兴业银行关于互联网攻击面管理平台项目供应商征集公告根据我行安全运营工作需要，我行开展互联网攻击面管理平台项目，现公开对互联网攻击面管理平台项目进行供应商征集，有关事宜公告如下：一、采购需求及资格要求1.1.<采购需求：我行现有的漏洞检测工作无法建立有效的外部资产视图，无法全面、实时、完整地掌握所有互联网资产的情况。为应对互联网资产增长带来的安全挑战，计划构建互联网攻击面管理平台，以实现资产全面测绘和统一管控、持续监测并管理本行的外部暴露面，提升安全运营效率。本期项目计划采用行内部署管理台、调度云端扫描节点的技术架构，行内管理台定期主动向云端扫描节点下发扫描任务并获取执行结果。通过对本行互联网边界资产全面测绘和管理，实现本行网络空间资产统一管控。现采购互联网攻击面管理平台设备1套，设备模块包括资产发现与管理、攻击面管理、安全巡检、敏感信息检测等模块；同时设备包含三年免费维保服务。1.2.<技术要求：1.2.1 <资产发现与管理能力，从我行组织机构与根域名出发智能化关联扫描，持续动态地描绘出互联网安全边界，建立完整的域名、端口服务、Web应用、APP、新媒体应用等资产视图。资产测绘应具备较高准确率和较低的误报率。1.2.2<<攻击面综合管理能力，针对已识别的我行资产进行主动扫描，识别组件指纹信息以及对可能存在的漏洞的探测，通过平台全面直观展示本行互联网攻击面的安全状况；具备漏洞风险评估、资产指纹识别、根据组件进行资产管理的能力。1.2.3<<定期安全巡检，支持采用灵活可配置化的定时任务，不间断地开启安全巡检工作，定期重检互联网系统、应用、服务、 端口和链接等资源开放情况并进行异动提醒。1.2.4<<敏感信息监控，支持对互联网资产信息进行持续扫描，探测发现并挖掘本行泄露在外部的代码、文库、网盘等信息。1.2.5<<安全能力要求：应具较强的资产测绘性能，能够按照每小时/每天周期需求完成扫描任务；平台应具备较强的识别和漏洞探测能力，包括但不限于OWASP TOP10常见漏洞类型、主流组件指纹及漏洞POC；产品不包含任何已知应用漏洞和风险问题；应严格控制系统网络访问权限，仅允许控制台访问外部扫描节点的单向网络权限。 1.2.6 API开放能力，平台应具备成熟的API接口及文档，支持和我行现有的资产治理、SIEM/SOAR/态势感知等安全工作流程无缝对接。1.3.<人员资质要求：1.3.1.<项目人员所学专业为计算机相关专业或具备计算机相关资格证书，具有大学专科以上学历（含大专）。1.3.2.<项目人员需掌握OWASP Top10 安全威胁的原理，熟悉常用资产测绘技术和漏洞检测payload，熟悉市面主流资产及组件相关信息。1.3.3.<项目人员应对业界安全动态较为敏感，了解国内外最新的安全发展动向，有信息安全专业资格证书为佳（如CISA、CISP、CISM等）。1.3.4.<项目人员应具备较强法律意识、道德约束能力，有耐心，沟通能力强。1.4.<服务要求：中标方应按合同约定，针对我行的具体情况和服务需求，向我行提供1套互联网攻击面管理平台设备，以实现资产全面测绘和统一管控、提升安全运营效率。<设备维保期内当紧急故障发生时，如电话指导无法解决问题，应当于接到报修电话后的规定时限内到现场诊断，保证采购产品的正常运转。厂商应针对本项目内的软硬件（不论该硬件是我行本次直接购置、赠送还是随机附带方式获得）提供7*24（每周7天，每天24小时）的现场支持服务。1.5.<供应商资质要求：1.5.1.<企业成立3年以上，近三年财务稳健，可稳定提供服务。<1.5.2.<2021年至2024年期间应具备金融行业同类型项目案例，提供合同扫描件，需提供合同首页、盖章页以及内容需包含“攻击面管理”、“互联网暴露面”等内容。二、报名要求2.1在兴业银行开立对公账户，若中标本项目，则通过兴业银行对公账户结算该项目相关费用。2.2充分理解我行服务需求并能够根据需求提供相应的服务。2.3应具有良好的商业信誉和健全的财务会计制度。2.4未被“信用中国”网列入“重大税收违法案件当事人名单”、未被“中国执行信息公开网”列入“失信被执行人名单”、未被“中国政府采购网”列入“政府采购严重违法失信行为信息记录名单”、未被“国家企业信用信息公示系统”列入网站“严重违法失信企业名单”、在参加本次采购活动前3年内未出现重大违法违规行为，近三年在我行无不良行为记录，不在兴业银行供应商禁用/退出期内。三、征集时间<<<<本次供应商征集自即日起至2024年6月4日23：59止。四、报名方式采购部门联系人：向先生，联系电话：0591-86313349，联系时间：工作日8：30-12：00，14：30-18：00(其他时间请勿打扰)。 若有意向请将供应商资料于征集截止时间前提交至gysxyfwt@cib.com.cn邮箱。报名注意事项：1. 提交的供应商资料内容包括如下三项： 材料1：《兴业银行互联网攻击面管理平台项目》供应商征集反馈材料-公司名称（全称）材料2：兴业银行互联网攻击面管理平台项目信息收集表材料3：供应商准入信息导入模板以上三项材料填报模板详见附件，提交材料无需加盖公司盖章。2.提交资料所发送的邮件名称如下：《兴业银行互联网攻击面管理平台项目》供应商征集反馈材料-公司名称（全称）。请仅发送一封邮件，拆分发送多封邮件视为无效应答。3.提交供应商资料大小不超过10M。（提交的邮件附件总大小超过10M自动拦截视为无效应答，附件请勿通过第三方邮箱转存附件）五、注意事项1.能够完全满足我行采购需求、有合作意向、无不良行为记录的供应商均可报名。2.本次市场调研不代表采购邀请或意向，仅为调研市场情况发起。经审查符合条件者，我行将会主动联系报名者；不符合条件者，将不会联系报名者，材料予以保密。3.本次市场调研不收取供应商的任何费用。4.供应商须对报名信息和资料的真实性负责。如提供虚假材料，将取消报名资格并列入我行供应商黑名单。5.对于上述事项存在疑问的，请及时与我行联系。