兴业银行 关于互联网攻击面管理平台 项目供应商征集公告
根据我行 安全运营 工作需要,我行开展 互联网攻击面管理平台 项目,现公开对 互联网攻击面管理平台 项目进行供应商征集,有关事宜公告如下:
一、 采购需求及资格要求
1.1. 采购需求:
我行现有的漏洞检测工作无法建立有效的外部资产视图,无法全面、实时、完整地掌握所有互联网资产的情况。 为应对互联网资产增长带来的安全挑战,计划构建互联网攻击面管理平台,以实现资产全面测绘和统一管控、持续监测并管理本行的外部暴露面,提升安全运营效率。
本期项目计划 采用行内部署管理台、调度云端扫描节点的技术架构,行内管理台定期主动向云端扫描节点下发扫描任务并获取执行结果。通过对本行互联网边界资产全面测绘和管理,实现本行网络空间资产统一管控 。
现采购 互联网攻击面管理平台设备 1套 , 设备模块包括资产发现与管理、攻击面管理、安全巡检、敏感信息检测等模块;同时设备包含三年免费维保服务。
1.2. 技术要求:
1.2.1 资产发现与管理 能力,从我行组织机构与根域名出发智能化关联扫描,持续动态地描绘出互联网安全边界,建立完整的域名、端口服务、 Web应用、APP、新媒体应用等资产视图。资产测绘应具备较高准确率和较低的误报率。
1.2. 2 攻击面 综合 管理 能力,针对已识别的我行资产进行主动扫描,识别组件指纹信息以及对可能存在的漏洞的探测,通过平台全面直观展示本行互联网攻击面的安全状况;具备漏洞风险评估、资产指纹识别、根据组件进行资产管理的能力。
1.2. 3 定期安全巡检,支持采用灵活可配置化的定时任务,不间断地开启安全巡检工作,定期重检互联网系统、应用、服务、 端口和链接等资源开放情况并进行异动提醒。
1.2. 4 敏感信息监控,支持对互联网资产信息进行持续扫描,探测发现并挖掘本行泄露在外部的代码、文库、网盘等信息。
1.2. 5 安全能力要求:应具较强的资产测绘性能,能够按照每小时 /每天周期需求完成扫描任务;平台应具备较强的识别和漏洞探测能力,包括但不限于OWASP TOP10常见漏洞类型、主流组件指纹及漏洞POC;产品不包含任何已知应用漏洞和风险问题;应严格控制系统网络访问权限,仅允许控制台访问外部扫描节点的单向网络权限。
1.2.6 API开放能力,平台应具备成熟的API接口及文档,支持和我行现有的资产治理、SIEM/SOAR/态势感知等安全工作流程无缝对接。
1.3. 人员资质要求:
1.3.1. 项目人员所学专业为计算机相关专业或具备计算机相关资格证书,具有大学专科以上学历(含大专)。
1.3.2. 项目人员需掌握 OWASP Top10 安全威胁的原理,熟悉常用 资产测绘技术 和 漏洞检测 payload , 熟悉市面主流资产及组件相关信息 。
1.3.3. 项目人员应对业界安全动态较为敏感,了解国内外最新的安全发展动向,有信息安全专业资格证书为佳(如 CISA、CISP、CISM等)。
1.3.4. 项目人员应具备较强法律意识、道德约束能力,有耐心,沟通能力强。
1.4. 服务要求:
中标方应按合同约定,针对我行的具体情况和服务需求,向我行提供 1套 互联网攻击面管理平台设备,以实现资产全面测绘和统一管控、提升安全运营效率。
设备维保期内当紧急故障发生时,如电话指导无法解决问题,应当于接到报修电话后的规定时限内到现场诊断,保证采购产品的正常运转。厂商应针对本项目内的软硬件(不论该硬件是我行本次直接购置、赠送还是随机附带方式获得)提供 7*24(每周7天,每天24小时)的现场支持服务。
1.5. 供应商资质要求:
1.5.1. 企业成立 3 年以上, 近三年 财务稳健 , 可稳定提供服务。
1.5.2. 2021年至2024年期间应具备金融行业同类型项目案例,提供合同扫描件,需提供合同首页、盖章页以及内容需包含攻击面管理、互联网暴露面等内容。
二、 报名要求
2.1在兴业银行开立对公账户,若中标本项目,则通过兴业银行对公账户结算该项目相关费用。
2.2充分理解我行服务需求并能够根据需求提供相应的服务。
2.3应具有良好的商业 信誉 和健全的财务会计制度。
2.4未被 信用 中国 网列入重大税收违法案件当事人名单、未被中国执行信息公开网列入 失信 被执行人名单 、未被中国政府采购网列入政府采购严重违法失信行为信息记录名单、未被国家企业信用信息公示系统列入网站严重违法失信企业名单、在参加本次采购活动前3年内未出现重大违法违规行为,近三年在我行无不良行为记录,不在兴业银行供应商禁用/退出期内。
三、 征集时间
本次供应商征集自即日起至 202 4 年 6 月 4 日 23:59止。
四、报名方式
采购部门联系人: 向 先生,联系电话: 0591-863133 49 ,联系时间:工作日 8:30-12:00,14:30-18:00(其他时间请勿打扰)。 若有意向请将供应商资料于征集截止时间前提交至gysxyfwt@cib.com.cn邮箱。
报名注意事项:
1. 提交的供应商资料内容包括如下三项:
材料 1:《兴业银行互联网攻击面管理平台项目》供应商征集反馈材料-公司名称(全称)
材料 2:兴业银行互联网攻击面管理平台项目信息收集表
材料 3:供应商准 入 信息导入模板
以上三项材料填报模板详见附件,提交材料无需加盖公司盖章。
2.提交资料所发送的邮件名称如下:《兴业银行互联网攻击面管理平台项目》供应商征集反馈材料-公司名称(全称)。请仅发送一封邮件,拆分发送多封邮件视为无效应答。
3.提交供应商资料大小不超过 10 M。(提交的邮件附件总大小超过1 0 M自动拦截视为无效应答,附件请勿通过第三方邮箱转存附件)
五、注意事项
1.能够完全满足我行采购需求、有合作意向、无不良行为记录的供应商均可报名。
2.本次市场调研不代表采购邀请或意向,仅为调研市场情况发起。经审查符合条件者,我行将会主动联系报名者;不符合条件者,将不会联系报名者,材料予以保密。
3.本次市场调研不收取供应商的任何费用。
4.供应商须对报名信息和资料的真实性负责。如提供虚假材料,将取消报名资格并列入我行供应商黑名单。
5.对于上述事项存在疑问的,请及时与我行联系 。
文章推荐: