云盾滲透測試委托服務(wù)協(xié)議甲方：北京天鑫匯信息服務(wù)有限公司地 址：北京市北京經(jīng)濟(jì)技術(shù)開發(fā)區(qū)博興一路8號（二期）聯(lián)系人：唐中印電話：010-67511880-5180乙方：阿里云計(jì)算有限公司 （以下

云盾滲透測試委托服務(wù)協(xié)議

甲方：北京天鑫匯信息服務(wù)有限公司

地 址：北京市北京經(jīng)濟(jì)技術(shù)開發(fā)區(qū)博興一路8號（二期）

聯(lián)系人：唐中印

電話：010-67511880-5180

乙方：阿里云計(jì)算有限公司 （以下或稱“阿里云”） 地址：北京市朝陽區(qū)大望路國家廣告產(chǎn)業(yè)園A 座3層

聯(lián)系人：張偉偉

電話：18611191450

雙方根據(jù)《中華人民共和國合同法》及相關(guān)法律的規(guī)定，經(jīng)友好協(xié)商，就甲方委托乙方提供云盾滲透測試服務(wù)達(dá)成的如下協(xié)議。

第一條定義

除非本協(xié)議中另有約定，下列詞語在本協(xié)議中具有以下特定涵義：

1.1 滲透測試：滲透測試(penetration test)是通過模擬惡意黑客的攻擊方法，

攻破目標(biāo)系統(tǒng)的安全控制措施，取得訪問控制權(quán)限，并發(fā)現(xiàn)潛在威脅，來評估計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評估方法。

1.2 目標(biāo)系統(tǒng)是指用戶申請測試的數(shù)據(jù)庫系統(tǒng)，操作系統(tǒng)、應(yīng)用系統(tǒng)與軟件等。

第二條 關(guān)于測試時間及測試目標(biāo)

1

用戶委托阿里云在如下時間進(jìn)行對如下域名、IP 所指向的目標(biāo)系統(tǒng)進(jìn)行滲透測試服務(wù)。

測試時間：

測試目標(biāo)系統(tǒng)（域名/IP地址）：

域名：fengnb.com

測試內(nèi)容包括：

1. 分析應(yīng)用漏洞：

嘗試分析但不限于應(yīng)用系統(tǒng)的SQL 注入、跨站漏洞XSS/CSRF、越權(quán)未驗(yàn)證、文件目錄遍歷、信息泄露等攻擊方式；

2. 分析服務(wù)器與網(wǎng)絡(luò)弱點(diǎn)：

在服務(wù)過程中將嘗試網(wǎng)絡(luò)嗅探、溢出、代碼/命令執(zhí)行、弱口令等攻擊方式；

3. 安全意識隱患：

在服務(wù)過程中將嘗試檢測員工安全意識和安全管理規(guī)范上的缺陷，包括但不限于釣魚、社交工程、域名服務(wù)權(quán)限、員工密碼泄露等攻擊方式

4. 安全報告

報告內(nèi)容至少有：

（1）滲透測試的范圍

（2）滲透過程，及使用的方法

（3）發(fā)現(xiàn)漏洞、證明漏洞、利用漏洞

（4）漏洞修復(fù)建議

（5）滲透總結(jié)。

5、具體的安全測試參與附件1《云盾滲透測試說明文檔20150407-new 2》執(zhí)行，安全報告參考附件2《xxx 滲透測試報告模板》編制。

第三條服務(wù)費(fèi)用及說明

3.1服務(wù)費(fèi)用：50000元，大寫：人民幣伍萬元整

3.2云收到款項(xiàng)后3個工作日內(nèi)會與客戶溝通安排滲透測試服務(wù)。

收款賬戶信息如下：

戶 名： 阿里云計(jì)算有限公司

2

開戶行： 招商銀行武林支行

賬 號： 571905493610901

第四條 雙方的權(quán)利和義務(wù)

4.1用戶應(yīng)對提供給阿里云測試的目標(biāo)系統(tǒng)（包括但不限于域名、網(wǎng)站等），具有完全的所有權(quán)，并應(yīng)提供阿里云相應(yīng)權(quán)利證明文件。

4.2用戶理解并認(rèn)可，用戶所選定的域名、IP 所在的服務(wù)器，因接受了滲透測試服務(wù)施加的壓力，可能會出現(xiàn)服務(wù)器不能正常運(yùn)轉(zhuǎn)、數(shù)據(jù)損壞等結(jié)果，用戶明確知曉并接受該后果，并應(yīng)提前做好數(shù)據(jù)備份及恢復(fù)準(zhǔn)備工作。阿里云不對該因滲透測試產(chǎn)生的任何后果承擔(dān)責(zé)任，同時阿里云提示用戶審慎選擇目標(biāo)服務(wù)器，對于因滲透測試導(dǎo)致的第三方損失由用戶承擔(dān)全部責(zé)任。

4.3服務(wù)完成后3日內(nèi)，阿里云將用戶提交測試報告。測試報告的內(nèi)容包括：滲透測試范圍、方法、漏洞統(tǒng)計(jì)及漏洞詳細(xì)信息、修補(bǔ)方法等。測試報告將采用加密形式發(fā)送到用戶指定郵箱。

4.4 用戶理解并認(rèn)可，測試結(jié)果是阿里云按照用戶的指令進(jìn)行滲透測試后所記錄的目標(biāo)系統(tǒng)的漏洞和修補(bǔ)方法等信息，阿里云不對用戶依據(jù)該信息進(jìn)行的工作及工作結(jié)果承擔(dān)任何責(zé)任。

第五條保密條款

5.1. 保密資料指由一方向另一方披露的所有技術(shù)及非技術(shù)信息(包括但不限于產(chǎn)品資料，產(chǎn)品計(jì)劃，價格，財(cái)務(wù)及營銷規(guī)劃，業(yè)務(wù)戰(zhàn)略，客戶信息，客戶數(shù)據(jù)， 3

研發(fā)資料，軟件硬件，API 應(yīng)用數(shù)據(jù)接口，技術(shù)說明，設(shè)計(jì)，特殊公式，特殊算法等) 。

5.2. 本協(xié)議任何一方同意對獲悉的對方之上述保密資料予以保密，并嚴(yán)格限制接觸上述保密資料的員工遵守本條之保密義務(wù)。除非國家機(jī)關(guān)依法強(qiáng)制要求或上述保密資料已經(jīng)進(jìn)入公有領(lǐng)域外，接受保密資料的一方不得對外披露。

5.3. 本協(xié)議雙方明確認(rèn)可保密資料是雙方的重點(diǎn)保密信息并是各自的重要資產(chǎn)，本協(xié)議雙方同意盡最大的努力保護(hù)上述保密資料等不被披露。一旦發(fā)現(xiàn)有上述保密資料泄露事件，雙方應(yīng)合作采取一切合理措施避免或者減輕損害后果的產(chǎn)生。

第六條 違約責(zé)任

6.1. 本協(xié)議任何一方違約均須依法承擔(dān)違約責(zé)任。

6.2. 在任何情況下，阿里云均不對任何間接性、后果性、懲戒性、偶然性、特殊性的損害，包括用戶使用阿里云服務(wù)而遭受的利潤損失承擔(dān)責(zé)任（即使用戶已被告知該等損失的可能性）。

6.3. 在任何情況下，阿里云對本協(xié)議所承擔(dān)的違約賠償責(zé)任總額不超過違約服務(wù)對應(yīng)之服務(wù)費(fèi)總額。

第七條 不可抗力

7.1. 因不可抗力或者其他意外事件，使得本協(xié)議的履行不可能、不必要或者無意義的，遭受不可抗力、意外事件的一方不承擔(dān)責(zé)任。

7.2. 不可抗力、意外事件是指不能預(yù)見、不能克服并不能避免且對一方或雙方當(dāng)事人造成重大影響的客觀事件，包括但不限于自然災(zāi)害如洪水、地震、瘟疫流 4

行等以及社會事件如戰(zhàn)爭、動亂、政府行為、電信主干線路中斷、黑客、網(wǎng)路堵塞、電信部門技術(shù)調(diào)整和政府管制等。

第八條法律適用及爭議解決

8.1本協(xié)議受中華人民共和國法律管轄。

8.2在執(zhí)行本協(xié)議過程中如發(fā)生糾紛，雙方應(yīng)及時協(xié)商解決。協(xié)商不成時，任何一方可直接向杭州市西湖區(qū)人民法院提起訴訟。

第九條 附則

9.1本協(xié)議自雙方蓋章之日起生效，自受托方的主要義務(wù)履行完畢之日起終止。

9.2 如果任何條款在性質(zhì)上或其他方面理應(yīng)地在本協(xié)議終止時繼續(xù)存在，那么應(yīng)視為繼續(xù)存在的條款，這些條款包括但不局限于保證條款、保密條款、知識產(chǎn)權(quán)條款、法律適用及爭議解決條款。

9.3本協(xié)議一式四份，甲乙雙方各執(zhí)二份，具有同等法律效力。

甲方： 乙方：阿里云計(jì)算有限公司（蓋章）（蓋章）

年月日2015年09 月 日

5