紫金農(nóng)商銀行API安全審計項目供應商征集公告
根據(jù)我行業(yè)務需求，現(xiàn)啟動API安全審計項目供應商征集工作。凡符合本公告要求的企業(yè)均可自愿報名，并提交相關證明文件和材料。具體情況如下：
一、項目名稱：（略）
二、項目需求
采購一整套API安全審計工具、支持國產(chǎn)化、定期開展運維巡檢等服務。
技術(shù)指標項
功能參數(shù)
部署
部署方式：（略）
（略）支持軟硬件環(huán)境部署，（略）監(jiān)聽流量的方式：（略）
資產(chǎn)梳理
協(xié)議解析接口識別
支持解析HTTP、FTP、SMB、SMTP、IMAP、POP3等協(xié)議，并自動識別流量中的接口，在web界面能夠查詢和查看接口信息。
流量過濾
支持按照IP白名單和IP黑名單的方式：（略）
接口基礎信息展示
接口展示信息需要包括接口名稱：（略）
接口類型識別
支持內(nèi)置識別接口類型，根據(jù)接口功能分類包括但不限于登錄接口、命令操作接口、管理接口、服務接口、上傳接口、下載接口等
接口資源類型
支持識別接口資源類型，至少需要能夠識別資源類型包括動態(tài)腳本、HTML、JSON、XML、CSS、JS、數(shù)據(jù)文件。
（略）識別
（略）資產(chǎn)識別管理，（略），（略）解析的位置至少包含：請求頭、請求體、響應頭、響應體。（略）解析規(guī)則，能夠統(tǒng)計30（略）登錄終端的個數(shù)，（略）活躍狀態(tài)，（略）特征打標簽。
（略）管理
支持通過web（略）進行管理，可編輯其他屬性，（略）所屬終端IP、所屬部門、賬號所屬人員的退休時間等
（略）和人員關聯(lián)，（略）和人員姓名、人員組織架構(gòu)歸屬信息關聯(lián)，如（略）域、一級部門、二級部門等
敏感數(shù)據(jù)識別
支持內(nèi)置和自定義敏感數(shù)據(jù)類型標簽包括但不限于：（略）、個人姓名、住址、電子郵箱：（略）
敏感識別規(guī)則
支持自定義識別規(guī)則；
識別方式：（略）
支持針對指定應用、指定接口開啟AI識別，并能夠剔除選定的語料黑名單。
終端梳理
支持自動從流量中發(fā)現(xiàn)終端信息；
（略）；
支持識別終端的瀏覽器類型；
支持識別終端的形態(tài)，如PC、手機、平板等；
支持識別含有XFF的終端
接口添加
支持手動添加API接口
接口清單
支持資產(chǎn)類信息數(shù)據(jù)導出；
支持以表格形式導出API接口清單，導出的文件包括接口地址：（略）
支持全量導出、選中導出和篩選結(jié)果導出等導出方式：（略）
接口管理
支持通過web頁面對自動識別和手動添加的接口進行管理，能夠查看接口的URL、目的IP、端口、請求數(shù)據(jù)標簽、返回數(shù)據(jù)標簽、首次訪問時間、最后訪問時間等信息；能夠編輯接口名稱：（略）
風險監(jiān)測
弱點識別
支持基于OWASPAPITOP10接口弱點檢測模型，包括但不限以下檢測模型：參數(shù)可遍歷、basic認證、明文密碼認證、數(shù)據(jù)接口無認證、跨域訪問、cookie保存密碼、SQL查詢接口、SQL執(zhí)行接口等風險模型；
支持弱點生命周期管理，提供新發(fā)現(xiàn)、待確認、已確認、已修復和忽略等狀態(tài)管理；
支持弱點規(guī)則可基于業(yè)務特點進行靈活的參數(shù)調(diào)整；
支持針對每條規(guī)則單獨進行開關操作
自定義弱點檢測項
支持按照需要修改弱點發(fā)現(xiàn)規(guī)則，如調(diào)整各類參數(shù)閾值、增加刪除弱口令字典等
風險模型
內(nèi)置業(yè)務風險模型，如退休人員異常活躍、終端多終端頻繁切換登錄、賬（略）登錄使用等
自定義風險模型
支持自定義配置告警策略,包括風險對象：（略），（略）段，指定時間段，（略），指定接口,指定風險周期、源IP、XFFIP、秒、分鐘、天，設定多種風險指標；
支持等于、包含、空值判斷等多種判斷邏輯；
支持周期判斷邏輯支持去重功能，以便統(tǒng)計累計總次數(shù)或者總個數(shù)；
支持進行告警削減，可指定削減周期，防止單個源IP、目的IP、賬號、XFF-IP告警過多。
數(shù)據(jù)審計
取證溯源
支持針對監(jiān)測發(fā)現(xiàn)的安全事件提供取證溯源能力，對事件相關的原始數(shù)據(jù)進行完整證據(jù)固定，支持對取證相關數(shù)據(jù)進行脫敏展示，能夠根據(jù)權(quán)限設置管理員具有查看非脫敏數(shù)據(jù)的權(quán)限。
數(shù)據(jù)檢索
支持通過數(shù)據(jù)包的來源和目標地址：（略）
流量審計
（略）絡流量進行全量審計和分析，（略）/用戶訪問IP等進行檢索，（略）/用戶的訪問軌跡查看
HTTP審計
針對HTTP進行全方位審計，審計功能提供重要審計、敏感存儲、全量保存等多重保障機制保存信息；
支持對應用接口進行審計，審計內(nèi)容包括但不限于請求頭、響應頭、請求體、響應體、賬戶、終端等；
支持對敏感信息識別和提取，在審計事件中顯示敏感信息條目數(shù)；
（略）關聯(lián)人員姓名和部門等信息；
支持顯示HTTP協(xié)議的原始信息以便溯源和查找問題；
支持審計白名單和黑名單，可靈活基于IP、URL、接口資源類型、響應碼等條件進行過濾保存；
支持對審計的敏感信息脫敏顯示；
數(shù)據(jù)檢索
API審計事件、資產(chǎn)列表和風險告警等頁面提供包含搜索項、搜索邏輯和搜索值的高級搜索功能；
支持搜索條件保存，方便重復使用；
支持精確搜索、模糊搜索；
支持排除搜索邏輯；
支持單個搜索條件內(nèi)輸入或選擇多個搜索值；
支持枚舉類搜索項自動顯示無需手動輸入；
應用流轉(zhuǎn)關系
支持針對選定應用繪制訪問關系圖，能夠按照選定的時間周期展示應用的訪問終端TOP10，應用包含的敏感接口TOP10，該應用訪問其他內(nèi)部應用的TOP10，訪問其他應用接口的次數(shù)TOP10.
數(shù)據(jù)概覽
首頁展示
首頁提供資產(chǎn)統(tǒng)計、流量趨勢、資源利用率、業(yè)務風險等多種類型的數(shù)據(jù)看板；
支持各類數(shù)據(jù)看板位置和大小自定義調(diào)節(jié)；
流量趨勢和資源利用率趨勢圖標可以選擇1小時、1天、7天等多種時間周期，可以通過無級滑動放大來查看細節(jié)數(shù)據(jù)；
提供設備審計的EPS數(shù)據(jù)，并可實時更新
運維管理
（略）監(jiān)控
支持SNMP代理功能，方便設備被監(jiān)控納管；
支持SNMPv1、v2c和v3版本
（略）性能指標實時監(jiān)控功能，包括不限于CPU、內(nèi)存、存儲等監(jiān)控指標，并提供OID說明
進程監(jiān)控
（略）組件進行監(jiān)控，至少包括數(shù)據(jù)庫模塊、探針模塊、web服務模塊。
（略）管理
（略）支持三權(quán)分立模式，可配置管理員、用戶管理員、審計管理員
（略）權(quán)限
（略），并能夠以應用所屬分配操作權(quán)限，實現(xiàn)權(quán)限和數(shù)據(jù)隔離，（略）訪問自己負責的域名、資產(chǎn)組，進行策略配置、日志查看和資產(chǎn)管理
支持角色的產(chǎn)品頁面權(quán)限控制，控制細粒度可以精確到每個頁面內(nèi)的查看、新增、編輯和刪除等功能；
支持基于角色控制對審計敏感內(nèi)容的脫敏顯示
審計信息列表展示管理
支持列表頁標簽自定義顯示或隱藏內(nèi)容；
支持列表頁標簽和數(shù)據(jù)顯示位置的拖動調(diào)整
頁面水印
支持添加頁面水印，可自定義水印內(nèi)容，最大程度給瀏覽者的不規(guī)范行為，如敏感信息截圖等起到震懾和警示作用
時間設置
（略）時間，可以調(diào)用操作設備時間進行對時；
支持NTP協(xié)議，可以與NTP服務器同步時間
訪問控制
支持設置可訪問設備白名單，格式配置需要支持IP地址：（略）
日志轉(zhuǎn)發(fā)
支持日志轉(zhuǎn)發(fā)功能，支持TCP和UDP協(xié)議，可同時向多個地址：（略）
登錄認證
支持密碼多次輸入錯誤自動鎖定，錯誤次數(shù)和鎖定時間可配置；
支持雙因子登錄
注：要求支持國產(chǎn)化環(huán)境，我行會進行驗證，若不能實現(xiàn)國產(chǎn)化則作為廢標處理。
三、供應商資格條件
1.投標人應具有合法獨立經(jīng)營資格，營業(yè)執(zhí)照在有效期內(nèi)。
2.近三年內(nèi)，在經(jīng)營活動中沒有重大違法記錄。
3.近三年內(nèi)（2021年6月30日之后），至少承擔過與本次招標內(nèi)容相當?shù)某晒Π咐?例。
四、供應商報名提交資料
請按照以下順序，將下列材料（一）至（三）掃描成一個PDF文件（制作目錄、（略）公章、不需壓縮），和材料（四）通過郵件報送我行報名聯(lián)系人：（略）
（一）企業(yè)法人營業(yè)執(zhí)照（副本）、稅務登記證、組織機構(gòu)代碼證或“三證合一”的營業(yè)執(zhí)照；
（二）公司簡介：（略）綜合能力、財務能力、技術(shù)能力、供應和服務能力、與銀行業(yè)的合作狀況等內(nèi)容介紹；
（三）成功合作案例，須提供合同中含與合作方簽章頁面或成交證明文件（如中標通知書等）；
（四）《供應商信息表》，格式詳見附件。
五、報名和資料提交方式：（略）
（一）本次報名材料只接受電子郵件方式：（略）
（二）郵件主題為：XXX項目供應商征集-YYY公司、FDF文件名格式為：XXX項目供應商征集-YYY公司。
六、報名時間
本次征集自即日起至2024年10月16日17時（北京時間，下同）止。
七、相關說明
（一）我行對報名供應商提供材料初步審核后，對符合條件的供應商將邀請參與本項目后續(xù)采購工作。
（二）供應商提交資料中如有虛假信息，一經(jīng)發(fā)現(xiàn)，我行將予以備案并禁止相關供應商參加后續(xù)采購項目。
（三）對邀請參與競標的單位：（略）
（四）所有報名供應商均視為已無保留地同意我行在采購業(yè)務范圍內(nèi)使用其報名信息。
八、聯(lián)系方式：（略）
（一）采購人：（略）
（二）地址：（略）
（三）報名聯(lián)系人：（略）
（（略）、（略）@zjrcbank.com）
附件：
供應商信息表.docx