编号: ITPOC202108004
为服务我行2021年度网络安全重大保障项目,计划在业务、办公、开发测试等互联网区部署主机服务器安全威胁检测产品,实现对服务器主机层面的资产清点、风险发现、入侵检测和安全日志推送能力,加强系统层面的安全防护。现向社会公开招聘系统建设供应商,欢迎具备下列要求的供应商前来我行报名。
1) 基本要求:一是稳定性,确保软件自身和部署覆盖服务器的稳定性,客户端安装时应不影响正常业务运转,无需重启服务和系统,客户端支持一键式部署,且不得修改服务器操作系统内核和底层驱动;二是集中管理,支持Agent-Server架构的集中管理方式;三是安全性,客户端和服务端通信必须采用加密方式传输以及可靠的身份验证机制;四是开放性,支持syslog、SNMP Trap、kafka、flume、API接口等方式将告警日志和详细信息同步给第三方平台进行统一的威胁关联分析,延迟小于2s。
2) 资产清点能力:主机服务器安全威胁检测软件在服务器资产的多维度清点方面,在应支持广泛的操作系统的基础上,应具有自动化深度感知的能力,会自动感知主机内相关资产信息并结合知识库对资产存在的风险进行实时梳理,让采购人资产上的网络安全状况可被衡量和查询。
3) 风险发现能力:主机服务器安全威胁检测软件在服务器风险发现方面,需要覆盖包漏洞,补丁,弱口令,风险文件等不同类型的服务器风险,并且根据风险实际情况,提供具体处置建议,协助采购人快速进行风险处置。
4) 入侵检测能力:主机服务器安全威胁检测软件具备服务器安全威胁的实时检测能力,需具有独特的入侵检测技术,包括但不限于攻击偏离和诱捕技术,帮助采购人实时检测和发现针对主机服务器的入侵攻击事件。
5) 安全日志推送能力:主机服务器安全威胁检测软件需具备相关主机服务器安全日志数据的推送功能及其他实用的安全功能,能够提升采购人整体安全运营效率。
6) 安全基线能力:能够帮助采购人对业务系统资产进行安全基线跟踪,根据资产定级自动进行对应主机服务器的安全配置基线检查,对合规情况出具安全配置基线符合性报告。
7) 支持国产化操作系统,包括但不限于银河麒麟、统信UOS等。
1) 中华人民共和国境内合法注册的独立法人,持有工商行政管理部门或市场监督管理部门登记的《营业执照》,且《营业执照》经营(许可)范围与本项目相符;具有良好的商业信誉和健全的财务会计制度,近三年财务状况良好,有依法缴纳税收和社会保障资金的良好记录,经营活动中没有重大违法记录;
2) 具有2018年1月1日以来(以合同签订时间为准)至少1家(包括1家)银行业(国有商业银行、股份制商业银行以及农村商业银行)或证券业(证券经纪公司、证券交易所)服务器安全威胁检测软件10000点及以上(企业内部私有化部署模式)成功案例;
3) 供应商本地技术支持人员不低于20人(需提供本地社保证明);
4) 供应商必须拥有主机安全产品核心软/硬件全部知识产权;
5) 供应商提供的产品具有公安部颁发的计算机信息系统安全专用产品销售许可证;
6) 供应商是CNNVD中国国家信息安全漏洞库支撑单位(三级)及以上;
7) 供应商具有至少2个(含2个)以上由国家互联网应急中心颁发的CNVD原创漏洞证明证书或同等级CVE原创漏洞证明证书;
8) 如投标人为投标方案产品代理商,则:
a. 2.3.4.5.6.7条要求视为对原厂商的资质要求;
b. 本项目POC和实施由原厂商完成;
c. 报名时代理商须提供原厂商对本项目的唯一授权书。
9) 本项目不接受联合体,不允许转包、分包。
三、报名须知
1) 公司信息及资质证明文件:公司法人营业执照、企业税务登记证、组织机构代码证或“三证合一”营业执照、一般纳税人资格证明;
2) 代表人的身份证明、公司法人委托授权书、公司开户行及账号信息,内容包括但不限于公司授权代表姓名、联系电话和邮箱等;
3) 最近两年经审计的财务报表和财务报表附注;
4) 案例中标通知书、合同或客户证明材料,并另以清单形式列明案例;
5) 关于公司近三年无重大违法违规行为的书面承诺;
6) 承诺将产品实施、二次开发和后期运维中所产生的源代码、脚本、工具交付给我行;
7) 从报名日期起计算直至项目全程结束,凡报名供应商不得中途退出,否则将视作违约理并扣除缴纳的全额保证金。
四:递交保证金账户信息
五:联系方式
上海农商银行集中采购中心
二〇二一年八月