泉州银行呼叫中心系统扩容升级规划项目
泉州市重点项目建设在线信息管理系统升级改造探析
不 同 类 别 的 数 据 汇 总 与展 现 。 查 询 统 计 不 同 管 理 部 门 之 间 缺 乏联 动 机 制 ,难 于 实 现 对 重 年 份 或 月份 的 项 目状 态 和 项 目数 据 ; 可 导 出 点项 目建 设 的 动 态 实 时 监 管 。 数据 至E X C E L 表 格 中,方便 打 印、查 阅或修 5 . 系 统的 应用 服 务功 能还 需进 一 步提 改。 升,新技术 、新管理 的创新应 用不足 。 4 . 新 闻 管 理 功 能 : 用 于 发 布 新 闻 、 资 三 、 泉 州 市 重 点 项 目建 设 在 线 信 息 管 讯 等 信 息 , 包 括 对 多 种 类 别 的 新 闻进 行 分 类 理 系统 升级改造需求分析 管理 ,对 己发 出的信息进行修 改、删除等操 随 着 泉 州 经 济 社 会 的 快 速 发 展 , 重 点 作 。 管 理 员 拥 有 增 加 文 档 和 删 除 文 档 的 功 项 目建 设 涉 及 的 范 围 越 来 越 广 , 管 理 难 度 越 能 , 其 它用 户 只 能 下 载 。 来 越 大 ,系 统 已 不 能 满 足 重 点 项 目建 设 管 理 5 . 短 消 息 中心 功 能 : 显 示 当 前 用 户 接 收 的 需 求 , 需 要 升 级 改 造 。 针 对 系 统 存 在 的 主 到 的 短 信 息 、 发送 的 短 消 息 ;信 息 中 心 用 户 要 问 题 ,提 出 以 下 需求 : 可查看和删除 所有信息 ;管理 员拥有查看所 1 . 按 照 规 范 简 化 的 标 准 化 业 务 流 程 , 减 少 业 务 处 理 的 人 工 干 预 环 节 , 实 现 合 理 的 业 有信 息功能 。 过该通道进 行重点项 目建设的审核 调度 、动 6 . 系统管理功 能:系统管理员可在线增 务 处 理 自动 化 。 态 管 理 和 数 据 分 析 。 系 统 实 现 了所 有 项 目统 加、删除 、修 改用户的相 关信 息 :日志 管理 2 . 提 供 生 成 全 市 重 点 项 目建设 的 各 种 汇 计 数 据 的 直 接 填 报 , 可 对 重 点项 目建 设 进 行 由 系 统 自动 记 录 用 户 对 数 据 库 的 操 作 ;用 户 总 报 表 功 能 ,编 制 项 目月 度 进 展 汇 总 表 、季 全 过 程 、 全 方 位 、 多 层 次 的 管 理 , 增 强 了重 可 修 改 当前 的 登录 密 码 等 。 度进展汇 总表、年度汇总表等 。 点项 目建设管理 的科 学性和 时效性,为领导 二 、泉州 市重 点 项 目建设 在 线信 息 管 3 . 提 供 重 点 项 目建 设 的动 态 分 级 管 理 功 能 ,按 需 对 重 点 项 目进 行 方 便 、灵 活 的 分 级 决 策 和 泉 州 经 济 发 展 创 造 了 更 为 便 利 的 条 理 系统存在的主要 问题 件 系 统 运 行 以来 , 极 大 提 高 了 泉 州 市 重 和 分 类 管 理 。 目前 , 系 统 主 要 搭 建 了 一 个 重 点 项 目 点项 目建 设的 管理 水 平 ,取得 了一 定 的成 4 . 提 供 直 观 立 体 的 数据 分 析 报 表 ,为 领 建 设 的 申报 、 审核 、 信 息 填 报 、 统 计 汇 总 、 效 。但 仍 存 在 以 下 主 要 问题 : 导决 策分析提供辅助依据 。 新 闻 管 理 、 短 消 息 中 心 、系 统 管 理 等 内 容 的 1 . 项 目管 理 灵 活 性 不 够 ,不 能 按 项 目所 5 . 提供信息互动交流平 台,实现信息双 网 上 信 息 管 理 平 台 。主 要 功 能包 括 : 属行业进行 分级和分类 管理 ,不 能按 行业细 向互 动 交 流 和 沟 通 , 对 重 点 项 目建 设 进 行 实 1 . 项 目 申报 功 能 :项 目单 位 通 过 系 统 以 分 对 各 种 重 点 项 目数 据 源 进 行 比较 、 统 计 、 时动态管 理 。 附 件 的 形 式 提 交 项 目 申报 材 料 ; 管 理 员 可 以 分 析 。 6 . 支 持 移 动 办 公 , 为 移 动 用 户 提 供 便 对 申报 材 料 进 行 审 核 。 2 . 数据 交换功能不 是很理 想,导 出的报 捷 、高效 的移动办公服务 ,实现动态信 息的 2 . 项 目管 理 功能 :主 管 单位 对项 目单 表信 息还需要作进 一步调整 ,信 息批量导入 实 时 采 集 。 位 提 交 的 申报材 料 进行 审 核 ,并 记录 审核 和 自动 审核 等功能还有待完善 。 7 . 进一步完善系统 框架 ,为各种应用 提 目志 ; 申报 材料 确 认后 ,提 交项 目月表 、 3 . 系统不能根据项 目需求 变化进行变更 供支 撑平台 ,提高 系统整 体运行性能 。 季 表 、 年 表 :领 导 可 查 看 相 关 统 计 、汇 总 数 管 理 , 满 足 不 了 需 求变 更 的 控 制 ; 缺 乏 对 重 四 、泉 州市 重 点项 目建设 在线 信 息管 据 , 系 统 管 理 员可 为 申报 单 位 分 配 用 户 等 。 大 项 目的 集 中管 理 , 不 能 及 时 对 重 大 项 目进 理 系统升 级改造总体设计 3 . 统 计 报 表 功 能 : 统 计 报 表 中包 含 资 金 行全 方 位 的 动 态 跟 踪 和 管 理 。 根 据 系 统 升 级 改 造 需 求 分 析 , 提 出 系 情 况 表 、完 成 情 况 表 以及 综 合 查 询 ,涵 盖 了 4 . 系 统 缺 乏 互 动 交 流 功 能 , 项 目单 位 与 统 升 级 目标 、技 术 路 线 和 升 级 原 则 ,然 后 对
泉州银行呼叫中心系统扩容升级项目(完整资料).doc
【最新整理,下载后即可编辑】二、服务内容和技术要求1. 安全服务内容:安全服务应至少包括以下内容:漏洞扫描、渗透测试、电子银行安全评估、源代码安全审计、日志分析、漏洞应对、网站监测、安全培训。
①对我行互联网应用系统进行公网漏洞扫描检测,及时发现漏洞风险并配合进行修复整改。
②针对我行现有开展和后续上线的电子渠道业务系统等重要业务(门户网站、滨海汇赢金融服务平台、滨海·滨乐购、网上银行、手机银行、微银行、现金管理平台系统;移动APP有手机银行等)进行全面的安全评估工作。
③根据银监会《电子银行安全评估指引》要求,针对我行电子银行进行安全评估,出具评估报告,并按照银监会要求完成相关的报送备案工作。
④根据我行应用系统需求,对我行“微银行”互联网金融综合服务平台进行源代码安全审计,配合进行问题修复,排除代码安全隐患,提升代码层系统安全等级。
⑤对我行生产互联网信息安全数据和流量数据汇总整理,并进行有效分析,定期出具直观报表、报告。
形成我行生产互联网安全态势的整体感知和全面反映。
⑥针对突发的大范围高危漏洞影响事件,协助进行漏洞技术分析及配合进行防护工作。
⑦对我行门户网站、滨海汇赢网站和网上银行等重要网站进行7*24小时监控,保证我行门户及重要网站健康平稳运行,保持良好企业形象。
⑧对我行相关人员进行信息安全意识或技术培训,提升人员信息安全意识水平和技术能力。
在合同签署之日起1年内提供包年安全服务(包括后续新上线的系统),提供符合国家、银行业的相关政策法规监管部门的要求及相关的安全检查。
在评估过程中,对排查发现的风险,按照对业务造成的危害、损失、程度及重要性提出整改计划,并协助我行按时进行整改。
保障我行电子银行等重要系统自身安全、稳健、持续运行,适合银行业务发展的需求。
2. 项目技术要求:①漏洞扫描:(1)对我行现有及后续上线的互联网系统进行全面的公网漏洞扫描工作,协助我行发现操作系统、应用、通讯传输层面安全漏洞。
泉州智慧泉城规划方案设计方案
泉州智慧泉城规划方案背景泉州作为福建省的一个重要城市,承载着重要的历史文化遗产和经济发展。
近年来,随着数字技术的进步,智慧城市的概念被提出并得到了广泛应用。
泉州市也希望借助智慧城市的思想,提高城市的智能化程度和品质,实现高质量发展。
目标泉州智慧泉城规划方案的目标是通过数字化、智能化和信息化手段集成和管理各个领域的数据资源,提升城市治理能力,增加城市的可持续发展性,改善城市居民的生活质量和城市形象。
方案建设智慧交通系统在智慧城市建设中,交通是最为基础和重要的部分,智慧交通系统是泉州智慧泉城规划的重点之一。
智慧交通系统包含了多个方面,包括智慧公交、智慧停车、交通实时监控等,这些技术手段可以优化城市交通流量的调度和规划,减少拥堵和交通事故,提高市民出行效率和安全性。
建设智慧环保系统智能环保是城市可持续发展的关键,泉州智慧泉城规划方案将建设智慧环保系统,监测空气质量、垃圾分类、水资源利用等环境数据,为城市可持续发展提供数据支持。
利用先进的信息技术可以降低环境污染,提高环保资源利用价值,有效保障居民的健康和安全。
建设智慧教育系统智慧教育是未来教育的趋势,泉州智慧泉城规划方案也将把教育系统纳入智慧城市建设的范围。
提供便捷的教育信息服务,合理配置教育资源,让每位市民都享受到高质量的教育资源和教育环境。
建设智慧医疗系统随着人口老龄化的加速,智慧医疗系统的建设也至关重要。
这一系统包括医疗资源共享、医疗数据管理、远程诊断等多方面,旨在提高医疗服务质量和效率,促进疾病预防与控制,增强市民的自我保健能力。
建设智慧安防系统安全是城市建设的前提和必要条件,泉州智慧泉城规划方案将建设智慧安防系统,实现智能化监控和管理,形成全方位的安全防护体系,提高城市治理水平和公共安全保障能力。
结论通过以上方案的实施,泉州市将打造智慧泉城,建设协调有序、安全高效、智能环保、开放共享、安定和谐的城市空间,为市民带来更加舒适和便利的生活和工作环境。
呼叫中心系统建设方案
呼叫中心系统建设方案
呼叫中心是一个用于接收和处理大量呼叫的系统,旨在提供快速、高
效的客户服务。
呼叫中心系统建设方案通常包括硬件设备、软件应用、系
统集成和人员培训等方面,以下是一个关于呼叫中心系统建设的详细方案。
1.需求分析和规划
在建设呼叫中心系统之前,需要对企业的需求进行全面的分析和规划。
这包括确定呼叫中心的规模、服务类型、预计的呼叫量和服务水平目标等。
同时,还需要考虑呼叫中心与企业其他系统的集成需求,以确保顺畅的信
息流动。
2.选择硬件设备和网络建设
3.选择软件应用和系统集成
呼叫中心系统的软件应用是其核心,包括自动呼叫分布系统、呼叫路
由系统、语音识别系统、录音系统、报表系统等。
根据需求分析结果,选
择适合企业需求的软件应用,并确保其与硬件设备的兼容性和系统稳定性。
同时,还需要进行系统集成,将呼叫中心系统与企业其他系统(如客户关
系管理系统、计费系统等)进行集成,实现信息共享和流程自动化。
4.人员培训和管理
5.监控和优化
呼叫中心系统的运行需要进行实时监控和分析,以便及时发现和解决
故障和问题,保障服务质量。
监控内容包括呼叫等待时间、接通率、通话
时长等指标,通过数据分析和报表生成等功能,及时调整系统配置和人员
调度,以提高呼叫中心的效率和服务水平。
总结。
平台升级通知通知
平台升级通知通知尊敬的用户:您好!感谢您一直以来对我们平台的支持与信任。
为了给您提供更好的服务和体验,我们定于近期进行系统升级。
此次升级将会引入多个新功能,改善现有服务,提升系统安全性和稳定性。
以下是关于此次平台升级的详细通知内容,请您仔细阅读。
一、升级时间此次升级计划于2023年9月20日(星期三)晚上10点至2023年9月21日(星期四)凌晨2点进行。
在此期间,平台将暂停服务,无法访问。
因此,请您提前安排您的业务和操作,以避免影响您的使用体验。
二、升级内容2.1 新增功能智能推荐系统我们将推出基于用户行为分析的智能推荐功能,能够更精准地为您推荐相关内容和服务,从而提升您的使用效率。
多语言支持为了更好地服务全球用户,平台将新增多种语言的支持,用户可以根据自己的需求选择适合的语言界面,大大提升跨国用户的友好体验。
数据分析工具新增的数据分析工具将帮助您更深入地了解自身的数据表现,提供可视化的报告和趋势分析功能,为决策提供支持。
2.2 安全性提升信息加密技术我们将加强所有用户数据的加密保护,通过最新的信息加密技术,确保用户隐私和数据安全不被泄露。
双重身份验证为了进一步保障账户安全,我们将推出双重身份验证功能,在登录和重要操作时需要经过额外的身份验证,提高账户安全性。
2.3 界面优化用户界面改善所有界面将进行全面优化,以更简洁、更符合用户习惯的方式呈现,提升用户操作流畅度。
移动端适配今后,我们的平台在移动设备上的适配性将大幅提升,无论是在手机还是平板上,用户均可获得最佳体验。
三、升级期间注意事项备份重要数据在系统升级之前,请务必备份您在平台上保存的重要数据,以防止因突发状况导致的数据丢失。
暂停访问确认升级期间,平台所有功能将暂停使用,请提前进行必要的操作确认。
如需了解具体信息,可拨打客服热线。
保持关注通知我们将在官方网站及公众号发布最新的进展通知,请随时关注我们的动态,以获取完成后的第一手资讯。
四、客服支持为了在升级过程中尽量减少对您的影响,我们的客服团队将为您提供全方位的支持。
银行网点智能化改造与升级方案
银行网点智能化改造与升级方案第1章项目背景与目标 (4)1.1 银行网点现状分析 (4)1.2 改造升级的意义与目标 (4)第2章智能化改造总体策略 (5)2.1 改造原则与方针 (5)2.1.1 坚持以人为本 (5)2.1.2 坚持科技创新 (5)2.1.3 坚持安全可控 (5)2.1.4 坚持分阶段推进 (5)2.2 技术路线与实施步骤 (5)2.2.1 技术路线 (5)2.2.2 实施步骤 (6)第3章网点布局优化 (6)3.1 网点空间布局调整 (6)3.1.1 合理规划空间结构 (6)3.1.2 优化客户动线 (6)3.1.3 提升网点舒适度 (6)3.2 功能区域划分 (7)3.2.1 自助服务区 (7)3.2.2 人工服务区 (7)3.2.3 等候区 (7)3.2.4 私密洽谈区 (7)3.3 智能设备布局 (7)3.3.1 自助设备布局 (7)3.3.2 智能导览设备 (7)3.3.3 智能 (7)3.3.4 智能显示屏 (7)3.3.5 智能监控系统 (7)第4章自助服务设备升级 (8)4.1 自助设备选型与配置 (8)4.1.1 兼容性与可扩展性:自助设备应具备较强的兼容性,可支持多种业务操作,同时具备可扩展性,便于后期功能升级和拓展。
(8)4.1.2 稳定性与安全性:设备应具备高稳定性,保证长时间连续运行无故障;同时具备完善的安全防护措施,保障客户信息和资金安全。
(8)4.1.3 易用性与人性化:自助设备界面应简洁明了,操作便捷,易于客户上手;设备外观设计应注重人性化,提高客户使用体验。
(8)4.1.4 高效性与节能性:设备应具备高效的处理能力,缩短客户等待时间;同时注重节能环保,降低运营成本。
(8)4.2 设备功能拓展 (8)4.2.1 个性化服务:根据客户需求,提供定制化的自助服务,如预约取款、夜间存款等。
(8)4.2.2 多渠道接入:支持手机银行、网银等多种渠道接入,实现线上线下业务无缝对接。
银行网点的智能化升级与运营优化
03
CATALOGUE
智能化运营管理
数据驱动的运营决策
数据分析
通过收集和分析网点运营数据,了解客户需求、业务趋势和风险 状况,为决策提供数据支持。
预测模型
利用大数据和机器学习技术,构建预测模型,预测业务发展、市场 变化和风险事件,提前制定应对策略。
决策支持系统
建立决策支持系统,提供智能化的决策建议和方案,帮助管理者快 速做出科学决策。
提升服务质量和效率
应对市场竞争
面对互联网金融和其他金融业态的竞 争,智能化升级是银行网点保持竞争 力的必要手段。
智能化升级有助于提高银行网点的服 务质量和效率,提升客户体验。
智能化升级的目标和原则
目标
实现银行网点的便捷化中心,注重技术应用与业务 需求的结合,确保升级过程中的安全 和稳定。
户需求。
智能互动体验
03
设置智能互动体验区,通过虚拟现实、增强现实等技术提供互
动体验服务。
网点安全保障的智能化管理
智能安全监控系统
建立智能安全监控系统,对网点内外部环境进 行实时监控和预警。
智能门禁系统
设置智能门禁系统,实现对网点进出人员的身 份验证和权限管理。
智能消防系统
建立智能消防系统,实现火警自动检测、自动报警和自动灭火等功能。
智能化升级的步骤和计划
步骤
需求调研与分析、方案设计与规划、技术实施与开发、测试与上线、后期维护 与优化。
计划
制定详细的时间表和里程碑,确保各阶段任务按时完成,及时调整和优化升级 方案。
02
CATALOGUE
智能化网点建设
网点硬件设施的智能化改造
01
自助服务设施
引入先进的自助服务设施,如自 助存取款机、自助查询机等,提 高客户自助服务能力。
服务热线升级实施方案
服务热线升级实施方案随着社会的发展和科技的进步,服务热线作为企业与客户沟通的重要渠道,对于提升客户满意度和品牌形象起着至关重要的作用。
为了更好地满足客户需求,提升服务质量,我们决定对服务热线进行升级实施方案。
下面将详细介绍升级实施方案的具体内容。
一、技术设备升级。
首先,我们将对服务热线的技术设备进行全面升级。
采用先进的呼叫中心系统,实现呼叫排队、自动分配、智能语音识别等功能,提高接听效率和服务质量。
同时,引入智能语音机器人,能够根据客户问题快速作出回应和解决方案,提高客户体验和工作效率。
二、人员培训提升。
除了技术设备的升级,我们还将加大对服务热线人员的培训力度。
通过专业的培训课程,提升客服人员的沟通能力、问题解决能力和服务意识,使他们能够更好地应对各种客户问题和需求,提供更专业、更高效的服务。
三、服务流程优化。
为了更好地满足客户需求,我们将对服务流程进行全面优化。
从客户呼叫到问题解决,每一个环节都将进行精细化管理和优化,确保客户能够在最短的时间内得到满意的解决方案,提高服务效率和客户满意度。
四、客户反馈机制完善。
为了更好地了解客户需求和意见,我们将完善客户反馈机制。
建立客户满意度调查系统,定期对客户进行满意度调查,收集客户意见和建议,及时作出改进和优化,不断提升服务质量和客户满意度。
五、信息安全保障。
在服务热线升级实施方案中,我们还将加强信息安全保障工作。
采取严格的信息安全措施,确保客户信息的保密和安全,防范各类安全风险和威胁,保障客户权益和企业利益。
六、宣传推广。
最后,我们将通过各种渠道进行服务热线升级实施方案的宣传推广工作。
向客户充分介绍升级后的服务热线功能和优势,提升客户对我们服务的认知和信任度,增强品牌形象和竞争力。
综上所述,服务热线升级实施方案将从技术设备、人员培训、服务流程、客户反馈、信息安全和宣传推广等多个方面进行全面升级,旨在提升服务质量,满足客户需求,增强企业竞争力。
我们相信,通过这一升级实施方案的推行,将为客户带来更优质的服务体验,为企业带来更广阔的发展空间。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
二、服务内容和技术要求1. 安全服务内容:安全服务应至少包括以下内容:漏洞扫描、渗透测试、电子银行安全评估、源代码安全审计、日志分析、漏洞应对、网站监测、安全培训。
①对我行互联网应用系统进行公网漏洞扫描检测,及时发现漏洞风险并配合进行修复整改。
②针对我行现有开展和后续上线的电子渠道业务系统等重要业务(门户网站、滨海汇赢金融服务平台、滨海·滨乐购、网上银行、手机银行、微银行、现金管理平台系统;移动APP有手机银行等)进行全面的安全评估工作。
③根据银监会《电子银行安全评估指引》要求,针对我行电子银行进行安全评估,出具评估报告,并按照银监会要求完成相关的报送备案工作。
④根据我行应用系统需求,对我行“微银行”互联网金融综合服务平台进行源代码安全审计,配合进行问题修复,排除代码安全隐患,提升代码层系统安全等级。
⑤对我行生产互联网信息安全数据和流量数据汇总整理,并进行有效分析,定期出具直观报表、报告。
形成我行生产互联网安全态势的整体感知和全面反映。
⑥针对突发的大范围高危漏洞影响事件,协助进行漏洞技术分析及配合进行防护工作。
⑦对我行门户网站、滨海汇赢网站和网上银行等重要网站进行7*24小时监控,保证我行门户及重要网站健康平稳运行,保持良好企业形象。
⑧对我行相关人员进行信息安全意识或技术培训,提升人员信息安全意识水平和技术能力。
在合同签署之日起1年内提供包年安全服务(包括后续新上线的系统),提供符合国家、银行业的相关政策法规监管部门的要求及相关的安全检查。
在评估过程中,对排查发现的风险,按照对业务造成的危害、损失、程度及重要性提出整改计划,并协助我行按时进行整改。
保障我行电子银行等重要系统自身安全、稳健、持续运行,适合银行业务发展的需求。
2. 项目技术要求:①漏洞扫描:(1)对我行现有及后续上线的互联网系统进行全面的公网漏洞扫描工作,协助我行发现操作系统、应用、通讯传输层面安全漏洞。
(2)供应商需要提前制定信息系统主机扫描计划(包含扫描时间、扫描设备信息、负责人等),并严格按照扫描计划开展信息系统公网漏洞扫描工作。
(3)供应商在扫描开始前须对使用的扫描设备进行升级操作,确保扫描设备处于最新更新状态。
(4)扫描时间须由行方统一安排指定业务闲暇时段。
(5)对于扫描过程中由扫描工具等因素造成的潜在风险需提前告知行方,经行方认可允许后,方可进行扫描。
(6)扫描结束后,编制主机信息系统漏洞扫描报告包括详细的修复方案,提交至我行,督促并协助我行对信息系统的漏洞进行修复。
(5)根据行方要求,适时进行复扫,检验修复效果。
②渗透测试:(1)由安全专家模拟黑客攻击行为通过远程或本地方式对我行互联网系统及手机App进行非破坏性的入侵测试,发现SQL注入、跨站脚本攻击、非法上传、越权等所有当前流行的技术漏洞及逻辑性漏洞,并直观反映漏洞的潜在危害,使更加真实的了解到业务系统的安全性状况,并为业务系统提供安全指导建议。
(2)测试完毕后,须出具详细的测试报告和详实的安全加固建议,包括且不限于漏洞修复、对APP加壳等的加固方案。
(3)督促并协助我行对互联网系统的渗透问题进行修复。
(4)根据行方要求,适时进行复扫,检验修复效果。
③电子银行安全评估(1)根据银监会《电子银行安全评估指引》要求,针对我行电子银行进行安全评估。
(2)电子银行安全评估至少应包括以下内容:(一)安全策略(二)内控制度建设(三)风险管理状况(四)系统安全性(五)电子银行业务运行连续性计划(六)电子银行业务运行应急计划(七)电子银行风险预警体系(八)其他重要安全环节和机制的管理(3)评估完成后,应及时撰写评估报告,并于评估完成后1个月内向行方提交由其法定代表人或其授权委托人签字认可的评估报告。
(4)协助行方按照要求完成向相关监管机构的报送报备工作。
④源代码安全审计(1)以白盒的角度梳理代码,并实际操作体验业务流程,实时发现程序代码是否符合安全性要求,程序中是否存在安全漏洞,是否存在冗余代码、与功能无关的代码、接口程序是否规范、是否存在不良编码习惯,检查代码编写漏洞、接口漏洞、逻辑漏洞、函数调用漏洞等。
(2)在源代码白盒审计基础上结合使用安全扫描、黑盒渗透测试等手段,深度对代码审计成效进行评估。
(3)形成代码审计报告,包括问题修复技术方法,持续跟进并配合整改针对代码审计出现的安全漏洞及整改过程中出现的问题,定期进行总结并指导相关开发人员进行培训,结合行方实际提出快捷有效的修复方案。
⑤日志分析(1)基于我行互联网接入区现有安全设备(负载、DDos、IPS、防毒墙、WAF、IDS等)的日志输出,对各类安全设备的日志每半月汇总并分析。
(2)根据各设备安全日志,综合分析我行互联网区安全状况及态势,每半月形成报告,将安全状况以报表、图表加文字描述的形式展现。
(3)对我行互联网区入口流量、ip访问量进行统计,对访问ip来源区域进行统计。
每半月形成报告,将访问情况以报表、图表加文字描述的形式展现。
(4)根据行方要求,对报表样式可以进行定制化。
⑥漏洞应对(1)针对突发的大范围影响的高危漏洞事件进行确认,对漏洞利用原理及传播途径进行技术分析,对可能造成的危害程度及影响范围作出有效预估。
(2)针对官方发布漏洞修复补丁进行验证,在我行搭建的有效测试环境中进行补丁安装测试,确保补丁安装平稳有效,不影响系统正常运行。
(3)协助撰写漏洞修复文字通告等。
(4)补丁安装推广过程中,如反映有报错等情况,协助行方进行处理。
⑦网站监测(1)实时监控HTTP/HTTPS网站域名可访问情况发现问题实时预警,所监控的异常类型包括DNS解析异常、协议错误、URL不合法、socket连接请求被拒绝等。
(2)监测我行各网站动态解析域名所对应的IP地址,一旦发现所解析出来的IP地址与预先设定的值不相符则发出告警。
(3)利用搜索引擎技术,通过所配置的频率对网页进行循环扫描,对网站静态页面(html、htm等)、脚本(包括css、javascript、vbscript等)、图片、可执行文件(如EXE文件、activeX控件等)及网站其他资源进行统计分析。
监控范围包括网站内部资源(本域名下的资源)和网站外部资源(非本域名下的外链)。
(4)利用丰富的挂马特征库对网页中存在的木马、病毒、恶意脚本等恶意代码进行定性分析和预警。
(5)对网站文字进行自动化提取分析,通过比对非法文字特征库,对满足特征的文字(反动、分裂、暴力、色情等)进行定性分析预警。
(6)对网站内容变动情况进行审计,包括新增、删除链接等。
(7)针对门户网站、滨海汇赢网站和网上银行,提供全站页面的挂马、敏感内容的分级监测服务,包括一级页面、二级页面、三级页面。
每半月向行方交付一次漏洞扫描报告及事件监测报告。
遇突发事件时,需提供及时性的临时事件网站监控报告。
(8)供应商需采用自动监控加人工监控相结合的方式,利用自动化检测平台,组建7×24人工值守团队,提供专家全天候实时分析服务。
(9)当有站点可用性、DNS域名解析事件、挂马事件、篡改事件、敏感内容事件发生时,及时通过邮件、短信、电话通知行方。
(10)网站监控产品需符合国家安全标准、法律法规,需提供相关的产品登记证明。
⑧安全培训(1)根据行方要求,主要以讲座的形式对行内员工进行信息安全意识或技术的相关培训。
每年一次。
(2)配合行方做好培训工作的相关记录,包括培训方案、签到表、培训总结等。
(3)依据行方需求的信息安全技术培训。
3.项目方案要求:供应商依据项目实施要求提出可行的项目实施方案,包括但不仅限于项目评估方法论,项目实施风险和规避措施,项目管理(项目沟通、项目运作、项目组织管理、保密方案等),项目实施计划(按照我方要求按时完成工作),项目关键阶段、项目验收交付物等。
4.项目人员要求:供应商拟投入本项目的人员及简介,及保证服务团队稳定做出详细说明,包括且不限于:(1)需包括姓名、年龄、学历、专业、职务、业务专长、资质、相关工作经历,以及在相关项目中承担的任务和在本项目中的角色。
(2)项目经理具有5年以上信息安全相关工作经验,至少须具备CISP、ISO27001LA、PMP、ITIL同级别或更高级别证书其中1项资质证书,具有较强的责任心,具有较强的组织、协调、沟通、学习能力,具有完成日常巡检安全设备的能力、学习使用各安全设备的能力、分析各安全设备日志的能力、使用信息安全检测软件的能力和提出修复安全漏洞方案的能力。
(3)团队所有成员需具有近3年国内至少2个类似项目成功实施经验,1年以上信息安全工作经验,能协助完成日常巡检安全设备的工作、分析各安全设备日志的工作和使用信息安全检测软件发现安全漏洞的工作,具备较强的责任心、学习能力和沟通能力。
(4)当安全评估发现安全问题时,供应商应提供相应领域(如网络、主机、编程等领域)高级技术专家或具有高级资质认证的专业技术人员配合行方进行问题分析及制定整改计划。
(5)项目所有实施成员必须为竞争性磋商时递交材料中的原厂人员,未经采购人允许不得更换。
(6)当发生重大信息安全事件时,专业工程师须15分钟内响应并在1小时内到达现场提供技术服务,给出应对加固、整改方案,并对业务部门的加固整改进行指导,故障问题必须在4小时内处理完毕;对已经发生的并处理完毕的安全事件撰写分析处理报告,就风险或事件的描述,危害内容,发生的原因、排查过程、处置方法进行详细说明.(7)合同期内,供应商需按照行方的服务管理规范和业务管理规范提供规范服务。
6.项目验收考核标准供应商完成合同所约定之工作内容,提交合同规定之评估报告。
项目的最终验收需双方在提供的验收报告上签字盖章。
7.成果版权要求如无特殊说明,知识产权归我行所有。
8. 其他:(1)供应商需提供银行业安全服务案例(合同关键页并盖公章)。
(2)供应商需承诺提供有价值的与电子银行安全相关的其他免费安全服务。
(3)供应商应保证提供的服务工具不违反国家法律法规的规定,不侵犯任何第三方的专利、商标或版权。