紫金農(nóng)商銀行API安全審計項目供應(yīng)商征集公告
時間:2024年10月09日瀏覽量:
根據(jù)我行業(yè)務(wù)需求,現(xiàn)啟動API安全審計項目供應(yīng)商征集工作。凡符合本公告要求的企業(yè)均可自愿報名,并提交相關(guān)證明文件和材料。具體情況如下:
一、項目名稱:API安全審計項目
二、項目需求
采購一整套API安全審計工具、支持國產(chǎn)化、定期開展運維巡檢等服務(wù)。
技術(shù)指標(biāo)項 | 功能參數(shù) |
部署 | 部署方式 | 系統(tǒng)支持軟硬件環(huán)境部署,支持旁路監(jiān)聽流量的方式,同時支持agent軟節(jié)點探針的部署,支持對軟節(jié)點探針的流量進(jìn)行過濾和處理。 |
資產(chǎn)梳理 | 協(xié)議解析接口識別 | 支持解析HTTP、FTP、SMB、SMTP、IMAP、POP3等協(xié)議,并自動識別流量中的接口,在web界面能夠查詢和查看接口信息。 |
流量過濾 | 支持按照IP白名單和IP黑名單的方式過濾所需流量;支持通過URL白名單和黑名單的方式過濾所需流量;支持通過CSS、JS、資源文件、數(shù)據(jù)文件、動態(tài)腳本、HTML、XML、JSON等資源類型進(jìn)行過濾;支持通過響應(yīng)碼進(jìn)行過濾。 |
接口基礎(chǔ)信息展示 | 接口展示信息需要包括接口名稱、所屬域名、請求方法、資源類型、接口類型、認(rèn)證類型、敏感等級、接口包含的敏感信息標(biāo)簽、訪問次數(shù)、訪問流量、首次發(fā)現(xiàn)時間、活躍時間、敏感類型、敏感量。 |
接口類型識別 | 支持內(nèi)置識別接口類型,根據(jù)接口功能分類包括但不限于登錄接口、命令操作接口、管理接口、服務(wù)接口、上傳接口、下載接口等 |
接口資源類型 | 支持識別接口資源類型,至少需要能夠識別資源類型包括動態(tài)腳本、HTML、JSON、XML、CSS、JS、數(shù)據(jù)文件。 |
賬號識別 | 支持賬號資產(chǎn)識別管理,支持從流量中解析還原應(yīng)用系統(tǒng)登錄賬號,支持賬號解析的位置至少包含:請求頭、請求體、響應(yīng)頭、響應(yīng)體。能夠自定義賬號解析規(guī)則,能夠統(tǒng)計30天內(nèi)賬號登錄終端的個數(shù),能夠展示賬號活躍狀態(tài),并能夠根據(jù)賬號特征打標(biāo)簽。 |
賬號管理 | 支持通過web頁面對識別出的賬號進(jìn)行管理,可編輯其他屬性,如賬號所屬終端IP、所屬部門、賬號所屬人員的退休時間等 支持將賬號和人員關(guān)聯(lián),將賬號和人員姓名、人員組織架構(gòu)歸屬信息關(guān)聯(lián),如所屬區(qū)域、一級部門、二級部門等 |
敏感數(shù)據(jù)識別 | 支持內(nèi)置和自定義敏感數(shù)據(jù)類型標(biāo)簽包括但不限于:手機號、個人姓名、住址、電子郵箱、生日、民族、性別、銀行賬戶卡號、身份證號、統(tǒng)一社會信用代碼、業(yè)務(wù)系統(tǒng)賬號,可以通過web進(jìn)行查看和管理。能夠指定敏感數(shù)據(jù)的識別解析位置,如請求體、響應(yīng)體、cookie。 |
敏感識別規(guī)則 | 支持自定義識別規(guī)則; 識別方式支持正則、key-Value和AI識別等方式;支持指定位置的內(nèi)容識別,如請求、響應(yīng)、參數(shù)等位置;支持針對每條規(guī)則單獨進(jìn)行開關(guān)操作。 支持針對指定應(yīng)用、指定接口開啟AI識別,并能夠剔除選定的語料黑名單。 |
終端梳理 | 支持自動從流量中發(fā)現(xiàn)終端信息; 支持識別終端的操作系統(tǒng); 支持識別終端的瀏覽器類型; 支持識別終端的形態(tài),如PC、手機、平板等; 支持識別含有XFF的終端 |
接口添加 | 支持手動添加API接口 |
接口清單 | 支持資產(chǎn)類信息數(shù)據(jù)導(dǎo)出; 支持以表格形式導(dǎo)出API接口清單,導(dǎo)出的文件包括接口地址、所屬域名或應(yīng)用、接口包含的敏感信息標(biāo)簽等信息; 支持全量導(dǎo)出、選中導(dǎo)出和篩選結(jié)果導(dǎo)出等導(dǎo)出方式。 |
接口管理 | 支持通過web頁面對自動識別和手動添加的接口進(jìn)行管理,能夠查看接口的URL、目的IP、端口、請求數(shù)據(jù)標(biāo)簽、返回數(shù)據(jù)標(biāo)簽、首次訪問時間、最后訪問時間等信息;能夠編輯接口名稱、接口功能類型、接口標(biāo)簽等信息 |
風(fēng)險監(jiān)測 | 弱點識別 | 支持基于OWASP API TOP10接口弱點檢測模型,包括但不限以下檢測模型:參數(shù)可遍歷、basic認(rèn)證、明文密碼認(rèn)證、數(shù)據(jù)接口無認(rèn)證、跨域訪問、cookie保存密碼、SQL查詢接口、SQL執(zhí)行接口等風(fēng)險模型; 支持弱點生命周期管理,提供新發(fā)現(xiàn)、待確認(rèn)、已確認(rèn)、已修復(fù)和忽略等狀態(tài)管理; 支持弱點規(guī)則可基于業(yè)務(wù)特點進(jìn)行靈活的參數(shù)調(diào)整; 支持針對每條規(guī)則單獨進(jìn)行開關(guān)操作 |
自定義弱點檢測項 | 支持按照需要修改弱點發(fā)現(xiàn)規(guī)則,如調(diào)整各類參數(shù)閾值、增加刪除弱口令字典等 |
風(fēng)險模型 | 內(nèi)置業(yè)務(wù)風(fēng)險模型,如退休人員異常活躍、終端多終端頻繁切換登錄、賬號跨區(qū)登錄使用等 |
自定義風(fēng)險模型 | 支持自定義配置告警策略,包括風(fēng)險對象:指定賬號,指定網(wǎng)段,指定時間段,指定應(yīng)用系統(tǒng),指定接口,指定風(fēng)險周期、源IP、XFF IP、秒、分鐘、天,設(shè)定多種風(fēng)險指標(biāo); 支持等于、包含、空值判斷等多種判斷邏輯; 支持周期判斷邏輯支持去重功能,以便統(tǒng)計累計總次數(shù)或者總個數(shù); 支持進(jìn)行告警削減,可指定削減周期,防止單個源IP、目的IP、賬號、XFF-IP告警過多。 |
數(shù)據(jù)審計 | 取證溯源 | 支持針對監(jiān)測發(fā)現(xiàn)的安全事件提供取證溯源能力,對事件相關(guān)的原始數(shù)據(jù)進(jìn)行完整證據(jù)固定,支持對取證相關(guān)數(shù)據(jù)進(jìn)行脫敏展示,能夠根據(jù)權(quán)限設(shè)置管理員具有查看非脫敏數(shù)據(jù)的權(quán)限。 |
數(shù)據(jù)檢索 | 支持通過數(shù)據(jù)包的來源和目標(biāo)地址、端口信息、賬號、應(yīng)用、域名、完整X-Forwarded-For地址信息、原始報文內(nèi)容、狀態(tài)碼、Flow ID進(jìn)行檢索。 |
流量審計 | 支持對收集的網(wǎng)絡(luò)流量進(jìn)行全量審計和分析,可基于主體用戶賬號/用戶訪問IP等進(jìn)行檢索,可通過選中一次訪問事件進(jìn)行賬號/用戶的訪問軌跡查看 |
HTTP審計 | 針對HTTP進(jìn)行全方位審計,審計功能提供重要審計、敏感存儲、全量保存等多重保障機制保存信息; 支持對應(yīng)用接口進(jìn)行審計,審計內(nèi)容包括但不限于請求頭、響應(yīng)頭、請求體、響應(yīng)體、賬戶、終端等; 支持對敏感信息識別和提取,在審計事件中顯示敏感信息條目數(shù); 支持在審計事件中顯示賬號關(guān)聯(lián)人員姓名和部門等信息; 支持顯示HTTP協(xié)議的原始信息以便溯源和查找問題; 支持審計白名單和黑名單,可靈活基于IP、URL、接口資源類型、響應(yīng)碼等條件進(jìn)行過濾保存; 支持對審計的敏感信息脫敏顯示; |
數(shù)據(jù)檢索 | API審計事件、資產(chǎn)列表和風(fēng)險告警等頁面提供包含搜索項、搜索邏輯和搜索值的高級搜索功能; 支持搜索條件保存,方便重復(fù)使用; 支持精確搜索、模糊搜索; 支持排除搜索邏輯; 支持單個搜索條件內(nèi)輸入或選擇多個搜索值; 支持枚舉類搜索項自動顯示無需手動輸入; |
應(yīng)用流轉(zhuǎn)關(guān)系 | 支持針對選定應(yīng)用繪制訪問關(guān)系圖,能夠按照選定的時間周期展示應(yīng)用的訪問終端TOP10,應(yīng)用包含的敏感接口TOP10,該應(yīng)用訪問其他內(nèi)部應(yīng)用的TOP10,訪問其他應(yīng)用接口的次數(shù)TOP10. |
數(shù)據(jù)概覽 | 首頁展示 | 首頁提供資產(chǎn)統(tǒng)計、流量趨勢、資源利用率、業(yè)務(wù)風(fēng)險等多種類型的數(shù)據(jù)看板; 支持各類數(shù)據(jù)看板位置和大小自定義調(diào)節(jié); 流量趨勢和資源利用率趨勢圖標(biāo)可以選擇1小時、1天、7天等多種時間周期,可以通過無級滑動放大來查看細(xì)節(jié)數(shù)據(jù); 提供設(shè)備審計的EPS數(shù)據(jù),并可實時更新 |
運維管理 | 系統(tǒng)監(jiān)控 | 支持SNMP代理功能,方便設(shè)備被監(jiān)控納管; 支持SNMPv1、v2c和v3版本 支持對系統(tǒng)性能指標(biāo)實時監(jiān)控功能,包括不限于CPU、內(nèi)存、存儲等監(jiān)控指標(biāo),并提供OID說明 |
進(jìn)程監(jiān)控 | 支持針對系統(tǒng)組件進(jìn)行監(jiān)控,至少包括數(shù)據(jù)庫模塊、探針模塊、web服務(wù)模塊。 |
賬號管理 | 賬號支持三權(quán)分立模式,可配置管理員、用戶管理員、審計管理員 |
賬號權(quán)限 | 支持新建配置管理員賬號,并能夠以應(yīng)用所屬分配操作權(quán)限,實現(xiàn)權(quán)限和數(shù)據(jù)隔離,每個賬號訪問自己負(fù)責(zé)的域名、資產(chǎn)組,進(jìn)行策略配置、日志查看和資產(chǎn)管理 支持角色的產(chǎn)品頁面權(quán)限控制,控制細(xì)粒度可以精確到每個頁面內(nèi)的查看、新增、編輯和刪除等功能; 支持基于角色控制對審計敏感內(nèi)容的脫敏顯示 |
審計信息列表展示管理 | 支持列表頁標(biāo)簽自定義顯示或隱藏內(nèi)容; 支持列表頁標(biāo)簽和數(shù)據(jù)顯示位置的拖動調(diào)整 |
頁面水印 | 支持添加頁面水印,可自定義水印內(nèi)容,最大程度給瀏覽者的不規(guī)范行為,如敏感信息截圖等起到震懾和警示作用 |
時間設(shè)置 | 支持手動調(diào)整系統(tǒng)時間,可以調(diào)用操作設(shè)備時間進(jìn)行對時; 支持NTP協(xié)議,可以與NTP服務(wù)器同步時間 |
訪問控制 | 支持設(shè)置可訪問設(shè)備白名單,格式配置需要支持IP地址、IP段、CIDR格式。 |
日志轉(zhuǎn)發(fā) | 支持日志轉(zhuǎn)發(fā)功能,支持TCP和UDP協(xié)議,可同時向多個地址轉(zhuǎn)發(fā)日志 |
登錄認(rèn)證 | 支持密碼多次輸入錯誤自動鎖定,錯誤次數(shù)和鎖定時間可配置; 支持雙因子登錄 |
注:要求支持國產(chǎn)化環(huán)境,我行會進(jìn)行驗證,若不能實現(xiàn)國產(chǎn)化則作為廢標(biāo)處理。
三、供應(yīng)商資格條件
1.投標(biāo)人應(yīng)具有合法獨立經(jīng)營資格,營業(yè)執(zhí)照在有效期內(nèi)。
2.近三年內(nèi),在經(jīng)營活動中沒有重大違法記錄。
3.近三年內(nèi)(2021年6月30日之后),至少承擔(dān)過與本次招標(biāo)內(nèi)容相當(dāng)?shù)某晒Π咐?例。
四、供應(yīng)商報名提交資料
請按照以下順序,將下列材料(一)至(三)掃描成一個PDF文件(制作目錄、非原件請加蓋公司公章、不需壓縮),和材料(四)通過郵件報送我行報名聯(lián)系人郵箱:
(一)企業(yè)法人營業(yè)執(zhí)照(副本)、稅務(wù)登記證、組織機構(gòu)代碼證或“三證合一”的營業(yè)執(zhí)照;
(二)公司簡介:包括但不限于公司綜合能力、財務(wù)能力、技術(shù)能力、供應(yīng)和服務(wù)能力、與銀行業(yè)的合作狀況等內(nèi)容介紹;
(三)成功合作案例,須提供合同中含與合作方簽章頁面或成交證明文件(如中標(biāo)通知書等);
(四)《供應(yīng)商信息表》,格式詳見附件。
五、報名和資料提交方式
(一)本次報名材料只接受電子郵件方式提交,郵件附件是本公告第四條要求的報名提交資料。
(二)郵件主題為:XXX項目供應(yīng)商征集-YYY公司、FDF文件名格式為:XXX項目供應(yīng)商征集-YYY公司。
六、報名時間
本次征集自即日起至2024年10月16日17時(北京時間,下同)止。
七、相關(guān)說明
(一)我行對報名供應(yīng)商提供材料初步審核后,對符合條件的供應(yīng)商將邀請參與本項目后續(xù)采購工作。
(二)供應(yīng)商提交資料中如有虛假信息,一經(jīng)發(fā)現(xiàn),我行將予以備案并禁止相關(guān)供應(yīng)商參加后續(xù)采購項目。
(三)對邀請參與競標(biāo)的單位,評標(biāo)時將對各供應(yīng)商提供的投標(biāo)材料進(jìn)行資格審查,如資料的內(nèi)容或格式不符合要求,則作為廢標(biāo)處理。
(四)所有報名供應(yīng)商均視為已無保留地同意我行在采購業(yè)務(wù)范圍內(nèi)使用其報名信息。
八、聯(lián)系方式
(一)采購人:江蘇紫金農(nóng)村商業(yè)銀行股份有限公司
(二)地址:南京市江東中路381號金融城6號樓
(三)報名聯(lián)系人員:吳工
(025-88866823、xtaqtd@zjrcbank.com)
附件:
供應(yīng)商信息表.docx
紫金農(nóng)商銀行