我行因业务发展，拟进行对年度安全服务工作进行交流。

一、主要涉及以下内容（包括但不限于）

（一）信息系统渗透测试服务：

目标系统信息收集：收集目标系统业务功能、目标系统设计思路、运行逻辑、基本组件等信息，全面熟悉靶标系统。

服务器端基础防护测试：依据靶标系统所采取的服务器端技术架构和应用架构，充分识别和测试其可能存在的常见安全漏洞及防护能力。

服务器端业务模块测试：针对应用系统所提供的功能模块进行全面测试，评估各个功能模块业务逻辑的健壮性和安全性；

客户端测试：针对与应用系统服务端交互通信的客户端进行本地调试，评估客户端程序的本地反编译、抗溢出、接口安全性等。

服务标准：信息安全技术 信息安全风险评估方法（GB/T 20984-2022）、信息技术 信息安全管理实用规则（GB/T 19716-2005)(ISO/IEC 17799:2000) 、信息安全技术 信息安全风险评估实施指南（GB/T 31509-2015）、OWASP OWASP Testing Guide v3、OWASP OWASP Development Guide、OWASP OWASP Top 10、OWASP Mobile Security Project。

（二）重要时期现场技术支撑服务：

在重要时期提供现场安全技术服务支撑工作，协助甲方开展网络安全保障工作。

分析攻击态势，并协助甲方指挥、决策，处置安全。协助甲方开展攻击事件应急响应处置，消除不良影响。实时输出防御报告，通报防御情况。

利用甲方已有的威胁感知系统等工具，对甲方的网络中的安全事件和安全威胁进行全面的监控分析，分析的内容包括攻击面分析、资产异常连接分析、攻击行为检测分析、危险操作分析、异常外联分析、账户风险分析、WEB安全风险分析，针对风险给出安全整改建议，对成功的攻击事件进行应急处置、溯源分析和取证分析。

保障人员要求：熟悉网络与信息安全基础知识，熟悉主流操作系统、中间件、数据库；精通OWASP TOP10安全风险，WEB领域常用标准、协议和漏洞原理；掌握常见系统漏洞、web漏洞的原理、利用方法及加固手段，具备应急处置能力，精通常见的Web漏洞入侵与防范方法、技巧，能对攻击进行溯源；熟悉安全产品流量与日志分析、攻防演练、安全保障等安全服务工作；具备独立开展银行安全测评或安全渗透测试工作的能力；熟悉银行业安全标准和规范，有银行业安全服务的经验。

二、报名须知

诚邀有意向且有实际银行实施案例的服务商来我行报名进行交流。

（一）报名截止时间：2023年11月9日17:00。

（二）报名材料（以下材料须加盖公章）：

1.营业执照扫描件（未换证的提供营业执照、税务登记证及组织机构代码证扫描件）；

2.近两年经审计的财务报告；

3.最近三个月的税收证明材料；

4.最近三个月的社会保障资金证明材料；

5.2020年1月1日之后的案例清单及合同扫描件，要求合同扫描件能准确体现提供年度安全服务相关内容。如主合同不能体现，可提供工作说明书等扫描件，并在扫描件上进行重点标注。

（三）报名方式：邮件报名（邮件主题：绵阳市商业银行年度安全服务公开交流报名+单位名称）。

1.只接受邮件方式报名，不接收纸质报名材料；

2.报名邮件中需有负责本次项目的联系人及联系方式。

（四）联系人信息

1.联系人：赵老师

2.联系邮箱：zhaof1087@mycc-bank.com

3.地址：四川省绵阳市涪城区临园路西段文竹街3号绵阳市商业银行总行大楼803室

（五）说明：征集结论不发布通知或公告，结论仅作为拟邀请供应商的参考依据。

2023年10月30日