1、二、服務內容和技術要求1. 安全服務內容：安全服務應至少包括以下內容：漏洞掃描、滲透測試、電子銀行安全評估、源代碼安全審計、日志分析、漏洞應對、網站監測、安全培訓。 對我行互聯網應用系統進行公網漏洞掃描檢測，及時發現漏洞風險并配合進行修復整改。 針對我行現有開展和后續上線的電子渠道業務系統等重要業務（門戶網站、濱海匯贏金融服務平臺、濱海·濱樂購、網上銀行、手機銀行、微銀行、現金管理平臺系統；移動APP有手機銀行等）進行全面的安全評估工作。 根據銀監會電子銀行安全評估指引要求，針對我行電子銀行進行安全評估，出具評估報告，并按照銀監會要求完成相關的報送備案工作。 根據我行應用系統需求，對

2、我行“微銀行”互聯網金融綜合服務平臺進行源代碼安全審計，配合進行問題修復，排除代碼安全隱患，提升代碼層系統安全等級。 對我行生產互聯網信息安全數據和流量數據匯總整理，并進行有效分析，定期出具直觀報表、報告。形成我行生產互聯網安全態勢的整體感知和全面反映。 針對突發的大范圍高危漏洞影響事件，協助進行漏洞技術分析及配合進行防護工作。 對我行門戶網站、濱海匯贏網站和網上銀行等重要網站進行7*24小時監控，保證我行門戶及重要網站健康平穩運行，保持良好企業形象。 對我行相關人員進行信息安全意識或技術培訓，提升人員信息安全意識水平和技術能力。在合同簽署之日起1年內提供包年安全服務（包括后續新上線的系統），

3、提供符合國家、銀行業的相關政策法規監管部門的要求及相關的安全檢查。在評估過程中，對排查發現的風險，按照對業務造成的危害、損失、程度及重要性提出整改計劃，并協助我行按時進行整改。保障我行電子銀行等重要系統自身安全、穩健、持續運行，適合銀行業務發展的需求。2. 項目技術要求： 漏洞掃描：(1)對我行現有及后續上線的互聯網系統進行全面的公網漏洞掃描工作，協助我行發現操作系統、應用、通訊傳輸層面安全漏洞。(2)供應商需要提前制定信息系統主機掃描計劃（包含掃描時間、掃描設備信息、負責人等），并嚴格按照掃描計劃開展信息系統公網漏洞掃描工作。(3)供應商在掃描開始前須對使用的掃描設備進行升級操作，確保掃描設

4、備處于最新更新狀態。(4)掃描時間須由行方統一安排指定業務閑暇時段。(5)對于掃描過程中由掃描工具等因素造成的潛在風險需提前告知行方，經行方認可允許后，方可進行掃描。(6)掃描結束后，編制主機信息系統漏洞掃描報告包括詳細的修復方案，提交至我行，督促并協助我行對信息系統的漏洞進行修復。(5)根據行方要求，適時進行復掃，檢驗修復效果。 滲透測試：(1)由安全專家模擬黑客攻擊行為通過遠程或本地方式對我行互聯網系統及手機App進行非破壞性的入侵測試，發現SQL注入、跨站腳本攻擊、非法上傳、越權等所有當前流行的技術漏洞及邏輯性漏洞，并直觀反映漏洞的潛在危害，使更加真實的了解到業務系統的安全性狀況，并為業

5、務系統提供安全指導建議。(2)測試完畢后，須出具詳細的測試報告和詳實的安全加固建議，包括且不限于漏洞修復、對APP加殼等的加固方案。(3)督促并協助我行對互聯網系統的滲透問題進行修復。(4)根據行方要求，適時進行復掃，檢驗修復效果。 電子銀行安全評估(1)根據銀監會電子銀行安全評估指引要求，針對我行電子銀行進行安全評估。(2)電子銀行安全評估至少應包括以下內容： （一）安全策略 （二）內控制度建設 （三）風險管理狀況 （四）系統安全性 （五）電子銀行業務運行連續性計劃 （六）電子銀行業務運行應急計劃 （七）電子銀行風險預警體系 （八）其他重要安全環節和機制的管理(3)評估完成后，應及時撰寫評估

6、報告，并于評估完成后1個月內向行方提交由其法定代表人或其授權委托人簽字認可的評估報告。(4)協助行方按照要求完成向相關監管機構的報送報備工作。 源代碼安全審計(1)以白盒的角度梳理代碼，并實際操作體驗業務流程，實時發現程序代碼是否符合安全性要求，程序中是否存在安全漏洞，是否存在冗余代碼、與功能無關的代碼、接口程序是否規范、是否存在不良編碼習慣，檢查代碼編寫漏洞、接口漏洞、邏輯漏洞、函數調用漏洞等。(2)在源代碼白盒審計基礎上結合使用安全掃描、黑盒滲透測試等手段，深度對代碼審計成效進行評估。(3)形成代碼審計報告，包括問題修復技術方法，持續跟進并配合整改針對代碼審計出現的安全漏洞及整改過程中出現

7、的問題，定期進行總結并指導相關開發人員進行培訓，結合行方實際提出快捷有效的修復方案。 日志分析(1)基于我行互聯網接入區現有安全設備（負載、DDos、IPS、防毒墻、WAF、IDS等）的日志輸出，對各類安全設備的日志每半月匯總并分析。(2)根據各設備安全日志，綜合分析我行互聯網區安全狀況及態勢，每半月形成報告，將安全狀況以報表、圖表加文字描述的形式展現。(3)對我行互聯網區入口流量、ip訪問量進行統計，對訪問ip來源區域進行統計。每半月形成報告，將訪問情況以報表、圖表加文字描述的形式展現。(4)根據行方要求，對報表樣式可以進行定制化。 漏洞應對(1)針對突發的大范圍影響的高危漏洞事件進行確認，

8、對漏洞利用原理及傳播途徑進行技術分析，對可能造成的危害程度及影響范圍作出有效預估。(2)針對官方發布漏洞修復補丁進行驗證，在我行搭建的有效測試環境中進行補丁安裝測試，確保補丁安裝平穩有效，不影響系統正常運行。(3)協助撰寫漏洞修復文字通告等。(4)補丁安裝推廣過程中，如反映有報錯等情況，協助行方進行處理。 網站監測(1)實時監控HTTP/HTTPS網站域名可訪問情況發現問題實時預警，所監控的異常類型包括DNS解析異常、協議錯誤、URL不合法、socket連接請求被拒絕等。(2)監測我行各網站動態解析域名所對應的IP地址，一旦發現所解析出來的IP地址與預先設定的值不相符則發出告警。(3)利用搜索

9、引擎技術，通過所配置的頻率對網頁進行循環掃描，對網站靜態頁面（html、htm等）、腳本（包括css、javascript、vbscript等）、圖片、可執行文件（如EXE文件、activeX控件等）及網站其他資源進行統計分析。監控范圍包括網站內部資源（本域名下的資源）和網站外部資源（非本域名下的外鏈）。(4)利用豐富的掛馬特征庫對網頁中存在的木馬、病毒、惡意腳本等惡意代碼進行定性分析和預警。(5)對網站文字進行自動化提取分析，通過比對非法文字特征庫，對滿足特征的文字（反動、分裂、暴力、色情等）進行定性分析預警。(6)對網站內容變動情況進行審計，包括新增、刪除鏈接等。(7)針對門戶網站、濱海匯

10、贏網站和網上銀行，提供全站頁面的掛馬、敏感內容的分級監測服務，包括一級頁面、二級頁面、三級頁面。每半月向行方交付一次漏洞掃描報告及事件監測報告。遇突發事件時，需提供及時性的臨時事件網站監控報告。(8)供應商需采用自動監控加人工監控相結合的方式，利用自動化檢測平臺，組建7×24人工值守團隊，提供專家全天候實時分析服務。(9)當有站點可用性、DNS域名解析事件、掛馬事件、篡改事件、敏感內容事件發生時，及時通過郵件、短信、電話通知行方。(10)網站監控產品需符合國家安全標準、法律法規，需提供相關的產品登記證明。 安全培訓(1)根據行方要求，主要以講座的形式對行內員工進行信息安全意識或技術的

11、相關培訓。每年一次。(2)配合行方做好培訓工作的相關記錄，包括培訓方案、簽到表、培訓總結等。(3)依據行方需求的信息安全技術培訓。3.項目方案要求： 供應商依據項目實施要求提出可行的項目實施方案，包括但不僅限于項目評估方法論，項目實施風險和規避措施，項目管理（項目溝通、項目運作、項目組織管理、保密方案等），項目實施計劃（按照我方要求按時完成工作），項目關鍵階段、項目驗收交付物等。4.項目人員要求：供應商擬投入本項目的人員及簡介，及保證服務團隊穩定做出詳細說明，包括且不限于：（1）需包括姓名、年齡、學歷、專業、職務、業務專長、資質、相關工作經歷，以及在相關項目中承擔的任務和在本項目中的角色。（2

12、）項目經理具有5年以上信息安全相關工作經驗，至少須具備CISP、ISO27001LA、PMP、ITIL同級別或更高級別證書其中1項資質證書，具有較強的責任心，具有較強的組織、協調、溝通、學習能力，具有完成日常巡檢安全設備的能力、學習使用各安全設備的能力、分析各安全設備日志的能力、使用信息安全檢測軟件的能力和提出修復安全漏洞方案的能力。（3）團隊所有成員需具有近3年國內至少2個類似項目成功實施經驗,1年以上信息安全工作經驗，能協助完成日常巡檢安全設備的工作、分析各安全設備日志的工作和使用信息安全檢測軟件發現安全漏洞的工作，具備較強的責任心、學習能力和溝通能力。（4）當安全評估發現安全問題時，供應

13、商應提供相應領域（如網絡、主機、編程等領域）高級技術專家或具有高級資質認證的專業技術人員配合行方進行問題分析及制定整改計劃。（5）項目所有實施成員必須為競爭性磋商時遞交材料中的原廠人員，未經采購人允許不得更換。（6）當發生重大信息安全事件時，專業工程師須15分鐘內響應并在1小時內到達現場提供技術服務，給出應對加固、整改方案，并對業務部門的加固整改進行指導，故障問題必須在4小時內處理完畢；對已經發生的并處理完畢的安全事件撰寫分析處理報告，就風險或事件的描述，危害內容，發生的原因、排查過程、處置方法進行詳細說明.（7）合同期內，供應商需按照行方的服務管理規范和業務管理規范提供規范服務。6.項目驗收