泉州银行呼叫中心系统扩容升级项目

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

二、服务内容和技术要求

安全服务内容:1.

安全服务应至少包括以下内容:漏洞扫描、渗透测试、电子银行安

全评估、源代码安全审计、日志分析、漏洞应对、网站监测、安全培训。

对我行互联网应用系统进行公网漏洞扫描检测,及时发现漏①

洞风险并配合进行修复整改。

针对我行现有开展和后续上线的电子渠道业务系统等重要②

业务(门户网站、滨海汇赢金融服务平台、滨海滨乐购、网上银行、手·

机银行、微银行、现金管理平台系统;移动有手机银行等)进行全

APP

面的安全评估工作。

根据银监会《电子银行安全评估指引》要求,针对我行电子银③

行进行安全评估,出具评估报告,并按照银监会要求完成相关的报送备案工作。

根据我行应用系统需求,对我行微银行互联网金融综合服”④“

务平台进行源代码安全审计,配合进行问题修复,排除代码安全隐患,提升代码层系统安全等级。

对我行生产互联网信息安全数据和流量数据汇总整理,并进⑤

行有效分析,定期出具直观报表、报告。形成我行生产互联网安全态势的整体感知和全面反映。

1.

针对突发的大范围高危漏洞影响事件,协助进行漏洞技术分⑥

析及配合进行防护工作。

对我行门户网站、滨海汇赢网站和网上银行等重要网站进行⑦

小时监控,保证我行门户及重要网站健康平稳运行,保持良好企7*24业形象。

对我行相关人员进行信息安全意识或技术培训,提升人员信⑧

息安全意识水平和技术能力。

在合同签署之日起年内提供包年安全服务(包括后续新上线的1

系统),提供符合国家、银行业的相关政策法规监管部门的要求及相关的安全检查。在评估过程中,对排查发现的风险,按照对业务造成的危害、损失、程度及重要性提出整改计划,并协助我行按时进行整

改。保障我行电子银行等重要系统自身安全、稳健、持续运行,适合银

行业务发展的需求。

项目技术要求: 2.

漏洞扫描:①

对我行现有及后续上线的互联网系统进行全面的公网漏洞扫(1)

描工作,协助我行发现操作系统、应用、通讯传输层面安全漏洞。

供应商需要提前制定信息系统主机扫描计划(包含扫描时间、(2)

扫描设备信息、负责人等),并严格按照扫描计划开展信息系统公网

漏洞扫描工作。

2.

供应商在扫描开始前须对使用的扫描设备进行升级操作,确(3)

保扫描设备处于最新更新状态。

扫描时间须由行方统一安排指定业务闲暇时段。(4)

对于扫描过程中由扫描工具等因素造成的潜在风险需提前告(5)

知行方,经行方认可允许后,方可进行扫描。

扫描结束后,编制主机信息系统漏洞扫描报告包括详细的修(6)

复方案,提交至我行,督促并协助我行对信息系统的漏洞进行修复。根据行方要求,适时进行复扫,检验修复效果。(5)

渗透测试:②

由安全专家模拟黑客攻击行为通过远程或本地方式对我行互(1)

联网系统及手机进行非破坏性的入侵测试,发现注入、跨AppSQL

站脚本攻击、非法上传、越权等所有当前流行的技术漏洞及逻辑性漏洞,并直观反映漏洞的潜在危害,使更加真实的了解到业务系统的安全性状况,并为业务系统提供安全指导建议。

测试完毕后,须出具详细的测试报告和详实的安全加固建议,(2)

包括且不限于漏洞修复、对加壳等的加固方案。APP

督促并协助我行对互联网系统的渗透问题进行修复。(3)

根据行方要求,适时进行复扫,检验修复效果。(4)

电子银行安全评估③

根据银监会《电子银行安全评估指引》要求,针对我行电子银(1)

行进行安全评估。

电子银行安全评估至少应包括以下内容:(2)

3.

(一)安全策略

(二)内控制度建设

(三)风险管理状况

(四)系统安全性

(五)电子银行业务运行连续性计划

(六)电子银行业务运行应急计划

(七)电子银行风险预警体系

(八)其他重要安全环节和机制的管理

评估完成后,应及时撰写评估报告,并于评估完成后个月内(3)1向行方提交由其法定代表人或其授权委托人签字认可的评估报告。

协助行方按照要求完成向相关监管机构的报送报备工作。(4)

源代码安全审计④

以白盒的角度梳理代码,并实际操作体验业务流程,实时发现(1)

程序代码是否符合安全性要求,程序中是否存在安全漏洞,是否存在冗余代码、与功能无关的代码、接口程序是否规范、是否存在不良编码习惯,检查代码编写漏洞、接口漏洞、逻辑漏洞、函数调用漏洞等。在源代码白盒审计基础上结合使用安全扫描、黑盒渗透测试等(2)

手段,深度对代码审计成效进行评估。

形成代码审计报告,包括问题修复技术方法,持续跟进并配合(3)

整改针对代码审计出现的安全漏洞及整改过程中出现的问题,定期进行总结并指导相关开发人员进行培训,结合行方实际提出快捷有效的

修复方案。

4.

日志分析⑤

基于我行互联网接入区现有安全设备(负载、、、防毒IPS(1)DDos 墙、、等)的日志输出,对各类安全设备的日志每半月汇总并IDSAFW 分析。

根据各设备安全日志,综合分析我行互联网区安全状况及态势,(2)每半月形成报告,将安全状况以报表、图表加文字描述的形式展现。对我行互联网区入口流量、访问量进行统计,对访问来源ip(3)ip

区域进行统计。每半月形成报告,将访问情况以报表、图表加文字描述的形式展现。

根据行方要求,对报表样式可以进行定制化。(4)

相关文档
最新文档