上海浦东发展银行第三方文件传输平台重构项目采购供应商征集公告

正文内容

**浦东发展银行 第三方文件传输平台重构项目 采购供应商征集公告 一、采购名称：第三方文件传输平台重构项目 二、征集时间：自公告发布之日起至****年**月**日 三、项目需求 **浦东发展银行现有第三方文件传输平台实现了行内应用系统和第三方机构间的批量非实时文件传输，对外提供WEB、JAVA/C的 SDK客户端接口及SFTP三种接入方式。平台实现了行内系统对接外部机构的文件传输统一管理及配置，并对文件传输过程进行安全控制，确保传输文件的可靠性、一致性和传输链路安全性。由于目前平台无法适配实时文件传输场景且存在功能、性能等短板，现需对平台进行重构。新平台除了需要覆盖现有平台具备的批量非实时的文件传输能力，还需满足实时文件传输场景需求、具备对第三方机构接入和使用过程中提供有效治理手段以及满足容灾、安全、性能等非功能需求，以适应我行的业务快速发展。 业务及技术需求： *.平台支持对接我行数据湖系统，集成其基于对象存储的文件订阅和发布功能。（发布的文件日期、资产名等信息支持配置，如文件日期可以是文件当时处理日期也可以是文件名中的日期）。 *.平台支持对接我行统一认证平台，且支持根据不同的人员角色设定不同权限管理。 *.平台支持对接我行通知平台、监控告警平台的相关接口。相关日志输出和备份审计策略满足我行日志管理要求（可集成我行提供公共日志组件），以便对平台本身运行情况、文件传输情况及第三方机构相关异常行为通过邮件、短信等方式主动告警。 *.平台支持容器化、微服务化的方式部署，具备横向扩展能力，满足双中心多活的架构体系，要求具备公网和专线双出入口能力。平台****小时运行，要求RTO为*小时，RPO为**分钟。 *.平台加解密须支持国密算法（可集成我行提供公共加解密组件）。平台对于涉及到的密码等敏感信息有统一管理功能且必须使用密文方式保存。 *.平台支持对于同流程的任务策略进行配置化开发，且具备接管平台现有同流程相关任务配置的能力。 *.平台使用到的第三方API组件、开源组件须满足我行安全审计要求，不符合要求的组件需进行升级替换。 *.平台具备传输文件生命周期管理功能，如存储方式、存储路径、存储限制、备份、清理等管理功能。平台具备容错能力，支持文件发到多个目标接收系统、文件可以被多个第三机构共享使用下载。 *.平台具备对第三方机构入行文件进行病毒查杀的功能，对于异常文件要有邮件告警、隔离机制和后续的处理流程。 **.平台具备对接入第三方机构进行全生命周期的治理，在接入过程、使用过程、下线过程等各个阶段都要提供有效治理手段，例如在接入过程具备接入方式权限控制、IP地址的黑白名单控制、秘钥或证书签发校验和同步及有效期管理、机构之间的文件权限隔离、有效用户接入认证等能力，在使用过程具备数据签名验签、文件传输速率限制、任务级别优先级配置管理、文件每日访问频率、机构传输配额控制、不同机构上送同名文件处理等能力，同时具备异常情况处置能力，有效应对如文件推送不到第三方机构、抽取第三方机构文件不成功（某些场景的错误可配排除）、某个时间点第三方机构文件还没抽到、第三方频繁异常的下载文件、上传病毒文件、上传超大文件等异常场景。 **.平台提供对文件传输历史和当前信息的查询、统计功能。可以按照多种不同维度的条件进行查询和统计，如行内业务系统与行外第三方机构间的文件传输时间、大小、成功失败次数等信息统计和查询。提供行内业务系统每月、每季、每年涉及的第三方机构文件传输情况报表。 **.平台提供给第三方机构接入的方式要有如下几种：SDK客户端方式、WEB方式、SFTP方式、HTTPS的API接口方式，满足我行对于上述*种的方式安全要求，且具备适配第三方机构自身的文件传输API接口能力， 以满足部分第三方机构关于指定报文格式传输、加密、签名以及非标准的二进制流传输等定制化需求，在传输文件场景中SDK客户端方式和WEB方式可以无缝衔接。 **.平台支持国产信创产品即goldenDB数据库、宝兰德中间件、**及统信操作系统、国产对象存储、国产负载均衡等。对外提供的SDK客户端要适配跨操作系统能力，要求至少支持LINUX、WINDOWS、AIX,HP-UNIX、统信操作系统。对外提供的WEB接入方式支持信创浏览器，支持接入国产WAF。 **.平台提供的WEB网站接入方式必须满足我行的会话安全（会话标识、防固定会话攻击、Cookie安全性、会话并发、会话退出）、访问控制（防水平越权、防垂直越权、防URL跳转漏洞）、输入校验（防SQL注入、防跨站、防XML外部实体注入）、数据安全（报文加密及完整性校验、多余信息返回、敏感数据缓存）、身份认证（防登录重放、口令安全策略、防空口令登录）、文件越权下载、图形验证码、防爬虫防护等方面的安全要求。 **.使用SDK客户端接入方式进行文件下载需支持文件名通配符（？和*）下载方式，对于有同名文件情况则选择命中的文件应为最新的文件。客户端的地址配置支持多地址轮询或域名方式（即支持多点接入方式），相关敏感信息的配置须进行加密。支持第三方机构本地大文件分段上传及断点续传机制。支持文件传输过程中的加密和压缩传输及MD*的防篡改功能，支持文件传输过程中一文件一密机制。文件不可在DMZ区落地，且满足我行对其的安全要求，如SDK加固、数据安全传输、SDK更新、数据存储安全要求、敏感数据留存等。 **.使用SFTP接入方式须支持定时/周期性抽取或推送文件，支持用户密码和证书方式两种认证，须使用DMZ区代理服务和第三方机构进行交互。支持文件传输过程中控制传输速度，有传输超时时间配置，且能够适配平台现有存量接入的第三方SFTP服务器的功能。 须支持以下功能：抽取第三方机构有效期内的未抽取文件（注意对方文件在生成过程中不可以抽取）。抽取完文件支持可删除对方文件。支持对满足条件的文件进行重复抽取，支持对方抽取目录的日期和字符串常量的配置化（日期可从文件中获取或传输发起的日期）。支持对方目录下文件名过滤（通配符和正则表达式）。 推送文件至第三方机构时支持文件名的过滤（通配符和正则表达式）。文件传输成功后可以配置对文件进行删除、备份操作，支持推送过程中中间态文件名加后缀信息以便区分最终结果文件。支持文件推送目录的日期和字符串常量的可配置化（日期可从文件中获取或传输发起的日期）。 **.对于提供HTTPS的API接口方式的文件传输，要支持同步接入我行API管理平台的第三方机构配置信息（如机构ID即clientid、密钥对、场景ID等信息）。收到文件后可通过对象存储的预签名方式进行文件存储保存。提供第三方机构ID、文件ID等信息对应的预签名信息查询接口供行内系统查询使用。并且要满足我行对其的安全要求，如身份认证、会话安全、输入校验、数据安全、密钥管理等。 **．平台具备实时文件传输能力（包括但不限于如下场景描述） a．支持第三方机构推送模式，第三方机构通过第三方文件传输平台上传完实时文件后，需返回给第三方机构文件ID等信息以便后续发起其他联机交易使用。第三方文件传输平台需实时通知业务系统进行文件下载或直接把文件通过预签名的方式写到后台的对象存储中。 b.支持第三方机构拉取模式，由第三方机构发起文件下载申请。行内业务系统完成文件上传动作后，要告知第三方文件传输平台可以下载，第三方文件传输平台需实时通知第三方机构相关文件ID等信息以便其下载。 c.支持行内业务系统主动拉取模式，由行内业务系统发起文件下载申请。第三方文件传输平台从第三方机构完成文件拉取后发给后台业务系统，需实时通知业务系统完成相关文件下载以便其对文件进行处理。 d．支持行内业务系统主动推送模式，行内业务系统发起文件推送申请请求。第三方文件传输平台完成把文件推给第三方机构后，需实时通知业务系统完成此操作。 e．支持行内业务系统对于第三方机构文件批量下载模式，即行内业务系统下发文件给第三方文件传输平台，其内容为第三方机构大量的文件下载地址等信息。平台处理完批量文件下载后要交付给行内业务系统，然后告知行内业务系统本次文件抽取的处理结果（对于失败的文件要有日志告警和重试），此时要适配第三方的并发控制和相关文件接口的认证要求。 **.平台具备批量非实时离线传输能力（包括但不限于如下场景描述） a.平台定时或周期性把行内业务系统下发的文件推送给第三方机构，或把第三方机构的文件抽取过来发送给行内业务系统。 b.平台保留有效期内的行内业务系统下发的文件以便第三方机构在后续某个时刻下载。 c.平台收到第三方机构上送的文件，在完成相关病毒扫描后定时或周期性把文件交付给我行后台系统。 d.平台定时或周期性监控第三方机构SFTP获取文件列表索引文件，解析此索引文件内容，把其对应的数据文件全部抽取过来发给行内业务系统。 四、合格服务供应商基本资质要求 *.具有中华人民**国境内独立法人资格的企业，持有工商行政管理部门或*场监督管理部门登记的《营业执照》,且《营业执照》经营（许可）范围与本项目相符。企业注册资本不低于****万元人民币（或等值）。 *.具有良好的商业信誉和健全的财务会计制度，财务状况良好(近三年至少两年盈利（注：如为创新型企业可酌情调整) )，经营活动中没有重大违法记录； 提供近*年内任意一期的财务报表，含资产负债表、损益表（利润表）、现金流量表（复印件加盖公章）。 *.近五年内有相关同业实施案例（复印件加盖公章）。 *.投标人最近三年（****年*月*日起至今）无行贿犯罪记录证明。 五、供应商报名提交资料 *.有效期内的公司营业执照、组织机构代码证、税务登记证（如果已经是三证合一，则只需要提供营业执照）。 *.加盖公章的参与本项供应商征集的确认函（扫描件，确认函模版见附件）。 *.公司简介（包括但不限于公司综合能力、财务能力、服务能力等内容介绍）。 *.其他资质证明材料：在第四节合格服务供应商基本资质要求中提到的相关案例证明材料。 六、报名资料提交方式 相关材料通过电子邮件发送我行联系人邮箱。 七、声明 *.我行接受报名并不表示接受报名供应商参与本项目后续采购等工作；且我行有权对供应商征集审核结果不做任何说明。 *.供应商须对提供的所有信息的真实性负责。 *.在审核过程中，我行集中采购部门如认为必要，将安排对供应商进行实地考察、邀请参加POC测试等。 *.采购人保留要求报名服务供应商补充提交资料的权利。 *.本次公开征集不收取供应商任何费用。 八、联系人及联系方式 联系人：胡彭勇 电话： ***-******** 邮箱：*********** **浦东发展银行股份有限公司 二〇二四年十月十六日 附件