宁波银行股份有限公司业务安全网关API项目供应商召集公告_招标网

宁波银行股份有限公司业务安全网关API项目供应商召集公告

信息发布日期：2020.11.04 标签：浙江省招标宁波市招标银行招标

加入日期：	2020.11.04
地区：	宁波市
内容：	银行股份有限公司业务安全网关API 项目供应商召集公告根据业务发展需要，按照银行股份有限公司采购相关管理办法，我行拟对《业务安全网关API 项目》进行供应商召集，现邀请符合条件的供应商参与方案洽谈。一、供应商资质要求（
关键词：	银行

招标公告正文

宁波银行股份有限公司

业务安全网关API 项目供应商召集公告

根据业务发展需要，按照宁波银行股份有限公司采购相关管理办法，我行拟对《业务安全网关API 项目》进行供应商召集，现邀请符合条件的供应商参与方案洽谈。

一、供应商资质要求

（一）商务条件

1、注册资金人民币200万元（含）以上，财务状况良好；

2、公司经营正常并存续2年（含）以上；

3、企业或者其法人近两年内无行贿犯罪记录，未被列入失信执行人名单，无限制高消费、限制出入境等行为；

4、公司具备完善的组织架构和制度规范，拥有充足的技术、人员和设备资源；

5、同一法定代表人的两个及两个以上法人、母公司、全资子公司及其控股公司不得在同一次项目中参加报名；

6、如报名供应商为首次与我行合作供应商，请按附件格式提供“供应商尽职调查报告”。

（二）技术条件

业务安全网关功能要求：

1、要求产品在保证业务和页面展示效果的情况下，对响应页面中的Form表单、a标签、Javascript文件等关键信息的混淆，支持配置例外URL，不对其进行混淆操作；

2、要求系统支持业务合规配置，包括请求合规策略、协议合规策略、文件合规策略功能配置界面

3、要求产品支持对URL生成令牌，进行URL伪造、API参数篡改，令牌超时识别，防护重放攻击；

4、要求产品支持自动化工具识别，并能够对自动化工具访问请求配置放过、阻断、接受、伪装等处置动作；

5、要求产品可根据客户端环境检测，识别主流扫描器burpsuite、nessus等，识别自动化脚本攻击工具selenium、phantom js等；

6、要求产品支持API安全防护，自动提取防护站点内的API资产，实时呈现API风险状况，针对API风险及时告警，建立API访问逻辑顺序管控策略，针对未授权访问进行限制，防范越权API越权访问；支持API防护策略配置，配置内容包括是否开启API主动识别、是否开启API限速、是否开启API参数合规性校验、是否开启API调用顺序校验。

7、支持多种形式的锁定时间设置，能够在特殊时期提供快速运维能力，一键封堵所有POST请求入口，遇到紧急情况时能够一键封锁；

8、要求产品支持HTTP协议、HTTP请求方法、文件上传下载的合规校验，并能对不合规请求直接检测和配置处置动作如（放过、阻断、接受、伪装）等；

9、要求产品支持防护撞库、漏洞扫描、扫描器攻击、自动化攻击等威胁场景，具备DDOS攻击、安全漏洞、垃圾邮件、Web攻击、扫描源、Botnet客户端六类IP信誉；

10、要求产品在不下发JS脚本的情况下，通过IP信誉，HTTP层访问信息、包括UA、cookie、对高风险的暴力破解、撞库进行有效识别告警和防护；

11、要求设备支持IP信誉校验功能，同时支持自定义导入信誉库。

12、要求实现攻击者定位，从告警日志结合设备指纹将多个IP的攻击事件关联分析出追踪攻击源头信息，补全攻击者的背景信息，包括设备指纹、归属地、使用过的代理IP、使用过的攻击工具等等信息。

13、要求产品具备和WAF产品联动防护的能力，关联追踪网络攻击，还原网络安全攻击链路，针对扫描器等高频的网络攻击信息进行预警，实现与waf的风险联动处置；

14、要求系统支持基于整机和防护资产两种维度的统计。包含的视图有：被攻击站点排名TOP 5视图、被攻击路径排名TOP 5视图、站点请求量访问排名Top5、请求量访问路径排名Top5、攻击类型分布、攻击概览统计、攻击请求趋势。

15、要求设备支持攻击源统计，针对监控对象，提供基于源指纹和源IP两种维度的统计。包含的视图有：攻击源全局地图、攻击次数TOP 5视图、源指纹与源IP映射关系视图、威胁分类统计视图、攻击事件统计视图。用户可自主配置查询的时间周期，周期范围不超过一个月。

16、要求设备支持关键业务统计，统计查询支持站点、时间范围、关键业务、排名类型等条件。统计结果包括事件类型统计、攻击详情统计，其中攻击详情统计须包括攻击源IP TOP5统计和攻击路径 TOP5

17、要求产品支持转发模式、防护模式、调试模式；

18、要求产品支持IPV4/IPV6双栈协议；

19、要求支持虚拟化部署，支持KVM、VMware；

20、部署模式要求支持反向代理模式部署；支持资源池模式部署，支持旁路镜像模式部署；支持主备模式部署；

安全产品服务要求：

1、要求供应商现场协助我行完成产品安装实施及功能性测试，并出具详尽的验收测试报告；

2、要求供应商针对我行实际情况出具项目实施方案、测试方案及验收方案，需获得我行认可。

3、要求供应商系统，当系统出现重大漏洞或安全隐患后，可远程协助我行实时快速的升级至新版系统，并在需要的时候，可随时降至原系统并保持原有系统缓存内容，与此同时软件升降级过程中应不影响我行业务使用。

供应商要求

1、产品具备公安部《计算机信息系统安全专用产品销售许可证》，软件著作权等相关证明材料产品资质。

2、供应商有完善的售后服务体系及技术团队以提供产品的售后服务支持；

3、对于可能涉及宁波银行内部涉密数据，供应商相关人员应进行安全保密教育，并与我行分别签订保密协议；

4、具备相关技术培训服务的能力。

二、报名方式及起始时间

请符合条件的供应商在 2020 年 11 月 23 日之前,通过“点击报名”方式进行报名，并按要求填写相关报名材料。

三、联系方式***

联系人***

许兆华 0574-87846031 （业务部门）

地区导航: 华东: 上海　江苏　浙江　安徽　福建　江西　山东

华北: 北京　天津　河北　山西　内蒙古

东北: 辽宁　吉林　黑龙江

华南: 广东　广西　海南

西北: 陕西　甘肃　青海　宁夏　新疆

西南: 重庆　四川　贵州　云南　西藏

华中: 河南　湖北　湖南