山东省城市商业银行合作联盟有限公司(以下简称“采购人”)现就“2024年度-2025年度审计平台服务采购项目”进行候选供应商公开征集,诚邀符合资格条件的供应商报名参与。
一、项目概况
(一)项目名称
山东省城市商业银行合作联盟有限公司2024年度-2025年度审计平台服务采购
(二)基本情况
采购人常态化开展渗透测试、安全众测和攻防演练等安全活动,深入挖掘信息系统潜在的安全风险和验证安全防御体系的健壮性,为规避测试过程安全风险,采购人计划采购安全测试流量审计SaaS平台及配套的过程监控与流量审计服务,通过测试人员的安全接入、测试流量归档、测试人员行为审计和事中的安全管控等手段,对联盟互联网系统的渗透测试、攻防演练、安全众测等活动进行集中的安全管控,保障安全测试工作的安全开展,保证测试过程的可审计、可溯源,并为数据分析提供有效技术支撑。
项目采购内容主要包括两部分,一是审计平台服务,SaaS服务模式,服务周期为2年,不限制平台使用次数、安全测试人员用户数量和流量、测试人员动态IP使用数量;二是安全测试流量人工审计服务,服务周期为2年,采购人实网攻防演练期间,审计人员现场开展监控、审计工作,其他安全测试活动开展期间,审计人员远程开展安全监控、审计工作,审计完成后出具审计报告。
采购人每年预计在生产环境开展渗透测试活动至少6期,每期预计3周时间,开展实网攻防演练至少2期,每期预计2周时间,安全众测活动视具体情况分析,预计每年1期,同时日常会开展专题渗透测试、漏洞回归测试、漏洞复测等。
(三)服务内容及要求
1.审计平台服务要求
1.1 产品功能需求
(1) 平台架构要求
序号 | 具体要求 |
1 | 采用B/S架构 |
2 | SaaS部署交付 |
(2) 用户及角色权限管理要求
序号 | 具体要求 |
1 | 支持创建管理员、裁判员、审计员、测试人员等多种角色的用户 |
2 | 支持多级机构管理,可为不同机构分配管理账号,对不同机构间的项目数据做权限隔离 |
3 | 支持安全测试人员账号的批量导入功能 |
4 | 单一安全测试或渗透攻击任务支持创建多支测试队伍或攻击队伍,并对不同队伍分别进行队员管理 |
(3) 测试人员安全接入
序号 | 具体要求 |
1 | 能够统一攻击流量入口,利于采购人内部对安全测试过程进行安全监控 |
2 | 支持访问控制策略,支持安全测试/渗透攻击时间段、安全测试/渗透攻击目标白名单等访问控制策略的设置 |
3 | 测试过程中,一旦发现安全事件,产品应能够提供测试人员的阻断功能 |
4 | 支持动态IP池机制,可按照攻击队员分配,在攻防演练期间,至少提供每人10个IP的资源池,且不能设置IP资源池的限制 |
5 | 为测试人员提供统一的VPN或堡垒机接入方式 |
6 | 攻防演练/渗透攻击时间段控制支持小时级别的控制 |
7 | 攻防演练/渗透攻击目标范围控制支持域名级、IP级别的控制 |
8 | 支持通过流量代理技术将攻击源IP转换为特定的攻击源IP |
(4) 测试人员行为记录与统计
序号 | 具体要求 |
1 | 支持HTTPS测试人员流量自动解密功能,以便后续实现全流量审计 |
2 | 支持对测试人员所有流量的记录和存储功能 |
3 | 能够对不同测试人员的流量进行区分,以便后续审计能够定位到具体测试人员 |
4 | 支持测试人员所有Web流量的查看、检索功能,以便溯源分析 |
5 | 存储的流量应满足以下两种格式:pcap格式的网络全流量、json格式的Web流量 |
6 | 支持对测试人员流量的统计分析功能,包括实际参与攻击的人数统计、攻击时长统计、请求次数统计、攻击目标统计以及详细的攻击时间分布 |
7 | 流量统计分析维度应能实现全局统计、机构级(攻击队)统计、用户级(具体某个测试人员人员)统计 |
(5) 测试人员流量审计
序号 | 具体要求 |
1 | 支持对测试测试人员流量的实时安全性审计分析功能,至少实现Web类流量的审计 |
2 | 安全审计分析引擎至少应具备WEB漏洞攻击识别和Web入侵检测功能,具备对OWASP Top10的Web应用攻击检测能力 |
3 | 审计报告支持自动生成,且报告中应明确安全测试审计情况,内容包括但不限于测试范围、测试时间、测试人员、审计内容及审计结果等;审计结果中应明确测试人员是否按照要求使用授权的接入方式进行安全测试,及实际参与的测试人员、人员账号、测试时长、人员攻击流量、团队攻击流量、识别为成功的攻击流量、攻击类型、被测目标、高风险行为的审计及溯源攻击过程分析等信息 |
4 | 安全审计分析引擎应可分析Web的双向数据包,能实时有效的识别成功的攻击和入侵事件 |
5 | 对识别为攻击的流量进行记录和存储,用于数据审计、攻击回溯 |
6 | 安全审计告警日志应实现用户级告警,能具体定位到某个测试人员 |
7 | 支持对安全审计告警日以用户、源IP、目的IP、Host、HTTP方法、URL、扩展名、请求头、请求体、响应头、响应体、状态码的精确搜索和模糊搜索 |
(6) 攻防/测试过程大屏展示
序号 | 具体要求 |
1 | 实时以地图、展播图等形式展示攻击队伍的攻击情况,包含攻击队伍、攻击人员、攻击手法、被测系统、实时流量、攻击成果等 |
2 | 实时展示攻击队伍、攻击人员的排名情况 |
3 | 实时展示攻击成果的提交情况 |
4 | 展示页面应支持页面定制 |
(7) 成果管理
序号 | 具体要求 |
1 | 提供在线漏洞成果提交功能 |
2 | 提供在线漏洞成果审核功能,审核时可对漏洞成果进行积分评定 |
3 | 提供漏洞成果的导出功能 |
1.2 产品其他需求
序号 | 需求类型 | 具体要求 |
1 | 性能 | 不限制安全测试人员用户数量,且至少支持50人在线同时测试 |
2 | 可用性 | 不限制安全测试人员动态IP使用数量 |
3 | 可用性 | 不限制平台使用次数、流量 |
4 | 兼容性 | VPN客户端支持Windows、Mac、Linux平台 |
5 | 兼容性 | 系统支持Chrome、Firefox、IE浏览器访问 |
6 | 存储备份 | 日志和解密后的流量,在采购人使用周期内须完整保存,同时需要提供额外1年的数据流量保存服务,未经采购人允许不能删除,并支持流量和日志的导出 |
7 | 存储备份 | 购人开展测试活动的流量,须与其他使用SaaS平台的租户或机构完全隔离 |
2.人工审计服务要求
1. 供应商应安排人员提供平台使用方面的培训;
2. 每次开展安全测试活动,供应商应提供人员技术支持服务,保证平台的稳定运行,并解决测试人员在平台使用过程中遇到的问题,供应商需在活动完成后的10个工作日提交审计报告;
3. 采购人实施实网攻防演练,需要供应商现场支撑安全监控和流量审计,供应商须按照采购人计划安排人员现场开展工作,开展时间和开展频次以采购人实际执行为准;
4. 采购人安全测试过程中若出现安全事件,供应商接到采购人反馈,应在1个工作日内到采购人现场,协助进行溯源分析工作;
5. 供应商须按照联盟安全管理规定对其信息安全做好保护工作,并按照用户安全管理规定实施项目,项目组人员须于联盟签订保密协议,对于服务过程接触到的联盟秘密信息、安全事件信息,严格参照《保密协议》。
6. 在项目结束后,将所有项目相关内容予以删除,并经过检查和确认,严格禁止项目人员私自留存项目相关文档;
7. 因供应商产品、操作、人员等问题导致的采购人及采购人服务的成员行系统可用性受到影响,采购人将视具体情况,按照法律和合同要求追究相关法律责任。
8. 本项目人员要求背景干净,无违法犯罪记录,没有黑、灰色产业经历。
二、征集时间
本项目征集自发布之日起至2024年7月25日18:00止。
三、合格供应商要求
(一)供应商须为在中国境内注册具有独立承担民事责任的主体且截至2023年12月31日成立时间超过3年。须提供营业执照副本原件或加盖公章的复印件的扫描件进行验证。
(二)财务状况良好,有依法缴纳税收和社会保障资金的良好记录。
(三)成立以来无重大债权债务纠纷,在经营过程中无因违反相关法律法规受到刑事处罚和相关监管机构行政处罚的记录。
(四)具备本项目所提供服务的相关产品的知识产权,供应商须提供相关产品的计算机软件著作权证书或其他证明材料。
(五)自2021年1月1日(含)以来,金融行业同类项目服务案例数应不少于2例。供应商须提供相关合同原件的扫描件(可遮蔽甲方敏感信息)进行验证(只提供合同首尾页视为无效应答)。
四、报名所需提供的资料
(一)基本信息
1. 合法有效的公司营业执照(提供原件电子扫描件)。
2. 法定代表人或授权代表身份证原件电子扫描件(由授权代表报名的,还须提供加盖公章的法定代表人授权书原件电子扫描件)
3. 遵守国家法律法规,在经营活动中没有违法记录,具备履行合同所必须的设备和专业技术能力(提供承诺函)。
4. 提供以下信息及书面承诺函:
(1) 国家企业信用信息公示系统(http://www.gsxt.gov.cn) 中登记信息(含有股东信息)、以及 “列入严重违法失信企业名单(黑名单)信息”的截图;
(2) 提供信用中国网(https://www.creditchina.gov.cn/),有关“失信被执行人”及“重大税收违法案件当事人名单”的截图;
(3) 无不良信用行为记录承诺函(格式自拟,提供加盖公章的原件电子扫描件)。
5. 供应商整体情况介绍,包括基本信息、规模实力、信用状况、财务状况等。
6. 类似项目实施经验和供应商及员工的资质认证情况。
7. 针对第一部分内容中“项目概况”下的“(三)、服务内容及要求”中的需求满足情况逐条进行应答。
8. 评估服务的报价和计费方式。
9. 按照要求填写《供应商评估调查表》
(二)报名资料要求
1. 请按上述要求提供报名材料,报名资料须提供加盖公章的原件扫描件,对于所递交资料不齐全、内容不真实,或未按要求加盖公章及法人签字的原件电子扫描件的视为报名资料缺漏,采购人将拒绝接受报名。
2. 采购人视收到的上述资料不涉及商业秘密,所有供应商报名资料恕不退还。
五、注意事项
(一)本次公开征集不收取供应商的任何费用。
(二)供应商须对报名信息和资料的真实性负责。如提供虚假材料,所造成的一切不良后果由供应商负责,并将被计入采购人黑名单。
(三)报名资料发送指定邮箱:
jzcg@bankalliance.com.cn
dushw@bankalliance.com.cn
yuff@bankalliance.com.cn
邮件标题格式为:公司全名+2024年度-2025年度审计平台服务项目。报名邮件的容量超过10M时,请压缩、拆解成多个小于10M的邮件再发送;报名资料及时间以指定邮箱收到为准。
六、声明
采购人接收供应商的报名资料并不表示接受报名供应商参与本项目,采购人有权选定并邀请全部或部分合格供应商参与本项目集中采购活动。
七、联系方式
(一)联系单位:山东省城市商业银行合作联盟有限公司
(二)地址:山东省济南市高新东区科创路1001号
(三)邮箱:jzcg@bankalliance.com.cn
dushw@bankalliance.com.cn
yuff@bankalliance.com.cn
特此公告。
山东省城市商业银行合作联盟有限公司
2024年7月18日