一、项目名称:应用安全开发支持产品采购项目
二、采购内容简介
(一)项目描述
为了建立我行覆盖应用软件需求、设计、编码、测试、上线等全生命周期应用安全管理体系,实现“安全左移,持续合规”的应用软件建设目标,拟启动应用安全开发支持产品采购项目,包括威胁建模分析系统和交互式应用安全测试系统,以及4人2年驻场人员支持服务。
(二)产品功能
1.威胁建模分析系统(TMA)。
(1)支持维护安全专家知识库,通过需求识别和决策引擎技术,以场景问答、标签筛选等方式提供轻量化、便捷式的安全威胁建模分析能力。
(2)支持持续优化安全专家知识库的能力,可根据安全场景自动生成安全需求、安全设计、安全测试用例等报告。
(3)可根据业务或开发实际需求,对应用安全需求进行动态调整,支持用户通过点选、输入等方式进行系统操作,支持富文本形式在线编辑。可模板化定制相关报告的内容和格式。生成相关报告文档,格式布局合理,易于阅读。
(4)支持以标准化的API形式向项目管理工具提供系统核心能力,支持以报告形式与其他系统对接。
(5)以变更记录、修订模式等方式记录安全需求分析、安全设计分析、安全测试用例分析等环节各参与人员的修订意见和修订内容。
(6)其他为了支撑我行软件开发流程的必要软件定制化功能开发。
(7)系统页面友好,易于操作。项目情况、知识库、组织架构和人员等支持批量导入导出。系统管理员角色功能可按照系统管理、功能管理和审计管理进行权限分离。
2.交互式应用安全测试系统(IAST)。
(1)基于插桩技术和污点分析等技术手段,通过Agent实时监控应用的运行状态,分析流量与代码执行情况,从而识别安全漏洞。
(2)伴随应用功能测试自动化发现应用和API中的漏洞,降低漏洞发现成本,系统可自动提供漏洞修复建议。
(3)支持以标准化的API形式向项目管理工具提供系统核心能力,支持漏洞管理推送功能。
(4)具备自动化的复测功能,并对误报漏洞提供调优机制。
(5)支持1000个以上agent部署。
(三)产品非功能性需求
1.系统提供软件产品一套。支持主流国产系统体系架构,并能根据我行国产化方案进行适配性改造。系统支持国密算法。可对接行内短信网关、身份认证、软件开发项目管理工具等。支持以https协议。
2.部署需求。支持主流国产操作系统平台和数据库,采用B/S方式提供系统功能。客户端支持主流国产操作系统自带的浏览器。
3.系统容量需支持行内每年1000个安全项目建设。性能需要支持20并发用户,每个接口响应时间均小于3秒,每个接口成功率均大于99%。CPU<70%,内存<70%。STAC系统容量可根据硬件资源配置情况自动调整,不得以系统建设规模授权方式单独计费。
4.安全合规方面。系统需经过专业化漏洞扫描验证,确保无中高危漏洞风险;经过专业化源代码扫描验证,确保无源代码级漏洞风险;经过开源软件工具扫描验证,确保无高中危风险的开源软件版本,并符合开源软件许可协议。
(四)服务内容
1.免费提供产品部署与运行支持服务
(1)系统建设服务。提供系统安装调试服务。
(2)提供2年的维保服务,自设备上线验收通过之日开始计算。
(3)在维保服务期间,每3个月进行一次巡检服务,对历史数据备份和清理,对系统进行维护,并提交巡检报告。
(4)需设有24小时服务热线,并对我行所反映的问题于2小时内响应;对需现场技术支持的事项,达到现场时间应小于4小时。对于系统一般故障应于4小时内修复,严重故障应于2小时内修复。
(5)设备维护工程师应具有3年以上同类相关系统的维护经验,在维护保修期内需保证有专业维护团队。
(6)售后培训服务。应用安全体系架构建设和运维过程中对相关项目干系人开展相关培训。
2.驻场人员支持服务
(1)应用安全需求、应用安全设计、应用安全测试用例分析服务。对应用系统开发建设项目中的需求、设计、测试案例等报告进行安全性分析,并协助参与相关评审工作。
(2)优化应用安全知识库。根据外部法律法规、监管政策要求,并结合信息安全态势,优化应用安全知识库。并根据我行统一规划,协助修订相关制度和技术规范。
(3)协助沟通业务、开发与安全测试团队,确保相关安全要求有效落地实施。
(4)协助开展系统功能运维工作,包括用户维护、权限维护、工作流程制作等。
(5)按照我行统一安排,进行开发过程中的漏洞管理工作,并开展交互式应用安全测试发现漏洞的确认和复测工作。
(6)协助开展应用安全检查工作,制作应用安全检查要点,对应用安全各环节的落地实施情况进行检查。
(7)应用安全培训。针对我行应用安全项目推进过程中遇到的问题,开展相关培训,包括但不限于安全标准的宣贯、安全工具的使用、安全方案落地实施指导等。
(五)服务期限
本项目服务周期2年。
(六)驻场服务人员资质要求
项目2年服务期内,要求提供4名人员驻场服务,其中高级专家至少于2名,中级专家2名。高级专家要求5个及以上同类项目经验,至少有1人担任过2个同类项目的项目经理;中级专家要求3个及以上同类项目经验。
(七)服务交付文档
根据服务的事项不同提交不同的成果项,成果清单包括但不限于以下内容:
1.产品安装手册、产品维护手册、产品巡检报告、产品应急手册、产品用户使用手册、测试验证方案等。
2.项目实施方案与计划、项目实施总结报告等。
3.应用安全优化知识库、应用安全优化规范、应用安全分析与评估报告、应用安全检查报告、应用安全培训计划与材料等。
(八)项目验收要求
本项目按甲方需求实施,乙方提交服务报告并通过甲方确认后,甲乙双方签订《技术咨询服务结算确认单》,代表阶段服务验收通过。
(九)服务及付款方式
本项目拟采用现场服务的方式完成。
产品部署并经过验收后,支持产品相关费用30%;产品试运行3个月,支付产品相关费用65%;维保服务结束后,支付产品相关费用5%。
驻场服务费用每半年支付一次。
(十)履约保证金
本项目不建议收取履约保证金。
三、意向供应商资质要求及提交材料要求
(一)供应商资质要求
1.具有独立承担民事责任的能力。
2.具有良好的商业信誉和健全的财务会计制度。
3.投标公司应具有信息安全管理体系标准(ISO/IEC 27001)认证资质。
4.提供可参与本项目8人及以上人力资源池成员简历,供我行选择。
5.具有银行业同类产品案例(提供合同关键页和主要内容页复印件)。
6.有依法缴纳税收和社会保障资金的良好记录。
7.最近三年内,在经营活动中没有重大违法记录。
8.本项目不接受代理商投标
(二)提交材料内容
1.供应商情况表需提供盖章扫描件及Word可编辑版。
2.在“国家企业信用信息公示系统”、“信用中国”系统提供查询结果(截屏盖章),包括不限于经营异常、行政处罚、变更记录、重大税收违法失信情况等。
3.提交加盖单位公章的载有统一社会信用代码的营业执照,材料需为PDF格式文件。
(三)提交材料要求
1.邮件主题:项目名称+公司名称;邮件主题、正文、附件中不能含敏感字。
2.邮件正文中要写明公司的联系人姓名、手机号、邮箱。
3.须以传统方式黏贴附件,不能发云附件;发送的附件(压缩文件、文档等)不得设置密码或编辑权限;单个邮件大小控制在50MB以内(如果超限,可分几个邮件发)。
4.报名资料未按要求提供或提供不全的情况,采购人将拒绝其报名。
5.采购人视收到的上述材料不涉及商业秘密。
6.采购人可能根据项目情况取消采购,供应商应予接受。
7.不接受联合体参与报名,不得以任何形式转包或分包。本项目不接受代理商报名。
8.前来报名的供应商应保证所提供材料的真实合法性,并由此承担法律风险和赔偿责任。采购人保留对相关材料进一步核实的权利,如发现提供虚假材料的供应商,采购人将取消其本次及以后的报名资格。
四、征集期
自2025年8月29日起至2025年9月4日16时止。
请在规定时间内参与报名,截至报名日期后我行将不再接受任何形式的申请材料。
联系人及电话:潘老师010-58727342
邮箱地址(专用):jhcw_gyszj@bjrcb.com
北京农村商业银行股份有限公司
2025年8月29日