XX项目网络安全协议
XX项目网络安全协议
甲 方:厦门航空有限公司
乙 方(供应商):
为了明确对乙方的网络安全要求,甲、乙双方本着平等、自愿、公平、诚信的原则,依据乙方在项目投标书中所作网络安全保证的相关内容,订立本协议。
双方确认在签署本协议前已经详细审阅过协议的内容,并完全了解协议各条款的法律含义。
网络安全协调责任人:每一方就网络安全信息的传授和接受事宜而协调的首要责任人。
甲方网络安全协调责任人:
乙方网络安全协调责任人:
乙方提供的产品及服务必须符合《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》、《中华人民共和国个人信息保护法》、《信息安全技术网络安全等级保护基本要求》等相关网络安全法律法规和国家标准、行业标准的要求,并应符合甲方的各类网络安全规范要求,否则由此引起的全部安全责任及法律责任由乙方完全承担。
针对乙方参与建设或以其它方式提供给甲方使用的信息系统(以下简称“系统”),上线生产环境前必须通过甲方安全测试。
测试期间,乙方提供的测试产品确保最小化访问和权限控制,并且仅由甲方专用。测试结束后,乙方需要清理删除与甲方相关的所有测试内容。
未经甲方同意,乙方不得以甲方名义在互联网上发布系统、测试样例等,发布内容不得与甲方有任何关联或以任何方式引人误以为与甲方有任何关联,不得在任何场所交流甲方相关案例。具体包括(但不限于):
部署在互联网的页面不得携带甲方logo,不得出现甲方公司名称、公司简称、承运人代码等文字或其他标识信息。
测试数据不得与甲方真实生产数据相关,不得出现甲方公司名称、公司简称、承运人代码等信息。
不得使用甲方域名。
乙方提供的信息系统,需满足以下要求:
系统需能够抵御各类常见网络攻击,包括但不限于口令暴力破解攻击、非授权访问攻击、业务逻辑攻击、跨站脚本攻击、注入攻击、文件上传绕过攻击、命令执行攻击、跨站请求伪造攻击等。针对移动客户端软件,还需能抵御反编译攻击。
系统需妥善处理敏感信息(如个人密码、个人敏感数据、数据库用户密码等),按照甲方数据分级分类保护要求,在传输和存储过程中使用符合一定强度要求的安全加密算法进行加密,避免信息泄漏。在系统前端界面,需对证件号、银行账号、手机号、联系地址等个人敏感数据进行部分或全部隐藏显示。
系统需具备安全日志连续存储时间不少于6个月的功能,对用户登录登出、重要业务操作、敏感数据查询等用户行为以及系统运行日志(如报错信息、告警信息等)记录完备的日志信息,且日志信息中不得包含明文的敏感信息如密码、信用卡信息等。需根据甲方要求提供日志同步接口,用于将日志归档到甲方日志管理平台。
系统禁止使用含有已知漏洞的组件。
若系统存在超级管理员账号,需告知甲方并提供默认密码修改功能。
乙方需明确目标产品关联的外部系统或接口。不得以维护、安全等名义预留帐号或接口,连接或授权第三方连接目标产品(含数据库、中间件),特殊情况需经甲方同意。
行业软件需遵循行业的安全标准(例如:支付卡行业需遵循支付卡行业数据安全标准PCI-DSS)。
乙方提供的信息系统需有安全检测报告。检测报告中需包含但不限于:被测系统名称、测试版本、测试实施机构及人员、测试实施的时间、测试环境、测试项(或测试用例)、测试发现的问题及其处理情况、测试结论等。安全检测报告作为合同验收通过的依据之一,要通过甲方审核认可。安全检测需满足以下任一条件:
安全检测实施单位具有中国信息安全测评中心颁发的安全工程类/风险评估类一级或更高级的证书;具有中国信息安全认证中心颁发的风险评估服务资质二级或更高级的证书。
“承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录”(附表一)单位依据“网络关键设备和网络安全专用产品安全认证依据标准列表”(附表二)要求出具的检测合格报告。
针对托管至乙方运营的系统,乙方应参照ISO20000、ISO27001、网络安全等级保护等体系要求,加强对运行系统的物理环境管理,保证业务持续性和可恢复性。
乙方不得将源代码托管至第三方代码托管平台,包括但不限于github、码云gitee,华为、xx、百度、腾讯代码托管平台。若必须进行第三方托管,应以书面形式通知甲方并提前获得甲方同意。托管后乙方应采取强认证措施(包括但不限于账号密码、IP地址白名单等)控制对托管内容的访问,定期检查措施有效性,动态更新和完善管控措施。
乙方人员为甲方提供服务时所使用的终端设备必须安装官方正版的防病毒软件,并每月进行病毒扫描。
乙方应对派遣人员进行从业调查,并承诺无犯罪记录,提供公安部门出具的无犯罪记录证明。
乙方应对可能发生的、影响系统运行及系统安全的事件进行分级分类,并制定相应应急预案。
乙方承诺不非法控制和操作甲方系统和设备,不嵌入恶意代码、收集信息、设置后门程序,或未经甲方同意将数据上传至非甲方所有的服务器上,或利用甲方对产品的依赖性谋取不正当利益或者迫使甲方更新换代。
违约责任
对于违反协议条款的行为,乙方需承担相应的法律责任。对由于乙方人员或是乙方外包人员给甲方造成的经济及声誉损失,无论该人员是否仍在乙方公司供职,都要依照合同和法律的规定由乙方承担赔偿损失等法律责任。
乙方应当赔偿甲方因乙方违约而造成的所有损失,包括(但不限于):法院诉讼的费用、合理的律师酬金和费用、所有损失或损害等。
除本协议另有约定外,对于违反协议条款的行为,乙方应向甲方支付违约金,违约金金额为合同总金额的20%。
若因乙方原因导致系统存在缺陷或者系统可用性、保密性或完整性受到破坏,乙方应在15分钟内响应,并免费修复问题缺陷;因此给甲方造成损失的,乙方应赔偿甲方损失并承担相关安全责任。若导致下表所列事件发生,乙方应向甲方支付违约金,支付规则如下表:
事件 |
违约金 |
发现存在高危漏洞列表中定义的高危漏洞 |
每发现一个漏洞,乙方须支付甲方5000元违约金; |
出现高危漏洞列表中定义的高危漏洞,应24小时内免费完成漏洞修复 |
漏洞修复每延迟一个小时,乙方须支付甲方1000元违约金。 |
高危漏洞列表
1 |
直接获取系统权限的漏洞。包括但不限于命令执行、代码执行、获取Webshell、SQL注入获取系统权限、缓冲区溢出。 |
2 |
导致业务拒绝服务的漏洞。包括但不限于利用漏洞或业务逻辑漏洞直接导致系统业务不可用。 |
3 |
严重的信息泄露漏洞。包括但不限于数据库的SQL注入漏洞,用户账户支付相关信息泄露漏洞,核心功能的源代码泄露(含算法,重要业务逻辑等)漏洞,用户隐私信息泄露漏洞,服务器敏感信息的日志文件下载等。 |
4 |
生产业务系统严重的逻辑设计缺陷。包括但不限于账户、支付方面的安全问题,如任意账号登录、任意账号密码修改、任意账号资金消费、支付交易方面的严重问题。 |
5 |
越权敏感操作漏洞。包括但不限于账号越权修改重要信息、进行订单普通操作、重要业务配置修改、绕过认证访问管理后台、后台登录弱口令、修改任意用户密码等较为重要的越权行为。 |
6 |
URL跳转漏洞。是指对URL跳转未做严格过滤和限制,导致可跳转到一个攻击者控制的网站,易被用于钓鱼攻击。 |
7 |
可直接导致对公宣传展示内容被篡改的其他漏洞。 |
8 |
大范围影响用户信息或资金方面的其他漏洞。 |
争议的解决:
由本协议产生的一切争议由双方友好协商解决。协商不成,向甲方住所地人民法院起诉。
生效及其他事项:
本协议作为项目合同内容的一个部分,具有合同同等法律约束力。本协议长期有效,项目结束或项目合同的终止不影响本协议继续履行。
任何一方对本协议的修改或修正必须经双方盖章并由双方委托代理人签字后生效。
协议任何条款的无效不影响本协议其它条款的有效性。
附表一:承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)
序号 |
机构名称 |
对应法人单位 |
机构安全认证 /检测范围* |
说明 |
1 |
中国信息安全认证中心 |
中国信息安全认证中心 |
网络关键设备和网络安全专用产品安全认证 |
选择认证方式的网络关键设备和网络安全专用产品,安全认证合格后,由认证机构报国家认证认可监督管理委员会。 |
2 |
中国信息通信研究院/中国xx实验室 |
中国信息通信研究院 |
网络关键设备安全检测 |
选择检测方式的网络关键设备,安全检测符合要求后,由检测机构报工业和信息化部。 |
3 |
国家计算机网络与信息安全管理中心 |
国家计算机网络与信息安全管理中心 |
||
4 |
国家工业控制系统与产品安全质量监督检验中心 |
工业和信息化部电子科学技术情报研究所(工业和信息化部电子第一研究所) |
||
5 |
中国电子技术标准化研究院赛西实验室 |
中国电子技术标准化研究院 |
||
6 |
工业和信息化部电子第五研究所 |
工业和信息化部电子第五研究所 |
||
7 |
信息产业数据通信产品质量监督检验中心 |
北京通和实益电信科学技术研究所有限公司 |
||
8 |
国家电话交换机质量监督检验中心 |
电信科学技术第一研究所 |
||
9 |
信息产业无线通信产品质量监督检验中心 |
西安通和电信设备检测有限公司 |
||
10 |
信息产业有线通信产品质量监督检验中心 |
成都xx通信设备检测有限公司 |
||
11 |
信息产业光通信产品质量监督检验中心 |
|||
12 |
信息产业广州电话交换设备质量监督检验中心 |
中国电信集团公司广东分公司 |
||
13 |
公安部计算机信息系统安全产品质量监督检验中心 |
公安部第三研究所 |
网络安全专用产品安全检测 |
选择检测方式的网络安全专用产品,安全检测符合要求后,由检测机构报公安部。 |
14 |
公安部安全与警用电子产品质量检测中心 |
公安部第一研究所 |
||
15 |
国家计算机病毒应急处理中心计算机病毒防治产品检验实验室 |
国家计算机病毒应急处理中心 |
||
16 |
信息产业信息安全测评中心 |
中国电子科技集团公司第十五研究所 |
附表二:网络关键设备和网络安全专用产品安全认证依据标准列表
序号 |
设备或产品类别 |
标准名称 |
1 |
路由器 |
GB 40050-2021 《网络关键设备安全通用要求》 |
2 |
交换机 |
GB 40050-2021 《网络关键设备安全通用要求》 |
3 |
服务器(机架式) |
GB 40050-2021 《网络关键设备安全通用要求》 |
4 |
可编程逻辑控制器(PLC设备) |
GB 40050-2021 《网络关键设备安全通用要求》 |
5 |
数据备份一体机 |
GB/T 29765-2013《信息安全技术 数据备份与恢复产品技术要求与测试评价方法》 |
6 |
防火墙(硬件) |
GB/T 20281-2020《信息安全技术 防火墙安全技术要求和测试评价方法》 |
7 |
WEB应用防火墙(WAF) |
GB/T 20281-2020《信息安全技术 防火墙安全技术要求和测试评价方法》 |
8 |
入侵检测系统(IDS) |
GB/T 20275-2013《信息安全技术 网络入侵检测系统技术要求和测试评价方法》 |
9 |
入侵防御系统(IPS) |
GB/T 28451-2012《信息安全技术 网络型入侵防御产品技术要求和测试评价方法》 |
10 |
安全隔离与信息交换产品(网闸) |
GB/T 20279-2015《信息安全技术 网络和终端设备隔离产品安全技术要求》 |
11 |
反垃圾邮件产品 |
GB/T 30282-2013《信息安全技术 反垃圾邮件产品技术要求和测试评价方法》 |
12 |
网络综合审计系统 |
GB/T 20945-2013《信息安全技术 信息系统安全审计产品技术要求和测试评价方法》 |
13 |
网络脆弱性扫描产品 |
GB/T 20278-2013《信息安全技术 网络脆弱性扫描产品安全技术要求》 |
14 |
安全数据库系统 |
GB/T 20273-2019《信息安全技术 数据库管理系统安全技术要求》 |
15 |
网站恢复产品(硬件) |
GB/T 29766-2013《信息安全技术 网站数据恢复产品技术要求与测试评价方法》 |