山东省城市商业银行合作联盟有限公司 2024年度-2025年度审计平台服务采购项目供应商征集公告

（略）（以下简称“采购人：（略）
一、项目概况
（一）项目名称：（略）
（略）2024年度-（略）服务采购
（二）基本情况
采购人：（略）
项目采购内容主要包括两部分，（略）服务，SaaS服务模式，服务周期为2年，（略）使用次数、安全测试人员用户数量和流量、测试人员动态IP使用数量；二是安全测试流量人工审计服务，服务周期为2年，采购人：（略）
采购人：（略）
（三）服务内容及要求
1.（略）服务要求1.1产品功能需求
（1）平台架构要求
（略）
具体要求
1
采用B/S架构
2
SaaS部署交付
（2）用户及角色权限管理要求
（略）
具体要求
1
支持创建管理员、裁判员、审计员、测试人员等多种角色的用户
2
支持多级机构管理，（略），对不同机构间的项目数据做权限隔离
3
（略）的批量导入功能
4
单一安全测试或渗透攻击任务支持创建多支测试队伍或攻击队伍，并对不同队伍分别进行队员管理
（3）测试人员安全接入
（略）
具体要求
1
能够统一攻击流量入口，利于采购人：（略）
2
支持访问控制策略，支持安全测试/渗透攻击时间段、安全测试/渗透攻击目标白名单等访问控制策略的设置
3
测试过程中，一旦发现安全事件，产品应能够提供测试人员的阻断功能
4
支持动态IP池机制，可按照攻击队员分配，在攻防演练期间，至少提供每人10个IP的资源池，且不能设置IP资源池的限制
5
为测试人员提供统一的VPN或堡垒机接入方式：（略）
6
攻防演练/渗透攻击时间段控制支持小时级别的控制
7
攻防演练/渗透攻击目标范围控制支持域名级、IP级别的控制
8
支持通过流量代理技术将攻击源IP转换为特定的攻击源IP
（4）测试人员行为记录与统计
（略）
具体要求
1
支持HTTPS测试人员流量自动解密功能，以便后续实现全流量审计
2
支持对测试人员所有流量的记录和存储功能
3
能够对不同测试人员的流量（略）分，以便后续审计能够定位到具体测试人员
4
支持测试人员所有Web流量的查看、检索功能，以便溯源分析
5
存储的流量应满足以下两种格式：pcap（略）络全流量、json格式的Web流量
6
支持对测试人员流量的统计分析功能，包括实际参与攻击的人数统计、攻击时长统计、请求次数统计、攻击目标统计以及详细的攻击时间分布
7
流量统计分析维度应能实现全局统计、机构级（攻击队）统计、用户级（具体某个测试人员人员）统计
（5）测试人员流量审计
（略）
具体要求
1
支持对测试测试人员流量的实时安全性审计分析功能，至少实现Web类流量的审计
2
安全审计分析引擎至少应具备WEB漏洞攻击识别和Web入侵检测功能，具备对OWASPTop10的Web应用攻击检测能力
3
审计报告支持自动生成，且报告中应明确安全测试审计情况，内容包括但不限于测试范围、测试时间、测试人员、审计内容及审计结果等；审计结果中应明确测试人员是否按照要求使用授权的接入方式：（略）
4
安全审计分析引擎应可分析Web的双向数据包，能实时有效的识别成功的攻击和入侵事件
5
对识别为攻击的流量进行记录和存储，用于数据审计、攻击回溯
6
安全审计告警日志应实现用户级告警，能具体定位到某个测试人员
7
支持对安全审计告警日以用户、源IP、目的IP、Host、HTTP方法、URL、扩展名、请求头、请求体、响应头、响应体、状态码的精确搜索和模糊搜索
（6）攻防/测试过程大屏展示
（略）
具体要求
1
实时以地图、展播图等形式展示攻击队伍的攻击情况，包含攻击队伍、攻击人员、攻击手法、（略）、实时流量、攻击成果等
2
实时展示攻击队伍、攻击人员的排名情况
3
实时展示攻击成果的提交情况
4
展示页面应支持页面定制
（7）成果管理
（略）
具体要求
1
提供在线漏洞成果提交功能
2
提供在线漏洞成果审核功能，审核时可对漏洞成果进行积分评定
3
提供漏洞成果的导出功能
1.2产品其他需求
（略）
需求类型
具体要求
1
性能
不限制安全测试人员用户数量，且至少支持50人在线同时测试
2
可用性
不限制安全测试人员动态IP使用数量
3
可用性
（略）使用次数、流量
4
兼容性
VPN客户端支持Windows、Mac、Linux平台
5
兼容性
（略）支持Chrome、Firefox、IE浏览器访问
6
存储备份
日志和解密后的流量，在采购人：（略）
7
存储备份
购人开展测试活动的流量，须与其他使用SaaS平台的租户或机构完全隔离
2.人工审计服务要求1.（略）使用方面的培训；
2.每次开展安全测试活动，供应商应提供人员技术支持服务，（略）的稳定运行，（略）使用过程中遇到的问题，供应商需在活动完成后的10个工作日提交审计报告；
3.采购人：（略）
4.采购人：（略）
5.供应商须按照联盟安全管理规定对其信息安全做好保护工作，并按照用户安全管理规定实施项目，项目组人员须于联盟签订保密协议，对于服务过程接触到的联盟秘密信息、安全事件信息，严格参照《保密协议》。
6.在项目结束后，将所有项目相关内容予以删除，并经过检查和确认，严格禁止项目人员私自留存项目相关文档；
7.因供应商产品、操作、人员等问题导致的采购人：（略）
8.本项目人员要求背景干净，无违法犯罪记录，没有黑、灰色产业经历。
二、征集时间
本项目征集自发布之日起至2024年7月25日18:00止。
三、合格供应商要求
（一）供应商须为在中国境内注册具有独立承担民事责任的主体且截至2023年12月31日成立时间超过3年。须提供营业执照副本原件或加盖公章的复印件的扫描件进行验证。
（二）财务状况良好，有依法缴纳税收和社会保障资金的良好记录。
（三）成立以来无重大债权债务纠纷，在经营过程中无因违反相关法律法规受到刑事处罚和相关监管机构行政处罚的记录。
（四）具备本项目所提供服务的相关产品的知识产权，供应商须提供相关产品的计算机软件著作权证书或其他证明材料。
（五）自2021年1月1日（含）以来，金融行业同类项目服务案例数应不少于2例。供应商须提供相关合同原件的扫描件（可遮蔽甲方敏感信息）进行验证（只提供合同首尾页视为无效应答）。
四、报名所需提供的资料
（一）基本信息
1.（略）营业执照(提供原件电子扫描件)。
2.法定代表人或授权代表身份证原件电子扫描件(由授权代表报名的，还须提供加盖公章的法定代表人授权书原件电子扫描件)
3.遵守国家法律法规，在经营活动中没有违法记录,具备履行合同所必须的设备和专业技术能力(提供承诺函)。
4.提供以下信息及书面承诺函:
(1)（略）(（略）.cn)中登记信息(含有股东信息)、以及“列入严重违法失信企业名单(黑名单)信息”的截图;
(2)（略）(https://（略）.cn/)，有关“失信被执行人”及“重大税收违法案件当事人名单”的截图;
(3)无不良信用行为记录承诺函(格式自拟，提供加盖公章的原件电子扫描件)。
5.供应商整体情况介绍，包括基本信息、规模实力、信用状况、财务状况等。
6.类似项目实施经验和供应商及员工的资质认证情况。
7.针对第一部分内容中“项目概况”下的“(三)、服务内容及要求”中的需求满足情况逐条进行应答。
8.评估服务的报价和计费方式：（略）
9.按照要求填写《供应商评估调查表》
（二）报名资料要求
1.请按上述要求提供报名材料，报名资料须提供加盖公章的原件扫描件,对于所递交资料不齐全、内容不真实，或未按要求加盖公章及法人签字的原件电子扫描件的视为报名资料缺漏,采购人：（略）
2.采购人：（略）
五、注意事项
（一）本次公开征集不收取供应商的任何费用。
（二）供应商须对报名信息和资料的真实性负责。如提供虚假材料，所造成的一切不良后果由供应商负责，并将被计入采购人：（略）
（三）报名资料发送指定邮箱：（略）
（略）@（略）
（略）@（略）
（略）@（略）
邮件标题格式为:公司全名+2024年度-（略）服务项目。报名邮件的容量超过10M时，请压缩、拆解成多个小于10M的邮件再发送;报名资料及时间以指定邮箱：（略）
六、声明
采购人：（略）
七、联系方式：（略）
（一）联系单位：（略）
（二）地址：（略）
（三）邮箱：（略）
（略）@（略）
（略）@（略）
特此公告。

（略）
2024年7月18日