服务内容和技术要求

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

二、服务内容和技术要求

1. 安全服务内容:

安全服务应至少包括以下内容:漏洞扫描、渗透测试、电子银行安全评估、源代码安全审计、日志分析、漏洞应对、网站监测、安全培训。

①对我行互联网应用系统进行公网漏洞扫描检测,及时发现漏洞风险并配合进行修复整改。

②针对我行现有开展和后续上线的电子渠道业务系统等重要业务(门户网站、滨海汇赢金融服务平台、滨海·滨乐购、网上银行、手机银行、微银行、现金管理平台系统;移动APP有手机银行等)进行全面的安全评估工作。

③根据银监会《电子银行安全评估指引》要求,针对我行电子银行进行安全评估,出具评估报告,并按照银监会要求完成相关的报送备案工作。

④根据我行应用系统需求,对我行“微银行”互联网金融综合服务平台进行源代码安全审计,配合进行问题修复,排除代码安全隐患,提升代码层系统安全等级。

⑤对我行生产互联网信息安全数据和流量数据汇总整理,并进行有效分析,定期出具直观报表、报告。形成我行生产互联网安全态势的整体感知和全面反映。

⑥针对突发的大范围高危漏洞影响事件,协助进行漏洞技术分析及配合进行防护工作。

⑦对我行门户网站、滨海汇赢网站和网上银行等重要网站进行7*24小时监控,保证我行门户及重要网站健康平稳运行,保持良好企业形象。

⑧对我行相关人员进行信息安全意识或技术培训,提升人员信息安全意识水平和技术能力。

在合同签署之日起1年内提供包年安全服务(包括后续新上线的系统),提供符合国家、银行业的相关政策法规监管部门的要求及相关的安全检查。在评估过程中,对排查发现的风险,按照对业务造成的危害、损失、程度及重要性提出整改计划,并协助我行按时进行整改。保障我行电子银行等重要系统自身安全、稳健、持续运行,适合银行业务发展的需求。

2. 项目技术要求:

①漏洞扫描:

(1)对我行现有及后续上线的互联网系统进行全面的公网漏洞扫描工作,协助我行发现操作系统、应用、通讯传输层面安全漏洞。

(2)供应商需要提前制定信息系统主机扫描计划(包含扫描时间、扫描设备信息、负责人等),并严格按照扫描计划开展信息系统公网漏洞扫描工作。

(3)供应商在扫描开始前须对使用的扫描设备进行升级操作,确保扫描设备处于最新更新状态。

(4)扫描时间须由行方统一安排指定业务闲暇时段。

(5)对于扫描过程中由扫描工具等因素造成的潜在风险需提前告知行方,经行方认可允许后,方可进行扫描。

(6)扫描结束后,编制主机信息系统漏洞扫描报告包括详细的修复方案,提交至我行,督促并协助我行对信息系统的漏洞进行修复。

(5)根据行方要求,适时进行复扫,检验修复效果。

②渗透测试:

(1)由安全专家模拟黑客攻击行为通过远程或本地方式对我行互联网系统及手机App进行非破坏性的入侵测试,发现SQL注入、跨站脚本攻击、非法上传、越权等所有当前流行的技术漏洞及逻辑性漏洞,并直观反映漏洞的潜在危害,使更加真实的了解到业务系统的安全性状况,并为业务系统提供安全指导建议。

(2)测试完毕后,须出具详细的测试报告和详实的安全加固建议,包括且不限于漏洞修复、对APP加壳等的加固方案。

(3)督促并协助我行对互联网系统的渗透问题进行修复。

(4)根据行方要求,适时进行复扫,检验修复效果。

③电子银行安全评估

(1)根据银监会《电子银行安全评估指引》要求,针对我行电子银行进行安全评估。

(2)电子银行安全评估至少应包括以下内容:

(一)安全策略

(二)内控制度建设

(三)风险管理状况

(四)系统安全性

(五)电子银行业务运行连续性计划

(六)电子银行业务运行应急计划

(七)电子银行风险预警体系

(八)其他重要安全环节和机制的管理

(3)评估完成后,应及时撰写评估报告,并于评估完成后1个月内向行方提交由其法定代表人或其授权委托人签字认可的评估报告。

(4)协助行方按照要求完成向相关监管机构的报送报备工作。

④源代码安全审计

(1)以白盒的角度梳理代码,并实际操作体验业务流程,实时发现程序代码是否符合安全性要求,程序中是否存在安全漏洞,是否存在冗余代码、与功能无关的代码、接口程序是否规范、是否存在不良编码习惯,检查代码编写漏洞、接口漏洞、逻辑漏洞、函数调用漏洞等。

(2)在源代码白盒审计基础上结合使用安全扫描、黑盒渗透测试等手段,深度对代码审计成效进行评估。

(3)形成代码审计报告,包括问题修复技术方法,持续跟进并配合整改针对代码审计出现的安全漏洞及整改过程中出现的问题,定期进行总结并指导相关开发人员进行培训,结合行方实际提出快捷有效的修复方案。

⑤日志分析

(1)基于我行互联网接入区现有安全设备(负载、DDos、IPS、防毒墙、WAF、IDS等)的日志输出,对各类安全设备的日志每半月汇总并分析。

(2)根据各设备安全日志,综合分析我行互联网区安全状况及态势,每半月形成报告,将安全状况以报表、图表加文字描述的形式展现。

(3)对我行互联网区入口流量、ip访问量进行统计,对访问ip来源区域进行统计。每半月形成报告,将访问情况以报表、图表加文字描述的形式展现。

(4)根据行方要求,对报表样式可以进行定制化。

⑥漏洞应对

(1)针对突发的大范围影响的高危漏洞事件进行确认,对漏洞利用原理及传播途径进行技术分析,对可能造成的危害程度及影响范围作出有效预估。

(2)针对官方发布漏洞修复补丁进行验证,在我行搭建的有效测试环境中进行补丁安装测试,确保补丁安装平稳有效,不影响系统正常运行。

(3)协助撰写漏洞修复文字通告等。

(4)补丁安装推广过程中,如反映有报错等情况,协助行方进行处理。

⑦网站监测

相关文档
最新文档