上海-2026-01-20 00:00:00
兴业银行终端安全管理系统零信任远程接入子系统信创改造项目*供应商征集调研公告
上海机电设备招标有限公司受兴业银行股份有限公司(以下简称采购人)委托,对“兴业银行终端安全管理系统零信任远程接入子系统信创改造项目”相关信息进行公告。
兴业银行关于终端安全管理系统零信任远程接入子系统信创改造项目供应商征集调研公告
根据我行系统信创化改造工作需要,现公开对终端安全管理系统零信任远程接入子系统的信创改造项目进行供应商征集调研,有关事宜如下:
一、采购需求及资格要求
*.*采购需求
我行前期已引入深圳市联软科技股份有限公司的零信任远程接入系统进行部署。为响应国家信创战略及监管要求,需采购一套满足信创标准的零信任远程接入系统,该系统需满足以下要求:一是信创适配要求,服务端支持全栈信创组件,客户端支持信创操作系统,且移动端与**端管理平台为统一架构;二是功能覆盖要求,全面承接既有零信任远程接入管控功能,实现与云桌面系统的对接及其他业务系统的接入;三是场景整合要求,基于现有的终端管控客户端实现多场景接入管控,并新增定制化功能。
*.*技术要求
*.*.* 信创改造与信创终端使用授权
服务端需满足核心组件的全栈信创化。客户端需适配国产操作系统,确保终端运行环境符合信创标准,在现有*******、***、苹果***、安卓终端授权的基础上,提供国产化终端设备(含麒麟、统信、鸿蒙****等**操作系统以及鸿蒙等移动***操作系统)的使用授权。提供全行(包含总行、分行、直管子公司)使用授权,服务端支持总行、兴业数金多套部署(总行*套,数金*套),其中总行管理后台及网关需采用福州、上海两地双中心部署方案。
*.*.* 关联系统对接改造
需与行内系统进行深度集成优化,具体包括云桌面系统登录优化、跨网传输认证、问题快速排查定位等,并提供终端一体化改造,集成于现有终端安全管理系统,即针对于行内派发设备,提供终端统一客户端,实现行外扫码登陆零信任,行内做准入认证的功能。
*.*.*功能要求
| 类别 |
功能分类 |
指标项 |
技术要求 |
| 整体要求 |
部署架构 |
整体方案由一体化客户端、零信任安全网关、管理平台组成,要求对接现有终端安全管理平台,纳入统一管控 |
|
| 零信任管理平台、零信任安全网关,由供应商自主研发、直接管控生产,非***产品 |
|||
| 提供全栈信创支持:操作系统(麒麟)、中间件(宝兰德)、数据库(*****) |
|||
| 要求支持双中心部署架构,福州及上海同时部署,应对本地不同的应用 |
|||
| 统一管理 |
管理平台支持**、移动终端远程接入一体化防护 |
||
| 业务保障 |
要求提供一键逃生功能,保障业务系统的可持续性 |
||
| 一键逃生 |
在极端情况下,现有应用绕过零信任直接访问 |
||
| 客户端 |
部署架构 |
无客户端部署 |
行内终端设备,不增加客户端的情况下(即与现有行内终端安全管理系统客户端集成)实现互联网远程接入及业务访问功能 |
| 有客户端部署 |
行外个人设备支持*******、***、麒麟、统信、鸿蒙、安卓等操作系统的客户端接入。对于客户端需要做到防杀等安全防护,防逆向功能 |
||
| 智能接入 |
智能接入 |
需要配合现有终端网络准入系统,实时感知客户端所处环境(企业网/非企业网)并自动选择接入方式:当终端在企业内网接入时,客户端通过***.**方式以及零信任接入认证,用户只需输入一次用户名密码便可实现双重认证,或仅***.**的方式实现在内网的认证。当终端在互联网侧接入时,通过零信任网关进行零信任接入认证 |
|
| 网络接入 |
网络接入 |
需要适配现有终端网络准入系统,支持在企业网时,仅开启内部网络准入 |
|
| 需要适配现有终端网络准入系统,支持企业网同时开启网络准入和零信任网络访问,开启后,终端处于企业网时,通过现有终端网络准入获取内网**后,再通过***进行业务访问 |
|||
| 认证方式 |
支持多种认证方式,包括现有账号认证、支持微办公扫码认证、短信认证、支持钉钉、企业微信扫描认证。在处于企业内部场景下,对于行内设备实现零信任免登陆效果 |
||
| 安全检查 |
提供多种安全检查功能,包括软件安装、补丁更新、防病毒软件、密码策略检查等 |
||
| 认证优化 |
提供***客户端认证流程优化及认证面板改造 |
||
| 证书相关 |
支持***证书管理、支持证书到期提醒 |
||
| 业务隐身 |
单包认证 |
支持基于***协议的单包认证 |
|
| ***服务隐身 支持***,在客户端与服务器建立连接前进行身份预认证,实现***端口隐藏 |
|||
| 支持管理员在管理后台自定义设置***超时时间 |
|||
| 支持***白名单配置 |
|||
| ***支持 |
支持一机一密的功能 |
||
| 支持*******功能 |
***环境下支持***对单个用户开放 |
||
| 自动***认证 |
支持预置***认证账号 |
||
| 支持使用准入控制账号认证的用户名密码自动进行***认证 |
|||
| 业务动态授权 |
可信认证 |
支持通过设置可信认证增强用户身份安全校验 |
|
| 时间围栏管控 |
支持动态授权新增时间围栏管控 |
||
| 动态授权 |
支持根据终端环境动态授予用户应用访问权限,处置动作有:增强型可信二次认证、允许访问/禁止访问所有业务或者某些等级以下业务,支持仅强制下线以及强制下线并禁用账号 |
||
| 可信二次认证方式支持无需可信认证、账号认证、短信认证 |
|||
| 统一业务门户 |
多门户应用 |
提供统多门户,实现双中心不同应用访问 |
|
| 代理应用 |
提供统一门户,展示代理的业务应用,支持关键字搜索 |
||
| 直连应用 |
提供统一门户,展示直连的业务应用,支持关键字搜索 |
||
| 终端一体化 |
客户端支持与现有终端一体化集成,不另外安装客户端 |
||
| 终端网络隔离 |
支持网络隔离 |
支持多个网络之间隔离,同一终端同一时间只能访问一个网络,且只能访问当前网络下指定的应用系统(**,域名,通信协议,端口和**地址段) |
|
| 支持多个网络之间互相一键便捷切换 |
|||
| 支持会话隔离 |
支持每个终端访问当前应用时采用唯一会话 |
||
| 单网通 |
单网通能力提升,单网通模式支持配置非代理应用 |
||
| 管理后台 |
认证及组织架构管理 |
身份验证 |
支持******认证 |
| 支持与行内企业应用集成平台进行对接,实现用户统一身份认证 |
|||
| 组织架构管理 |
支持与行内企业数据集成平台进行对接,实现组织架构同步 |
||
| 单点登录*** |
提供单点登录令牌认证服务 |
||
| 支持*****验证的***机制 |
|||
| 支持单点登出、登出过程自定义流程控制功能 |
|||
| 应用发布及运维 |
应用统一展示 |
支持应用分类展示、并支持列表形式展示,可在门户按照应用名搜索应用,支持管理员对应用图标进行个性化定制 |
|
| 支持应用批量导入导出 |
|||
| 应用安全发布 |
支持*/*和*/*架构应用安全发布、***协议和***协议业务应用代理、支持泛域名 |
||
| 支持根据**、**段、端口、端口范围发布应用系统 |
|||
| 支持应用发布审核流程,由应用主管部门的管理员提交应用基础信息后提交应用上架申请,由上级管理员对上架申请的应用信息进行审核发布 |
|||
| 安全审计 |
审计信息 |
支持认证审计,包含用户登录成功、失败,设备信息详情;用户接入业务系统名称,访问时间,使用流量 |
|
| 应用访问审计,包含访问时间、用户名、访问应用名称、访问结果、** |
|||
| 支持管理员操作审计,包含管理员名称、主机**、时间、管理员行为、对象 |
|||
| ******\**** |
支持使用******日志监控服务,支持使用****获取设备资源监控 |
||
| 审计日志清理 |
支持管理端审计日志自动清理 |
||
| 管理员管理 |
三权分立 |
支持安全管理员、系统管理员、审计管理员三个角色 |
|
| 分级管理 |
支持安全管理员、系统管理员以及审计管理员分二级管理员管理 |
||
| 系统运维 |
普通账号运维 |
应用进程应使用非****账号运行,应支持使用非****账号重启服务,使用非****账号升级**。相关文件用户和用户组设置为指定特权账号,删除用户和用户组为****的文件不影响功能 |
|
| 备份配置与恢复 |
支持备份配置文件,并支持导出和恢复 |
||
| 系统告警 |
提供用户越权访问监控、系统服务监控、用户异地登录登录监控、用户重放攻击监控、新设备登录监控、集群节点监控、系统磁盘监控以及告警历史记录查询 |
||
| 问题定位 |
***控制器支持服务端的日志采集与下载 |
||
| 安全网关 |
指定网关接入 |
指定网关接入 |
支持发布应用选择指定的网关区域,根据业务位置,不同应用默认指定不同的网关进行访问 |
| 终端流量管理 |
终端流量管理 |
支持限制用户上下行带宽,提供智能流量分配功能 |
|
| 支持国际标准协议 |
支持国际标准协议 |
支持标准****.*/****.*/****.*和*****/**协议 |
|
| 会话协商 |
会话协商 |
支持***会话自动重协商 |
|
| 国密(软) |
国密(软) |
客户端与网关通信采用国密,支持国密算法 |
|
| 中国商用密码 |
中国商用密码 |
客户端与网关通信可采用硬件国密加密卡,支持国密算法 |
|
| 应用级安全通道 |
应用级安全通道 |
支持每个应用建立单独的通道 |
|
| 支持应用级安全加密隧道 |
支持应用级安全加密隧道 |
支持每个应用单独建立安全加密隧道,并且在管理后台可对指定应用隧道进行开启/关闭操作,不影响其它应用访问 |
|
| 集成与优化 |
对接性要求 |
业务系统兼容性对接 |
行内跨网传输等系统对接需求 |
| 业务系统优化 |
云桌面 |
远程办公登陆优化,在零信任端实现双因素登录 |
|
| 问题快速排查定位 |
故障溯源 |
通过埋点接入等方法实现 |
|
| 数据安全 |
加密 |
针对敏感数据一键加密 |
|
| 安全*盘 |
支持安全*盘与本行数据防泄漏系统对接定制 |
||
*.*服务要求
*.*.*. 安装调试服务
本项厂商需要提供产品配送、现场实施调试和操作培训等服务,帮助最终用户完成产品的快速上线和使用,保证产品的可用性和技术知识转移;需提供完善的项目迁移实施方案,内容应包括项目组织架构、团队人员构成、迁移技术方案、迁移影响面评估、回退方案等。其中项目实施团队至少应包含*名具备*年或以上的该产品实施经验的实施工程师,且上述工程师应为本项目实施团队的固定人员。
包含总行、兴业数金共计四套系统的实施及三年原厂免费维保服务。
*.*.*. 策略调优服务
策略优化工作在总行现场实施,针对系统安全及性能做调优工作。
*.*.*. 巡检服务
至少每半年一次对最终用户所购产品进行现场巡检服务,及时发现并解决问题,并提交相应巡检报告。
*.*.*. 产品升级服务
应提供服务对象软件版本优化持续升级服务。
*.*.*. 远程及现场支持服务
(*)****小时电话支持服务
我方若对设备、技术有疑问或发现系统有故障时,厂商需要为用户提供*×** 小时的热线电话技术支持服务。
(*)现场支持服务
在我方特殊时段和出现紧急事件时提供现场支持服务,包括但不限于网络架构调整、突发安全事件、产品软件版本变更过程出现异常等情形。该项服务原则上应免费提供。
*.*.*. 产品故障服务
对我方提出的预防性维修要求应在*小时内做出实质性反应,对我方提出的故障性维修要求应在**分钟内做出实质性反应,并及时解决系统运行中的问题。
在确认产品故障之后,如电话支持不能解决问题时,厂商需派技术人员到我方现场提供技术支持服务。如果我方分支机构所在地有厂商分支机构,则要求技术支持人员在*小时内到达我方现场,其他情况要求根据实际交通工具和交通情况以最快的速度到达故障现场。
系统运行过程中如果出现技术故障(如硬件故障、软件故障、配置丢失等)或与其他设备发生冲突,厂商应保证对我方提供*小时内解决此类问题的应急方案,以排除故障使系统正常运行。
*.*.*. 产品培训服务
提供一次对我方总、分行及子公司相关人员的产品使用培训服务,时间地点由我方确定,厂商提供培训讲师及培训讲师的交通食宿费用。
*.*供应商资质要求
*.*.*企业成立一年以上,经营正常,可稳定提供服务。
*.*.* 具备****年*月*日至今与**家国内系统重要性银行(工行、中行、建行、农行、交行、邮储、招商、兴业、中信、浦发、光大、民生、平安、华夏、广发、宁波、江苏、上海、北京、南京)总部级合作开展零信任远程接入系统信创改造项目实施相似的成功案例(须提供相关案例合同证明材料,并标示相关内容,以合同签订日期为准)。
备注:①供应商若只提供一个符合要求的案例,则默认为该供应商仅有一个案例符合要求;②若供应商有多个案例符合要求,请供应商提供多个符合要求的案例。
二、报名要求
*.* 依法成立,为存续、在营、开业、在册、登记成立等正常企业状态。
*.*在兴业银行开立对公账户,若中标本项目,则通过兴业银行对公账户结算该项目相关费用。
*.*充分理解我行服务需求并能够根据需求提供相应的服务。
*.*具有良好的商业信誉且经营正常。
*.*依法缴纳税收和社会保障资金。
*.*未被“信用中国”网列入“重大税收违法案件当事人名单”、未被“中国执行信息公开网”列入“失信被执行人名单”、未被“中国政府采购网”列入“政府采购严重违法失信行为信息记录名单”、未被“国家企业信用信息公示系统”列入网站“严重违法失信企业名单”,不在兴业银行供应商禁用/退出期内。
*.* 经营范围经国家行政管理部门依法批准,同时获得从事行业有效执业证明、行政许可、专业资质等证照。
*.* 两年内目标服务领域未出现严重安全事件。
三、报名方式
采购部门联系人:
刘老师,联系电话:*************
叶老师,联系电话:*************
联系时间:工作日*:*****:**,**:*****:**(其他时间请勿打扰)。供应商如有意向参与,请先登录兴业银行采购门户(**.***.***.**/)提交资料申请注册账号。注册审批通过后供应商可登录兴业银行采购门户,通过首页“采购管理”—“供应商寻源”—“待报名列表”中找到本次项目,点击“报名”即可参与。
欢迎各供应商对此项目的需求、技术要求、服务要求提出书面意见或建议,若有请将于征集截止时间前提交至********@***.***.**邮箱,相关意见本行接收后将不再另行回复。邮件及材料请标明:《兴业银行终端安全管理系统零信任远程接入子系统信创改造项目》需求意见或建议*公司名称(全称)。
报名注意事项:
*.提交的供应商资料内容包括如下三项:
材料*:《兴业银行终端安全管理系统零信任远程接入子系统信创改造项目》供应商征集反馈材料*公司名称(全称)
材料*:兴业银行终端安全管理系统零信任远程接入子系统信创改造项目信息收集表
材料*:承诺函
以上三项材料填报模板详见本公告附件,提交材料***无需加盖公司(单位)公章。材料*需加盖公司(单位)公章或者由法定代表人签字。
调研若有变更,请以兴业银行采购门户最新发布的征集调研信息为准。
四、注意事项
*.能够完全满足我行采购需求、有合作意向、符合资格要求、报名要求的供应商均可报名。
*.本次市场调研不代表采购邀请或意向,仅为调研市场情况发起。若需后续对接,我行将会主动联系报名者;未予联系的报名者,我行将对材料予以保密。
*.本次市场调研不收取供应商的任何费用。
*.供应商须对报名信息和资料的真实性负责。如提供虚假材料,将取消报名资格并列入我行供应商黑名单。
*.对于上述事项存在疑问的,请及时与我行联系。
五、征集时间
注意:本项目寻源开始时间:********** ;寻源截止时间:********** **:**;
如何投标:
