源代码安全扫描及服务技术方案(PPT37张)

软件平台运维服务方案软件平台系统运维方案1.技术支持服务我们提供以下技术支持服务：400电话支持、线上客服、远程服务。

我们有两名专门负责客服服务的人员。

我们专门成立了CallCenter团队，以确保平台的技术支持服务工作得到保障。

我们收集并整理相关问题记录，最终形成问题库，以便更好地为客户提供相应服务。

我们主要提供的服务包括通话录音、智能来电分配、客服工号播报和服务评分。

2.运维服务2.1 基础运维我们主要从物理安全、网络安全、主机安全、应用安全、数据安全以及日常设备巡检六个层面分别进行。

具体内容如下：1) 物理安全：我们针对信息系统所处的物理环境即机房、线路、基础支撑设施等进行标准符合性识别。

主要包含物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面。

我们针对各个风控点安排相应的技术人员进行排查。

2) 网络安全：我们对工作范围内的网络与安全设备、网络架构进行网络安全符合性排查检验。

主要包含结构安全与网段划分、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护等方面。

我们针对各个风控点安排相应的技术人员进行排查。

3) 主机安全：我们针对身份鉴别、访问控制、安全审计、系统保护、入侵防护、恶意代码防护、资源控制等方面进行排查。

我们针对各个风控点安排相应的技术人员进行排查。

2.2 技术支持服务我们提供远程协助服务，主要通过远程终端操作，解决用户在使用系统过程中遇到的各类问题。

2.3 客服满意度我们采用“一问一答”闭环式关闭所有问题，并对相关问题形成完整问题记录库。

对于400电话，所有通话至少保留10个工作日通话语音记录，以便以后追责。

我们启用客服满意度评估机制，有效提高客服满意度。

3.线上客服我们的线上客服主要为广大用户提供两大类服务。

主要服务内容包括问题查找和提交工单。

系统会自动根据当前用户所关心的问题，列出最近的相关问题，并对问题进行分类展示。

采购需求及技术服务要求2021年Checkmarx源代码安全扫描工具软件维护服务项目一、工单化要求、项目结果指标、过程指标的考核付款要求概述乙方及其所代理原厂商（以下统称“乙方”），需根据甲方制定的操作规程及相关制度提供服务，乙方所有服务工作内容需做到工单化，甲方的工单系统包括不限于：新运维服务管理系统、JIRA系统、坐席支持系统。

针对本项目，甲方采取“以结果为导向的过程管理”的项目管理方式，结果与过程兼顾的考核方式。

采购需求及技术服务要求，包含项目结果与项目过程两个方面。

项目结果是项目预期达到的目标。

项目过程是用于实现项目结果的相关具体服务内容。

甲方将依据工单记录，对乙方实际达到的项目结果指标及过程指标进行考核，如未达到合同约定指标的，按合同条款，经甲乙双方协商一致后，甲方向乙方支付合同费用，将扣除考核不合格相应部分金额。

甲方有权在合同执行过程中，根据每周统计的工单结果，对乙方服务情况、工单化情况进行评价和预警，乙方有义务整改。

二、服务对象序号品牌软件名称 Checkmarx CxEnterprise 永久license网络版源代码安全扫描工具数量数量单位服务起始日期（年月日） 2021年8月3日服务终止日期（年月日） 2021年8月2日 1 以色列 Checkmarx公司 1 套 1/8备注:若合同签署日期晚于2021年8月3日，则服务期限以合同签署之日起计算满一年。

三、项目结果指标、项目过程指标说明项目结果指标，将从可用性（慢不慢）、连续性（断不断）、安全性三个方面细化，详见下表。

（一）项目结果指标体系序号 1 2 3 4 5 1、可用性定义：协议可用时间定义为：自合同约定期限一年内，共计365天，每天24小时计算，服务期限为 365*24=8760小时计划外宕机时间定义为：基于本项目，因系统软件本身原因或原厂商维护人员未按照运维规范进行运维操作的原因导致，双方认可的宕机时间。

根据新运维系统对发生的事件单进行提数，确认计划外停机的事件单，根据事件单的解决时长确认计划外宕机时间。

二、服务内容和技术要求1. 安全服务内容：安全服务应至少包括以下内容：漏洞扫描、渗透测试、电子银行安全评估、源代码安全审计、日志分析、漏洞应对、网站监测、安全培训。

①对我行互联网应用系统进行公网漏洞扫描检测，及时发现漏洞风险并配合进行修复整改。

②针对我行现有开展和后续上线的电子渠道业务系统等重要业务（门户网站、滨海汇赢金融服务平台、滨海·滨乐购、网上银行、手机银行、微银行、现金管理平台系统；移动APP有手机银行等）进行全面的安全评估工作。

③根据银监会《电子银行安全评估指引》要求，针对我行电子银行进行安全评估，出具评估报告，并按照银监会要求完成相关的报送备案工作。

④根据我行应用系统需求，对我行“微银行”互联网金融综合服务平台进行源代码安全审计，配合进行问题修复，排除代码安全隐患，提升代码层系统安全等级。

⑤对我行生产互联网信息安全数据和流量数据汇总整理，并进行有效分析，定期出具直观报表、报告。

形成我行生产互联网安全态势的整体感知和全面反映。

⑥针对突发的大范围高危漏洞影响事件，协助进行漏洞技术分析及配合进行防护工作。

⑦对我行门户网站、滨海汇赢网站和网上银行等重要网站进行7*24小时监控，保证我行门户及重要网站健康平稳运行，保持良好企业形象。

⑧对我行相关人员进行信息安全意识或技术培训，提升人员信息安全意识水平和技术能力。

在合同签署之日起1年内提供包年安全服务（包括后续新上线的系统），提供符合国家、银行业的相关政策法规监管部门的要求及相关的安全检查。

在评估过程中，对排查发现的风险，按照对业务造成的危害、损失、程度及重要性提出整改计划，并协助我行按时进行整改。

保障我行电子银行等重要系统自身安全、稳健、持续运行，适合银行业务发展的需求。

2. 项目技术要求：①漏洞扫描：(1)对我行现有及后续上线的互联网系统进行全面的公网漏洞扫描工作，协助我行发现操作系统、应用、通讯传输层面安全漏洞。

(2)供应商需要提前制定信息系统主机扫描计划（包含扫描时间、扫描设备信息、负责人等），并严格按照扫描计划开展信息系统公网漏洞扫描工作。

E1000 系列扫描仪使用指南SuperSpeed USB Trident 徽标是 USB Implementers Forum, Inc. 的注册商标。

第三方许可证This software is based in part on the work of the Independent JPEG GroupCopyright (C)2009-2013 D. R. Commander. All Rights Reserved.Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met:-Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer.-Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution.-Neither the name of the libjpeg-turbo Project nor the names of its contributors may be used to endorse or promote products derived from this software without specific prior written permission.THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS", AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT HOLDERS OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.开放源代码软件授权有关扫描仪中固件的开放原代码软件授权的其他资讯，可在扫描验证工具中查找：安装 > 设置 > 设备“常规”选项卡 > “诊断”“日志”选项卡 > 从下拉菜单中选择许可。

Checkmarx CxEnterprise企业版静态源代码扫描管理方案介绍北京时代新威信息技术有限公司2012-2-51CHECKMARX CXENTERPRISE简介 (3)2CHECKMARX CXENTERPRISE 主要功能组件 (4)3CHECKMARX CXENTERPRISE主要功能及特性 (5)4CHECKMARX CXENTERPRISE部分功能界面展示 (8)1Checkmarx CxEnterprise简介以色列Checkmarx公司的CxEnterprise静态源代码安全漏洞扫描和管理方案是业界最全面的、综合的源代码安全扫描和管理方案，该方案提供用户、角色和团队管理、权限管理、扫描结果管理、扫描调度和自动化管理、扫描资源管理、查询规则管理、扫描策略管理、更新管理、报表管理等多种企业环境下实施源代码安全扫描和管理功能。

最大化方便和节约了企业源代码安全开发、扫描、审计和风险管理的成本和开销。

其无与伦比的准确性和方便的企业部署和实施的特性赢得了全球众多客户的青睐。

比如、道琼斯（新闻集团）、雅高、NDS公司、美国陆军、Amdocs等都在采用这种新一代的静态分析技术做源代码安全检测和风险评估。

至今，Checkmarx的客户量数目庞大，其中包括涉及电信、金融银行、保险、汽车、媒体娱乐、软件、服务和军事等行业的财富1000的企业。

2010年4月15日Checkmark被全球领先的行业分析公司Gartner 评为“2010年度最酷应用安全供应商”“Checkmarx is the first code analysis company that can inspect and summarize application security risk quickly, non-intrusively and with tremendous accuracy 。

”--- 摘自Gartner “Cool Vendors in Application Security, 2010”报告。