服务内容和技术要求.doc

二、服务内容和技术要求1. 安全服务内容：安全服务应至少包括以下内容：漏洞扫描、渗透测试、电子银行安全评估、源代码安全审计、日志分析、漏洞应对、网站监测、安全培训。 对我行互联网应用系统进行公网漏洞扫描检测，及时发现漏洞风险并配合进行修复整改。 针对我行现有开展和后续上线的电子渠道业务系统等重要业务（门户网站、滨海汇赢金融服务平台、滨海滨乐购、网上银行、手机银行、微银行、现金管理平台系统；移动APP有手机银行等）进行全面的安全评估工作。 根据银监会电子银行安全评估指引要求，针对我行电子银行进行安全评估，出具评估报告，并按照银监会要求完成相关的报送备案工作。 根据我行应用系统需求，对我行“微银行”互联网金融综合服务平台进行源代码安全审计，配合进行问题修复，排除代码安全隐患，提升代码层系统安全等级。 对我行生产互联网信息安全数据和流量数据汇总整理，并进行有效分析，定期出具直观报表、报告。形成我行生产互联网安全态势的整体感知和全面反映。 针对突发的大范围高危漏洞影响事件，协助进行漏洞技术分析及配合进行防护工作。 对我行门户网站、滨海汇赢网站和网上银行等重要网站进行7*24小时监控，保证我行门户及重要网站健康平稳运行，保持良好企业形象。 对我行相关人员进行信息安全意识或技术培训，提升人员信息安全意识水平和技术能力。在合同签署之日起1年内提供包年安全服务（包括后续新上线的系统），提供符合国家、银行业的相关政策法规监管部门的要求及相关的安全检查。在评估过程中，对排查发现的风险，按照对业务造成的危害、损失、程度及重要性提出整改计划，并协助我行按时进行整改。保障我行电子银行等重要系统自身安全、稳健、持续运行，适合银行业务发展的需求。2. 项目技术要求： 漏洞扫描：(1)对我行现有及后续上线的互联网系统进行全面的公网漏洞扫描工作，协助我行发现操作系统、应用、通讯传输层面安全漏洞。(2)供应商需要提前制定信息系统主机扫描计划（包含扫描时间、扫描设备信息、负责人等），并严格按照扫描计划开展信息系统公网漏洞扫描工作。(3)供应商在扫描开始前须对使用的扫描设备进行升级操作，确保扫描设备处于最新更新状态。(4)扫描时间须由行方统一安排指定业务闲暇时段。(5)对于扫描过程中由扫描工具等因素造成的潜在风险需提前告知行方，经行方认可允许后，方可进行扫描。(6)扫描结束后，编制主机信息系统漏洞扫描报告包括详细的修复方案，提交至我行，督促并协助我行对信息系统的漏洞进行修复。(5)根据行方要求，适时进行复扫，检验修复效果。 渗透测试：(1)由安全专家模拟黑客攻击行为通过远程或本地方式对我行互联网系统及手机App进行非破坏性的入侵测试，发现SQL注入、跨站脚本攻击、非法上传、越权等所有当前流行的技术漏洞及逻辑性漏洞，并直观反映漏洞的潜在危害，使更加真实的了解到业务系统的安全性状况，并为业务系统提供安全指导建议。(2)测试完毕后，须出具详细的测试报告和详实的安全加固建议，包括且不限于漏洞修复、对APP加壳等的加固方案。(3)督促并协助我行对互联网系统的渗透问题进行修复。(4)根据行方要求，适时进行复扫，检验修复效果。 电子银行安全评估(1)根据银监会电子银行安全评估指引要求，针对我行电子银行进行安全评估。(2)电子银行安全评估至少应包括以下内容： （一）安全策略 （二）内控制度建设 （三）风险管理状况 （四）系统安全性 （五）电子银行业务运行连续性计划 （六）电子银行业务运行应急计划 （七）电子银行风险预警体系 （八）其他重要安全环节和机制的管理(3)评估完成后，应及时撰写评估报告，并于评估完成后1个月内向行方提交由其法定代表人或其授权委托人签字认可的评估报告。(4)协助行方按照要求完成向相关监管机构的报送报备工作。 源代码安全审计(1)以白盒的角度梳理代码，并实际操作体验业务流程，实时发现程序代码是否符合安全性要求，程序中是否存在安全漏洞，是否存在冗余代码、与功能无关的代码、接口程序是否规范、是否存在不良编码习惯，检查代码编写漏洞、接口漏洞、逻辑漏洞、函数调用漏洞等。(2)在源代码白盒审计基础上结合使用安全扫描、黑盒渗透测试等手段，深度对代码审计成效进行评估。(3)形成代码审计报告，包括问题修复技术方法，持续跟进并配合整改针对代码审计出现的安全漏洞及整改过程中出现的问题，定期进行总结并指导相关开发人员进行培训，结合行方实际提出快捷有效的修复方案。 日志分析(1)基于我行互联网接入区现有安全设备（负载、DDos、IPS、防毒墙、WAF、IDS等）的日志输出，对各类安全设备的日志每半月汇总并分析。(2)根据各设备安全日志，综合分析我行互联网区安全状况及态势，每半月形成报告，将安全状况以报表、图表加文字描述的形式展现。(3)对我行互联网区入口流量、ip访问量进行统计，对访问ip来源区域进行统计。每半月形成报告，将访问情况以报表、图表加文字描述的形式展现。(4)根据行方要求，对报表样式可以进行定制化。 漏洞应对(1)针对突发的大范围影响的高危漏洞事件进行确认，对漏洞利用原理及传播途径进行技术分析，对可能造成的危害程度及影响范围作出有效预估。(2)针对官方发布漏洞修复补丁进行验证，在我行搭建的有效测试环境中进行补丁安装测试，确保补丁安装平稳有效，不影响系统正常运行。(3)协助撰写漏洞修复文字通告等。(4)补丁安装推广过程中，如反映有报错等情况，协助行方进行处理。 网站监测(1)实时监控HTTP/HTTPS网站域名可访问情况发现问题实时预警，所监控的异常类型包括DNS解析异常、协议错误、URL不合法、socket连接请求被拒绝等。(2)监测我行各网站动态解析域名所对应的IP地址，一旦发现所解析出来的IP地址与预先设定的值不相符则发出告警。(3)利用搜索引擎技术，通过所配置的频率对网页进行循环扫描，对网站静态页面（html、htm等）、脚本（包括css、javascript、vbscript等）、图片、可执行文件（如EXE文件、activeX控件等）及网站其他资源进行统计分析。监控范围包括网站内部资源（本域名下的资源）和网站外部资源（非本域名下的外链）。(4)利用丰富的挂马特征库对网页中存在的木马、病毒、恶意脚本等恶意代码进行定性分析和预警。(5)对网站文字进行自动化提取分析，通过比对非法文字特征库，对满足特征的文字（反动、分裂、暴力、色情等）进行定性分析预警。(6)对网站内容变动情况进行审计，包括新增、删除链接等。(7)针对门户网站、滨海汇赢网站和网上银行，提供全站页面的挂马、敏感内容的分级监测服务，包括一级页面、二级页面、三级页面。每半月向行方交付一次漏洞扫描报告及事件监测报告。遇突发事件时，需提供及时性的临时事件网站监控报告。(8)供应商需采用自动监控加人工监控相结合的方式，利用自动化检测平台，组建724人工值守团队，提供专家全天候实时分析服务。(9)当有站点可用性、DNS域名解析事件、挂马事件、篡改事件、敏感内容事件发生时，及时通过邮件、短信、电话通知行方。(10)网站监控产品需符合国家安全标准、法律法规，需提供相关的产品登记证明。 安全培训(1)根据行方要求，主要以讲座的形式对行内员工进行信息安全意识或技术的相关培训。每年一次。(2)配合行方做好培训工作的相关记录，包括培训方案、签到表、培训总结等。(3)依据行方需求的信息安全技术培训。3.项目方案要求： 供应商依据项目实施要求提出可行的项目实施方案，包括但不仅限于项目评估方法论，项目实施风险和规避措施，项目管理（项目沟通、项目运作、项目组织管理、保密方案等），项目实施计划（按照我方要求按时完成工作），项目关键阶段、项目验收交付物等。4.项目人员要求：供应商拟投入本项目的人员及简介，及保证服务团队稳定做出详细说明，包括且不限于：（1）需包括姓名、年龄、学历、专业、职务、业务专长、资质、相关工作经历，以及在相关项目中承担的任务和在本项目中的角色。（2）项目经理具有5年以上信息安全相关工作经验，至少须具备CISP、ISO27001LA、PMP、ITIL同级别或更高级别证书其中1项资质证书，具有较强的责任心，具有较强的组织、协调、沟通、学习能力，具有完成日常巡检安全设备的能力、学习使用各安全设备的能力、分析各安全设备日志的能力、使用信息安全检测软件的能力和提出修复安全漏洞方案的能力。（3）团队所有成员需具有近3年国内至少2个类似项目成功实施经验,1年以上信息安全工作经验，能协助完成日常巡检安全设备的工作、分析各安全设备日志的工作和使用信息安全检测软件发现安全漏洞的工作，具备较强的责任心、学习能力和沟通能力。（4）当安全评估发现安全问题时，供应商应提供相应领域（如网络、主机、编程等领域）高级技术专家或具有高级资质认证的专业技术人员配合行方进行问题分析及制定整改计划。（5）项目所有实施成员必须为竞争性磋商时递交材料中的原厂人员，未经采购人允许不得更换。（6）当发生重大信息安全事件时，专业工程师须15分钟内响应并在1小时内到达现场提供技术服务，给出应对加固、整改方案，并对业务部门的加固整改进行指导，故障问题必须在4小时内处理完毕；对已经发生的并处理完毕的安全事件撰写分析处理报告，就风险或事件的描述，危害内容，发生的原因、排查过程、处置方法进行详细说明.（7）合同期内，供应商需按照行方的服务管理规范和业务管理规范提供规范服务。