公告正文
兴业银行关于API威胁检测系统建设采购项目供应商征集调研公告
发布时间:2025-10-17 18:34:48
类型:征集公告
兴业银行关于API威胁检测系统建设采购项目供应商征集调研公告
根据我行API资产管理及威胁检测能力建设工作需要,我行开展API威胁检测系统建设采购项目,现公开对API威胁检测系统建设采购项目进行供应商征集调研,有关事宜如下:
一、采购需求及资格要求
1.1采购需求
为强化API接口资产管理,提升对API的脆弱性和威胁的检测能力,我行拟进行API威胁检测系统建设,建立体系化的API接口管理平台,全面对行内API进行状态监测和管理。
1.2 技术要求
1.2.1 流量采集过滤功能
支持通过多种方式进行网络流量采集过滤,具体详见技术能力表格。
1.2.2 网络接入能力
需要满足多种网络接入场景要求,具体详见技术能力表格。
1.2.3 资产分组能力
支持多种不同的资产分组功能,具体详见技术能力表格。
1.2.4 API资产管理能力
从多种维度实现对API资产的管理功能,具体详见技术能力表格。
1.2.5 数据安全能力
支持敏感数据的识别、检测以及敏感数据泄露事件告警功能,具体详见技术能力表格。
1.2.6 API风险监测能力
支持对API的多种威胁及异常的检测发现以及分析,具体详见技术能力表格。
1.2.7 分析展示能力
支持对API数据的关联分析、历史分析,并且可以通过报表来展示结果,具体详见技术能力表格。
1.2.8 数据外送能力
支持多种方式的数据推送以及报表生成功能,具体详见技术能力表格。
1.2.9 API安全审计能力
支持记录API行为日志,并支持对日志进行审计,具体详见技术能力表格。
1.2.10 信创要求
产品需满足信创要求(包含硬件及配套软件),具体详见技术能力表格。
技术能力表格如下:
| 编号 | 技术能力 | 技术能力子项目 | 技术能力内容 |
| 1 | 流量采集过滤能力 | 流量过滤 | 支持通过 IP、IP 网段、域名、URL 通配符、状态码等进行网络流量采集过滤。 |
| 2 | 网络接入 | 接入场景要求 | 产品支持三层DNS引流、路由引流的反向代理接入场景;2.支持二层桥模式、三层路由透明代理接入场景;支持HA主备、过载保护、硬件与软件Bypass等高可用性场景。 |
| 3 | 资产分组能力 | 支持用户分组 | 支持用户分组,同一组用户所属资产一致,可查看/编辑等操作所属资产。 |
| 4 | 用户分配不同应用资产 | 管理员可查看/编辑等操作流量产生的所有应用资产;非管理员用户可根据分配应用资产,查看/编辑等操作流量产生分配应用的资产。 | |
| 5 | 不同维度资产分组 | 支持按应用名称、应用标签、访问域、部署域、请求敏感标签、响应敏感标签检索出的应用进行资产分组;支持单一、批量添加/删除分组下的应用资产。 | |
| 6 | API资产管理 | 资产识别 | 可识别Restful、SOAP、GraphQL、websocket、MQTT、JSON-RPC、XML-RPC等类型API,并可识别功能类别,如登录、认证、文件下载、信息获取等。 |
| 7 | 公共组件API识别 | 可识别ElasticSearch、Grafana、Clickhouse、Kafka等,识别所属组件、访问路径、版本、请求参数等。 | |
| 8 | 僵尸API识别 | 僵尸API正常识别,并可进行屏蔽、删除等操作。 | |
| 9 | 资产状态 | 具备分析和管理API运行状态的能力。 | |
| 10 | 资产聚合 | 支持多主机应用资产自动合并。 | |
| 11 | 资产管理 | 应用资产维护,支持导入、导出操作,所属部门,应用标签等业务信息维护。 | |
| 12 | 数据安全能力 | 敏感数据识别规则 | 内置默认敏感类型和级别,支持对敏感信息类型、级别、识别策略进行自定义。 |
| 13 | 敏感数据检测 | 支持检测敏感个人信息、金融信息检测,包含但不限于身份证、手机号、护照号、银行卡号、业务流水号等,支持自定义敏感数据的格式。 | |
| 14 | 敏感数据告警能力 | 应具备针对API敏感数据访问生成事件能力,并自动关联聚合生成敏感数据传输事件,包括访问源、访问时间、敏感数据类型、API访问次数、接口业务功能等信息。提供对涉敏事件的检索和可视化展现,检索和可视化展现的字段包括访问者、访问API、涉敏传输量、涉敏传输条数等信息。 | |
| 15 | API风险监测 | API威胁防护 | API漏洞攻击检测,如Sql注入,代码执行,命令执行等,根据响应进行攻击结果进行研判,攻击结果包括失败、尝试、成功,应对API漏洞利用攻击事件进行分类和威胁等级标注。 |
| 16 | 应用接口风险分析 | 支持自动识别应用接口风险,内置应用接口风险场景识别策略;内置风险识别策略应至少包括接口未鉴权、明文密码传输、弱密码、接口过量涉敏访问、异常时间涉敏访问、跨境访问等,应能根据已知API漏洞的特点和攻击特征监测出网络攻击行为,并根据响应进行攻击结果研判,攻击结果包括失败、尝试、成功。 | |
| 17 | 风险规则自定义 | 可后期编辑规则内容,创建新的规则。 | |
| 18 | 账号异常行为分析 | 应具备账号异常行为分析和检测能力,支持账号资产梳理、账号分类、账号与后续业务访问行为的关联能力、支持对账号登陆行为建立基线、支持对账号常见的登录行为进行检测、支持对账号访问行为建立基线,包括但不限于异地登录、失败超限、IP单日超量爬取数据等规则。 | |
| 19 | 接口异常分析 | 应支持API接口异常行为分析,对API接口的访问行为进行建模与API接口的访问行为进行比对,从而识别出异常访问行为。支持API异常行为的详细信息记录,包括但不限于请求源IP、目标API、请求方法、请求参数等信息,事件进行分类和威胁等级标注,支持异常行为事件信息事后溯源分析及日志研判、取证。 | |
| 20 | 配置异常分析 | 应依据配置异常所产生的数据特征检测API配置异常的接口,包括但不限于配置异常所导致的敏感信息泄露、接口滥用等,并根据响应进行结果研判。 | |
| 21 | 分析展示 | 关联分析 | 应支持针对API访问上下文数据进行关联分析,结合API业务属性、认证鉴权字段信息、访问基线行为信息等多维度数据进行统计分析,识别出有风险隐患的API接口。 |
| 22 | 历史分析 | 应支持结合API历史相关告警、API标签、API授权情况等因素综合分析API接口存在的风险,并且支持以主机、应用、风险类型、风险等级多个维度的展示。 | |
| 23 | 安全报表 | 支持针对系统中重要指标、TOP排行、环比数据的统计,包括:活跃API、活跃账号、活跃业务、敏感数据传输量,所有风险API总数及各种风险等级的API数量,显示当日新增的风险API、不同风险等级的API数量等的展示,并支持导出及针对API风险提供详细的信息和相应的安全处置建议。 | |
| 24 | 监测策略自定义配置 | 在API安全分析平台策略配置模块,可进行自定义风险模型配置实现自定义风险监测。 | |
| 25 | 数据外送能力 | 数据推送 | 支持以邮件、webhook、kafka、syslog等形式自动推送告警事件数据,与企业安全运营工作流集成。 |
| 26 | 推送字段选择 | 支持配置告警配置威胁级别、威胁准确度、威胁描述、原始相应报文等内容是否转发。 | |
| 27 | 报表生成 | 支持生成多种维度的报表及报表的导出,支持API资产列表、数据防护、风险监测、脆弱性分析等报告的生成。 | |
| 28 | API安全审计 | API安全审计 | 应记录针对API资产的属性变更、运行和业务行为;应将审计日志安全存储于日志中心或者数据库、支持基于多属性字段针对审计日志进行检索和展示、支持通过系统中的安全告警事件关联查找触发此告警的原始流量日志、支持API敏感数据日志的存储及搜索功能。 |
| 29 | 信创要求 | 信创要求 | 产品需满足信创要求(包含硬件及配套软件),包含但不限于基于海光、鲲鹏等的X86、ARM架构,麒麟等国产化操作系统。 |
1.3 服务要求
1.3.1 提供三年免费维保服务,维保范围包括硬件设备以及系统平台软件。
1.3.2 提供现场支持服务,主要在API威胁检测系统部署上线及使用验证时提供支持。
1.4 供应商资质要求
1.4.1 企业成立一年以上,经营正常,可稳定提供服务。
1.4.2 具备2022年1月1日至今与20家国内系统重要性银行总部级合作开展与本项目(API威胁检测系统建设项目)的成功案例(须提供相关案例合同证明材料,并标示相关内容,以合同签订日期为准)。
二、报名要求
2.1 依法成立,为存续、在营、开业、在册、登记成立等正常企业状态。
2.2 在兴业银行开立对公账户,若中标本项目,则通过兴业银行对公账户结算该项目相关费用。
2.3 充分理解我行服务需求并能够根据需求提供相应的服务。
2.4 具有良好的商业信誉且经营正常。
2.5 依法缴纳税收和社会保障资金。
2.6 未被“信用中国”网列入“重大税收违法案件当事人名单”、未被“中国执行信息公开网”列入“失信被执行人名单”、未被“中国政府采购网”列入“政府采购严重违法失信行为信息记录名单”、未被“国家企业信用信息公示系统”列入网站“严重违法失信企业名单”,不在兴业银行供应商禁用/退出期内。
2.7 经营范围经国家行政管理部门依法批准,同时获得从事行业有效执业证明、行政许可、专业资质等证照。
2.8 两年内目标服务领域未出现严重安全事件。
三、报名方式
采购部门联系人:
刘老师,联系电话:(略)
叶老师,联系电话:(略)
联系时间:工作日8:30-12:00,14:30-18:00(其他时间请勿打扰)。供应商如有意向参与,请先登录兴业银行采购门户((略))提交资料申请注册账号。注册审批通过后供应商可登录兴业银行采购门户,通过首页“采购管理”—“供应商寻源”—“待报名列表”中找到本次项目,点击“报名”即可参与。
欢迎各供应商对此项目的需求、技术要求、服务要求提出书面意见或建议,若有请将于征集截止时间前提交至gysxyfwt@(略)邮箱,相关意见本行接收后将不再另行回复。邮件及材料请标明:《兴业银行API威胁检测系统建设采购项目》需求意见或建议-公司名称(全称)。
报名注意事项:
1.提交的供应商资料内容包括如下三项:
材料1:《API威胁检测系统建设采购项目》供应商征集反馈材料-公司名称(全称)
材料2:兴业银行API威胁检测系统建设采购项目信息收集表
材料3:承诺函
以上三项材料填报模板详见本公告附件,提交材料1-2无需加盖公司(单位)公章。材料3需加盖公司(单位)公章或者由法定代表人签字。
调研若有变更,请以兴业银行采购门户最新发布的征集调研信息为准。
四、注意事项
1.能够完全满足我行采购需求、有合作意向、符合资格要求、报名要求的供应商均可报名。
2.本次市场调研不代表采购邀请或意向,仅为调研市场情况发起。若需后续对接,我行将会主动联系报名者;未予联系的报名者,我行将对材料予以保密。
3.本次市场调研不收取供应商的任何费用。
4.供应商须对报名信息和资料的真实性负责。如提供虚假材料,将取消报名资格并列入我行供应商黑名单。
5.对于上述事项存在疑问的,请及时与我行联系。
五、征集时间
注意:本项目寻源开始时间:2025-10-17 18:34;寻源截止时间:2025-10-24 23:00;
本信息仅向会员提供,请按以下方式联系办理
联系人:***
联系电话:*******
邮箱:*********************
附件下载(1)
公告文件下载
相关企业
推荐信息
收藏
