山东省城市商业银行合作联盟有限公司(以下简称“采购人”)现就“2024年度-2025年度审计平台服务采购项目”进行候选供应商公开征集,诚邀符合资格条件的供应商报名参与。
一、项目概况
(一)项目名称
山东省城市商业银行合作联盟有限公司2024年度-2025年度审计平台服务采购
(二)基本情况
采购人常态化开展渗透测试、安全众测和攻防演练等安全活动,深入挖掘信息系统潜在的安全风险和验证安全防御体系的健壮性,为规避测试过程安全风险,采购人计划采购安全测试流量审计SaaS平台及配套的过程监控与流量审计服务,通过测试人员的安全接入、测试流量归档、测试人员行为审计和事中的安全管控等手段,对联盟互联网系统的渗透测试、攻防演练、安全众测等活动进行集中的安全管控,保障安全测试工作的安全开展,保证测试过程的可审计、可溯源,并为数据分析提供有效技术支撑。
项目采购内容主要包括两部分,一是审计平台服务,SaaS服务模式,服务周期为2年,不限制平台使用次数、安全测试人员用户数量和流量、测试人员动态IP使用数量;二是安全测试流量人工审计服务,服务周期为2年,采购人实网攻防演练期间,审计人员现场开展监控、审计工作,其他安全测试活动开展期间,审计人员远程开展安全监控、审计工作,审计完成后出具审计报告。
采购人每年预计在生产环境开展渗透测试活动至少6期,每期预计3周时间,开展实网攻防演练至少2期,每期预计2周时间,安全众测活动视具体情况分析,预计每年1期,同时日常会开展专题渗透测试、漏洞回归测试、漏洞复测等。
(三)服务内容及要求
1.审计平台服务要求
1.1产品功能需求&
山东省城市商业银行合作联盟有限公司(以下简称“采购人”)现就“2024年度-2025年度审计平台服务采购项目”进行候选供应商公开征集,诚邀符合资格条件的供应商报名参与。
一、项目概况
(一)项目名称
山东省城市商业银行合作联盟有限公司2024年度-2025年度审计平台服务采购
(二)基本情况
采购人常态化开展渗透测试、安全众测和攻防演练等安全活动,深入挖掘信息系统潜在的安全风险和验证安全防御体系的健壮性,为规避测试过程安全风险,采购人计划采购安全测试流量审计SaaS平台及配套的过程监控与流量审计服务,通过测试人员的安全接入、测试流量归档、测试人员行为审计和事中的安全管控等手段,对联盟互联网系统的渗透测试、攻防演练、安全众测等活动进行集中的安全管控,保障安全测试工作的安全开展,保证测试过程的可审计、可溯源,并为数据分析提供有效技术支撑。
项目采购内容主要包括两部分,一是审计平台服务,SaaS服务模式,服务周期为2年,不限制平台使用次数、安全测试人员用户数量和流量、测试人员动态IP使用数量;二是安全测试流量人工审计服务,服务周期为2年,采购人实网攻防演练期间,审计人员现场开展监控、审计工作,其他安全测试活动开展期间,审计人员远程开展安全监控、审计工作,审计完成后出具审计报告。
采购人每年预计在生产环境开展渗透测试活动至少6期,每期预计3周时间,开展实网攻防演练至少2期,每期预计2周时间,安全众测活动视具体情况分析,预计每年1期,同时日常会开展专题渗透测试、漏洞回归测试、漏洞复测等。
(三)服务内容及要求
1.审计平台服务要求
1.1产品功能需求
(1)平台架构要求
|
序号 |
具体要求 |
|
1 |
采用B/S架构 |
|
2 |
SaaS部署交付 |
(2)用户及角色权限管理要求
|
序号 |
具体要求 |
|
1 |
支持创建管理员、裁判员、审计员、测试人员等多种角色的用户 |
|
2 |
支持多级机构管理,可为不同机构分配管理账号,对不同机构间的项目数据做权限隔离 |
|
3 |
支持安全测试人员账号的批量导入功能 |
|
4 |
单一安全测试或渗透攻击任务支持创建多支测试队伍或攻击队伍,并对不同队伍分别进行队员管理 |
(3)测试人员安全接入
|
序号 |
具体要求 |
|
1 |
能够统一攻击流量入口,利于采购人内部对安全测试过程进行安全监控 |
|
2 |
支持访问控制策略,支持安全测试/渗透攻击时间段、安全测试/渗透攻击目标白名单等访问控制策略的设置 |
|
3 |
测试过程中,一旦发现安全事件,产品应能够提供测试人员的阻断功能 |
|
4 |
支持动态IP池机制,可按照攻击队员分配,在攻防演练期间,至少提供每人10个IP的资源池,且不能设置IP资源池的限制 |
|
5 |
为测试人员提供统一的VPN或堡垒机接入方式 |
|
6 |
攻防演练/渗透攻击时间段控制支持小时级别的控制 |
|
7 |
攻防演练/渗透攻击目标范围控制支持域名级、IP级别的控制 |
|
8 |
支持通过流量代理技术将攻击源IP转换为特定的攻击源IP |
(4)测试人员行为记录与统计
|
序号 |
具体要求 |
|
1 |
支持HTTPS测试人员流量自动解密功能,以便后续实现全流量审计 |
|
2 |
支持对测试人员所有流量的记录和存储功能 |
|
3 |
能够对不同测试人员的流量进行区分,以便后续审计能够定位到具体测试人员 |
|
4 |
支持测试人员所有Web流量的查看、检索功能,以便溯源分析 |
|
5 |
存储的流量应满足以下两种格式:pcap格式的网络全流量、json格式的Web流量 |
|
6 |
支持对测试人员流量的统计分析功能,包括实际参与攻击的人数统计、攻击时长统计、请求次数统计、攻击目标统计以及详细的攻击时间分布 |
|
7 |
流量统计分析维度应能实现全局统计、机构级(攻击队)统计、用户级(具体某个测试人员人员)统计 |
(5)测试人员流量审计
|
序号 |
具体要求 |
|
1 |
支持对测试测试人员流量的实时安全性审计分析功能,至少实现Web类流量的审计 |
|
2 |
安全审计分析引擎至少应具备WEB漏洞攻击识别和Web入侵检测功能,具备对OWASP Top10的Web应用攻击检测能力 |
|
3 |
审计报告支持自动生成,且报告中应明确安全测试审计情况,内容包括但不限于测试范围、测试时间、测试人员、审计内容及审计结果等;审计结果中应明确测试人员是否按照要求使用授权的接入方式进行安全测试,及实际参与的测试人员、人员账号、测试时长、人员攻击流量、团队攻击流量、识别为成功的攻击流量、攻击类型、被测目标、高风险行为的审计及溯源攻击过程分析等信息 |
|
4 |
安全审计分析引擎应可分析Web的双向数据包,能实时有效的识别成功的攻击和入侵事件 |
|
5 |
对识别为攻击的流量进行记录和存储,用于数据审计、攻击回溯 |
|
6 |
安全审计告警日志应实现用户级告警,能具体定位到某个测试人员 |
|
7 |
支持对安全审计告警日以用户、源IP、目的IP、Host、HTTP方法、URL、扩展名、请求头、请求体、响应头、响应体、状态码的精确搜索和模糊搜索 |
(6)攻防/测试过程大屏展示
|
序号 |
具体要求 |
|
1 |
实时以地图、展播图等形式展示攻击队伍的攻击情况,包含攻击队伍、攻击人员、攻击手法、被测系统、实时流量、攻击成果等 |
|
2 |
实时展示攻击队伍、攻击人员的排名情况 |
|
3 |
实时展示攻击成果的提交情况 |
|
4 |
展示页面应支持页面定制 |
(7)成果管理
|
序号 |
具体要求 |
|
1 |
提供在线漏洞成果提交功能 |
|
2 |
提供在线漏洞成果审核功能,审核时可对漏洞成果进行积分评定 |
|
3 |
提供漏洞成果的导出功能 |
1.2产品其他需求
|
序号 |
需求类型 |
具体要求 |
|
1 |
性能 |
不限制安全测试人员用户数量,且至少支持50人在线同时测试 |
|
2 |
可用性 |
不限制安全测试人员动态IP使用数量 |
|
3 |
可用性 |
不限制平台使用次数、流量 |
|
4 |
兼容性 |
VPN客户端支持Windows、Mac、Linux平台 |
|
5 |
兼容性 |
系统支持Chrome、Firefox、IE浏览器访问 |
|
6 |
存储备份 |
日志和解密后的流量,在采购人使用周期内须完整保存,同时需要提供额外1年的数据流量保存服务,未经采购人允许不能删除,并支持流量和日志的导出 |
|
7 |
存储备份 |
购人开展测试活动的流量,须与其他使用SaaS平台的租户或机构完全隔离 |
2.人工审计服务要求
1.供应商应安排人员提供平台使用方面的培训;
2.每次开展安全测试活动,供应商应提供人员技术支持服务,保证平台的稳定运行,并解决测试人员在平台使用过程中遇到的问题,供应商需在活动完成后的10个工作日提交审计报告;
3.采购人实施实网攻防演练,需要供应商现场支撑安全监控和流量审计,供应商须按照采购人计划安排人员现场开展工作,开展时间和开展频次以采购人实际执行为准;
4.采购人安全测试过程中若出现安全事件,供应商接到采购人反馈,应在1个工作日内到采购人现场,协助进行溯源分析工作;
5.供应商须按照联盟安全管理规定对其信息安全做好保护工作,并按照用户安全管理规定实施项目,项目组人员须于联盟签订保密协议,对于服务过程接触到的联盟秘密信息、安全事件信息,严格参照《保密协议》。
6.在项目结束后,将所有项目相关内容予以删除,并经过检查和确认,严格禁止项目人员私自留存项目相关文档;
7.因供应商产品、操作、人员等问题导致的采购人及采购人服务的成员行系统可用性受到影响,采购人将视具体情况,按照法律和合同要求追究相关法律责任。
8.本项目人员要求背景干净,无违法犯罪记录,没有黑、灰色产业经历。
二、征集时间
本项目征集自发布之日起至2024年8月2日18:00止。
本招标项目仅供 正式会员查阅,您的权限不能浏览详细信息,请点击注册/登录,请联系工作人员办理入网升级。
联系人:王越
电话:010-68819835
手机:13661355191 (欢迎拨打手机/微信同号)
邮箱:wangyue@zbytb.com
