部署在互联网的页面不得携带甲方logo,不得出现甲方公司名称、公司简称、承运人代码等文字或其他标识信息。

网络安全协议

甲 方:厦门航空有限公司

乙 方(供应商):


为了明确对乙方的网络安全要求,甲、乙双方本着平等、自愿、公平、诚信的原则,依据乙方在项目投标书中所作网络安全保证的相关内容,订立本协议。

双方确认在签署本协议前已经详细审阅过协议的内容,并完全了解协议各条款的法律含义。


  1. 网络安全协调责任人:每一方就网络安全信息的传授和接受事宜而协调的首要责任人。

甲方网络安全协调责任人:

乙方网络安全协调责任人:

  1. 乙方提供的产品及服务必须符合《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》、《中华人民共和国个人信息保护法》、《信息安全技术网络安全等级保护基本要求》等相关网络安全法律法规和国家标准、行业标准的要求,并应符合甲方的各类网络安全规范要求,否则由此引起的全部安全责任及法律责任由乙方完全承担。

  2. 针对乙方参与建设或以其它方式提供给甲方使用的信息系统(以下简称“系统”),上线生产环境前必须通过甲方安全测试。

  3. 测试期间,乙方提供的测试产品确保最小化访问和权限控制,并且仅由甲方专用。测试结束后,乙方需要清理删除与甲方相关的所有测试内容。

  4. 未经甲方同意,乙方不得以甲方名义在互联网上发布系统、测试样例等,发布内容不得与甲方有任何关联或以任何方式引人误以为与甲方有任何关联,不得在任何场所交流甲方相关案例。具体包括(但不限于):

  1. 部署在互联网的页面不得携带甲方logo,不得出现甲方公司名称、公司简称、承运人代码等文字或其他标识信息。

  2. 测试数据不得与甲方真实生产数据相关,不得出现甲方公司名称、公司简称、承运人代码等信息。

  3. 不得使用甲方域名。

  1. 乙方提供的软件系统,需满足以下要求:

  1. 系统需能够抵御各类常见网络攻击,包括但不限于口令暴力破解攻击、非授权访问攻击、业务逻辑攻击、跨站脚本攻击、注入攻击、文件上传绕过攻击、命令执行攻击、跨站请求伪造攻击等。针对移动客户端软件,还需能抵御反编译攻击。

  2. 系统需妥善处理敏感信息(如个人密码、个人敏感数据、数据库用户密码等),按照甲方数据分级分类保护要求,在传输和存储过程中使用符合一定强度要求的安全加密算法进行加密,避免信息泄漏。在系统前端界面,需对证件号、银行账号、手机号、联系地址等个人敏感数据进行部分或全部隐藏显示。

  3. 系统需具备安全日志连续存储时间不少于6个月的功能,对用户登录登出、重要业务操作、敏感数据查询等用户行为以及系统运行日志(如报错信息、告警信息等)记录完备的日志信息,且日志信息中不得包含明文的敏感信息如密码、信用卡信息等。需根据甲方要求提供日志同步接口,用于将日志归档到甲方日志管理平台。

  4. 系统禁止使用含有已知漏洞的组件。

  5. 若系统存在超级管理员账号,需告知甲方并提供默认密码修改功能。

  6. 乙方需明确目标产品关联的外部系统或接口。不得以维护、安全等名义预留帐号或接口,连接或授权第三方连接目标产品(含数据库、中间件),特殊情况需经甲方同意。

  7. 行业软件需遵循行业的安全标准(例如:支付卡行业需遵循支付卡行业数据安全标准PCI-DSS)。

  1. 乙方需提供安全测试报告。测试报告中需包含但不限于:被测系统名称、测试版本、测试实施机构及人员、测试实施的时间、测试环境、测试项(或测试用例)、测试发现的问题及其处理情况、测试结论等。安全测试报告作为合同验收通过的依据之一,要通过甲方审核认可。安全测试实施单位具备以下任一资质:

  1. 产品通过EAL2级认证或更高级别的认证;

  2. 测试实施单位具有中国信息安全测评中心颁发的安全工程类/风险评估类一级或更高级的证书;

  3. 测试实施单位具有中国信息安全认证中心颁发的风险评估服务资质二级或更高级的证书。

  1. 针对托管至乙方运营的系统,乙方应参照ISO20000ISO27001、网络安全等级保护等体系要求,加强对运行系统的物理环境管理,保证业务持续性和可恢复性。

  2. 乙方不得将源代码托管至第三方代码托管平台,包括但不限于github、码云gitee,华为、xx、百度、腾讯代码托管平台。若必须进行第三方托管,应以书面形式通知甲方并提前获得甲方同意。托管后乙方应采取强认证措施(包括但不限于账号密码、IP地址白名单等)控制对托管内容的访问,定期检查措施有效性,动态更新和完善管控措施。

  3. 乙方人员为甲方提供服务时所使用的终端设备必须安装官方正版的防病毒软件,并每月进行病毒扫描。

  4. 乙方应对派遣人员进行从业调查,并承诺无犯罪记录,提供公安部门出具的无犯罪记录证明。

  5. 乙方应对可能发生的、影响系统运行及系统安全的事件进行分级分类,并制定相应应急预案。

  6. 乙方承诺不非法控制和操作甲方系统和设备,或利用甲方对产品的依赖性谋取不正当利益或者迫使甲方更新换代。

  7. 违约责任

  1. 对于违反协议条款的行为,乙方需承担相应的法律责任。对由于乙方人员或是乙方外包人员给甲方造成的经济及声誉损失,无论该人员是否仍在乙方公司供职,都要依照合同和法律的规定由乙方承担赔偿损失等法律责任。

  2. 乙方应当赔偿甲方因乙方违约而造成的所有损失,包括(但不限于):法院诉讼的费用、合理的律师酬金和费用、所有损失或损害等。

  3. 除本协议另有约定外,对于违反协议条款的行为,乙方应向甲方支付违约金,违约金金额为合同总金额的20%,违约金不足以弥补甲方损失的,还应赔偿损失

  4. 该项目所建系统开始试运行后,若乙方原因导致下表所列事件发生,乙方应向甲方支付违约金,支付规则如下表:

事件

违约金

发现存在高危漏洞列表中定义的高危漏洞

每发现一个漏洞,乙方须支付甲方5000元违约金;

出现高危漏洞列表中定义的高危漏洞,应24小时内免费完成漏洞修复

漏洞修复每延迟一个小时,乙方须支付甲方1000元违约金。

违约金不足以弥补甲方损失的,还应赔偿甲方损失并承担相应法律责任。



高危漏洞列表

1

直接获取系统权限的漏洞。包括但不限于命令执行、代码执行、获取WebshellSQL注入获取系统权限、缓冲区溢出。

2

导致业务拒绝服务的漏洞。包括但不限于利用漏洞或业务逻辑漏洞直接导致系统业务不可用。

3

严重的信息泄露漏洞。包括但不限于数据库的SQL注入漏洞,用户账户支付相关信息泄露漏洞,核心功能的源代码泄露(含算法,重要业务逻辑等)漏洞,用户隐私信息泄露漏洞,服务器敏感信息的日志文件下载等。

4

生产业务系统严重的逻辑设计缺陷。包括但不限于账户、支付方面的安全问题,如任意账号登录、任意账号密码修改、任意账号资金消费、支付交易方面的严重问题。

5

越权敏感操作漏洞。包括但不限于账号越权修改重要信息、进行订单普通操作、重要业务配置修改、绕过认证访问管理后台、后台登录弱口令、修改任意用户密码等较为重要的越权行为。

6

URL跳转漏洞。

7

可直接导致对公宣传展示内容被篡改的其他漏洞。

8

大范围影响用户信息或资金方面的其他漏洞。



  1. 争议的解决:

由本协议产生的一切争议由双方友好协商解决。协商不成,向甲方住所地人民法院起诉。


  1. 生效及其他事项:

  1. 本协议作为项目合同内容的一个部分,具有合同同等法律约束力。本协议长期有效,项目结束或项目合同的终止不影响本协议继续履行。

  2. 任何一方对本协议的修改或修正必须经双方盖章并由双方委托代理人签字后生效。

  3. 协议任何条款的无效不影响本协议其它条款的有效性。






甲方:厦门航空有限公司(盖章)

委托代理人签名:

日期: 年 月 日


乙方: (xx)

委托代理人签名:

日期: 年 月 日


Document Metadata

Filed: December 3rd, 2021