一、项目概述
我行启动互联网应用API安全防护设备采购项目。
(一)项目需求
本次计划采购2套互联网API安全防护设备,亦庄、空港两个数据中心各1套。设备通过旁路部署方式采集数据中心互联网DMZ区镜像流量,通过自学习的方式识别流量中的API资产情况并在发生异常情况时产生告警,从而形成对行内API资产的防护。该设备需支持从设备角度、用户角度、IP角度监测API访问行为,通过多维度对API访问进行数据检索,为安全防护提供有力保障,为溯源分析提供有力依据。
1.技术指标要求
|
指标项 |
指标要求 |
指标描述 |
|
技术要求 |
综合态势 |
支持多维度信息展示,包括但不限于如下7类:展示访问量,防护量,应用资产,API资产,风险分布,敏感数据,访问来源分布等数据。 |
|
数据资产识别与管理 |
支持自动识别API接口、类型及所属的业务功能,并进行分组。支持新增自定义分组;针******中学习API的接口参数类型,支持导入规范文件。 |
|
|
API运行分析 |
支持展示API运行概览、数据流向。 |
|
|
API访问行为风险监测 |
▲支持从设备角度、用户角度、IP角度监测API访问行为。支持自定义业务安全场景,内置场景安全防护策略,开箱即用,支持从多个维度进行数据检索,溯源分析。 |
|
|
数据安全风险监测及管控 |
支持识别API请求和响应包中的敏感数据并统计展示,支持敏感数据校准,利用AI能力进行敏感数据降噪,支持敏感数据按规分类分级,支持数据出境审。 |
|
|
★支持敏感数据脱敏,支持脱敏配置、文件管控,包括查看文件下载记录详情,对第三方系统提供文件内容敏感检测API和文件暗水印API。 |
||
|
API弱点监测及管理 |
支持自动化检测API弱点。包括新增自定义,可一键导出弱点详情报告。 |
|
|
应用运行终端环境风险监测 |
支持APP SDK,H5 SDK,对应用运行终端环境进行风险数据采集,在代理部署模式下,支持自动插入H5应用SDK探针,针对H5应用,支持检测多种风险类型。 |
|
|
风险处置措施 |
支持多种告警通知,可自定义告警规则,可配置告警细节。 |
|
|
部署模式 |
支持旁路部署,实现风险监测。 |
2.服务需求
采购的设备为软硬一体机,整机免费提供3年维保和原厂服务,除软件升级、巡检等常规服务外,主要服务内容为规则调优,具体要求为设备上架后,安排人员到现场进行规则调优,频率为每周1次,开展时长为3个月。在后续的免费服务期内,每个月提供1次现场调优服务。
(二)服务商准入标准
1.公司为独立法人。
2.最近三年内,在经营活动中没有重大违法记录;
3.服务商具备中国信息安全测评中心或CCRC软件安全开发相关资质认证证书;
4.服务商的投标产品拥有近3年的金融同业成功案例(需提交案例合同关键页扫描件证明);
5.本项目不接受代理商参与投标。
******银行xxx项目服务商自荐表》,******。
发送报名邮件要求:
1.邮件主题:公告编号+公司名称;邮件主题、正文、附件中不能含敏感字。
2.须以传统方式黏贴附件,不能发云附件;发送的附件(压缩文件、文档等)不得设置密码或编辑权限;单个邮件大小控制在15MB以内(如果超限,可分几个邮件发)。
3.服务商自荐表需提供盖章扫描件及Word可编辑版。 二、其它事项
(一)请在规定时间内参与报名,截至报名日期后我行将不再接受任何形式的申请材料。
(二)请提供服务商的有效联系方式,并保持通讯畅通,我行将电话联系入选的服务商,对于需要产品测评的项目,后续我行会组织服务商进行测评,测评未通过不能作为候选服务商,对未入选的服务商不另行通知。
(三)存在关联的公司在同一项目中只能参选1家公司。
(四)我行尊重参选服务商的隐私权,对服务商的信息严格保密,参选服务商应当对所提交资料的真实性承担责任,我行在参选服务商过程中的任何阶段发现参选服务商提交的材料不实,有权取消其参选资格。
三、联系人及咨询电话
联系人:宁先生、周先生
咨询电话:******、******
******银行信息科技部
2024年10月18日
