一、项目具体需求
(一)系统开发内容
1.交互式应用安全测试(IAST)系统及配套服务,包括软件产品、平台部署实施、定制化开发(适配我行不同系统的接口发现)、技术培训、售后服务(含升级维护、故障响应)等。
2.后续服务价格参考,包括后续功能扩展、系统升级/改造/优化,系统维保服务等。
(二)业务功能
为满足我行应用系统全生命周期安全管理需求,应对开发、测试及生产阶段的安全风险,需采购一套功能完善、性能稳定的 IAST(交互式应用安全测试)系统,需实现的业务功能如下:
(1)实时漏洞检测:通过实时捕获应用程序运行时的网络流量、代码执行路径及内存数据,自动识别漏洞并生成包含漏洞位置、攻击路径、影响范围及修复建议的检测报告;需支持Java、Golang、.NET framework、Node.js、Python和PHP等常见代码语言。
(2)漏洞管理:可提供对漏洞生命周期的全流程管理能力,包括不限于漏洞的发现、漏洞详情、漏洞复测、漏洞数据分析等。支持按漏洞严重等级、漏洞类型进行分类归档;提供漏洞分配、修复跟踪、验证闭环功能,支持导出漏洞报告;提供漏洞代码定位、攻击路径还原及修复建议可视化展示。
(3)项目管理:可对每个项目进行隔离,针对单个项目的整体安全情况进行直观可视化的管理,需支持包含不限于对项目新建、编辑、删除、回归测试等操作,以及项目基础信息、项目动态、漏洞数据和测试数据的可视化分析呈现。
(4)软件成分分析:可基于插桩Agent技术,实现分析获取项目中所有引用到的第三方组件,包含不限于对第三方组件的版本风险、安全漏洞分析、开源许可证风险进行评估并可视化展示。
(5)自定义检测规则:提供可视化规则配置界面,支持安全人员基于我行业务特点(如支付交易、客户信息查询等场景)自定义漏洞检测规则;内置行业标准规则库,支持规则库定期更新。
(6)系统集成:可提供相关插件或脚本实现在DevOps流程中加入安全测试,可支持与第三方平台对接,实现漏洞及相关数据的跟踪与管理,通过 API 接口与行内项目管理平台集成,可自动将漏洞信息同步为开发任务;与质量管理平台集成实现漏洞修复状态实时同步。
(7)平台管理:支持多维度组织架构配置与精细化权限分配(按业务线 / 部门划分权限),包含不限于账号、报告、黑白名单、日志、系统相关信息、网络配置、升级,通知、规则等方向的管理功能。
(三)技术要求
类别 | 描述 |
系统架构 | 分布式架构,功能可插拔,系统稳定性高、可扩展性强; 易操作、易维护、易开发。 |
基础软硬件 | 支持多种主流硬件、支持信创要求完成多项兼容适配、国产芯片、操作系统、数据库; 可移植性强,支持服务器端不同操作系统间的切换; 避免对特定数据库的依赖,可在本行指定的数据库上运行; 应用层应支持不同数据库之间的迁移,数据库与应用系统分离部署,禁止在同一台服务器上运行。 |
可靠性要求 | 系统不能存在单点隐患,严禁使用共享文件体系; 系统支持主备灾的部署方式,提供完整的数据备份和恢复方案,高可用架构部署,支持集群部署; 系统支持负载均衡; 系统支持 7*24 小时无间断运行。 |
易用性要求 | 系统运行不依赖特定的硬件、操作系统、数据库和中间件; 系统部署、升级、回退操作应支持自动化部署。 |
维护性要求 | 系统可根据业务增长进行水平扩容; 系统的数据量应保持基本恒定。 |
安全要求 | 重要数据加密传输、加密存储,支持国密算法; 制品库拥有唯一可信源,支持开源依赖风险治理; |
软件开发要求 | 遵守本行的技术规范包括但不限于开发规范、数据规范、管理规范等。 |
与其他系统的对接 | 支持提供定制化/标准化接口供本行其他系统对接; 支持各种开源工具对接。 |
维护支持 | 具备纳入本行基础运维体系的能力; 遵循用户权限最小化原则。 |
质量管理 | 符合本行版本管理规定,系统测试须遵守本行测试管理规范。 |
实施团队 | 具备稳定的项目实施团队,团队成员包含项目经理、咨询专家、开发人员、运维人员等。 |
增值服务 | 供应商应配合本行人员完成应用软件在符合本行要求环境下的部署、安装、配置、测试、稳定上线运行、培训等工作,并配合相关软硬件维护及服务工作,及时响应并快速解决影响系统运行的各类问题。 |
源代码 | 如有定制化开发,须至少提供定制开发部分的全部源代码及相关说明。 |
License | 所有 License 无用户数、使用期限、应用平台、网段、IP 地址的限制,包括产品中使用的第三方软件。 |
知识产权 | 供应商需要具备安全自主可控的自有知识产权的相关系统或软件,不接受代理商报名。 |
性能要求 | 基于8核16GB架构的虚拟机设备配置,单服务器必须至少达到100TPS,支持100个并发操作并且平均响应时间不得高于 500 毫秒。 |
(四)开发周期
本项目预计建设周期为10个月左右,具体以项目实际进度为准。
(五)配套服务
免费维保期不低于1年,自项目验收合格日期开始计算免费维保期。免费维保期内,供应商对本项目提供7*24 小时免费维护服务,服务内容包括开发的技术咨询、系统恢复、系统功能故障处理等。
(六)交付验收
在试运行期内运行稳定,没有出现重大故障导致系统无法正常运行的且完成所有服务后,由行方进行项目验收。
(七)售后服务
1.供应商需要明确免费维保期期限,在免费维保期内的驻场人员数量,具体维保事项等。
2.供应商需要明确售后服务的内容、方式、流程。
3.供应商需要提供项目建成后的用户手册、使用说明,为行内技术人员、业务人员提供培训方案。
(八)验证测试
本行需对报名的供应商进行POC测试,以确定其相应产品是否符合业务功能要求和技术要求,包括技术测试和业务功能测试。测试时间和地点以行方通知为准,验证测试的测试环境由行方准备和提供,供应商负责协助完成验证测试。本项目中软件产品的安装调试由供应商负责,安装调试完成,由行方进行功能测试。测试结果需行方和供应商双方确认(供应商授权代表签字确认或供应商盖章),参加测试人员包括行方技术人员和供应商技术人员。对于POC业务功能测试和POC技术测试,测试通过的标准为得分率均超过60%。POC测试结果做为本次供应商的报名准入条件之一。未通过本行POC测试的供应商,则视为不满足项目要求。
(九)付款要求
具体付款要求以实际项目采购时公布的为准。
(十)供应商后评价管理
本行建立供应商考核评价管理机制,具体考核评价管理指标、标准及考核措施以实际项目采购时公布的为准。
(十一)其他要求
1.供应商工作实施需满足我行质量评价管理要求,系统开发服务各阶段产出成果均应经我行审核通过,若未通过我行审核,我行有权要求整改完善,直至审核通过。
2.项目具体要求的未尽事宜,以双方签订的合同为最终依据。
二、报名资格条件
(一)具有独立承担民事责任的能力;
(二)具有良好的商业信誉和健全的财务会计制度;
(三)具有履行合同所需的设备和专业技术能力;
(四)有依法缴纳税收和社会保障资金的良好记录;
(五)供应商不得存在的其他情形之一:
1.与采购人存在利害关系且可能影响采购活动公正性;
2.与本采购项目的其他响应方为同一个单位负责人;
3.与本采购项目的其他响应方存在控股、管理关系;
4.被依法暂停或者取消投标资格;
5.被其他采购方列入同类项目的黑名单并在其官网公布;
6.被责令停产停业、暂扣或者吊销许可证、暂扣或者吊销执照;
7.进入清算程序,或被宣告破产,或其他丧失履约能力的情形;
8.在最近三年内发生重大产品质量问题、有重大违法记录;
9.被市场监督管理机关在全国企业信用信息公示系统中列入经营异常、严重违法失信企业名单;
10.被列为失信被执行人名单;
11.所属行业属于“两高一剩”行业;
12.法律法规规定的其他情形。
(六)本项目不接受联合体响应;
三、提供资料清单
(一)具有独立承担民事责任的能力;企业应提供合法有效的营业执照;非企业的其他组织,应提供其对应的非企业登记证书或批文或相关证明。(不具备独立承担民事责任能力的,还需要提供具有独立承担民事责任能力的总公司对本项目的授权)。
(二)提供企业响应方承诺(格式自拟)
1.我单位参加本次采购活动,非联合体投标;
2.我单位具有良好的商业信誉和健全的财务会计制度;
3.我单位有依法缴纳税收和社会保障资金的良好记录;
4.我单位不存在下列情形之一:
(1)与采购人存在利害关系且可能影响采购活动公正性;
(2)与本采购项目的其他响应方为同一个单位负责人;
(3)与本采购项目的其他响应方存在控股、管理关系;
(4)被依法暂停或者取消投标资格;
(5)被其他采购方列入黑名单并在其官网公布。
(6)被责令停产停业、暂扣或者吊销许可证、暂扣或者吊销执照;
(7)进入清算程序,或被宣告破产,或其他丧失履约能力的情形;
(8)在最近三年内发生重大产品质量问题、有重大违法记录;
(9)被市场监督管理机关在全国企业信用信息公示系统中列入经营异常、严重违法失信企业名单;
(10)被列为失信被执行人名单;
(11)所属行业属于“两高一剩”行业;
(12)法律法规规定的其他情形。
5.对所提供资料的真实性承诺(格式自拟)。
(三)具有履行合同所需的服务和专业技术能力。供应商提供一个2022年1月1日以后签订的,或者截止当前合同履行结束时间仍在有效期内的类似系统建设案例,类似系统建设案例是指合同或协议中包含交互式应用安全测试系统或IAST系统关键词之一或合同中实质性工作内容与上述关键词相符的系统开发建设案例。
注:供应商须提供合同或协议关键页(至少包含合同或协议首页、服务内容页、甲乙双方签字盖章页)扫描件或复印件。要求合同时间、合同主要工作内容、合同签订双方名称及签章应清晰可见。
(四)供应商应提供在信用中国网站(******/zhuanxiangchaxun/zhongdashuishouweifaanjian/)中重大税收违法失信主体的查询结果截图;国家企业信用信息公示系统(******/index.html)中经营异常名录、严重违法失信名单的查询结果截图;中国执行信息公开网(******/shixin/)中失信被执行人名单的查询结果截图。
(五)项目需求偏差表
除项目需求偏离表列出的偏离外,供应商满足项目需求的全部要求(响应方仅对存在差异的内容进行填写;未填的视为无差异,视为响应方满足本项目全部要求)。
注:本项目不允许负偏差,供应商应当对项目需求作出满足性或更有利于采购人的响应。
(六)提供供应商基本信息:
1.供应商名称:
2.主体类型:【法人/非法人组织/自然人(个人工商户)】
3.统一社会信用代码:
4.联系人:
5.联系人手机:
6.联系人邮箱:
7.通过哪种渠道或网站获知的公告信息:
******商行官网
□ 其他渠道或网站(请具体列明何种渠道或网站,如:中国招标与采购网/中国招标网/招采网/千里马/乙方宝......)
8.可自行添加其他基本情况介绍
(七)提供授权委托函,格式自拟,至少包括被授权人姓名、身份证号等身份信息,授权内容应明确授权相关人员以响应方名义确认测试结果等,并加盖响应方公章。
注:上述报名资料请各报名供应商按顺序编制,其中(一)至(五)项,属于必备项,是报名资料的必须组成部分,缺失其中之一的,则视为报名资料不合格。
四、资料递交要求
(一)按顺序将报名资料加盖公章后,制作成一个PDF格式电子文件(PDF电子文件需进行压缩,压缩文件大小应控制在50M范围内)。
(二)报名文件命名应由公司名称 项目名称组成(如:**公司**采购项目报名资料);若文件命名未能体现公司名称和项目名称,或者文件命名公司名称和项目名称有误,导致报名资料无法识别,视为审核不通过。
(三)报名文件内容须完整且清晰可鉴,因文件内容不完整、不清晰,影响审核要素的,视为审核不通过。
(四)提供虚假资料,经查证属实的,采购人有权取消参与资格。
收件邮箱/收件地址:******
联系人: 傅女士 ,胡先生
联系电话:023-****** ,******
收取资料截止时间:【2026】年【1】月【9】日【17】时【30】分,逾期递交的资料或以其他方式报名的不予受理。对审查未通过的报名供应商,不再另行通知。
******有限公司
2025年12月30日
附件1:POC测试评分表(技术).pdf
附件2:POC测试评分表(业务).pdf
查看信息(30条/天)
信息订阅(5组)
来源跳转验证(30次)
附件下载(部分正文涵盖)
企业推荐
