深航API监控建设项目方案征集

深航API监控建设项目方案征集

（略）（以下简称“深航”）API监控建设项目，现由深航向社会公开征集项目建设方案，有意参与项目建设方案征集的供应商，请按照项目建设方案公开征集流程和项目建设目标完成项目建设方案的编写，并通过深航集中采购管理部公共邮箱：（略）
一、项目名称：（略）
深航API监控建设项目
二、项目概述
（一）项目背景
随着数据安全法、个人信息保护法的发布，数据安全步入法治化轨道。API作为各类服务、应用之间数据交互的桥梁，即为数据安全领域的重点保护对象，（略）的业务逻辑也与应用安全紧密相关。为提升数据安全、应用安全体系建设，从API治理的角度，需建设API（略），实现对API资产的识别和盘点，并监测API的数据安全和应用安全风险，完善和提升深航对API的管理能力。
（二）项目建设目标
深航拟建设API（略），实现对API资产的识别和盘点，全面提升敏感数据检测能力，弥补WAF在未知威胁发现和数据泄露检测上的不足，完善数据安全体系化建设和纵深防御，提升应用程序接口的安全防护能力。
三、项目业务需求
（一）系统功能需求
1.针对不同规范类型的API实现对深航API资产的自动识别和聚合，并形成API资产管理台账。
2.能够对API敏感数据自动化识别和告警，支持自定义分类分级模板对敏感数据进行识别分析，并记录访问次数及访问特征、频率等。
3.API脆弱性识别，能够发现API弱点如未授权访问、越权漏洞等，并给出脆弱性处置建议。
4.实现对API异常行为实时监测预警，包括但不限于高频登录尝试、爬虫访问、访问频次超标、非工作时间访问等行为。
5.针对事后溯源能力，实现对接口访问、数据调用等操作进行完整日志记录，可通过源IP地址：（略）
6.实现API数据流向监控，（略）和应用程序之间的流转情况。
7.以上功能需求前五项为基本需求，供应商有其他拓展功能可在建设方案中体现。
(二)场景测试需求
自本公告发布后，深航严格按照公告日期征集供应商建设方案和测试方案，并按照计划组织公开测试。特别说明，参加POC测试将作为本项目招标品牌入围的前提条件，深航将依据测试结果排序选择一定数量的品牌开展公开招标。
四、项目非业务功能性需求
（一）技术可控性要求
（略）须具备自主知识产权，且为国内品牌，使用业界成熟、可靠和实用的技术，具备大规模项目实施部署的经验和案例。
（二）易用性要求
1.维护界面简单易用，在业务流程发生变化时，尽量减少后台程序的开发，使用前台的配置即可完成。
2.支持的语言版本：支持中文。
3.系统支持与钉钉办公软件联动，实现安全事件的终端告警。
（三）扩展性要求
1.（略）部署方式：（略）
2.平台支持集群化部署，实现性能或容量达到瓶颈，（略）整体架构基础上，快速扩容。
五、投资说明
结合项目建设方案，供应商需要说明基于方案的项目投资规模，具体如下：
（一）所有报价均需分模块报价，模块可独立实施。
（二）如用到第三方软件或服务，包含第三方软件费用、服务等报价。
（三）报价模板详见附件《项目建设方案报价表.xlsx》。
六、供应商资质要求
最终的入围条件需要以招标公告中的招标文件为准
（一）不在深航供应商黑名单之列。
（二）不在中航集团禁止交易名单之列。
（三）不在深航禁止交易企业名单之列。
（四）具有独立签订合同的权利和承担民事责任的能力，近三年无违法和重大违规执业行为，无处罚记录。
（五）具有良好的财务状况，能够开具增值税专用发票。
（六）供应商具有ISO27001或ISO9001或ISO20000认证。
（七）自2021年7月1日起至今，至少有三个API（略）项目的实施案例，以合同关键页（合同首页、合同金额页、合同清单和签字盖章页）复印件为准。
七、方案提交要求
供应商需在2024年7月30日前向项目指定邮箱：（略）
（一）供应商资质；
（二）公司规模（注册资金、人员规模等）；
（三）产品功能、系统架构、实现方式：（略）
（四）产品部署方式：（略）
（五）测试方案（POC测试方案拟部署300个API监控，（略））；
（六）部署周期（POC测试）；
（七）报价；
八、地址：（略）
1、地址：（略）
2、电子邮件地址：（略）
（略）@shenzhenair.com
九、补充说明
本公告由深航信息管理部负责解释

特此公告。



（略）
2024年7月12日

【返回到列表】
-->
附件：项目建设方案报价表.xlsx