1、1二、服务内容和技术要求1. 安全服务内容:安全服务应至少包括以下内容:漏洞扫描、渗透测试、电子银行安全评估、源代 码安全审计、日志分析、漏洞 应对、网站监测、安全培训。对 我行互联网应用系统进行公网漏洞扫描检测,及时发现漏洞风险并配合进行修复整改。 针对 我行现有开展和后续上线的电子渠道业务系统等重要业务(门户网站、滨海汇赢金融服务平台、滨海 滨乐购、网上银行、手机银行、微 银行、 现金管理平台系统;移动 APP 有手机银行等)进行全面的安全评估工作。 根据 银监会电子银行安全评估指引要求,针对我行电子银行进行安全评估,出具评估报告,并按照银监会要求完成相关的报送备案工作。 根据我行应用系统
2、需求,对我行“微银行 ”互联网金融综合服务平台进行源代码安全审计,配合进行问题修复,排除代码安全隐患,提升代码层系统安全等级。 对 我行生产互联网信息安全数据和流量数据汇总整理,并进行有效分析,定期出具直观报表、报告。形成我行生产互联网安全态势的整体感知和全面反映。2 针对 突发的大范围高危漏洞影响事件,协助进行漏洞技术分析及配合进行防护工作。 对 我行门户网站、滨海汇赢网站和网上银行等重要网站进行7*24 小时监控,保证我行门户及重要网站健康平稳运行,保持良好企业形象。 对 我行相关人员进行信息安全意识或技术培训,提升人员信息安全意识水平和技术能力。在合同签署之日起 1 年内提供包年安全服务
3、(包括后续新上线的系统),提供符合国家、 银行业的相关政策法规监管部门的要求及相关的安全检查。在评估过程中,对排查发现的风险,按照对业务造成的危害、损 失、程度及重要性提出整改计划,并协助我行按时进行整改。保障我行电子银行等重要系统自身安全、稳健、持续运行,适合银行业务发展的需求。2. 项目技术要求: 漏洞 扫描:(1)对我行 现 有及后续上线的互联网系统进行全面的公网漏洞扫描工作,协 助我行发现操作系统、应用、通 讯传输层面安全漏洞。(2)供应 商需要提前制定信息系统主机扫描计划(包含扫描时间、扫描设备信息、负责人等),并严格按照扫描计划开展信息系统公网漏洞扫描工作。3(3)供应 商在 扫描
4、开始前须对使用的扫描设备进行升级操作,确保扫描设备处于最新更新状态。(4)扫描 时间须 由行方统一安排指定业务闲暇时段。(5)对于 扫描 过程中由扫描工具等因素造成的潜在风险需提前告知行方,经 行方认可允许后,方可进行扫描。(6)扫描 结束后,编制主机信息系统漏洞扫描报告包括详细的修复方案,提交至我行,督促并协助我行对信息系统的漏洞进行修复。(5)根据行方要求,适 时进行复扫,检验修复效果。 渗透 测试:(1)由安全 专 家模拟黑客攻击行为通过远程或本地方式对我行互联网系统及手机 App 进行非破坏性的入侵测试 ,发现 SQL 注入、跨站脚本攻击、非法上传、越权等所有当前流行的技术漏洞及逻辑性
5、漏洞,并直观 反映漏洞的潜在危害,使更加真实的了解到业务系统的安全性状况,并为业务系统提供安全指导建议。(2)测试 完毕 后,须出具详细的测试报告和详实的安全加固建议,包括且不限于漏洞修复、对 APP 加壳等的加固方案。(3)督促并 协 助我行对互联网系统的渗透问题进行修复。(4)根据行方要求,适 时进行复扫,检验修复效果。 电 子银行安全评估(1)根据 银监 会电子银行安全评估指引要求,针对我行电子银行进行安全评估。(2)电子 银行安全 评估至少应包括以下内容:4(一)安全策略(二)内控制度建设(三)风险管理状况(四)系统安全性(五)电子银行业务运行连续性计划(六)电子银行业务运行应急计划(
6、七)电子银行风险预警体系(八)其他重要安全环节和机制的管理(3)评估完成后, 应及时撰写评估报告,并于评估完成后 1 个月内向行方提交由其法定代表人或其授权委托人签字认可的评估报告。(4)协助行方按照要求完成向相关监管机构的报送报备工作。 源代 码安全审计(1)以白盒的角度梳理代码,并实际操作体验业务流程,实时发现程序代码是否符合安全性要求,程序中是否存在安全漏洞,是否存在冗余代码、与功能无关的代码、接口程序是否规范、是否存在不良编码习惯,检查 代码编写漏洞、接口漏洞、 逻辑 漏洞、函数调用漏洞等。(2)在源代 码 白盒审计基础上结合使用安全扫描、黑盒渗透测试等手段,深度对代码审计成效进行评估
7、。(3)形成代 码审计报 告,包括问题修复技术方法,持续跟进并配合整改针对代码审计出现的安全漏洞及整改过程中出现的问题,定期进行总结并指导相关开发人员进行培训,结合行方实际提出快捷有效的修复方案。5 日志分析(1)基于我行互联网接入区现有安全设备(负载、DDos、IPS、防毒墙、 WAF、IDS 等)的日志输出,对各类安全设备的日志每半月汇总并分析。(2)根据各 设备 安全日志,综合分析我行互联网区安全状况及态势,每半月形成报告,将安全状况以报表、图表加文字描述的形式展现。(3)对我行互联网区入口流量、ip 访问量进行统计, 对访问 ip 来源区域进行统计。每半月形成报告,将访问情况以报表、图
8、表加文字描述的形式展现。(4)根据行方要求, 对报表样式可以进行定制化。 漏洞 应对(1)针对 突发 的大范围影响的高危漏洞事件进行确认,对漏洞利用原理及传播途径进行技术分析,对可能造成的危害程度及影响范围作出有效预估。(2)针对 官方 发布漏洞修复补丁进行验证,在我行搭建的有效测试环境中进行补丁安装测试,确保补丁安装平稳有效,不影响系统正常运行。(3)协助撰写漏洞修复文字通告等。(4)补丁安装推广过程中,如反映有报错等情况,协助行方进行处理。 网站 监测6(1)实时监 控 HTTP/HTTPS 网站域名可访问情况发现问题实时预警,所监控的异常类型包括 DNS 解析异常、 协议错误、URL 不
9、合法、socket 连接请求被拒绝 等。(2)监测 我行各网站 动态解析域名所对应的 IP 地址,一旦发现所解析出来的 IP 地址与预先设定的值不相符则发出告警。(3)利用搜索引擎技术,通过所配置的频率对网页进行循环扫描,对网站静态页面(html 、htm 等)、脚本(包括 css、javascript、vbscript 等)、图 片、可执行文件(如 EXE 文件、activeX 控件等)及网站其他资源进行统计分析。监控范围包括网站内部资源(本域名下的资源)和网站外部资源(非本域名下的外链)。(4)利用丰富的挂马特征库对网页中存在的木马、病毒、恶意脚本等恶意代码进行定性分析和预警。(5)对网站
10、文字进行自动化提取分析,通过比对非法文字特征库,对满足特征的文字(反动、分裂、暴力、色情等)进行定性分析预警。(6)对网站内容变动情况进行审计,包括新增、删除链接等。(7)针对门户网站、滨海汇赢网站和网上银行,提供全站页面的挂马、敏感内容的分级监测服务,包括一级页面、二级页面、三级页面。每半月向行方交付一次漏洞扫描报告及事件监测报告。遇突发事件时,需提供及时性的临时事件网站监控报告。(8)供应 商需采用自 动监控加人工监控相结合的方式,利用自动化检测平台, 组建 724 人工值守团队,提供 专 家全天候实时分析服务。7(9)当有站点可用性、 DNS 域名解析事件、挂马事件、篡改事件、敏感内容事
11、件发生时,及时通过邮件、短信、 电话通知行方。(10)网站 监 控产品需符合国家安全标准、法律法规,需提供相关的产品登记证明。 安全培训(1)根据行方要求,主要以讲座的形式对行内员工进行信息安全意识或技术的相关培训。每年一次。(2)配合行方做好培训工作的相关记录,包括培训方案、签到表、培训总结等。(3)依据行方需求的信息安全技术培训。3.项目方案要求: 供应商依据项目实施要求提出可行的项目实施方案,包括但不仅限于项目评估方法论,项目实施风险和规避措施,项目管理(项目沟通、项目运作、项目组织 管理、保密方案等),项目实施计划(按照我方要求按时完成工作),项目关键阶段、项目验收交付物等。4.项目人
12、员要求:供应商拟投入本项目的人员及简介,及保证服务团队稳定做出详细说明,包括且不限于:(1)需包括姓名、年龄、学历、 专业、职务、业务专长、 资质、相关工作经历,以及在相关项目中承担的任务和在本项目中的角色。8(2)项目经理具有 5 年以上信息安全相关工作经验,至少须具备CISP、ISO27001LA、PMP、ITIL 同级别或更高级别证书其中 1 项资质证书,具有 较强的责任心,具有较强的组织、协调、沟通、学习能力,具有完成日常巡检安全设备的能力、学习使用各安全设备的能力、分析各安全设备日志的能力、使用信息安全检测软件的能力和提出修复安全漏洞方案的能力。(3)团队所有成员需具有近 3 年国内
13、至少 2 个类似项目成功实施经验,1 年以上信息安全工作经验,能协助完成日常巡检安全设备的工作、分析各安全设备日志的工作和使用信息安全检测软件发现安全漏洞的工作,具备较强的责任心、学习能力和沟通能力。(4)当安全评估发现安全问题时,供应商应提供相应领域(如网络、主机、编程等 领域)高级技术专家或具有高级资质认证的专业技术人员配合行方进行问题分析及制定整改计划。(5)项目所有实施成员必须为竞争性磋商时递交材料中的原厂人员,未经采 购人允许不得更换。(6)当发生重大信息安全事件时,专业工程师须 15 分钟内响应并在 1 小时内到达现场提供技术服务,给出应对加固、整改方案,并对业务部门的加固整改进行
14、指导,故障问题必须在 4 小时内处理完毕;对已经发生的并处理完毕的安全事件撰写分析处理报告,就风险或事件的描述,危害内容,发生的原因、排 查过程、 处置方法进行详细说明.(7)合同期内,供应商需按照行方的服务管理规范和业务管理规范提供规范服务。96.项目验收考核标准供应商完成合同所约定之工作内容,提交合同规定之评估报告。项目的最终验收需双方在提供的验收报告上签字盖章。7.成果版权要求如无特殊说明,知识产权归我行所有。8. 其他:(1)供应 商需提供 银行业安全服务案例(合同关键页并盖公章)。(2)供应 商需承 诺提供有价值的与电子银行安全相关的其他免费安全服务。(3)供应 商应 保证提供的服务工具不违反国家法律法规的规定,不侵犯任何第三方的专利、商标或版权。