泉州銀行呼叫中心系統(tǒng)擴(kuò)容升級(jí)項(xiàng)目

1、專業(yè) .專注二、服務(wù)內(nèi)容和技術(shù)要求1. 安全服務(wù)內(nèi)容 ：安全服務(wù)應(yīng)至少包括以下內(nèi)容 ：漏洞掃描 、滲透測試 、電子銀行安全評(píng)估 、源代碼安全審計(jì) 、日志分析 、漏洞應(yīng)對 、網(wǎng)站監(jiān)測 、安全培訓(xùn)。對我行互聯(lián)網(wǎng)應(yīng)用系統(tǒng)進(jìn)行公網(wǎng)漏洞掃描檢測 ，及時(shí)發(fā)現(xiàn)漏洞風(fēng)險(xiǎn)并配合進(jìn)行修復(fù)整改 。 針對我行現(xiàn)有開展和后續(xù)上線的電子渠道業(yè)務(wù)系統(tǒng)等重要業(yè)務(wù)（門戶網(wǎng)站 、濱海匯贏金融服務(wù)平臺(tái) 、濱海 ·濱樂購 、網(wǎng)上銀行 、手機(jī)銀行 、微銀行、現(xiàn)金管理平臺(tái)系統(tǒng) ；移動(dòng) APP 有手機(jī)銀行等 ）進(jìn)行全面的安全評(píng)估工作 。 根據(jù)銀監(jiān)會(huì) 電子銀行安全評(píng)估指引 要求，針對我行電子銀行進(jìn)行安全評(píng)估 ，出具評(píng)估報(bào)告 ，并按

2、照銀監(jiān)會(huì)要求完成相關(guān)的報(bào)送備案工作 。 根據(jù)我行應(yīng)用系統(tǒng)需求 ，對我行 “微銀行 ”互聯(lián)網(wǎng)金融綜合服務(wù)平臺(tái)進(jìn)行源代碼安全審計(jì) ，配合進(jìn)行問題修復(fù) ，排除代碼安全隱患，提升代碼層系統(tǒng)安全等級(jí) 。 對我行生產(chǎn)互聯(lián)網(wǎng)信息安全數(shù)據(jù)和流量數(shù)據(jù)匯總整理 ，并進(jìn)行有效分析 ，定期出具直觀報(bào)表 、報(bào)告。形成我行生產(chǎn)互聯(lián)網(wǎng)安全態(tài)勢的整體感知和全面反映 。.學(xué)習(xí)參考.專業(yè) .專注 針對突發(fā)的大范圍高危漏洞影響事件 ，協(xié)助進(jìn)行漏洞技術(shù)分析及配合進(jìn)行防護(hù)工作 。 對我行門戶網(wǎng)站 、濱海匯贏網(wǎng)站和網(wǎng)上銀行等重要網(wǎng)站進(jìn)行7*24 小時(shí)監(jiān)控 ，保證我行門戶及重要網(wǎng)站健康平穩(wěn)運(yùn)行 ，保持良好企業(yè)形象 。 對我行相關(guān)人員進(jìn)行信

3、息安全意識(shí)或技術(shù)培訓(xùn) ，提升人員信息安全意識(shí)水平和技術(shù)能力 。在合同簽署之日起 1 年內(nèi)提供包年安全服務(wù) （包括后續(xù)新上線的系統(tǒng)），提供符合國家 、銀行業(yè)的相關(guān)政策法規(guī)監(jiān)管部門的要求及相關(guān)的安全檢查 。在評(píng)估過程中 ，對排查發(fā)現(xiàn)的風(fēng)險(xiǎn) ，按照對業(yè)務(wù)造成的危害 、損失、程度及重要性提出整改計(jì)劃 ，并協(xié)助我行按時(shí)進(jìn)行整改 。保障我行電子銀行等重要系統(tǒng)自身安全 、穩(wěn)健、持續(xù)運(yùn)行，適合銀行業(yè)務(wù)發(fā)展的需求 。2. 項(xiàng)目技術(shù)要求 ： 漏洞掃描 ：(1)對我行現(xiàn)有及后續(xù)上線的互聯(lián)網(wǎng)系統(tǒng)進(jìn)行全面的公網(wǎng)漏洞掃描工作，協(xié)助我行發(fā)現(xiàn)操作系統(tǒng)、應(yīng)用、通訊傳輸層面安全漏洞 。(2)供應(yīng)商需要提前制定信息系統(tǒng)主機(jī)掃描計(jì)劃

4、 （包含掃描時(shí)間、掃描設(shè)備信息 、負(fù)責(zé)人等 ），并嚴(yán)格按照掃描計(jì)劃開展信息系統(tǒng)公網(wǎng)漏洞掃描工作 。.學(xué)習(xí)參考.專業(yè) .專注(3)供應(yīng)商在掃描開始前須對使用的掃描設(shè)備進(jìn)行升級(jí)操作，確保掃描設(shè)備處于最新更新狀態(tài)。(4)掃描時(shí)間須由行方統(tǒng)一安排指定業(yè)務(wù)閑暇時(shí)段。(5)對于掃描過程中由掃描工具等因素造成的潛在風(fēng)險(xiǎn)需提前告知行方，經(jīng)行方認(rèn)可允許后 ，方可進(jìn)行掃描 。(6)掃描結(jié)束后 ，編制主機(jī)信息系統(tǒng)漏洞掃描報(bào)告包括詳細(xì)的修復(fù)方案，提交至我行 ，督促并協(xié)助我行對信息系統(tǒng)的漏洞進(jìn)行修復(fù)。(5)根據(jù)行方要求 ，適時(shí)進(jìn)行復(fù)掃 ，檢驗(yàn)修復(fù)效果 。 滲透測試 ：(1)由安全專家模擬黑客攻擊行為通過遠(yuǎn)程或本地方式對

5、我行互聯(lián)網(wǎng)系統(tǒng)及手機(jī) App 進(jìn)行非破壞性的入侵測試 ，發(fā)現(xiàn) SQL 注入、跨站腳本攻擊 、非法上傳 、越權(quán)等所有當(dāng)前流行的技術(shù)漏洞及邏輯性漏洞，并直觀反映漏洞的潛在危害 ，使更加真實(shí)的了解到業(yè)務(wù)系統(tǒng)的安全性狀況 ，并為業(yè)務(wù)系統(tǒng)提供安全指導(dǎo)建議 。(2)測試完畢后 ，須出具詳細(xì)的測試報(bào)告和詳實(shí)的安全加固建議，包括且不限于漏洞修復(fù) 、對 APP 加殼等的加固方案 。(3)督促并協(xié)助我行對互聯(lián)網(wǎng)系統(tǒng)的滲透問題進(jìn)行修復(fù)。(4)根據(jù)行方要求 ，適時(shí)進(jìn)行復(fù)掃 ，檢驗(yàn)修復(fù)效果 。 電子銀行安全評(píng)估(1)根據(jù)銀監(jiān)會(huì) 電子銀行安全評(píng)估指引 要求，針對我行電子銀行進(jìn)行安全評(píng)估 。.學(xué)習(xí)參考.專業(yè) .專注(2)電

6、子銀行安全評(píng)估至少應(yīng)包括以下內(nèi)容：（一）安全策略（二）內(nèi)控制度建設(shè)（三）風(fēng)險(xiǎn)管理狀況（四）系統(tǒng)安全性（五）電子銀行業(yè)務(wù)運(yùn)行連續(xù)性計(jì)劃（六）電子銀行業(yè)務(wù)運(yùn)行應(yīng)急計(jì)劃（七）電子銀行風(fēng)險(xiǎn)預(yù)警體系（八）其他重要安全環(huán)節(jié)和機(jī)制的管理(3)評(píng)估完成后 ，應(yīng)及時(shí)撰寫評(píng)估報(bào)告 ，并于評(píng)估完成后1 個(gè)月內(nèi)向行方提交由其法定代表人或其授權(quán)委托人簽字認(rèn)可的評(píng)估報(bào)告。(4)協(xié)助行方按照要求完成向相關(guān)監(jiān)管機(jī)構(gòu)的報(bào)送報(bào)備工作。 源代碼安全審計(jì)(1)以白盒的角度梳理代碼 ，并實(shí)際操作體驗(yàn)業(yè)務(wù)流程 ，實(shí)時(shí)發(fā)現(xiàn)程序代碼是否符合安全性要求 ，程序中是否存在安全漏洞 ，是否存在冗余代碼 、與功能無關(guān)的代碼 、接口程序是否規(guī)范 、是

7、否存在不良編碼習(xí)慣 ，檢查代碼編寫漏洞 、接口漏洞 、邏輯漏洞、函數(shù)調(diào)用漏洞等 。(2)在源代碼白盒審計(jì)基礎(chǔ)上結(jié)合使用安全掃描 、黑盒滲透測試等手段，深度對代碼審計(jì)成效進(jìn)行評(píng)估 。.學(xué)習(xí)參考.專業(yè) .專注(3)形成代碼審計(jì)報(bào)告 ，包括問題修復(fù)技術(shù)方法，持續(xù)跟進(jìn)并配合整改針對代碼審計(jì)出現(xiàn)的安全漏洞及整改過程中出現(xiàn)的問題 ，定期進(jìn)行總結(jié)并指導(dǎo)相關(guān)開發(fā)人員進(jìn)行培訓(xùn) ，結(jié)合行方實(shí)際提出快捷有效的修復(fù)方案 。 日志分析(1)基于我行互聯(lián)網(wǎng)接入?yún)^(qū)現(xiàn)有安全設(shè)備 （負(fù)載、DDos 、IPS、防毒墻、WAF、IDS 等）的日志輸出 ，對各類安全設(shè)備的日志每半月匯總并分析 。(2)根據(jù)各設(shè)備安全日志 ，綜合分析我

8、行互聯(lián)網(wǎng)區(qū)安全狀況及態(tài)勢，每半月形成報(bào)告 ，將安全狀況以報(bào)表 、圖表加文字描述的形式展現(xiàn)。(3)對我行互聯(lián)網(wǎng)區(qū)入口流量 、ip 訪問量進(jìn)行統(tǒng)計(jì) ，對訪問 ip 來源區(qū)域進(jìn)行統(tǒng)計(jì) 。每半月形成報(bào)告 ，將訪問情況以報(bào)表 、圖表加文字描述的形式展現(xiàn) 。(4)根據(jù)行方要求 ，對報(bào)表樣式可以進(jìn)行定制化。 漏洞應(yīng)對(1)針對突發(fā)的大范圍影響的高危漏洞事件進(jìn)行確認(rèn) ，對漏洞利用原理及傳播途徑進(jìn)行技術(shù)分析 ，對可能造成的危害程度及影響范圍作出有效預(yù)估 。(2)針對官方發(fā)布漏洞修復(fù)補(bǔ)丁進(jìn)行驗(yàn)證 ，在我行搭建的有效測試環(huán)境中進(jìn)行補(bǔ)丁安裝測試 ，確保補(bǔ)丁安裝平穩(wěn)有效 ，不影響系統(tǒng)正常運(yùn)行 。.學(xué)習(xí)參考.專業(yè) .專注

9、(3)協(xié)助撰寫漏洞修復(fù)文字通告等。(4)補(bǔ)丁安裝推廣過程中 ，如反映有報(bào)錯(cuò)等情況 ，協(xié)助行方進(jìn)行處理。 網(wǎng)站監(jiān)測(1)實(shí)時(shí)監(jiān)控 HTTP/HTTPS 網(wǎng)站域名可訪問情況發(fā)現(xiàn)問題實(shí)時(shí)預(yù)警，所監(jiān)控的異常類型包括 DNS 解析異常 、協(xié)議錯(cuò)誤 、URL 不合法、socket 連接請求被拒絕等 。(2)監(jiān)測我行各網(wǎng)站動(dòng)態(tài)解析域名所對應(yīng)的IP 地址，一旦發(fā)現(xiàn)所解析出來的 IP 地址與預(yù)先設(shè)定的值不相符則發(fā)出告警。(3)利用搜索引擎技術(shù) ，通過所配置的頻率對網(wǎng)頁進(jìn)行循環(huán)掃描，對網(wǎng)站靜態(tài)頁面 （html 、htm 等）、腳本（包括 css、 javascript 、vbscript 等）、圖片、可執(zhí)行文件

10、（如 EXE文件、 activeX 控件等）及網(wǎng)站其他資源進(jìn)行統(tǒng)計(jì)分析 。監(jiān)控范圍包括網(wǎng)站內(nèi)部資源 （本域名下的資源 ）和網(wǎng)站外部資源 （非本域名下的外鏈）。(4)利用豐富的掛馬特征庫對網(wǎng)頁中存在的木馬 、病毒、惡意腳本等惡意代碼進(jìn)行定性分析和預(yù)警 。(5)對網(wǎng)站文字進(jìn)行自動(dòng)化提取分析，通過比對非法文字特征庫，對滿足特征的文字 （反動(dòng)、分裂、暴力、色情等）進(jìn)行定性分析預(yù)警。(6)對網(wǎng)站內(nèi)容變動(dòng)情況進(jìn)行審計(jì)，包括新增 、刪除鏈接等 。.學(xué)習(xí)參考.專業(yè) .專注(7)針對門戶網(wǎng)站 、濱海匯贏網(wǎng)站和網(wǎng)上銀行 ，提供全站頁面的掛馬、敏感內(nèi)容的分級(jí)監(jiān)測服務(wù) ，包括一級(jí)頁面 、二級(jí)頁面 、三級(jí)頁面。每半月向

11、行方交付一次漏洞掃描報(bào)告及事件監(jiān)測報(bào)告 。遇突發(fā)事件時(shí) ，需提供及時(shí)性的臨時(shí)事件網(wǎng)站監(jiān)控報(bào)告 。(8)供應(yīng)商需采用自動(dòng)監(jiān)控加人工監(jiān)控相結(jié)合的方式 ，利用自動(dòng)化檢測平臺(tái) ，組建 7×24 人工值守團(tuán)隊(duì) ，提供專家全天候?qū)崟r(shí)分析服務(wù)。(9)當(dāng)有站點(diǎn)可用性 、DNS 域名解析事件 、掛馬事件 、篡改事件、敏感內(nèi)容事件發(fā)生時(shí) ，及時(shí)通過郵件 、短信、電話通知行方 。(10)網(wǎng)站監(jiān)控產(chǎn)品需符合國家安全標(biāo)準(zhǔn) 、法律法規(guī) ，需提供相關(guān)的產(chǎn)品登記證明 。 安全培訓(xùn)(1)根據(jù)行方要求 ，主要以講座的形式對行內(nèi)員工進(jìn)行信息安全意識(shí)或技術(shù)的相關(guān)培訓(xùn) 。每年一次 。(2)配合行方做好培訓(xùn)工作的相關(guān)記錄，包括

12、培訓(xùn)方案 、簽到表、培訓(xùn)總結(jié)等 。(3)依據(jù)行方需求的信息安全技術(shù)培訓(xùn)。3. 項(xiàng)目方案要求 ：供應(yīng)商依據(jù)項(xiàng)目實(shí)施要求提出可行的項(xiàng)目實(shí)施方案 ，包括但不僅限于項(xiàng)目評(píng)估方法論 ，項(xiàng)目實(shí)施風(fēng)險(xiǎn)和規(guī)避措施 ，項(xiàng)目管理 （項(xiàng)目溝通、項(xiàng)目運(yùn)作 、項(xiàng)目組織管理 、保密方案等 ），項(xiàng)目實(shí)施計(jì)劃.學(xué)習(xí)參考.專業(yè) .專注（按照我方要求按時(shí)完成工作），項(xiàng)目關(guān)鍵階段 、項(xiàng)目驗(yàn)收交付物等。4. 項(xiàng)目人員要求 ：供應(yīng)商擬投入本項(xiàng)目的人員及簡介 ，及保證服務(wù)團(tuán)隊(duì)穩(wěn)定做出詳細(xì)說明 ，包括且不限于 ：（1）需包括姓名 、年齡、學(xué)歷、專業(yè)、職務(wù)、業(yè)務(wù)專長 、資質(zhì)、相關(guān)工作經(jīng)歷 ，以及在相關(guān)項(xiàng)目中承擔(dān)的任務(wù)和在本項(xiàng)目中的角色。（2

13、）項(xiàng)目經(jīng)理具有 5 年以上信息安全相關(guān)工作經(jīng)驗(yàn)，至少須具備 CISP、ISO27001LA 、PMP、ITIL 同級(jí)別或更高級(jí)別證書其中 1 項(xiàng)資質(zhì)證書 ，具有較強(qiáng)的責(zé)任心 ，具有較強(qiáng)的組織 、協(xié)調(diào)、溝通、學(xué)習(xí)能力，具有完成日常巡檢安全設(shè)備的能力 、學(xué)習(xí)使用各安全設(shè)備的能力、分析各安全設(shè)備日志的能力 、使用信息安全檢測軟件的能力和提出修復(fù)安全漏洞方案的能力 。（3）團(tuán)隊(duì)所有成員需具有近 3 年國內(nèi)至少 2 個(gè)類似項(xiàng)目成功實(shí)施經(jīng)驗(yàn) ,1 年以上信息安全工作經(jīng)驗(yàn) ，能協(xié)助完成日常巡檢安全設(shè)備的工作、分析各安全設(shè)備日志的工作和使用信息安全檢測軟件發(fā)現(xiàn)安全漏洞的工作 ，具備較強(qiáng)的責(zé)任心 、學(xué)習(xí)能力和溝

14、通能力 。（4）當(dāng)安全評(píng)估發(fā)現(xiàn)安全問題時(shí) ，供應(yīng)商應(yīng)提供相應(yīng)領(lǐng)域 （如網(wǎng)絡(luò)、主機(jī)、編程等領(lǐng)域 ）高級(jí)技術(shù)專家或具有高級(jí)資質(zhì)認(rèn)證的專業(yè)技術(shù)人員配合行方進(jìn)行問題分析及制定整改計(jì)劃 。.學(xué)習(xí)參考.專業(yè) .專注（5）項(xiàng)目所有實(shí)施成員必須為競爭性磋商時(shí)遞交材料中的原廠人員，未經(jīng)采購人允許不得更換 。（6）當(dāng)發(fā)生重大信息安全事件時(shí) ，專業(yè)工程師須 15 分鐘內(nèi)響應(yīng)并在 1 小時(shí)內(nèi)到達(dá)現(xiàn)場提供技術(shù)服務(wù) ，給出應(yīng)對加固 、整改方案 ，并對業(yè)務(wù)部門的加固整改進(jìn)行指導(dǎo) ，故障問題必須在 4 小時(shí)內(nèi)處理完畢；對已經(jīng)發(fā)生的并處理完畢的安全事件撰寫分析處理報(bào)告 ，就風(fēng)險(xiǎn)或事件的描述 ，危害內(nèi)容 ，發(fā)生的原因 、排查過程、處置方法進(jìn)行詳細(xì)說明 .（7）合同期內(nèi) ，供應(yīng)商需按照行方的服務(wù)管理規(guī)范和業(yè)務(wù)管理規(guī)范提供規(guī)范服務(wù) 。6. 項(xiàng)