紫金农商银行API安全审计项目供应商征集公告

正文内容

**农商银行API安全审计项目供应商征集公告 时间：****年**月**日 根据我行业务需求，现启动API安全审计项目供应商征集工作。凡符合本公告要求的企业均可自愿报名，并提交相关证明文件和材料。具体情况如下： 一、项目名称：API安全审计项目 二、项目需求 采购一整套API安全审计工具、支持国产化、定期开展运维巡检等服务。 技术指标项 功能参数 部署 部署方式 系统支持软硬件环境部署，支持旁路监听流量的方式，同时支持agent软节点探针的部署，支持对软节点探针的流量进行过滤和处理。 资产梳理 协议解析接口识别 支持解析HTTP、FTP、SMB、SMTP、IMAP、POP*等协议，并自动识别流量中的接口，在web界面能够查询和查看接口信息。 流量过滤 支持按照IP白名单和IP黑名单的方式过滤所需流量；支持通过URL白名单和黑名单的方式过滤所需流量；支持通过CSS、JS、**文件、数据文件、动态脚本、HTML、XML、JSON等**类型进行过滤；支持通过响应码进行过滤。 接口基础信息展示 接口展示信息需要包括接口名称、所属域名、请求方法、**类型、接口类型、认证类型、敏感等级、接口包含的敏感信息标签、访问次数、访问流量、首次发现时间、活跃时间、敏感类型、敏感量。 接口类型识别 支持内置识别接口类型，根据接口功能分类包括但不限于登录接口、命令操作接口、管理接口、服务接口、上传接口、下载接口等 接口**类型 支持识别接口**类型，至少需要能够识别**类型包括动态脚本、HTML、JSON、XML、CSS、JS、数据文件。 账号识别 支持账号资产识别管理，支持从流量中解析还原应用系统登录账号，支持账号解析的位置至少包含：请求头、请求体、响应头、响应体。能够自定义账号解析规则，能够统计**天内账号登录终端的个数，能够展示账号活跃状态，并能够根据账号特征打标签。 账号管理 支持通过web页面对识别出的账号进行管理，可编辑其他属性，如账号所属终端IP、所属部门、账号所属人员的退休时间等 支持将账号和人员关联，将账号和人员姓名、人员组织架构归属信息关联，如所属区域、一级部门、二级部门等 敏感数据识别 支持内置和自定义敏感数据类型标签包括但不限于：手机号、个人姓名、住址、电子邮箱、生日、民族、性别、银行账户卡号、身份证号、统一社会信用代码、业务系统账号，可以通过web进行查看和管理。能够指定敏感数据的识别解析位置，如请求体、响应体、cookie。 敏感识别规则 支持自定义识别规则； 识别方式支持正则、key-Value和AI识别等方式；支持指定位置的内容识别，如请求、响应、参数等位置；支持针对每条规则单独进行开关操作。 支持针对指定应用、指定接口开启AI识别，并能够剔除选定的语料黑名单。 终端梳理 支持自动从流量中发现终端信息； 支持识别终端的操作系统； 支持识别终端的浏览器类型； 支持识别终端的形态，如PC、手机、平板等； 支持识别含有XFF的终端 接口添加 支持手动添加API接口 接口清单 支持资产类信息数据导出； 支持以表格形式导出API接口清单，导出的文件包括接口地址、所属域名或应用、接口包含的敏感信息标签等信息； 支持全量导出、选中导出和筛选结果导出等导出方式。 接口管理 支持通过web页面对自动识别和手动添加的接口进行管理，能够查看接口的URL、目的IP、端口、请求数据标签、返回数据标签、首次访问时间、最后访问时间等信息；能够编辑接口名称、接口功能类型、接口标签等信息 风险监测 弱点识别 支持基于OWASP API TOP**接口弱点检测模型，包括但不限以下检测模型：参数可遍历、basic认证、明文密码认证、数据接口无认证、跨域访问、cookie保存密码、SQL查询接口、SQL执行接口等风险模型； 支持弱点生命周期管理，提供新发现、待确认、已确认、已修复和忽略等状态管理； 支持弱点规则可基于业务特点进行灵活的参数调整； 支持针对每条规则单独进行开关操作 自定义弱点检测项 支持按照需要修改弱点发现规则，如调整各类参数阈值、增加删除弱口令字典等 风险模型 内置业务风险模型，如退休人员异常活跃、终端多终端频繁切换登录、账号跨区登录使用等 自定义风险模型 支持自定义配置告警策略,包括风险对象：指定账号，指定网段，指定时间段，指定应用系统，指定接口,指定风险周期、源IP、XFF IP、秒、分钟、天，设定多种风险指标； 支持等于、包含、空值判断等多种判断逻辑； 支持周期判断逻辑支持去重功能，以便统计累计总次数或者总个数； 支持进行告警削减，可指定削减周期，防止单个源IP、目的IP、账号、XFF-IP告警过多。 数据审计 取证溯源 支持针对监测发现的安全事件提供取证溯源能力，对事件相关的原始数据进行完整证据固定，支持对取证相关数据进行脱敏展示，能够根据权限设置管理员具有查看非脱敏数据的权限。 数据检索 支持通过数据包的来源和目标地址、端口信息、账号、应用、域名、完整X-Forwarded-For地址信息、原始报文内容、状态码、Flow ID进行检索。 流量审计 支持对收集的网络流量进行全量审计和分析，可基于主体用户账号/用户访问IP等进行检索，可通过选中一次访问事件进行账号/用户的访问轨迹查看 HTTP审计 针对HTTP进行全方位审计，审计功能提供重要审计、敏感存储、全量保存等多重保障机制保存信息； 支持对应用接口进行审计，审计内容包括但不限于请求头、响应头、请求体、响应体、账户、终端等； 支持对敏感信息识别和提取，在审计事件中显示敏感信息条目数； 支持在审计事件中显示账号关联人员姓名和部门等信息； 支持显示HTTP协议的原始信息以便溯源和查找问题； 支持审计白名单和黑名单，可灵活基于IP、URL、接口**类型、响应码等条件进行过滤保存； 支持对审计的敏感信息脱敏显示； 数据检索 API审计事件、资产列表和风险告警等页面提供包含搜索项、搜索逻辑和搜索值的高级搜索功能； 支持搜索条件保存，方便重复使用； 支持精确搜索、模糊搜索； 支持排除搜索逻辑； 支持单个搜索条件内输入或选择多个搜索值； 支持枚举类搜索项自动显示无需手动输入； 应用流转关系 支持针对选定应用绘制访问关系图，能够按照选定的时间周期展示应用的访问终端TOP**，应用包含的敏感接口TOP**，该应用访问其他内部应用的TOP**，访问其他应用接口的次数TOP**. 数据概览 首页展示 首页提供资产统计、流量趋势、**利用率、业务风险等多种类型的数据看板； 支持各类数据看板位置和大小自定义调节； 流量趋势和**利用率趋势图标可以选择*小时、*天、***多种时间周期，可以通过无级滑动放大来查看细节数据； 提供设备审计的EPS数据，并可实时更新 运维管理 系统监控 支持SNMP代理功能，方便设备被监控纳管； 支持SNMPv*、v*c和v*版本 支持对系统性能指标实时监控功能，包括不限于CPU、内存、存储等监控指标，并提供OID说明 进程监控 支持针对系统组件进行监控，至少包括数据库模块、探针模块、web服务模块。 账号管理 账号支持三权分立模式，可配置管理员、用户管理员、审计管理员 账号权限 支持**配置管理员账号，并能够以应用所属分配操作权限，实现权限和数据隔离，每个账号访问自己负责的域名、资产组，进行策略配置、日志查看和资产管理 支持角色的产品页面权限控制，控制细粒度可以精确到每个页面内的查看、新增、编辑和删除等功能； 支持基于角色控制对审计敏感内容的脱敏显示 审计信息列表展示管理 支持列表页标签自定义显示或隐藏内容； 支持列表页标签和数据显示位置的拖动调整 页面水印 支持添加页面水印，可自定义水印内容，最大程度给浏览者的不规范行为，如敏感信息截图等起到震慑和警示作用 时间设置 支持手动调整系统时间，可以调用操作设备时间进行对时； 支持NTP协议，可以与NTP服务器同步时间 访问控制 支持设置可访问设备白名单，格式配置需要支持IP地址、IP段、CIDR格式。 日志转发 支持日志转发功能，支持TCP和UDP协议，可同时向多个地址转发日志 登录认证 支持密码多次输入错误自动锁定，错误次数和锁定时间可配置； 支持双因子登录 注：要求支持国产化环境，我行会进行验证，若不能实现国产化则作为废标处理。 三、供应商资格条件 *.投标人应具有合法独立经营资格，营业执照在有效期内。 *.近三年内，在经营活动中没有重大违法记录。 *.近三年内（****年*月**日之后），至少承担过与本次招标内容相当的成功案例*例。 四、供应商报名提交资料 请按照以下顺序，将下列材料（一）至（三）扫描成一个PDF文件（制作目录、非原件请加盖公司公章、不需压缩），和材料（四）通过邮件报送我行报名联系人邮箱： （一）企业法人营业执照（副本）、税务登记证、组织机构代码证或“三证合一”的营业执照； （二）公司简介：包括但不限于公司综合能力、财务能力、技术能力、供应和服务能力、与银行业的**状况等内容介绍； （三）成功**案例，须提供合同中含与**方签章页面或成交证明文件（如中标通知书等）； （四）《供应商信息表》，格式详见附件。 五、报名和资料提交方式 （一）本次报名材料只接受电子邮件方式提交，邮件附件是本公告第四条要求的报名提交资料。 （二）邮件主题为：XXX项目供应商征集-YYY公司、FDF文件名格式为：XXX项目供应商征集-YYY公司。 六、报名时间 本次征集自即日起至****年**月**日**时（**时间，下同）止。 七、相关说明 （一）我行对报名供应商提供材料初步审核后，对符合条件的供应商将邀请参与本项目后续采购工作。 （二）供应商提交资料中如有虚假信息，一经发现，我行将予以备案并禁止相关供应商参加后续采购项目。 （三）对邀请参与竞标的单位，评标时将对各供应商提供的投标材料进行资格审查，如资料的内容或格式不符合要求，则作为废标处理。 （四）所有报名供应商均视为已无保留地同意我行在采购业务范围内使用其报名信息。 八、联系方式 （一）采购人：****农村商业银行股份有限公司 （二）地址：*****中路***号金融城*号楼 （三）报名联系人员：吴工 （***-********、***********） 附件： 供应商信息表.docx