處置方法進(jìn)行詳細(xì)說明.(7)合同期內(nèi),供應(yīng)商需按照行方的服務(wù)管理規(guī)范和業(yè)務(wù)管理規(guī)范提供規(guī)范服務(wù)。6.項(xiàng)目驗(yàn)收
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 公司組織晚餐活動(dòng)方案
- 公司夢想活動(dòng)方案
- 公司春節(jié)布置活動(dòng)方案
- 公司組織旅行活動(dòng)方案
- 公司活動(dòng)秋游活動(dòng)方案
- 公司紅酒品鑒活動(dòng)方案
- 公司歡送儀式活動(dòng)方案
- 公司系列大講堂活動(dòng)方案
- 公司母親節(jié)日活動(dòng)方案
- 公司水餃比賽活動(dòng)方案
- 安全生產(chǎn)事故案例分析課件
- 水處理反滲透設(shè)備日常維護(hù)保養(yǎng)點(diǎn)檢記錄表
- 2023年補(bǔ)腎類藥物行業(yè)營銷策略方案
- 設(shè)備日常點(diǎn)檢表
- 讀書分享之《反脆弱》
- 小學(xué)生主題班會(huì) 書香校園+共享閱讀 課件(共23張PPT)
- 2023年06月湖北孝感市檢察機(jī)關(guān)招考聘用雇員制檢察輔助人員73人筆試題庫含答案詳解
- 電力市場交易體系規(guī)則培訓(xùn)PPT
- 抽樣檢驗(yàn)知識培訓(xùn)
- 急性肺栓塞搶救流程
- 零件清理、精整作業(yè)指導(dǎo)書
評論
0/150
提交評論