附表3  成都银行集中采购项目供应商征集公告
（报名后经筛选才能参与项目采购）

项目名称	成都银行资产发现及漏洞风险合规管理项目
项目内容	根据我行的信息安全规划报告，为了切实提高我行资产发现和信息安全的暴露风险管理能力，及时有效的发现并修复网络中存在的漏洞，拟启动资产发现及脆弱性管理项目。通过该项目建设资产发现及脆弱性管理平台，实现资产发现、漏洞闭环管理、配置合规审计、恶意软件检查等功能。 项目需满足以下运维需求： 1. 部署架构 平台需以软件形式部署在服务器或虚拟机上，为了满足跨安全域扫描的需求扫描器节点应支持分布式部署。管理平台能够集中管理多个扫描器，扫描器需要支持软件部署以及容器化部署，扫描任务的下发和扫描结果的汇总都要在管理平台上集中完成。 2. 扫描能力 应具备对已经公布的CVE漏洞的检测能力，应内置多种开箱即用的扫描模版，以应对0 day漏洞的专项扫描；应能够自定义扫描策略，设置扫描定时计划。 3. 漏洞分析能力 能够提供漏洞评分规则依据，用于漏洞的修复优先级排序；能够提供完善的漏洞分析工具，能够从漏洞的利用方式、利用成熟度、产生时长、影响范围以及威胁情报等维度对漏洞进行过滤分析；提供开箱即用的仪表板以及报表，并支持根据需求进行自定义。 4. 权限管理能力 平台应提供内置的工单系统，支持根据设定规则自动创建工单，支持通过邮件将工单信息通知责任人；同时，平台应具备分权限分角色的管理能力，不同的服务器、应用负责人登录到平台后应仅能看到与自己相关的资产上的漏洞，对已修复漏洞应支持一键复扫，快速检查漏洞修复的有效性。 5. 配置基线检查 平台应具备基线检查功能，针对操作系统、数据库、中间件、网络设备和容器的配置进行安全检测，对每个检查条目，应给出相应的检查方法以及加固建议，并能从检查结果中筛选出与等保2.0三级对应的条目。合规基线支持等保合规和CIS标准，同时支持基线文件的自定义。
供应商基本资质要求	1、中华人民共和国境内合法注册的独立法人，具有独立承担民事责任的能力； 2、具有良好的商业信誉和健全的财务会计制度； 3、有依法缴纳税收和社会保障资金的良好记录； 4、遵守有关的中国法律和法规，近两年内没有重大违法违规行为，近三年没有骗取中标和严重违约等问题； 5、存在关联关系的不同供应商，负责人为同一人或者存在控股、管理关系的不同供应商，不得同时参与报名； 6、法定代表人、控股股东或实际控制人与成都银行各级行高管人员及本项目相关岗位人员无夫妻、直系血亲、三代以内旁系血亲或者近姻亲关系； 7、供应商提供的产品应是自主、成熟和先进的平台，必须具备招标产品的软件著作权或公安部安全销售许可证； 8、近3年内（2019年1月至本招标文件发出日）具有银行成功实施案例,须提供合同复印件，合同复印件至少含合同首页、盖章页； 9、本项目不接受联合体。
征集时间	凡有意参加者，请于2022年6月24日至2022年7月1日，工作日上午9时至12时，下午14时至17时（北京时间）完成报名。
报名方式	本次报名采用线上报名方式。 供应商递交的资料包括不限于： 1、提供公司营业执照、介绍信及经办人身份证复印件； 2、公司能力情况说明，详细内容见后面说明。
采购人联系方式	地址：成都市西御街16号 联系人：陈老师、周老师 联系电话： 028-69388888-9219、028-86160165
报名资料要求	1、公司营业执照、介绍信及经办人身份证复印件、填写附件1报名表，以上资料加盖供应商鲜章发送扫描件至zhoushengsi@bocd.com.cn。 2、征集方式中要求提供的资料发送扫描件至项目联系人邮箱：chenjs@bocd.com.cn。
发布公告的媒介	本次供应商征集公告在成都银行网站（www.bocd.com.cn）、金采网（www.cfcpn.com）上发布。
声明	各报名供应商递交报名材料即表示对材料的真实性负责，并由此承担法律风险和赔偿责任。
报名结束后，产品符合项目内容需求、供应商符合上述基本资质要求且能通过前期POC测试的供应商均可参与采购。
项目沟通情况	包括不限于：项目需求理解、项目实施方案、项目实施计划等。
公司能力情况	包括不限于：公司实施团队能力，团队研发能力，产品白皮书、产品获奖专利,公司资质，银行类似项目案例等情况。
POC测试内容	本次POC测试主要内容为资产发现及脆弱性管理平台项目内容，具体包括：部署架构、资产发现、扫描方式、脆弱性扫描准确性、漏洞优先级分析、安全基线扫描、恶意软件扫描、漏洞闭环管理。测试要求如下： 测试时间：2个工作日； 测试要求：使用我行提供的虚机环境部署或自带服务器进场部署，使用我行统一提供的扫描目标及登录凭据进行POC。 l 部署架构的灵活性：扫描器支持在虚拟机以及容器上部署，漏洞管理平台能够统一管理、统一调度多个扫描器，并通过扫描负载均衡功能节省扫描时间； l 扫描方式的多样性：支持仅提供目标IP的网络式扫描；同时提供目标IP与登录凭据的登录式扫描； l 漏洞扫描准确性：同时支持版本比对以及原理性验证这两种漏洞检查机制，最大限度避免误报； l 漏洞优先级分析：能够提供每个漏洞的威胁情报信息，帮助安全人员聚焦存在更高风险的漏洞，提高漏洞修复效率，补充CVSS评分的滞后性和信息不足； l 安全基线扫描：能够自动化检查网络设备、操作系统、数据库、中间件以及其他各类信息化系统的安全配置基线，自动生成基线检查报告； l 漏洞闭环管理：考核系统是否具备工单模块以及分权限分账号管理模块，用以辅助漏洞的闭环管理。 本项目采用POC测试通过率评审，评审人员将按照规定的评估考核项进行确认是否通过该条测试，满足资质要求且POC测试总体通过率>=80%的供应商均可参与我行采购，POC的各类详细考核项目及评判均在以下附件中说明:
备注

  成都银行集中采购办公室 发
附件1：成都银行集中采购项目报名表

成都银行集中采购项目报名表
项目名称	成都银行资产发现及漏洞风险合规管理项目
投标人	名    称
	法定代表人
授权代理人	姓   名		办公室电话
	手   机		邮  箱
	身份证号
递交报名的资料		□营业执照副本
		□介绍信及经办人身份证
		□类似案例证明材料
		其他材料：
已领取资料		□招标文件
授权代理人声明: 我单位已认真阅读本项目的相关资料,对本项目的采购范围、内容和要求已有初步了解，并确定已完全符合报名条件和要求，现正式提出报名申请，同时承诺：本人愿意对本表所填写内容和本次递交资料的真实性承担法律责任。                                    授权代理人（签字）：   年   月   日

详情请访问原网页！