【招标公告】山东省城市商业银行合作联盟有限公司集权安全建设采购项目供应商征集公告

所属地区:山东济南市 发布日期:2024-10-30

【招标公告】山东省城市商业银行合作联盟有限公司集权安全建设采购项目供应商征集公告:本条项目信息由剑鱼标讯山东招标网为您提供。登录后即可免费查看完整信息。

基本信息

地区 山东 济南市 采购单位 山东省城市商业银行合作联盟有限公司
招标代理机构 项目名称 山东省城市商业银行合作联盟有限公司集权安全建设采购项目
采购联系人 *** 采购电话 ***
山东省城市商业银行合作联盟有限公司(以下简称“商行联盟”或“征集人”)现就“集权安全建设采购”开展竞争性谈判供应商公开征集,诚邀符合资格条件的供应商参与。一、项目概况(一)项目名称:联盟集权安全建设采购项目(二)基本情况山东省城市商业银行合作联盟有限公司集权安全建设采购项目现已启动,为了能够获得最符合商行联盟需求的产品和服务,保证商行联盟需求正常落地,现征集优质的集权安全方案供应商进行项目的采购。(三)采购内容<<<<本次集权安全建设采购项目包括2项内容,供应商提供的解决方案需满足2项采购内容的技术要求。1.人机识别网关1.1架构要求系统参数要求详细规格参数基础架构系统架构系统平台自身支持国产化信创部署。部署架构系统支持高可用部署模式。本项目采用纯软件私有化的部署方式。部署要求系统应采用非植入式部署方式,不需要在应用服务器和用户的客户端安装客户端软件,不需要应用系统进行任何的代码二次开发,不需要应用服务器做配置变更,部署对应用无感知。产品提供多种不同的保护模式,可以根据不同的防护阶段开启不同的防护模式,防护模式至少应包括:透明模式、监听模式和拦截模式。产品管理所有功能组件均为同一管理后台。1.2 技术参数要求详细规格参数攻击防护要求攻击入口隐藏:在不依赖传统特征库和规则情况下可以对应用层的攻击入口进行隐藏,使自动化工具无法获得应用系统的目录架构和应用层漏洞情况,网站在受保护前存在高危漏洞,受到保护后高危漏洞为0。自动化未知漏洞攻击防护:不需要攻击特征或规则,即可有效封堵自动化未知漏洞攻击(Struts2反序列等一系列)。暴力密码猜测、字典攻击或撞库等恶意行为防护:无需设置阈值或频率的情况下可防止攻击者对WEB应用进行暴力密码猜测、字典攻击或撞库等恶意行为。支持不通过限制访问速率:即可以防止Web CC攻击,应用系统被防护后可以避免单个页面被不停恶意刷新的攻击行为。需详细描述技术实现方式,提供防护前后攻击效果截图和系统告警截图。针对攻击者使用多源低频的攻击手段进行有效防护,防止攻击者不断更换IP或降低单一IP访问频度来绕过防护策略。动态封装:对报文中Body内容做动态封装,每次封装的结果均不相同,让攻击者无法直接通过查看Body源代码获得链接、表单信息和JS代码内容,从而实现关键信息的隐藏和漏洞信息的屏蔽,提升下一步攻击的难度。动态验证:采用动态检查代码验证客户端环境,且每次均随机选取检测项目与数量。通过在原始网页代码中插入主动探测JS代码从而能够发现虚假客户端、违规的客户端和真实客户端类型,有效区分正常浏览器及高级自动化工具访问行为。客户端环境的检查范围包括且不限于客户端的IP地址、操作系统、浏览器版本、浏览器指纹、键盘及鼠标行为等。 动态混淆:提交请求内容混淆:(a)使用动态的混淆算法与密钥对终端用户请求的内容进行保护。(b)对于受保护的请求内容,必须对请求的整体内容进行保护。(c)每次混淆的结果均不相同。动态令牌:对当前访问的合法请求授予在一定时间内有效的一次性访问令牌(cookie令牌/URL令牌),防止非授权和越权访问行为。终端环境拦截功能要求:可以基于客户端的运行时环境特征数据实现拦截,包括:客户端指纹,User-Agent、Cookie ID等,实现针对性拦截。用户行为拦截功能要求:可以基于客户端的真人行为数据实现拦截,包括:键盘输入的次数、鼠标移动的次数、鼠标点击的次数、触摸板开始触摸的次数,实现针对性拦截。动态拦截功能要求:当请求触发防护规则时,可以设定多种拦截策略,如:阻挡,延时等;且可配置上述拦截策略按百分比随机响应,提升攻击者的对抗分析难度。系统操作管理支持创建不同级别的管理员,能够对管理员的能力进行分级分权控制,不同管理员可以对不同的企业资源进行独立的资源授权管理除系统管理员外,支持创建不同的系统角色,能够对不同的模块功能进行不同的授权,且需要支持“只读”角色1.3 场景要求系统参数要求详细规格参数场景要求环境要求满足征集方生产及测试双环境部署的要求。运行要求满足征集方不小于70防护站点的防护要求(系统单位)。满足征集方在16C/32G计算资源部署的情况下,为70防护站点提供稳定的负载服务质量,应提供满足稳定服务质量的部署实例数量授权。授权及维保要求满足征集方五年原厂维保的要求。<<<<2.零信任应用安全网关2.1 架构要求系统参数要求详细规格参数基础架构系统架构系统平台自身支持国产化信创部署。部署架构系统支持高可用部署模式。本项目采用纯软件私有化的部署方式。产品管理所有功能组件均为同一管理后台。2.2 技术参数要求系统参数要求详细规格参数基础能力身份管理支持通过标准OAuth2.0、标准SAML、标准CAS、LDAP等协议与公司现有SSO平台的身份认证对接,完成认证支持从员工中心平台同步架构和用户支持基于用户、组织架构、角色进行应用授权管理应用资源发布支持将B/S、H5、SAAS等web应用资源统一发布,支持发布不少于70个应用将H5应用不改变使用习惯情况下发布到IM应用工作台对web应用,支持应用灰度发布测试,仅有指定部门用户访问经过零信任网关,其他部门依然采用原有访问路径对web应用,支持放开指定的API接口供其他系统调用,通过IP白名单/UserAgent校验保证安全性web应用访问日志记录,日志支持标识应用系统的用户身份信息、访问请求方法、请求体、请求主体数据、源IP等信息,需要能记录对应用访问成功和阻断标识,可以记录数据下载状态,以及访问被阻断的原因支持记录多因子认证日志、管理员日志等多个日志审计维度的日志审计支持将所有审计信息、系统日志向第三方投递,投递方式包括但不仅限于API接口、Kafka等免客户端管理可直接使用浏览器访问,支持HTTP/HTTPS协议应用无需终端部署,支持不低于4000用户并发的使用针对web应用系统,支持URI级别访问控制支持基于用户状态的动态访问控制,如时间、地域的应用访问,对指定应用或应用组在非工作时间基于地域来源的禁止访问/下载支持无客户端状态下,可以使接入的应用不受浏览器同源策略的限制,在域名、协议、端口不相同时也能请求成功,能够支持网关处理跨域、后台处理跨域的能力。当存在多个不同主域名的HTTP应用接入时,可以自动对跨域问题进行处理,避免应用改造支持单个应用的bypass以及整个网关全部bypass的能力,当出现紧急情况时候具备自动bypass的能力,网关在应用发布时需要具备监控模式和拦截模式等多种模式,便于上线策略验证支持当应用出现1day等漏洞后,可以在业务不停机情况下进行虚拟补丁修复数据和安全管控一体化Web应用数据安全(无客户端场景下)支持无终端情况下,基于用户对企业内部应用资源的数据安全策略,可以检测识别并审计用户访问应用中包含的敏感数据信息,需要预制不同的数据应用场景,并支持对敏感数据进行分类分级管理,能够将敏感数据与用户的身份进行自动关联还原访问行为形成应用敏感数据日志支持无端状态下用户请求通过网关的敏感文件检测(文件内容识别),要求支持内置有敏感数据字典,且管理员可自定义关键词或正则表达式的方式创建敏感字段;能够将敏感文件和用户的身份进行自动关联还原访问行为形成应用敏感文件审计日志支持自动识别访问业务系统的API接口,实现API接口管控发布API接口后,支持对API调用、访问过程的风险进行分析支持无端状态下文件附件配置水印的能力,能够支持明水印和暗水印,水印内容支持UID、姓名、员工编号、邮箱、时间或者自定义文件内容,水印字号,透明度可自由调节且水印策略支持的文件大小可以自定义应用页面应支持防复制、JS防调试,防止数据被复制应用资源下载控制,文件可查看不能下载支持从应用中下载、导出的文件添加明/暗水印,水印支持自定义大小、密度、颜色等,支持时间戳显示敏感数据分类分级,分类分级策略可根据使用需求进行自定义,包括识别内容和等级划分,需要支持多种企业场景的敏感数据分类,可以对敏感数据类型进行批量导入和自定义配置支持数据使用风险分析和告警,可以基于使用人的角度识别风险,以及进行禁用,注销等操作,需要将用户的访问行为、应用、应用敏感数据、应用敏感文件(文件内容识别)进行关联识别支持对应用系统业务数据访问时进行动态脱敏,包括个人客户信息:姓名、银行卡号、密码、住址、联系方式、身份证号、交易信息等信息。行为审计及控制支持全链路日志审计查询,基于用户的访问痕迹,包括登录、访问应用等身份信息的关联。在发生敏感文件泄露后也可通过日志、水印、快速定位人员。在发生敏感文件泄露后也可通过日志、水印、截图快速定位人员、泄露的文件信息安全防护能够对应用注入攻击、恶意扫描等行为进行检测和告警支持无客户端状态下,对账号的登录IP地址与HTTP应用访问IP进行一致性校验,防止黑客通过XSS等手段盗取会话后,冒用其他用户会话身份登录系统操作管理分级分权支持创建不同级别的管理员,能够对管理员的能力进行分级分权控制,不同管理员可以对不同的企业资源进行独立的资源授权管理系统角色管理除系统管理员外,支持创建不同的系统角色,能够对不同的模块功能进行不同的授权,且需要支持“只读”角色2.3 场景要求系统参数要求详细规格参数场景要求环境要求满足征集方生产及测试双环境部署的要求。运行要求满足征集方不小于70防护站点及4000用户的防护要求(系统单位)。满足征集方在16C/32G计算资源部署的情况下,为70防护站点提供稳定的负载服务质量,应提供满足稳定服务质量的部署实例数量授权。授权及维保要求满足征集方五年原厂维保的要求。<1.<所有平台5年原厂维保服务,服务范围应包括7*24故障响应支持、4小时恢复生产、一年4次原厂巡检并提供所用版本漏洞、缺陷报告及解决方案、版本升级、重大事件现场支持。供应商保证在项目验收时,维保信息已经在原厂进行登记,验收时进行核验。2.<提供原厂的软件平台规划、部署、实施服务。3.<供应商提供原厂盖章平台维保函及向原厂购买相应服务承诺函。二、征集时间本项目征集自发布之日起至2024年11月05日17:00止。三、合格供应商要求(一) 供应商须为在中国境内注册具有独立承担民事责任的主体且截至2023年12月31日成立时间超过1年;(二) 供应商财务状况良好,有依法缴纳税收和社会保障资金的良好记录;(三)<供应商须具有原厂出具的针对本项目的代理销售授权函。(报名时需提供原件电子扫描件,投标现场可提供复印件);(四)<本项目不接受联合体参与;(五)<供应商近三年(2020年1月1日至今)在“信用中国”网站(www.creditchina.gov.cn)被列入失信被执行人名单的,不得参与本项目。(六)<供应商财务状况良好,有依法缴纳税收和社会保障资金的良好记录。(七) 供应商自成立以来无重大债权债务纠纷,在经营过程中无因违反相关法律法规受到刑事处罚和相关监管机构的行政处罚;(八) 供应商所提供产品应具备金融行业实践案例:至少提供两例商业银行或证券行业实施案例(含入围)合同;(九)<供应商提供的产品,应具备相关知识产权证明或软件著作权证书,具备经过公安部认证的网络安全设备销售许可证;(十) 法律、行政法规规定的其他条件。四、报名所需提供的资料(一)基本信息1.合法有效的公司营业执照(提供原件电子扫描件)。2.法定代表人或授权代表身份证原件电子扫描件(由授权代表报名的,还须提供加盖公章的法定代表人授权书原件电子扫描件)。3.遵守国家法律法规,在经营活动中没有违法记录,具备履行合同所必须的专业技术能力(提供承诺函)。4.提供以下供应商的相关打印页面及书面承诺函:(1)提供国家企业信用信息公示系统(http://www.gsxt.gov.cn) 中登记信息(含有股东信息)、以及 “列入严重违法失信企业名单(黑名单)信息”的截图;(2)提供信用中国网(https://www.creditchina.gov.cn/),有关“失信被执行人”及“重大税收违法案件当事人名单”的截图;(3)无不良信用行为记录承诺函(格式自拟,提供加盖公章的原件电子扫描件)。5.供应商整体情况介绍,包括基本信息、规模实力、信用状况、财务状况等。6.供应商的人员规模、能力情况。7.按照要求填写《合格供方评估表》。8.商行联盟保留要求供应商补充提交资料的权利。(二)报名资料要求1.请按上述要求提供报名材料,报名资料须提供加盖公章的原件扫描件,对于递交资料不全的、资料内容缺失的,或未按要求加盖公章及法人签字的原件电子扫描件视为报名资料缺漏,商行联盟将拒绝接受其报名。2.商行联盟视收到的上述资料不涉及商业秘密,所有供应商报名资料恕不退还。五、注意事项(一)本次公开征集不收取供应商的任何费用。(二)供应商须对报名信息和资料的真实性负责。如提供虚假材料,不得参与商行联盟集中采购活动。(三)报名资料发送指定邮箱:jzcg@bankalliance.com.cnhuxl@bankalliance.com.cnlilei@bankalliance.com.cnjiangyh@bankalliance.com.cn邮件标题格式为:公司全名+集权安全建设采购项目。报名邮件的容量超过10M时,请压缩、拆解成多个小于10M的邮件或以超大附件形式发送;报名资料以指定邮箱收到为准。六、声明商行联盟接收供应商的报名资料并不表示接受报名供应商参与本项目,商行联盟有权选定并邀请全部或部分合格供应商参与本项目采购活动。供应商超期提交的,征集人不予受理。七、联系方式(一)联系单位:山东省城市商业银行合作联盟有限公司(二)地址:山东省济南市高新东区科创路1001号(三)邮箱:jzcg@bankalliance.com.cnhuxl@bankalliance.com.cnlilei@bankalliance.com.cnjiangyh@bankalliance.com.cn<特此公告。<山东省城市商业银行合作联盟有限公司2024年10月29日

剑鱼标讯山东招标网收集整理了大量的招标投标信息、各类采购信息和企业经营信息,免费向广大用户开放。登录后即可免费查询。

山东热门招标