网站安全监测服务选型公告.doc-常熟农商银行.docVIP

江苏常熟农村商业银行股份有限公司 选型编号： 江苏常熟农村商业银行股份有限公司 网站安全监测服务选型公告书 江苏常熟农村商业银行股份有限公司 二〇一六年十月十八日 申 明 本公告文件专用于江苏常熟农村商业银行股份有限公司本次“网站安全监测服务”进行选型，江苏常熟农村商业银行股份有限公司对本公告文件及公告文件内容享有解释权。参加选型单位即视为无条件同意本申明并保证对本公告文件可能涉及的江苏常熟农村商业银行股份有限公司商业秘密予以保密，除经江苏常熟农村商业银行股份有限公司书面同意外，任何单位和个人不得为参与本项目选型以外的目的而出版、复制、传播、销售及使用本公告文件。 第一部分 公告函 根据江苏常熟农村商业银行股份有限公司业务发展的需求，现就江苏常熟农村商业银行股份有限公司“网站安全监测服务”进行选型公告： 1.公告编号： 2.公告人：江苏常熟农村商业银行股份有限公司 3.项目实施地点：江苏省常熟市新世纪大道58号 4.公告开始时间：北京时间2016年10月18日 5.公告截止时间：北京时间2016年10月31日 6.公告人联系方式： 江苏常熟农村商业银行股份有限公司 地址：江苏省常熟市新世纪大道58号 邮政编码：215500 技术联系人：王国辉，苏立舟 电话号码：0512联系人：卢少清 电话号码：0512 江苏常熟农村商业银行股份有限公司 第二部分 选型说明 本次选型网站安全监测服务内容为网站漏洞扫描、网页挂马监测、网页篡改监测、网页敏感字监测、网站防钓鱼监测及协助关闭服务，可单独提供服务或打包提供服务。服务能力及技术要求包括但不限于以下： （一）服务能力要求 1. 厂商能够对站点进行高频率的安全监测，发现安全问题及时告警、响应。 2. 厂商需要具备7*24小时的监测能力和监测团队的支持。 厂商具有完善的网站监测服务问题处理流程（监测、验证、反馈、协助处理等)。 （二）技术要求 1. 网站漏洞扫描（满足远程及本地两种部署方式） 网站漏洞扫描 WEB漏洞扫描类型 WEB扫描支持多达WASC25种应用漏洞自动化扫描类型，具体如下： 客户端攻击类型：跨站脚本攻击、内容欺骗； 逻辑攻击类型：拒绝服务攻击、过程验证不充分、反自动化不充分、功能滥用； 信息泄露类型：目录索引信息泄露、信息泄露、目录遍历、资源位置可预测； 命令执行类型：缓冲区溢出、系统命令执行、格式化字符串攻击、SQL注入、Xpath注入；LDAP注入、SSI注入； 认证类型：暴力猜测、认证不充分、弱口令验证； 授权类型：凭据/会话预测、授权不充分、会话期限不足、会话固定； WEB漏洞扫描辅助功能 支持自定义扫描时间点，扫描频率，自定义扫描时长，自定义扫描目录，自定义扫描单URL、自定义非扫描目录/URL，自定义漏洞类型显示，增量扫描 漏洞验证 验证WEB，系统漏洞扫描得到高、中、低危漏洞 2. 网站挂马监测 网站挂马监测 网站挂马监测类型 支持对DOM、ActiveX控件、Overflow、heapSpray进行操控的挂马行为 网站挂马监测辅助功能 支持被挂马页面URL展示，详细感染路径展示、攻击类型展示、攻击次数展示、攻击时间展示。 网站暗链监测 支持网站CSS隐藏属性暗链，CSS定位属性暗链，HTML缩小显示暗链，脚本输出HTML暗链，document.write暗链，脚本控制显示属性外链，visibility:hidden隐藏暗链监测及展示。 3. 网页篡改监测 网页篡改监测 网页篡改监测传统类型 支持对网页DOM结构及文本内容变化的监测 网页篡改监测富媒体类型 支持对富媒体（音频、视频）、页面内容的语义变更监测。 网页篡改监测辅助功能 支持对篡改前页面和篡改后页面对比展示，场景文件附检测时间，检测结果，检测阈值。 4. 网页敏感内容监测 网页敏感内容监测 网页敏感内容监测类型 支持敏感内容两种来源，一种为微博词库，一种为客户主动提供输入 网页敏感内容监测辅助功能 支持页面检测到的敏感词和包含此敏感词的上下文内容 5. 网站防钓鱼监测及协助关闭服务 1）侦测手段 钓鱼网站侦测手段包括但不限于日志侦测、域名侦测、IP侦测、搜索侦测、爬虫侦测、举报侦测等。 2）侦测频率 各种侦测手段需要具有周期巡检能力，侦测频率不能低于1天。具备 7×24小时工作能力。 3）关停手段 钓鱼网站关闭手段包括但不限于： 联系国家相关钓鱼网站处理机构，将该非法域名冻结。 联系钓鱼网站地址所属的域名注册商，将该非法域名冻结。 联系钓鱼网站的网站所有者，及时关闭假冒网站。 可经我行授