一、项目名称:应用安全开发支持产品采购项目二、采购内容简介(一)项目描述为了建立我行覆盖应用软件需求、设计、编码、测试、上线等全生命周期应用安全管理体系,实现“安全左移,持续合规”的应用软件建设目标,拟启动应用安全开发支持产品采购项目,包括威胁建模分析系统和交互式应用安全测试系统,以及4人2年驻场人员支持服务。(二)产品功能1.威胁建模分析系统(TMA)。(1)支持维护安全专家知识库,通过需求识别和决策引擎技术,以场景问答、标签筛选等方式提供轻量化、便捷式的安全威胁建模分析能力。(2)支持持续优化安全专家知识库的能力,可根据安全场景自动生成安全需求、安全设计、安全测试用例等报告。(3)可根据业务或开发实际需求,对应用安全需求进行动态调整,支持用户通过点选、输入等方式进行系统操作,支持富文本形式在线编辑。可模板化定制相关报告的内容和格式。生成相关报告文****局合理,易于阅读。(4)支持以标准化的API形式向项目管理工具提供系统核心能力,支持以报告形式与其他系统对接。(5)以变更记录、修订模式等方式记录安全需求分析、安全设计分析、安全测试用例分析等环节各参与人员的修订意见和修订内容。(6)其他为了支撑我行软件开发流程的必要软件定制化功能开发。(7)系统页面友好,易于操作。项目情况、知识库、组织架构和人员等支持批量导入导出。系统管理员角色功能可按照系统管理、功能管理和审计管理进行权限分离。2.交互式应用安全测试系统(IAST)。(1)基于插桩技术和污点分析等技术手段,通过Agent实时监控应用的运行状态,分析流量与代码执行情况,从而识别安全漏洞。(2)伴随应用功能测试自动化发现应用和API中的漏洞,降低漏洞发现成本,系统可自动提供漏洞修复建议。(3)支持以标准化的API形式向项目管理工具提供系统核心能力,支持漏洞管理推送功能。(4)具备自动化的复测功能,并对误报漏洞提供调优机制。(5)支持1000个以上agent部署。(三)产品非功能性需求1.系统提供软件产品一套。支持主流国产系统体系架构,并能根据我行国产化方案进行适配性改造。系统支持国密算法。可对****网关、身份认证、软件开发项目管理工具等。支持以https协议。2.部署需求。支持主流国产操作系统平台和数据库,采用B/S方式提供系统功能。客户端支持主流国产操作系统自带的浏览器。3.系统容量需支持行内每年1000个安全项目建设。性能需要支持20并发用户,每个接口响应时间均小于3秒,每个接口成功率均大于99%。CPUlt;70%,内存lt;70%。STAC系统容量可根据硬件资源配置情况自动调整,不得以系统建设规模授权方式单独计费。4.安全合规方面。系统需经过专业化漏洞扫描验证,确保无中高危漏洞风险;经过专业化源代码扫描验证,确保无源代码级漏洞风险;经过开源软件工具扫描验证,确保无高中危风险的开源软件版本,并符合开源软件许可协议。(四)服务内容1.免费提供产品部署与运行支持服务(1)系统建设服务。提供系统安装调试服务。(2)提供2年的维保服务,自设备上线验收通过之日开始计算。(3)在维保服务期间,每3个月进行一次巡检服务,对历史数据备份和清理,对系统进行维护,并提交巡检报告。(4)需设有24小时服务热线,并对我行所反映的问题于2小时内响应;对需现场技术支持的事项,达到现场时间应小于4小时。对于系统一般故障应于4小时内修复,严重故障应于2小时内修复。(5)设备维护工程师应具有3年以上同类相关系统的维护经验,在维护保修期内需保证有专业维护团队。(6)售后培训服务。应用安全体系架构建设和运维过程中对相关项目干系人开展相关培训。2.驻场人员支持服务(1)应用安全需求、应用安全设计、应用安全测试用例分析服务。对应用系统开发建设项目中的需求、设计、测试案例等报告进行安全性分析,并协助参与相关评审工作。(2)优化应用安全知识库。根据外部法律法规、监管政策要求,并结合信息安全态势,优化应用安全知识库。并根据我行统一规划,协助修订相关制度和技术规范。(3)协助沟通业务、开发与安全测试团队,确保相关安全要求有效落地实施。(4)协助开展系统功能运维工作,包括用户维护、权限维护、工作流程制作等。(5)按照我行统一安排,进行开发过程中的漏洞管理工作,并开展交互式应用安全测试发现漏洞的确认和复测工作。(6)协助开展应用安全检查工作,制作应用安全检查要点,对应用安全各环节的落地实施情况进行检查。(7)应用安全培训。针对我行应用安全项目推进过程中遇到的问题,开展相关培训,包括但不限于安全标准的宣贯、安全工具的使用、安全方案落地实施指导等。(五)服务期限本项目服务周期2年。(六)驻场服务人员资质要求项目2年服务期内,要求提供4名人员驻场服务,其中高级专家至少于2名,中级专家2名。高级专家要求5个及以上同类项目经验,至少有1人担任过2个同类项目的项目经理;中级专家要求3个及以上同类项目经验。(七)服务交付文档根据服务的事项不同提交不同的成果项,成果清单包括但不限于以下内容:1.产品安装手册、产品维护手册、产品巡检报告、产品应急手册、产品用户使用手册、测试验证方案等。2.项目实施方案与计划、项目实施总结报告等。3.应用安全优化知识库、应用安全优化规范、应用安全分析与评估报告、应用安全检查报告、应用安全培训计划与材料等。(八)项目验收要求本项目按甲方需求实施,乙方提交服务报告并通过甲方确认后,甲乙双方签订《技术咨询服务结算确认单》,代表阶段服务验收通过。(九)服务及付款方式本项目拟采用现场服务的方式完成。产品部署并经过验收后,支持产品相关费用30%;产品试运行3个月,支付产品相关费用65%;维保服务结束后,支付产品相关费用5%。驻场服务费用每半年支付一次。(十)履约保证金本项目不建议收取履约保证金。
本招标项目仅供 正式会员查阅,您的权限不能浏览详细信息,请点击注册/登录,请联系工作人员办理入网升级。
联系人:陈思颖
电话:010-82656698
手机:15801679990 (欢迎拨打手机/微信同号)
邮箱:csy@zbytb.com
