广东/广州-2025-11-14 00:00:00
广发证券数据安全监测审计系统项目 供应商征集公告
一、项目名称
数据安全监测审计系统项目
二、项目背景
我司拟采购一套数据安全监测审计系统(含*年维保),包括数据资产识别与管理、敏感数据监测与审计、数据访问行为风险监测、终端环境风险监测、风险溯源审计等功能,具体需求如下:
|
需求 |
描述 |
|
部署环境 |
支持全国产化部署,包括但不限于国产芯片架构、操作系统、数据库等。 |
|
性能要求 |
****有效吞吐不低于***** ***。新入库数据可在**内展示,***页面响应时间不超过**。 |
|
数据资产识别与管理 |
(*)支持解析****、*****、*****(****.*、****.*、****.*)、*********、*****流量、****协议、*****协议内容等。支持解析**********、****、****、*************、****、***等第三方组件。 (*)支持自动化识别数据接口,包括不限于其所属域名、网络类型、规范类型、涉敏数据类型、请求参数变化等内容。 (*)针对数据接口,通过内置**模型可分析相关信息,包括资产价值分析、业务功能分析、参数分析、涉及到的风险分析等内容。 (*)支持对数据接口的活跃状态进行自动化分析和人工确认,状态包括新上线、活跃、失活、复活、已确认、下线、忽略等,并且通过不同的阈值配置及人工操作完成状态变更,完善管理路径。 (*)支持自动识别数据接口所属的业务功能,并进行分组,如登录、注册、短信验证、找回密码、下载、第三方组件等。 (*)支持从流量中识别出对外提供数据接口的服务器信息,包括但不限于服务器**地址、对外暴露端口、应用数量、服务器数据交互流向、以及从服务器当前节点发出的数据接口路径、请求和响应的敏感内容等数据。 (*)支持自动化从流量中识别出数据接口定义规范,并以****格式和****格式,支持人工修正以及导入第三方规范;并对与规范不相符的访问请求进行告警和审计。 |
|
敏感数据监测及审计 |
(*)支持自动化识别数据接口在请求及相应过程中涉及到的敏感数据内容,包括但不限于*******、****、****、*******、*****、*******等常见接口类型,并对其访问过程中涉及到敏感数据种类、数量等进行标注。 (*)支持对***、***、****、***、****、***、****、***、***、***、***、**、***、***、***、***、***、***、****、***、***、***、**、***、****、**等文件格式进行解析,并识别文件中涉及到的敏感数据,并对其类型、数量等进行记录。 (*)支持对压缩包交互过程中是否加密进行分析。 (*)支持多种敏感数据规则配置方式,包括参数位置、正则、关键词匹配等方式,并可设置排除在外的***、内容、字段等。 (*)支持对敏感数据识别按照国标、行标、企标等进行分类分级标注,并可从数据分类分级规范维度进行审计,包括数据内容、所属类型级别、敏感等级、所属域名、所属应用、访问量等进行审计分析。 (*)支持从数据流向图的视角,完整展现在某段时间内,数据的流转信息,包括访问**、访问用户、访问接口等信息。 (*)内置**能力对敏感数据的识别结果进行降噪,并对降噪结果进行记录。 |
|
数据接口访问行为风险监测 |
(*)支持配置敏感数据泄露事件的检测规则,包括但不限于:单次返回大规模数据、账号/**获取大量数据、境外**获取大量数据、非工作时间获取大量数据等,自动判断数据传输方向。 (*)支持网络异常行为的检测,如:账号高频访问、账号多地访问、未授权访问、路径探测、账号共用、撞库、访问数据类型和规模异常等。 (*)支持基于应用、接口、账号、**、频次、访问状态、网段、敏感标签等维度自定义异常访问行为检测规则,支持基于自定义规则执行检测动作。 (*)支持自定义配置提取任意数据接口中的任意一个参数,并定义其存储状态,可作为风险判断的风险维度。 (*)支持自动化识别鉴权参数、用户账号,也可根据不同的业务系统配置不同的鉴权参数,并绑定用户账号识别位置,精确提取鉴权参数和用户账号。 (*)支持自定义配置业务场景,定义该业务中所包含的数据接口等内容,并针对该重点业务配置防护策略。 (*)支持对大模型应用中的提示词、对话等进行安全分析,包括识别大模型应用中的对话内容、使用*****统计等,并可自定义提示词,判断**模型中所涉及到的安全风险。 (*)支持自定义数据分析建模,根据业务需求,可将任意请求中和响应中数据提取,进行统计分析建模,可视化展示分析结果。 |
|
应用运行终端环境风险监测 |
(*)支持*******、***、鸿蒙****、小程序、**等客户端应用安全能力,实现客户端与服务端的综合安全监测能力。识别终端环境是否存在代理访问、****环境、模拟器、开启调试、屏幕共享、根证书异常、****环境、************造假、***动态验证失效、***开启调试工具、***浏览器机器人、***自动化工具等风险,并可结合客户端风险与数据接口风险联合定义风险场景规则。 (*)支持带内、带外多种数据上报方案。 (*)支持安全隧道,用于应用客户端(***/**)安全传输数据。应用数据经过二次加密混淆,达到防监听,防重放,防篡改的效果。 (*)支持对数据接口路径与参数进行混淆,防止攻击者嗅探真实的数据接口信息。 |
|
**智能运营 |
内置**助理,支持对数据接口、应用资产进行智能化梳理,对规则命中的风险事件进行智能化分析与确认,自动分析各个接口对应的业务功能,并能够自动新增业务。 |
|
风险溯源审计 |
(*)支持全量留存所有业务请求和响应的数据,包括**、时间、应用、用户、请求报文、响应报文、响应状态等数据,便于风险溯源及数据分析。 (*)支持从用户、地域、**、设备、数据等不同维度进行审计分析。 (*)支持留存原始****数据,在未知的协议中,可通过****原始数据分析报文内容。 (*)支持创建离线溯源任务,在查询数据量巨大的情况下,可创建离线溯源任务,查看历史访问数据。 |
本公告为招标工作启动前的供应商征集公告,征集潜在供应商报名。
三、潜在供应商资质要求
*.具备独立法人资格,财务状况和信誉良好;
*.公司成立*年以上,注册资金不少于***万元;
*.应征人必须为原厂商或授权代理商;如为代理商需获得原厂对这个项目的授权证明材料(可以先提供原厂同意报名邮件,说明厂家同意在正式投标时出具授权书);
*.近*年(以合同签订时间为准)至少具有一例国内证券公司或证券期货行业核心交易所或六大国有银行同类产品项目成功的案例,需提供合同证明材料;
*.应征人具备本地化快速响应服务能力,在项目需要时可在*小时内到达项目现场响应服务,包括但不限于具有本地化服务团队,可提供证明材料;
*.最近三年内,各项经营活动没有重大违法记录,没有出现违背社会责任的不良信息;
*.与其它报名的服务商不存在任何关联关系;
*.税务要求:
*.*纳税人信用评级证明或无欠税证明;
*.*近两个月完税证明凭证。
后续投标阶段,投标单位需提交*.*与*.*,各潜在投标人可提前准备。
四、征集时间
本次供应商征集至****年**月**日**:**时止,超过上述时间将不再接收征集申请。
五、申请供应商须提交的材料
请符合条件的供应商填写附件材料,并按要求将材料发送至指定邮箱。提交材料应包括:附件可编辑电子版本及加盖公章扫描件,扫描件独立存储为***、***、***或***格式的文件。
六、申请供应商提交材料的方式
电子邮件发送到 ****@**.***.**,邮件名称:****项目+供应商名称;请供应商提交邮件后与项目联系人李华龙联系,确认电子邮件发送成功。
- 注意事项
*.申请供应商须对申请材料的真实性负责。如提供虚假材料,将被列为征集方供应商黑名单。
*.申请供应商所有提交的资料,仅为征集供应商信息和建立供应商库之用,非采购邀请。
- 联系方式
联系人:李华龙
联系电话:***********
电子邮箱:****@**.***.**
附件:供应商征集申请材料格式(点击下载:*****://***.**.***.**/***/*******/******?********=*****;*********=*****)
九、声明
以上公告要求的信息供各拟参与投标单位参考,最终以项目发出的招标文件及图纸等资料为准。本次供应商征集公告并不等于招标公告及资格预审公告,按时提交合格报名资料后,并不必然获得正式采购邀请,后续招标工作启动后,经我司初步考察核实符合要求的单位,我司将向其发出正式投标邀请。
特别说明:我司对于各类文件的签署均有严格的审批流程,如涉及我司承担义务及责任的条款(包括但不限于软件许可及服务协议、隐私政策及具有类似内容的文件),需由各方法定代表人或授权代表签字并加盖公章或合同专用章后方可生效,否则相关文件对我司不产生效力。
征集人:广发证券股份有限公司
****年**月**日
