根据我行网络安全防护能力建设工作要求,我行将开展Web应用防火墙改造建设,现公开对国产Web应用防火墙软件采购项目进行品牌原厂供应商征集调研,有关事宜如下:
一、采购需求及资格要求
1.1采购需求
为保障我行信息系统安全稳定运行,拟对现有Web应用防火墙(以下简称WAF)开展改造工作,本次拟采购国产Web应用防火墙软件1套,支持分布式部署于我行多地数据中心机房,总体支持并发检测能力不低于8万QPS。
1.2 技术要求
1.2.1 支持软件集群部署:支持分布式部署于我行不同数据中心机房不同网络区域虚拟化资源池,集群总数不少于4个,总体集群并发检测能力不低于8万QPS。
1.2.2 产品要求:产品需满足全栈国产化要求,包含但不限于数据库、中间件等,且数据库、中间件的授权及技术服务支持均由供应方负责;产品需支持在我行国产基础环境部署(海光X86和鲲鹏ARM架构等)、支持在我行国产操作系统(麒麟、统信等)、云原生环境部署。
1.2.3 集中管理要求:部署的WAF集群,具备统一管理平台,支持通过统一管理平台管理不同WAF检测节点,支持通过管理平台实现对防护站点、防护策略的统一配置,支持攻击告警日志通过统一管理平台进行展示、分析。
1.2.4 WAF模式要求:产品需支持单节点反向代理模式部署、集群反向代理模式、嵌入式部署等模式。
1.2.5 防护站点要求:产品需支持对HTTP/HTTPS协议的流量检测能力,防护站点支持禁用、仅监测不拦截、拦截等多种功能模式。
1.2.6 负载能力要求:支持对后端业务自负载,支持5种以上负载算法(至少支持加权轮询法、最小连接数法、源地址哈肴法、会话保持、一致性哈希法,话保持算法支持配置cookie的保持时间),可通过IP或主机名将Web流量转发到多个业务服务器,同时支持将Web流量重定向到其它服务器或响应特定内容。
1.2.7 WAF防护能力:产品需支持检测OWASP TOP 10所公布的WEB应用程序安全风险,包括但不限于SQL注入、XSS、PHP反序列化、Java反序列化、PHP代码注入、Java代码注入、命令注入、CSRF、SSRF、ASP代码注入、模版注入、文件包含、文件上传等常见攻击类型,并对高危攻击进行阻断。
1.2.8 接口能力:产品需支持通过管理平台提供API接口,可通过API接口实现防护站点、防护策略增、删、改等操作,支持通过Syslog发送告警日志、系统日志等。
1.2.9 日志能力:产品需支持对攻击告警日志、原始访问日志的存储功能,存储时长需满足网络安全法要求;日志支持按照时间、IP、攻击类型等多种方式进行查询筛选;日志支持通过syslog等进行外发。
1.2.10 自定义安全策略:支持以防护站点、IP、url、请求方法等多种维度自定义安全检测规则,支持通过自定义安全检测规则实现对访问请求的监测或拦截。
1.3 服务要求
1.3.1 提供至少三年的原厂免费维保服务,维保范围包括产品版本升级、故障处置、WAF检测规则更新、其他技术支持等。
1.3.2 承诺三年的维保服务期内,因业务增长等原因,对于不超过本次采购需求QPS30%的扩容授权不予收费。
1.3.3 提供现场支持服务,在WAF部署上线及防护站点迁移等阶段在我行现场提供不限人次技术支持服务。
1.4 供应商资质要求
1.4.1 企业成立一年以上,经营正常,可稳定提供服务。
1.4.2 具备2023年1月1日至今与21家国内系统重要性银行总部级合作开展与本项目Web应用防火墙实施的成功案例(须提供相关案例合同证明材料,并标示相关内容,以合同签订日期为准;如为框架协议,须提供框架协议内的有效实际实施订单凭证;若提供的合同为代理商签订的,合同中需能体现出合同产品为原厂商的产品,提供相关证明材料,则该合同可视为原厂商合同)。备注:①供应商若只提供一个符合要求的案例,则默认为该供应商仅有一个案例符合要求;②若供应商有多个案例符合要求,请供应商提供多个符合要求的案例。
二、报名要求
2.1 依法成立,为存续、在营、开业、在册、登记成立等正常企业状态。
2.2 在兴业银行开立对公账户,若中标本项目,则通过兴业银行对公账户结算该项目相关费用。
2.3 充分理解我行服务需求并能够根据需求提供相应的服务。
2.4 具有良好的商业信誉且经营正常。
2.5 依法缴纳税收和社会保障资金。
2.6 未被“信用中国”网列入“重大税收违法案件当事人名单”、未被“中国执行信息公开网”列入“失信被执行人名单”、未被“中国政府采购网”列入“政府采购严重违法失信行为信息记录名单”、未被“国家企业信用信息公示系统”列入网站“严重违法失信企业名单”,不在兴业银行供应商禁用/退出期内。
2.7 经营范围经国家行政管理部门依法批准,同时获得从事行业有效执业证明、行政许可、专业资质等证照。
2.8 两年内目标服务领域未出现严重安全事件。
三、(请登录)注意:本项目寻源开始时间:2026-03-18;寻源截止时间:2026-03-25 23:59;
一、采购需求及资格要求
1.1采购需求
为保障我行信息系统安全稳定运行,拟对现有Web应用防火墙(以下简称WAF)开展改造工作,本次拟采购国产Web应用防火墙软件1套,支持分布式部署于我行多地数据中心机房,总体支持并发检测能力不低于8万QPS。
1.2 技术要求
1.2.1 支持软件集群部署:支持分布式部署于我行不同数据中心机房不同网络区域虚拟化资源池,集群总数不少于4个,总体集群并发检测能力不低于8万QPS。
1.2.2 产品要求:产品需满足全栈国产化要求,包含但不限于数据库、中间件等,且数据库、中间件的授权及技术服务支持均由供应方负责;产品需支持在我行国产基础环境部署(海光X86和鲲鹏ARM架构等)、支持在我行国产操作系统(麒麟、统信等)、云原生环境部署。
1.2.3 集中管理要求:部署的WAF集群,具备统一管理平台,支持通过统一管理平台管理不同WAF检测节点,支持通过管理平台实现对防护站点、防护策略的统一配置,支持攻击告警日志通过统一管理平台进行展示、分析。
1.2.4 WAF模式要求:产品需支持单节点反向代理模式部署、集群反向代理模式、嵌入式部署等模式。
1.2.5 防护站点要求:产品需支持对HTTP/HTTPS协议的流量检测能力,防护站点支持禁用、仅监测不拦截、拦截等多种功能模式。
1.2.6 负载能力要求:支持对后端业务自负载,支持5种以上负载算法(至少支持加权轮询法、最小连接数法、源地址哈肴法、会话保持、一致性哈希法,话保持算法支持配置cookie的保持时间),可通过IP或主机名将Web流量转发到多个业务服务器,同时支持将Web流量重定向到其它服务器或响应特定内容。
1.2.7 WAF防护能力:产品需支持检测OWASP TOP 10所公布的WEB应用程序安全风险,包括但不限于SQL注入、XSS、PHP反序列化、Java反序列化、PHP代码注入、Java代码注入、命令注入、CSRF、SSRF、ASP代码注入、模版注入、文件包含、文件上传等常见攻击类型,并对高危攻击进行阻断。
1.2.8 接口能力:产品需支持通过管理平台提供API接口,可通过API接口实现防护站点、防护策略增、删、改等操作,支持通过Syslog发送告警日志、系统日志等。
1.2.9 日志能力:产品需支持对攻击告警日志、原始访问日志的存储功能,存储时长需满足网络安全法要求;日志支持按照时间、IP、攻击类型等多种方式进行查询筛选;日志支持通过syslog等进行外发。
1.2.10 自定义安全策略:支持以防护站点、IP、url、请求方法等多种维度自定义安全检测规则,支持通过自定义安全检测规则实现对访问请求的监测或拦截。
1.3 服务要求
1.3.1 提供至少三年的原厂免费维保服务,维保范围包括产品版本升级、故障处置、WAF检测规则更新、其他技术支持等。
1.3.2 承诺三年的维保服务期内,因业务增长等原因,对于不超过本次采购需求QPS30%的扩容授权不予收费。
1.3.3 提供现场支持服务,在WAF部署上线及防护站点迁移等阶段在我行现场提供不限人次技术支持服务。
1.4 供应商资质要求
1.4.1 企业成立一年以上,经营正常,可稳定提供服务。
1.4.2 具备2023年1月1日至今与21家国内系统重要性银行总部级合作开展与本项目Web应用防火墙实施的成功案例(须提供相关案例合同证明材料,并标示相关内容,以合同签订日期为准;如为框架协议,须提供框架协议内的有效实际实施订单凭证;若提供的合同为代理商签订的,合同中需能体现出合同产品为原厂商的产品,提供相关证明材料,则该合同可视为原厂商合同)。备注:①供应商若只提供一个符合要求的案例,则默认为该供应商仅有一个案例符合要求;②若供应商有多个案例符合要求,请供应商提供多个符合要求的案例。
二、报名要求
2.1 依法成立,为存续、在营、开业、在册、登记成立等正常企业状态。
2.2 在兴业银行开立对公账户,若中标本项目,则通过兴业银行对公账户结算该项目相关费用。
2.3 充分理解我行服务需求并能够根据需求提供相应的服务。
2.4 具有良好的商业信誉且经营正常。
2.5 依法缴纳税收和社会保障资金。
2.6 未被“信用中国”网列入“重大税收违法案件当事人名单”、未被“中国执行信息公开网”列入“失信被执行人名单”、未被“中国政府采购网”列入“政府采购严重违法失信行为信息记录名单”、未被“国家企业信用信息公示系统”列入网站“严重违法失信企业名单”,不在兴业银行供应商禁用/退出期内。
2.7 经营范围经国家行政管理部门依法批准,同时获得从事行业有效执业证明、行政许可、专业资质等证照。
2.8 两年内目标服务领域未出现严重安全事件。
三、(请登录)注意:本项目寻源开始时间:2026-03-18;寻源截止时间:2026-03-25 23:59;
本招标项目仅供 正式会员查阅,您的权限不能浏览详细信息,请点击注册/登录,请联系工作人员办理入网升级。
联系人:陈思颖
电话:010-82656698
手机:15801679990 (欢迎拨打手机/微信同号)
邮箱:csy@zbytb.com
