我司拟对数据防泄漏项目-API风险监测项目
进行供应商征集,诚邀符合要求的供应商报名参加。
项目具体内容如下:
一、项目名称:数据防泄漏项目-API风险监测项目
二、采购服务需求(以最终标书为准):
(一)部署和检测要求:
- 支持光口或电口的旁路镜像流量部署模式,支持多路镜像流量。
- 检测一体机CPU不低于20C,内存不低于128G,SSD盘不少于2T,机械盘不低于40T,至少2个千兆电口,2个万兆光口,支持扩展槽位不少于2个,检测流量不低于3Gbps,冗余电源。
- 管理一体机CPU不低于20C,内存不低于64G,SSD盘不少于2T,硬盘不低于4T,至少2个千兆电口。
- 数据存储不低于6个月,硬盘配置须确保存储数据的安全,不能因部分硬盘损坏或故障而导致数据丢失,冗余电源。
- 支持华为云、阿里云、腾讯云等主流公有云环境部署。
(二)API资产管理:
- API资产识别支持RESTful、SOAP、GraphQL、gRPC、WebSocket等常见的API格式。
- 支持识别HTML,XLS/XLSX,DOC/DOCX,PPT/PPTX,TXT,CSV,PDF,TAR,BZ2,7ZIP,RAR,ZIP等。
- 支持根据请求方法、请求Header中的URL及参数对API进行拆分。
- 支持自动对API资产进行智能聚合,避免出现同一个API枚举所有条目产生海量条目。
- 支持自动对API进行风险等级识别,支持修改API风险等级识别规则。
- 支持对API进行生命周期管理,可以发现新增API、僵尸API和复活的API接口等。
(三)API风险和敏感数据识别:
- 支持识别各类敏感数据,包括:姓名、身份证号码、住址、手机号、银行卡、车牌号码、统一社会信用代码、护照号码、电子邮箱等;
- 支持根据监管规范要求自动对敏感数据进行风险等级识别。
- 支持XLS/XLSX,DOC/DOCX,PPT/PPTX,TXT,CSV,PDF,7ZIP,RAR,ZIP等文件识别敏感数据。
- 支持自动识别OWASP API Security Top10的疑似缺陷,如参数可遍历、未鉴权、明文密码传输、登录弱密码、服务器端请求伪造SSRF等。
- 支持自动识别流量中的攻击行为,如账号暴力破解、验证码暴力破解、高频请求查询敏感数据、单次请求返回大量敏感数据弱密码登录等;
(四)用户管理:
- 支持用户三权分立,应有管理员、审计员、操作员多种权限设置。
- 审计管理员支持对操作日志的查看和导出,审计日志记录应包含:时间、账号、IP、内容、操作结果等。
- 支持用户密码长度、复杂度和有效期设置。
- 支持用户登录IP地址限制、登录失败锁定次数、锁定时长和登录超时时间设置。
- 支持双因素认证,通过输入账号、密码、动态码的形式进行双因素登录认证。
- 支持多用户分权管理,每个用户仅能看到授权下的资产和风险。
(五)其他功能:
- 支持对应用、API资产、API敏感列表、API风险列表进行导出;
- 支持通过API、IP、账号等多种查询进行溯源分析。
- 支持统一管理,支持对多检测节点进行资产、弱点、风险的集中管理和日志的统一查询操作。
- 支持通过源/目的IP、域名、URL等对流量进行过滤。
- 支持通过kafka、syslog外发应用、API资产、API敏感列表、API风险等。
(六)对接要求:
1、与统一用户中心自动对接,需要与集团用户中心系统做定制开发,支持OAuth2实现统一认证管理。
2、与统一服务管理系统自动对接,获取API资产、归属主体、归属业务系统、系统负责人等信息,根据系统负责人信息,在API风险监测系统中自动分配权限,对API资产与风险进行统一管理。
(七)非功能需求
- API风险监测系统为针对API安全的专业设备,而非WAAP(Web应用和API保护)设备。
- 项目验收前需安排人员提供API梳理、安全风险分析和策略优化等现场服务,每周至少1次。从项目验收之日起一年内需安排人员提供API梳理、安全风险分析和策略优化等现场服务,每月至少1次,根据具体情况而定。
- 具备客户化开发能力,可根据项目需求定制开发及完成适配。
- 系统维保或授权到期后,不影响系统的正常使用。
- 在维保服务期内,如发生重大版本变更或有安全漏洞,第一时间通知,并提供修复或升级服务。
- 超过维保服务期后,如发现安全漏洞,免费提供修复或升级服务。
(八)部署要求
支持本地化部署方式。
(九)服务类需求(含服务水平)
|
服务项 |
服务内容描述 |
服务要求/水平描述 |
|
项目实施阶段 |
1、硬件设备供货到指定地点,对硬件产品进行上架并完成加电验收。 2、设备部署调试和策略定制及关联配置。 3、实施后进行试运行阶段,并进行策略调优。 4、设备操作技术培训 |
1、设备应在合同签订后一个月内将设备送到三里屯企商数据中心和亦庄鹏博士数据中心。 2、须交付实施方案设备技术白皮书、用户使用手册等相关资料。 3、项目验收前需安排人员提供API梳理、安全风险分析和策略优化等现场服务,每周至少1次。从项目验收之日起一年内需安排人员提供API梳理、安全风险分析和策略优化等现场服务,每月至少1次,根据具体情况而定。 4、服务人员资质要求: 专职的项目经理1人,行业经验不低于5年,具有本科及以上学历,持有PMP项目管理证书,且具有信息安全相关证书,如CISP、CISSP证书等,至少负责5个类似项目。 原厂实施人员至少2名,行业经验不低于3年,具有本科及以上学历,且具有信息安全相关证书,如CISP、CISSP证书等,至少负责3个同类项目的实施。
|
|
项目上线后维保阶段 |
1、硬件设备3年4*7*24原厂维保及备机服务 2、提供3年系统版本免费升级服务。 3、提供3年技术支持服务。 |
1、要求4小时内厂商技术人员到达现场完成备机备件的更换。 2、当系统发生故障或有疑问时,通过电话或邮件方式寻求技术支持,技术人员在1小时内响应并解答相关的技术问题。
|
(十)培训需求
1、乙方需提供产品使用培训,培训时长不少于3天,并提供培训相关使用文档,使甲方运维人员熟练掌握设备的使用技巧。
2、如因乙方培训效果差,甲方运维人员未能熟练掌握产品使用,须乙方免费提供培训,确保甲方运维人员熟练掌握设备的使用技巧。
(十一)实施管理要求
1、供应商所有项目人员均应签署保密协议;
2、供应商实施过程服务人员应遵守我司各项管理制度;
3、供应商对项目实施严格的质量管理,确保本系统的实施质量。
三、供应商资格条件及提交材料要求
(一)资格条件:
原厂须具备资质:
- 中华人民共和国境内合法注册的独立法人,注册资本金实缴资金不低于1000万元(含),近三年无违约行为或违法等情况,提供盖章的证明材料;
- 具有有效的ISO9001质量管理体系认证证书、ISO27001信息安全管理体系认证证书;
- 经审计的财务报告,未有重大审计问题(如无经审计的财务报告,补充查看财务制度);
- 2022年以后(含2022年的案例)的成功金融行业案例不少于3个,需提供合同关键页复印件。
- 投标产品具备的软件著作权、网络安全专用产品检测报告。
代理供应商须具备资质:
- 中华人民共和国境内合法注册的独立法人,注册资本金实缴资金不低于500万元(含),近三年无违约行为或违法等情况,提供盖章的证明材料。;
- 经审计的财务报告,未有重大审计问题(如无经审计的财务报告,补充查看财务制度);
- 投标方须获得所投标产品的原厂授权,并提供原厂针对本项目的相关授权文件。
(二)供应商提供资料要求:
- 需提供企业法人营业执照;
- 需提供最近两年财务报表;(如无经审计的财务报告,补充查看财务制度);
- 需提供计算机软件著作权登记证书(代理商投标也需提供原厂);
- 需提供网络安全专用产品检测报告(代理商投标也需提供原厂);
- 需提供ISO9001质量管理体系认证证书、ISO27001信息安全管理体系认证证书(代理商投标也需提供原厂)
- 需提供所投标产品的原厂授权,并提供原厂针对本项目的相关授权文件(代理商投标也需提供原厂)
- 提供2022年以后(含2022年的案例)不少于3个成功案例的合同,需提供合同关键页复印件。(产品原厂案例)
- 提供信用中国网站(https://www.creditchina.gov.cn/xinyongfuwu/?navPage=5)查询截图,无行政处罚信息,未被列入经营异常名录、重大税收违法失信名录、严重违法失信企业名单截图。近3年无重大违约行为或违法等情况承诺函。
四、征集起止时间
2025年4月30日-2025年5月9日 18:00
五、禁止参加本次采购活动的供应商
拒绝列入失信被执行人名单、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单、以及被大家保险集团列入黑名单或冻结名单的供应商报名参加本项目的采购活动。
供应商需提供自征集公告发布之日至响应截止之日期间对以上三项内容的“信用中国”(www.creditchina.gov.cn)查询截图并加盖公章(若供应商提供有误,以评审现场查询为准)。
六、报名方式
本次供应商公开征集采用邮件形式报名。参与供应商在截至时间前将要求提供的用印版资料(PDF格式)发送邮箱: DJ004058GUORUI@DJBX.COM、SUNXUECHUN@DJBX.COM。
七、声明
符合本公告报名条件的服务供应商,按时提交合格报名资料后,并不必然获得采购邀请。我司将从符合报名条件的供应商中择优选取不少于3家供应商发出采购邀请。
大家保险联系人:
郭老师 13910608847
孙老师 15801549014
大家保险集团有限责任公司
公告发布时间: 2025年4月30日
