云盾滲透測(cè)試委托服務(wù)協(xié)議甲方：北京天鑫匯信息服務(wù)有限公司地 址：北京市北京經(jīng)濟(jì)技術(shù)開(kāi)發(fā)區(qū)博興一路8號(hào)（二期）聯(lián)系人：唐中印電話(huà)：010-67511880-5180乙方：阿里云計(jì)算有限公司 （以下

云盾滲透測(cè)試委托服務(wù)協(xié)議

甲方：北京天鑫匯信息服務(wù)有限公司

地 址：北京市北京經(jīng)濟(jì)技術(shù)開(kāi)發(fā)區(qū)博興一路8號(hào)（二期）

聯(lián)系人：唐中印

電話(huà)：010-67511880-5180

乙方：阿里云計(jì)算有限公司 （以下或稱(chēng)“阿里云”） 地址：北京市朝陽(yáng)區(qū)大望路國(guó)家廣告產(chǎn)業(yè)園A 座3層

聯(lián)系人：張偉偉

電話(huà)：18611191450

雙方根據(jù)《中華人民共和國(guó)合同法》及相關(guān)法律的規(guī)定，經(jīng)友好協(xié)商，就甲方委托乙方提供云盾滲透測(cè)試服務(wù)達(dá)成的如下協(xié)議。

第一條定義

除非本協(xié)議中另有約定，下列詞語(yǔ)在本協(xié)議中具有以下特定涵義：

1.1 滲透測(cè)試：滲透測(cè)試(penetration test)是通過(guò)模擬惡意黑客的攻擊方法，

攻破目標(biāo)系統(tǒng)的安全控制措施，取得訪(fǎng)問(wèn)控制權(quán)限，并發(fā)現(xiàn)潛在威脅，來(lái)評(píng)估計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評(píng)估方法。

1.2 目標(biāo)系統(tǒng)是指用戶(hù)申請(qǐng)測(cè)試的數(shù)據(jù)庫(kù)系統(tǒng)，操作系統(tǒng)、應(yīng)用系統(tǒng)與軟件等。

第二條 關(guān)于測(cè)試時(shí)間及測(cè)試目標(biāo)

1

用戶(hù)委托阿里云在如下時(shí)間進(jìn)行對(duì)如下域名、IP 所指向的目標(biāo)系統(tǒng)進(jìn)行滲透測(cè)試服務(wù)。

測(cè)試時(shí)間：

測(cè)試目標(biāo)系統(tǒng)（域名/IP地址）：

域名：fengnb.com

測(cè)試內(nèi)容包括：

1. 分析應(yīng)用漏洞：

嘗試分析但不限于應(yīng)用系統(tǒng)的SQL 注入、跨站漏洞XSS/CSRF、越權(quán)未驗(yàn)證、文件目錄遍歷、信息泄露等攻擊方式；

2. 分析服務(wù)器與網(wǎng)絡(luò)弱點(diǎn)：

在服務(wù)過(guò)程中將嘗試網(wǎng)絡(luò)嗅探、溢出、代碼/命令執(zhí)行、弱口令等攻擊方式；

3. 安全意識(shí)隱患：

在服務(wù)過(guò)程中將嘗試檢測(cè)員工安全意識(shí)和安全管理規(guī)范上的缺陷，包括但不限于釣魚(yú)、社交工程、域名服務(wù)權(quán)限、員工密碼泄露等攻擊方式

4. 安全報(bào)告

報(bào)告內(nèi)容至少有：

（1）滲透測(cè)試的范圍

（2）滲透過(guò)程，及使用的方法

（3）發(fā)現(xiàn)漏洞、證明漏洞、利用漏洞

（4）漏洞修復(fù)建議

（5）滲透總結(jié)。

5、具體的安全測(cè)試參與附件1《云盾滲透測(cè)試說(shuō)明文檔20150407-new 2》執(zhí)行，安全報(bào)告參考附件2《xxx 滲透測(cè)試報(bào)告模板》編制。

第三條服務(wù)費(fèi)用及說(shuō)明

3.1服務(wù)費(fèi)用：50000元，大寫(xiě)：人民幣伍萬(wàn)元整

3.2云收到款項(xiàng)后3個(gè)工作日內(nèi)會(huì)與客戶(hù)溝通安排滲透測(cè)試服務(wù)。

收款賬戶(hù)信息如下：

戶(hù) 名： 阿里云計(jì)算有限公司

2

開(kāi)戶(hù)行： 招商銀行武林支行

賬 號(hào)： 571905493610901

第四條 雙方的權(quán)利和義務(wù)

4.1用戶(hù)應(yīng)對(duì)提供給阿里云測(cè)試的目標(biāo)系統(tǒng)（包括但不限于域名、網(wǎng)站等），具有完全的所有權(quán)，并應(yīng)提供阿里云相應(yīng)權(quán)利證明文件。

4.2用戶(hù)理解并認(rèn)可，用戶(hù)所選定的域名、IP 所在的服務(wù)器，因接受了滲透測(cè)試服務(wù)施加的壓力，可能會(huì)出現(xiàn)服務(wù)器不能正常運(yùn)轉(zhuǎn)、數(shù)據(jù)損壞等結(jié)果，用戶(hù)明確知曉并接受該后果，并應(yīng)提前做好數(shù)據(jù)備份及恢復(fù)準(zhǔn)備工作。阿里云不對(duì)該因滲透測(cè)試產(chǎn)生的任何后果承擔(dān)責(zé)任，同時(shí)阿里云提示用戶(hù)審慎選擇目標(biāo)服務(wù)器，對(duì)于因滲透測(cè)試導(dǎo)致的第三方損失由用戶(hù)承擔(dān)全部責(zé)任。

4.3服務(wù)完成后3日內(nèi)，阿里云將用戶(hù)提交測(cè)試報(bào)告。測(cè)試報(bào)告的內(nèi)容包括：滲透測(cè)試范圍、方法、漏洞統(tǒng)計(jì)及漏洞詳細(xì)信息、修補(bǔ)方法等。測(cè)試報(bào)告將采用加密形式發(fā)送到用戶(hù)指定郵箱。

4.4 用戶(hù)理解并認(rèn)可，測(cè)試結(jié)果是阿里云按照用戶(hù)的指令進(jìn)行滲透測(cè)試后所記錄的目標(biāo)系統(tǒng)的漏洞和修補(bǔ)方法等信息，阿里云不對(duì)用戶(hù)依據(jù)該信息進(jìn)行的工作及工作結(jié)果承擔(dān)任何責(zé)任。

第五條保密條款

5.1. 保密資料指由一方向另一方披露的所有技術(shù)及非技術(shù)信息(包括但不限于產(chǎn)品資料，產(chǎn)品計(jì)劃，價(jià)格，財(cái)務(wù)及營(yíng)銷(xiāo)規(guī)劃，業(yè)務(wù)戰(zhàn)略，客戶(hù)信息，客戶(hù)數(shù)據(jù)， 3

研發(fā)資料，軟件硬件，API 應(yīng)用數(shù)據(jù)接口，技術(shù)說(shuō)明，設(shè)計(jì)，特殊公式，特殊算法等) 。

5.2. 本協(xié)議任何一方同意對(duì)獲悉的對(duì)方之上述保密資料予以保密，并嚴(yán)格限制接觸上述保密資料的員工遵守本條之保密義務(wù)。除非國(guó)家機(jī)關(guān)依法強(qiáng)制要求或上述保密資料已經(jīng)進(jìn)入公有領(lǐng)域外，接受保密資料的一方不得對(duì)外披露。

5.3. 本協(xié)議雙方明確認(rèn)可保密資料是雙方的重點(diǎn)保密信息并是各自的重要資產(chǎn)，本協(xié)議雙方同意盡最大的努力保護(hù)上述保密資料等不被披露。一旦發(fā)現(xiàn)有上述保密資料泄露事件，雙方應(yīng)合作采取一切合理措施避免或者減輕損害后果的產(chǎn)生。

第六條 違約責(zé)任

6.1. 本協(xié)議任何一方違約均須依法承擔(dān)違約責(zé)任。

6.2. 在任何情況下，阿里云均不對(duì)任何間接性、后果性、懲戒性、偶然性、特殊性的損害，包括用戶(hù)使用阿里云服務(wù)而遭受的利潤(rùn)損失承擔(dān)責(zé)任（即使用戶(hù)已被告知該等損失的可能性）。

6.3. 在任何情況下，阿里云對(duì)本協(xié)議所承擔(dān)的違約賠償責(zé)任總額不超過(guò)違約服務(wù)對(duì)應(yīng)之服務(wù)費(fèi)總額。

第七條 不可抗力

7.1. 因不可抗力或者其他意外事件，使得本協(xié)議的履行不可能、不必要或者無(wú)意義的，遭受不可抗力、意外事件的一方不承擔(dān)責(zé)任。

7.2. 不可抗力、意外事件是指不能預(yù)見(jiàn)、不能克服并不能避免且對(duì)一方或雙方當(dāng)事人造成重大影響的客觀(guān)事件，包括但不限于自然災(zāi)害如洪水、地震、瘟疫流 4

行等以及社會(huì)事件如戰(zhàn)爭(zhēng)、動(dòng)亂、政府行為、電信主干線(xiàn)路中斷、黑客、網(wǎng)路堵塞、電信部門(mén)技術(shù)調(diào)整和政府管制等。

第八條法律適用及爭(zhēng)議解決

8.1本協(xié)議受中華人民共和國(guó)法律管轄。

8.2在執(zhí)行本協(xié)議過(guò)程中如發(fā)生糾紛，雙方應(yīng)及時(shí)協(xié)商解決。協(xié)商不成時(shí)，任何一方可直接向杭州市西湖區(qū)人民法院提起訴訟。

第九條 附則

9.1本協(xié)議自雙方蓋章之日起生效，自受托方的主要義務(wù)履行完畢之日起終止。

9.2 如果任何條款在性質(zhì)上或其他方面理應(yīng)地在本協(xié)議終止時(shí)繼續(xù)存在，那么應(yīng)視為繼續(xù)存在的條款，這些條款包括但不局限于保證條款、保密條款、知識(shí)產(chǎn)權(quán)條款、法律適用及爭(zhēng)議解決條款。

9.3本協(xié)議一式四份，甲乙雙方各執(zhí)二份，具有同等法律效力。

甲方： 乙方：阿里云計(jì)算有限公司（蓋章）（蓋章）

年月日2015年09 月 日

5