一、项目概况(一)项目名称:2026年安全运营服务(二)基本情况为了能够获得最符合联盟需求的服务,保证联盟需求正常落地,现征集优质的安全运营服务供应商进行项目的采购。(三)采购内容1.分包情况本次采购包含2个包,可兼投兼中,如下:安全运营服务A包,安全运营服务B包。********包和B包采购内容(1)安全运营服务A包,包含服务1项:开发安全服务,基于联盟现有的研发管理体系和安全开发体系,开展项目、日常研发安全需求识别与分析、安全设计评审等研发过程安全活动落位,参与安全平台工具和工具链建设和推广运营。计划采购1家供应商,人员需求如下:归属服务人员类型高级中级初级合计A包开发安全服务开发安全人员-3-3小计-3-3(2)安全运营服务B包,包含服务3项渗透测试服务,本服务渗透测试人员总需求15人(其中高级3人、中级6人、初级6人),开展系统上线前、日常研发投产前、专题、回归等多种方式的渗透测试,发现信息系统的安全问题并跟踪修复,测试范围包含联盟统建系统和成员行托管系统;威胁分析服务,本服务安全运营人员总需求9人(其中高级3人,中级6人),开展金融云数据中心安全运营保障服务工作,服务范围包括但不限于提升联盟安全防护覆盖率、安全防护有效性,执行7×24小时的威胁发现与分析,协助联盟完成安全工具建设与运维、安全流程的建立与优化;季度渗透测试服务,本服务计划采购共6次,每次测试至少10个工作日,基于生产环境按照季度开展联盟统建系统和成员行托管系统的渗透测试。安全运营服务B包计划采购3家供应商,按照竞争性磋商排名进行服务和人员分配,如下:预计人员分配:归属服务磋商排名第一名第二名第三名B包渗透测试服务渗透测试人员(高级)111渗透测试人员(中级)321渗透测试人员(初级)222B包威胁分析服务安全运营人员(高级)111安全运营人员(中级)321人员数量小计1086预计季度渗透测试服务分配:归属服务磋商排名第一名第二名第三名B包季度渗透测试服务季度渗透测试服务次数222服务次数小计222人员资质部分要求:分包服务人员和等级资质要求A包开发安全服务开发安全人员(中级)(1)具备3年以上的开发安全实施经验;(2)负责过2个(含)以上国有银行、股份制银行或先进银行金融同业的类似项目;(3)熟悉各种安全漏洞利用原理及相应的修复方案;(4)具备银行业相关专业领域解决方案或架构设计从业经验;(5)熟悉银行同业的解决方案,可以给与项目可落地的解决方案建议,可独自完成的安全需求分析、安全方案设计等工作;(6)熟悉SDL、DevSecOps等安全开发管理方法及工具;(7)具备良好的组织协调和沟通推动能力,善于表达沟通,诚实守信,责任心强,讲求效率,具有良好的团队协作精神。B包渗透测试服务渗透测试人员(高级)(1) 普通高等院校统招全日制专科及以上学历且在毕业季按期取得毕业证和学位证****网可查;(2)具有4年(含)以上安全服务工作经验,具有2年(含)以上金融行业驻场安全测试项目经验;(3)参与金融行业安全服务项目4个(含)以上,包括但不限于渗透测试、安全众测、红蓝对抗、安全运营等,需包含国有银行、全国股份制银行、政策性银行的相关案例;(4)熟练掌握各种渗透测试工具并且对其原理深入了解(包括但不限于Burp Suite、SQLMap、APPScan、AWVS、Nmap、MSF、Cobalt Strike等);(5)熟悉OWASP TOP10常见漏洞原理、漏洞利用方式及加固措施,具有绕过WAF防护策略的相关经验;熟悉常见Web和移动APP攻防技术,具备漏洞研究****网站和移动APP入侵过程,了解Webshell后门原理,具备反入侵能力;熟悉windows逆向、软件破解、病毒及恶意程序分析;(6)具有大型项目的实战经验并且可独立完成渗透测试工作;(7)熟悉php/java/python/c/c++等至少其中一种开发语言,能针对java、python应用独立进行源代码审计工作;(8)善于沟通,有很好的文档写作能力;(9)对安全有浓厚兴趣并深入了解安全知识,具有良好的安全意识,对安全问题敏感;(10)熟悉银行业业务安全威胁点,银行业务流程安全设计。B包渗透测试服务渗透测试人员(中级)(1)普通高等院校统招全日制专科及以上学历且在毕业季按期取得毕业证和学位证****网可查;(2)具有2年(含)以上安全服务工作经验,且具有1年(含)以上金融行业驻场安全测试项目经验; (3)参与金融行业安全服务项目2个(含)以上,包括但不限于渗透测试、安全众测、红蓝对抗、安全运营等;(4)熟练掌握OWASP Top10所列举的漏洞类别中常见漏洞利用方法、原理及修复建议;熟练掌握各种渗透测试工具的使用(包括但不限于 Burp Suite、SQLMapAPPScan、AWVS、Nmap、MSF、Cobalt Strike等);(5)了解常见的框架和组件漏洞(如反序列化),并能够对其进行利用;(6)熟悉php/java/python/c/c++等至少其中一种开发语言,能够读懂java、python;(7)善于沟通,有很好的文档写作能力;(8)熟悉银行业业务安全威胁点,银行业务流程安全设计。B包渗透测试服务渗透测试人员(初级)(1)普通高等院校统招全日制专科及以上学历且在毕业季按期取得毕业证和学位证****网可查;(2)具有2年(含)以上安全服务项目经验;(3)熟练掌握各种渗透测试工具的使用(包括但不限于Burp Suite、SQLMap、APPScan、AWVS、Nmap、MSF、Cobalt Strike等);(4)熟练掌握OWASP Top10所列举的漏洞类别中常见漏洞利用方法、原理及修复建议;(5)了解常见的框架和组件漏洞(如反序列化),并能够对其进行利用。B包威胁分析服务安全运营人员(高级)(1)高级人员限定为不少于3年安全工作经验;(2)参与或负责安全运营项目服务时长不少于1年;(3)独立承担安全项目经理案例不低于1个;(4)参与过省级、金融监管单位以****网项目;(5)熟悉掌握安全运营体系与安全运营工作内容,对联盟或国有及股份制银行的安全运营工作具备一定的理解;(6)具备良好的逻辑思维能力和团队合作精神,具备较好的沟通表达能力;(7)熟练掌握Burpsuite、Wireshark、sqlmap、awvs、CS等常用工具;(8)熟悉OWASP TOP10漏洞, 理解SQL注入、XSS、XXE、越权漏洞、CSRF、SSRF、Fastjson反序列化、Strut2反序列化、Shiro反序列化等常见安全漏洞的原理,对上述多种漏洞类型有过实践经验,****网领域的重大安全漏洞进行实践分析的能力;(9)至少熟练掌握Python、Shell、Powershell、java、js等1种开发语言,可编写漏洞验证POC,可实现日常工作需求所需要的工具;(10)具备对安全事件进行应急处置能力、具备溯源###路和实践经验;(11)具备威胁建模经验、安全建设经验,可根据HTTP请求日志、安全设备日志建立威胁分析模型并发现业务安全风险的能力;(****网络IDS、WAF、HIDS、态势感知等常见安全设备使用及运维经验,能够进行规则加白、规则升级等通用策略的配置和优化;(13)具备攻防能力及实践经验,可分析漏扫报告,发现深层次业务问题;(14)熟悉****网络相关知识;(15)具备一定的代码审计能力,能够从源代码中发现潜在的风险。B包威胁分析服务安全运营人员(中级)(1)中级人员限定为不少于2年安全工作经验;(2)参与或负责安全运营项目服务时长不少于1年;(3)具备代码能力,能够通过自动化进行Excel表格处理、****网络数据爬取等工作;(4)熟悉OWASP TOP10漏洞, 理解SQL注入、XSS、XXE、越权漏洞、CSRF、SSRF、Fastjson反序列化、Strut2反序列化、Shiro反序列化等常见安全漏洞的原理;(5)具备出色的文档编写能力,能够根据要求完成报告、PPT的编写;(6)具备攻防经验,可分析漏扫报告,发现深层次业务问题,可根据HTTP请求日志、安全设备日志建立威胁分析模型发现业务安全风险;(7****网络IDS、HIDS、态势感知、WAF等常见安全设备运维经验,能够进行规则加白、规则升级等通用策略的配置和优化;(****网安全合规管理能力(如漏洞识别、漏洞分析、漏洞验证、漏洞跟踪等)及经验;(9)热爱安全攻防事业,对安全研究兴趣浓厚,能够持续关注国内外最新的安全发展动向和攻防技术,有良好的知识分享及能力共享意识;(10)具备对安全事件进行应急处置、溯源反制的能力;(11)熟练掌握Burpsuite、Wireshark、sqlmap、awvs、CS等常用工具;(12)具备良好的逻辑思维能力和团队合作精神,具备较好的沟通表达能力。二、征集时间本项目征集自发布之日起至2026年3月30日17:00止。
本招标项目仅供 正式会员查阅,您的权限不能浏览详细信息,请点击注册/登录,请联系工作人员办理入网升级。
联系人:陈思颖
电话:010-82656698
手机:15801679990 (欢迎拨打手机/微信同号)
邮箱:csy@zbytb.com
