北京农商银行互联网应用API安全防护设备采购项目公告
北京农商银行互联网应用API安全防护设备采购项目公告
一、项目概述
(一)项目建设概述
采购2套API安全防护设备,用于我行互联网应用API的统一管理,具体采购需求如下:
1.功能需求
| 编号 | 功能 | 技术指标 |
| 1 | API资产识别与管理 | 1. 支持从访问流量中自动发现API,包括但不限于API的接口信息、参数信息等; 2. 支持利用文件进行API资产的导出,导入字段包含但不限于名称、字段、类别等;支持Excel形式; 3. 支持Jsonp、Restful、Soap、GraphQL、gRPC等API开发规范的识别。 4. 支持对于自动化识别API接口类型,如登录、注册等,支持人工进行二次修正,支持基于标签信息的统计与筛选; 5. 支持针对API的活跃度进行分析,识别新上线、僵尸、过时API; 6. 支持针对自动化发现的API进行运行统计分析,及时发现流量访问瓶颈; 7. 支持针对API从数据敏感度、访问频次等维度进行分类管理; 8. 支持针对API自动化发现的结果进行报表导出,包括但不限于CVS等格式; 9. 支持对接入流量的应用系统进行统计,并对开放的端口进行梳理和展示。 10. 支持对同类型API接口但URL中参数不同的API进行合并 11. 支持对识别出的业务系统进行合并,对所属同一个业务系统的站点或服务器IP进行合并 |
| 2 | API运行状态分析 | 1. 支持以应用维度识别API的访问数据量; 2. 支持对API调用后响应状态码识别; 3. 支持对API的请求终端信息进行识别,如浏览器、操作系统等; 4. 支持对请求及响应的数据进行记录和留存,提取请求和响应的原始数据; 5. 支持查看风险事件详情,包括但不限于攻击源、攻击时间、地域、攻击数据包等; |
| 3 | 安全行为及规则引擎 | 1、支持检测短时间内IP高频访问流量,支持自定义阈值; 2、支持提取用户鉴权与认证数据,针对鉴权及认证失败信息进行检测分析; 3、支持自定义检测规则,规则准实时生效,进行批量自动化分析; 4、提供访问请求分析模型,通过对一段时间内的访问请求进行关联分析,利用分析算法识别异常的页面访问请求,从而识别风险请求; 5、提供资源请求分析模型,通过对一段时间内的资源访问请求类型进行关联分析,识别出仅针对关键数据进行抓取而不加载页面其他资源的异常请求,从而识别风险请求; 6、提供可疑用户聚类分析模型。通过对一段时间内的访问请求字段进行聚类分析,识别出可疑访问流量,从而识别风险请求。 |
| 4 | 敏感数据泄露防护 | 1、支持针对API流量中的敏感数据进行识别,包括但不限于身份证号、手机号等; 2、支持基于国标及金融行业标准对识别到的敏感数据进行分类分级管理; 3、支持对API流量中的敏感数据进行自定义格式识别,识别用户特有敏感数据; 4、支持针对敏感数据接口的自动化抓取检测,防止敏感数据大规模泄露; 5、支持针对敏感数据接口的越权访问检测,防止越权导致的敏感数据泄露; 6、支持针对不同数据出口的数据采集行为进行统计分析,及时发现数据采集行为异常; 7、支持对设备识别出来的敏感数据是否进行脱敏可配置,防止通过设备本身泄露敏感数据。 8、对于API中传输的敏感文件进行识别,包括Word文档,PDF文档,Excel表格,压缩包等格式(未加密) 9、支持对境外访问API数据的行为进行审计。 |
| 5 | API弱点识别 | 1、基于语义分析,对SQL,JS等进行语义指纹提取,结合特征准确检测SQL,XSS等注入攻击; 2、弱鉴权机制检测。API使用弱鉴权机制,如使用基本认证,或使用URL进行认证等。 3、对CSRF/SSRF跨站攻击检测; 4、弱密码及明文密码检测。对于鉴权信息,如果使用弱密码(可字典攻击)或密码未加密,则存在风险。 5、参数可遍历。API业务参数存在递增逻辑,存在被爆破风险。 6、服务器信息泄漏。 7、未授权访问检测。支持对未带有授权信息的API接口响应敏感数据进行识别和检测。 8、API设计不规范。使用不推荐的HTTP方法,如PUT/DELETE。请求响应编码不一致等。 9、Webshell检测。对于可能存在的冰蝎,哥斯拉,菜刀等常见Web后门的攻击检测。 |
| 6 | 风险处置 | 1、支持针对IP、域名、客户指定字段配置黑白名单,支持指定黑白名单文件; 2、风险评分。支持通过设备、IP、风险数量、风险类型等多个维度,通过机器学习对访问流量风险情况进行打分; 3、可以下载周期内风险详情,CSV格式。 |
| 7 | 系统配置 | 1、支持创建管理员、审计员等不同角色用户账号; 2、支持针对分析引擎进行一键启停; 3、支持针对监控模式进行切换,支持是否开启阻断规则; 4、支持针对接入流量、分析延迟、磁盘使用等情况进行监控告警; 5、支持针对用户的重要操作,如登录、修改配置等进行日志记录; 6、支持从时间、次数等多个维度配置事件告警条件,提升风险预警能力; 7、支持自学习模式的API参数解析,用户可针对API中的新字段进行防护策略配置,无需重新部署或变更代码; 8、支持syslog、Kafka、API等多种方式与第三方平台进行联动。 9、提供API接口,支持配置第三方系统接入(如情报系统或业务风控系统)。 10、多个设备可通过配置使用1个管理端进行管理。 |
| 部署模式 | 1、支持逻辑串联,支持在设备故障情况下进行bypass处理; 2、支持旁路部署方式,通过镜像流量进行分析和安全防护; | |
| 信创要求 | 支持国产麒麟、统信操作系统,支持国产鲲鹏、飞天等ARM及X86架构芯片 |
2.性能指标需求
| 编号 | 性能指标 | 指标要求 |
| 1 | 软硬一体机 | 1、1个万兆光口,1个万兆光模块(多模) 2、1个千兆电口 3、2个32核处理器,内存至少64G、存储2TSSD |
| 2 | 网络吞吐量 | 8Gbps |
| 3 | QPS |
3.服务需求
免费提供3年原厂服务,除软件升级、巡检等常规服务外,主要服务内容为规则调优,具体要求如下:
3.1 设备上架后,安排人员到现场进行规则调优,频率为每周1次,开展时长为3个月。
3.2 每个月提供1次现场调优服务。
(三)服务商准入标准
1.公司为独立法人。
2.服务商信誉良好,没有负面评价,在经营活动中没有重大违法记录。
3.服务商具备中国信息安全测评中心或CCRC软件安全开发相关资质认证证书。
4.服务商的投标产品拥有近3年的金融同业成功案例(需提交案例合同关键页扫描件证明)
5.本项目不接受代理商参与投标。
请有意参与我行项目合作且符合准入条件的公司,从该网站下载并填写《北京农商银行xxx项目服务商自荐表》,于2023年11月19日下午17点前发送至xinxjsh_shangwu@bjrcb.com邮箱中。
发送报名邮件要求:
1.该邮箱不支持云附件下载,请以常规方式黏贴附件,并将邮件大小控制在15M以内,如分成多个邮件,要说明本次报名材料共分成几封邮件。
2.邮件标题:公告编号+公告名称+公司名称。
3.邮件正文中须写明公司招标联系人姓名、手机号、邮箱。
4.请将服务商自荐表的盖章扫描件、Word可编辑版一并提供。
5.服务商自荐表后需附“国家企业信用信息公示系统”、“信用中国”、“天眼查”(或企查查)三个系统查询截图,截图中除公司基本信息外,还要包括各个明细项信息具体内容的截图,如经营异常、行政处罚、自身风险、周边风险、变更记录等,或者提供系统中下载的完整报告。
6.邮件标题、正文、附件中不能含敏感字。
三、其它事项
(一)请在规定时间内参与报名,截至报名日期后我行将不再接受任何形式的申请材料。
(二)请提供服务商的有效联系方式,并保持通讯畅通,我行将电话联系入选的服务商,对于需要产品测评的项目,后续我行会组织服务商进行测评,测评未通过不能作为候选服务商,对未入选的服务商不另行通知。
(三)存在关联的公司在同一项目中只能参选1家公司。
(四)我行尊重参选服务商的隐私权,对服务商的信息严格保密,参选服务商应当按我行要求提交其所需材料,并对所提交资料的真实性承担责任,我行在参选服务商过程中的任何阶段发现参选服务商提交的材料不实,有权取消其参选资格。
四、联系人及咨询电话
项目联系人:曹老师,咨询电话:********
商务联系人:王老师,咨询电话:********
北京农商银行信息科技部
2023年 11 月 10 日
|
招标
|
- 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无
