恒丰银行应用动态安全防护系统建设项目POC测试供应商征集公告
发布时间：2024-04-18 12:39:07
山东省鲁成招标有限公司
类型：征集公告

恒丰银行应用动态安全防护系统建设项目POC测试供应商征集公告

一、采 购 人：恒丰银行股份有限公司 地 址：山东省济南市历下区泺源大街8号

联系方式：刘经理,157*****877

采购代理机构：山东省鲁成招标有限公司 地 址：济南市经十路*****号成城大厦19楼1901室

联系方式：杜老师，156*****407、0531-********

二、采购项目名称：恒丰银行应用动态安全防护系统建设项目POC测试供应商征集

采购项目编号： /

供应商资格要求：

1、供应商须在中国境内注册，具有独立法人资格，持有合法的营业执照。

2、供应商须为所投产品原厂商或代理商。若供应商为代理商，则必须提供所投产品原厂商针对本项目的唯一授权书原件。

3、供应商所投产品须具有《计算机信息系统安全专用产品销售许可证》或《网络安全专用产品安全检测证书》。

4、供应商自2021年1月1日（以合同签订时间为准）至今须至少具有一例六大行（工商银行、农业银行、中国银行、建设银行、交通银行、邮储银行）总行或十二家股份制商业银行（招商银行、浦发银行、中信银行、光大银行、华夏银行、民生银行、广发银行、兴业银行、平安银行、浙商银行、恒丰银行、渤海银行）总行类似项目合作案例。

5、本项目不允许联合体POC测试。

三、项目背景、测试范围及技术要求

恒丰银行网络安全工作坚持积极防御、综合防护的原则，建立多方式、多层次、功能互补的安全纵深防御体系，健全“动态防御、主动防御、纵深防御、精准防御、整体防御、联防联控”的网络安全防护能力。

为提升恒丰银行应用安全防护能力，本项目计划开展应用动态安全防护系统建设，通过动态封装、动态验证、动态混淆、动态令牌等新技术实现从用户端到服务器端的动态安全防护，提高攻击者的分析成本和攻击难度，甄别并拦截伪装和假冒正常行为的自动化攻击，保障业务安全运行。

对各供应商所提供的产品，从以下功能指标进行测试评估：

1.动态封装防护能力。能够通过URL地址封装、网页表单封装、JS代码封装、Cookie加密、代码注释隐藏、网页反调试等手段，隐藏网页敏感内容，避免信息泄露；

2.动态验证防护能力。通过客户端运行环境检查，防止恶意终端访问，检测键盘鼠标行为，识别真人操作，支持生成唯一指纹标识；

3.动态混淆防护能力。能够通过Form表单混淆、AJAX混淆等手段，确保交互数据不被篡改或窃听；

4.动态令牌防护能力。能够通过一次性的Cookie令牌或者URL令牌进行访问请求，防止请求被篡改或重放；

5.防自动化攻击能力。能够识别并阻止自动化漏洞扫描、自动化暴力破解、自动化模拟工具、burpsuit等访问代理工具对系统发起访问请求；

6.常规Web层基础防护能力。支持XSS、XXE、SQL注入、CSRF等常见Web层漏洞检测与防护能力；

7.产品功能完整性与可用性。包括但不限于总览视图、威胁告警、升级管理、配置管理、报表导出等功能模块，支持多种部署模式，支持syslog/kafka日志外发对接NGSOC，具备高可用能力；

8.根据各供应商所提供产品，综合评估测试其他方面功能。

四、议程安排：

1.报名参与时间：自2024年 4 月18日起至2024 年 4 月30日止，上午8:30－11:30，下午14:00－16:55（北京时间，法定公休日、法定节假日除外）

2.报名地点：本项目采取线上报名形式，供应商请将营业执照副本、原厂商或代理商的证明材料（如为代理商须提供所投产品原厂商针对本项目的唯一授权书）、《计算机信息系统安全专用产品销售许可证》或《网络安全专用产品安全检测证书》、项目合作案例扫描件、未在“信用中国网站”查询结果出现违法记录和列入失信被执行人等黑名单的截图等资格要求的资料；发送邮件时请备注企业名称、联系方式、所报项目名称发送至sdbiding@163.com。

3.报名电话：156*****407、0531-********；联系人:杜老师。

4.是否接受测试反馈时限：2024 年 4 月30日17：00时（北京时间）前将邀请函加盖公章扫描后回传至sdbiding@163.com，逾期未发送的供应商视为自动放弃（以收件时间为准）。POC的测试结果将作为后续招标的重要参考依据。

5.测试时间、地点及联系人：

测试时间：计划在2024年5月13日-17日；地点:烟出；联系人:于老师155*****312。本次POC测试统一要求供应商通过互联网服务形式提供系统测试环境资源、测试账号等，我行内部不再本地化部署供应商软硬件资源。供应商技术支持人员按我行测试人员需要提供必要的远程或现场支持服务。

五、有关说明：

1．采购人不统一组织供应商对现场进行勘察。无论供应商对现场考察与否，都将被视为熟悉履行合同有关的一切情况，并承担一切与磋商有关的风险、责任和义务，勘察现场所发生的一切费用由供应商自行承担。

2. 单位负责人为同一人或者存在直接控股、管理关系的不同供应商，不得参加同一合同项下的采购活动。

六、征集公告发布网站：

本公告同时发布在中国招标投标公共服务平台、、金采网、恒丰银行官网。公告内容以四个网站发布为准，其他网站转载无效。

七、联系方式：

1.采 购 人：恒丰银行股份有限公司

联 系 人：刘经理

电 话：157*****877

2.采购代理机构：山东省鲁成招标有限公司

联 系 人：杜老师

联系电话：156*****407、0531-********

发 布 人：山东省鲁成招标有限公司

发布时间：2024年4月18日