兴业银行关于互联网攻击面管理平台项目供应商征集公告
发布时间：2024-05-30 10:21:35
兴业银行股份有限公司
类型：征集公告

兴业银行关于互联网攻击面管理平台项目供应商征集公告

根据我行安全运营工作需要，我行开展互联网攻击面管理平台项目，现公开对互联网攻击面管理平台项目进行供应商征集，有关事宜公告如下：

一、采购需求及资格要求

1.1. 采购需求：

我行现有的漏洞检测工作无法建立有效的外部资产视图，无法全面、实时、完整地掌握所有互联网资产的情况。为应对互联网资产增长带来的安全挑战，计划构建互联网攻击面管理平台，以实现资产全面测绘和统一管控、持续监测并管理本行的外部暴露面，提升安全运营效率。

本期项目计划采用行内部署管理台、调度云端扫描节点的技术架构，行内管理台定期主动向云端扫描节点下发扫描任务并获取执行结果。通过对本行互联网边界资产全面测绘和管理，实现本行网络空间资产统一管控。

现采购互联网攻击面管理平台设备1套，设备模块包括资产发现与管理、攻击面管理、安全巡检、敏感信息检测等模块；同时设备包含三年免费维保服务。

1.2. 技术要求：

1.2.1 资产发现与管理能力，从我行组织机构与根域名出发智能化关联扫描，持续动态地描绘出互联网安全边界，建立完整的域名、端口服务、Web应用、APP、新媒体应用等资产视图。资产测绘应具备较高准确率和较低的误报率。

1.2.2 攻击面综合管理能力，针对已识别的我行资产进行主动扫描，识别组件指纹信息以及对可能存在的漏洞的探测，通过平台全面直观展示本行互联网攻击面的安全状况；具备漏洞风险评估、资产指纹识别、根据组件进行资产管理的能力。

1.2.3 定期安全巡检，支持采用灵活可配置化的定时任务，不间断地开启安全巡检工作，定期重检互联网系统、应用、服务、 端口和链接等资源开放情况并进行异动提醒。

1.2.4 敏感信息监控，支持对互联网资产信息进行持续扫描，探测发现并挖掘本行泄露在外部的代码、文库、网盘等信息。

1.2.5 安全能力要求：应具较强的资产测绘性能，能够按照每小时/每天周期需求完成扫描任务；平台应具备较强的识别和漏洞探测能力，包括但不限于OWASP TOP10常见漏洞类型、主流组件指纹及漏洞POC；产品不包含任何已知应用漏洞和风险问题；应严格控制系统网络访问权限，仅允许控制台访问外部扫描节点的单向网络权限。

1.2.6 API开放能力，平台应具备成熟的API接口及文档，支持和我行现有的资产治理、SIEM/SOAR/态势感知等安全工作流程无缝对接。

1.3. 人员资质要求：

1.3.1. 项目人员所学专业为计算机相关专业或具备计算机相关资格证书，具有大学专科以上学历（含大专）。

1.3.2. 项目人员需掌握OWASP Top10 安全威胁的原理，熟悉常用资产测绘技术和漏洞检测payload，熟悉市面主流资产及组件相关信息。

1.3.3. 项目人员应对业界安全动态较为敏感，了解国内外最新的安全发展动向，有信息安全专业资格证书为佳（如CISA、CISP、CISM等）。

1.3.4. 项目人员应具备较强法律意识、道德约束能力，有耐心，沟通能力强。

1.4. 服务要求：

中标方应按合同约定，针对我行的具体情况和服务需求，向我行提供1套互联网攻击面管理平台设备，以实现资产全面测绘和统一管控、提升安全运营效率。

设备维保期内当紧急故障发生时，如电话指导无法解决问题，应当于接到报修电话后的规定时限内到现场诊断，保证采购产品的正常运转。厂商应针对本项目内的软硬件（不论该硬件是我行本次直接购置、赠送还是随机附带方式获得）提供7*24（每周7天，每天24小时）的现场支持服务。

1.5. 供应商资质要求：

1.5.1. 企业成立3年以上，近三年财务稳健，可稳定提供服务。

1.5.2. 2021年至2024年期间应具备金融行业同类型项目案例，提供合同扫描件，需提供合同首页、盖章页以及内容需包含“攻击面管理”、“互联网暴露面”等内容。

二、报名要求

2.1在兴业银行开立对公账户，若中标本项目，则通过兴业银行对公账户结算该项目相关费用。

2.2充分理解我行服务需求并能够根据需求提供相应的服务。

2.3应具有良好的商业信誉和健全的财务会计制度。

2.4未被“信用中国”网列入“重大税收违法案件当事人名单”、未被“中国执行信息公开网”列入“失信被执行人名单”、未被“中国政府采购网”列入“政府采购严重违法失信行为信息记录名单”、未被“国家企业信用信息公示系统”列入网站“严重违法失信企业名单”、在参加本次采购活动前3年内未出现重大违法违规行为，近三年在我行无不良行为记录，不在兴业银行供应商禁用/退出期内。

三、征集时间

本次供应商征集自即日起至2024年6月4日23：59止。

四、报名方式

采购部门联系人：向先生，联系电话：0591-********，联系时间：工作日8：30-12：00，14：30-18：00(其他时间请勿打扰)。 若有意向请将供应商资料于征集截止时间前提交至gysxyfwt@cib.com.cn邮箱。

报名注意事项：

1. 提交的供应商资料内容包括如下三项：

材料1：《兴业银行互联网攻击面管理平台项目》供应商征集反馈材料-公司名称（全称）

材料2：兴业银行互联网攻击面管理平台项目信息收集表

材料3：供应商准入信息导入模板

以上三项材料填报模板详见附件，提交材料无需加盖公司盖章。

2.提交资料所发送的邮件名称如下：《兴业银行互联网攻击面管理平台项目》供应商征集反馈材料-公司名称（全称）。请仅发送一封邮件，拆分发送多封邮件视为无效应答。

3.提交供应商资料大小不超过10M。（提交的邮件附件总大小超过10M自动拦截视为无效应答，附件请勿通过第三方邮箱转存附件）

五、注意事项

1.能够完全满足我行采购需求、有合作意向、无不良行为记录的供应商均可报名。

2.本次市场调研不代表采购邀请或意向，仅为调研市场情况发起。经审查符合条件者，我行将会主动联系报名者；不符合条件者，将不会联系报名者，材料予以保密。

3.本次市场调研不收取供应商的任何费用。

4.供应商须对报名信息和资料的真实性负责。如提供虚假材料，将取消报名资格并列入我行供应商黑名单。

5.对于上述事项存在疑问的，请及时与我行联系。