根據(jù)業(yè)務(wù)發(fā)展需要，按照寧波銀行股份有限公司采購(gòu)相關(guān)管理辦法，我行擬對(duì)《 應(yīng)用運(yùn)行時(shí)安全防護(hù)系統(tǒng)（RASP） 項(xiàng)目》面向社會(huì)公開(kāi)征集供應(yīng)商，誠(chéng)邀符合條件的供應(yīng)商參與方案洽談。

一、資質(zhì)要求

1、注冊(cè)資金人民幣200萬(wàn)元（含）以上，財(cái)務(wù)狀況良好；

2、公司經(jīng)營(yíng)正常并存續(xù)2年（含）以上；

3、企業(yè)或者其法人近兩年內(nèi)無(wú)行賄犯罪記錄，未被列入失信執(zhí)行人名單，無(wú)限制高消費(fèi)、限制出入境等行為；

4、公司具備完善的組織架構(gòu)和制度規(guī)范，擁有充足的技術(shù)、人員和設(shè)備資源；

5、同一法定代表人的兩個(gè)及兩個(gè)以上法人、母公司、全資子公司及其控股公司不得在同一次項(xiàng)目中參加報(bào)名；

6、參與報(bào)名的供應(yīng)商能作為簽約主體參與后期的商務(wù)流程；

7、設(shè)備和產(chǎn)品應(yīng)滿足《網(wǎng)絡(luò)安全法》等法律法規(guī)要求；

8、報(bào)名供應(yīng)商應(yīng)符合寧波銀行供應(yīng)商管理相關(guān)要求；

9、如報(bào)名供應(yīng)商為首次與我行合作供應(yīng)商，請(qǐng)按附件格式提供“供應(yīng)商盡職調(diào)查報(bào)告”。

二、技術(shù)要求

1、產(chǎn)品認(rèn)證：通過(guò)中國(guó)信通院《運(yùn)行時(shí)應(yīng)用程序自我保護(hù)工具能力評(píng)估》或同等權(quán)威機(jī)構(gòu)認(rèn)證。

2、技術(shù)能力與產(chǎn)品案例：

① 自主研發(fā)能力：要求廠商具備RASP核心引擎（如字節(jié)碼注入、檢測(cè)邏輯）的自主研發(fā)經(jīng)驗(yàn)，非基于開(kāi)源項(xiàng)目（如OpenRASP）二次封裝。

② 大規(guī)模部署案例：近3年內(nèi)有金融行業(yè)2000+節(jié)點(diǎn)規(guī)模的Java應(yīng)用防護(hù)案例，提供合同關(guān)鍵頁(yè)及實(shí)施報(bào)告；案例相關(guān)合同中需明確“應(yīng)用安全防護(hù)”、“RASP”或其他可確認(rèn)產(chǎn)品性質(zhì)的內(nèi)容，不得提供非RASP產(chǎn)品案例。投標(biāo)人業(yè)績(jī)要求以所投產(chǎn)品業(yè)績(jī)作為考量，即對(duì)同一產(chǎn)品原廠商和代理商的業(yè)績(jī)均可納入考量范圍。投標(biāo)人需提供案例的證明文件和使用方聯(lián)系人信息。

三、報(bào)名方式及起始時(shí)間

請(qǐng)符合條件的供應(yīng)商在 2025 年 4 月 27 日之前,通過(guò)報(bào)名鏈接“點(diǎn)擊報(bào)名”方式進(jìn)行報(bào)名，報(bào)名鏈接如下：https://cpms.nbcb.com.cn/cpms/ananymous/cms/，并按要求填寫(xiě)相關(guān)報(bào)名材料。

四、聯(lián)系方式

聯(lián)系人： 張學(xué)輝 0574-83050673 （采購(gòu)部）

         李忠誠(chéng)  13940440983 （業(yè)務(wù)部）

  應(yīng)用運(yùn)行時(shí)安全防護(hù)系統(tǒng)（RASP）  項(xiàng)目主要需求概述

為提升安全監(jiān)測(cè)和應(yīng)用自我防護(hù)能力，及時(shí)發(fā)現(xiàn)并阻斷系統(tǒng)漏洞和安全隱患，我行計(jì)劃引入應(yīng)用運(yùn)行時(shí)安全防護(hù)系統(tǒng)（RASP）。主要需求如下：

一、技術(shù)需求

1. 安全防護(hù)能力

（1）攻擊發(fā)現(xiàn)：系統(tǒng)基于運(yùn)行時(shí)上下文（如請(qǐng)求參數(shù)、調(diào)用鏈）精準(zhǔn)檢測(cè)安全風(fēng)險(xiǎn)，支持針對(duì)漏洞探測(cè)和利用行為的檢測(cè)和防護(hù)，包括但不局限于SQL注入、反序列化、各類表達(dá)式注入、文件操作等漏洞和內(nèi)存馬、類加載、遠(yuǎn)程命令/代碼執(zhí)行、JNI加載、線程注入、惡意外連等利用方式。

（2）告警處置：支持?jǐn)r截、記錄、忽略等多種告警處理方式，并且可以對(duì)每條防護(hù)策略、防護(hù)算法等單獨(dú)或批量配置，以適應(yīng)不同業(yè)務(wù)場(chǎng)景的需要。

（3）虛擬補(bǔ)?。?/span>

① 動(dòng)態(tài)更新防護(hù)規(guī)則，無(wú)需重啟應(yīng)用。

② 支持用戶新建虛擬補(bǔ)丁策略，針對(duì)URI、請(qǐng)求參數(shù)、請(qǐng)求方法等檢測(cè)內(nèi)容，進(jìn)行等于、不等于、匹配、不匹配、包含、不包含等方式的自定義檢測(cè)。

2. 兼容性

（1）部署方式：支持探針自動(dòng)化安裝，支持Java應(yīng)用啟動(dòng)時(shí)注入、應(yīng)用運(yùn)行中熱注入、隨應(yīng)用一同打包部署等多種部署方式，滿足不同場(chǎng)景下的探針注入需求。

（2）環(huán)境兼容性：

① 支持Java語(yǔ)言適配（版本范圍：JDK 6-20）、PHP語(yǔ)言適配；

② 支持Spring Boot、Tomcat、WebLogic、WebSphere 、Resin、Tongweb等主流中間件，以及物理機(jī)、容器化（Docker/K8s）等復(fù)雜部署環(huán)境。

③ 支持常見(jiàn)操作系統(tǒng)，如Linux、Windows，兼容主流Linux發(fā)行、信創(chuàng)版本包括但不限于redhat、麒麟、統(tǒng)信等操作系統(tǒng)。

3. 數(shù)據(jù)采集與運(yùn)維監(jiān)控

（1）應(yīng)用管理：

① 支持管理應(yīng)用的主機(jī)歸屬關(guān)系，可按照業(yè)務(wù)視角來(lái)統(tǒng)計(jì)和查看應(yīng)用的資產(chǎn)、風(fēng)險(xiǎn)和入侵信息，提供基于應(yīng)用的統(tǒng)一攻擊、組件、API、基線等管理視圖。

② 支持按應(yīng)用維度進(jìn)行獨(dú)立的策略配置、性能控制配置。

（2）數(shù)據(jù)采集與事件分析：

① 支持對(duì)應(yīng)API、組件、口令的數(shù)據(jù)采集能力，并提供風(fēng)險(xiǎn)分析。

② 支持對(duì)攻擊事件進(jìn)行篩選分析；支持查看攻擊的詳細(xì)數(shù)據(jù)，包括URL、函數(shù)調(diào)用堆棧、攻擊參數(shù)值、攻擊來(lái)源、原始請(qǐng)求等詳情，以及針對(duì)該攻擊所采取的處理方式。

（3）探針管理：

① 平臺(tái)端支持對(duì)探針進(jìn)行啟用/禁用（或安裝/卸載）等狀態(tài)管理，支持批量或單獨(dú)卸載節(jié)點(diǎn)或進(jìn)程已注入的探針，無(wú)需重啟應(yīng)用。

② 平臺(tái)端支持查看探針狀態(tài)總覽，包括探針信息，運(yùn)行狀態(tài)，熔斷（或自關(guān)閉）和恢復(fù)記錄，以及異常狀態(tài)的日志記錄；

③ 支持探針運(yùn)行狀態(tài)記錄導(dǎo)出，應(yīng)至少包含探針運(yùn)行過(guò)程中出現(xiàn)離線、降級(jí)或異常日志信息。

④ 支持通過(guò)管控平臺(tái)更新檢測(cè)規(guī)則、探針版本，無(wú)需重啟業(yè)務(wù)應(yīng)用。

（4）日志管理：支持通過(guò)syslog、kafaka等方式對(duì)防護(hù)、告警、系統(tǒng)運(yùn)行日志等進(jìn)行遠(yuǎn)程傳送，實(shí)現(xiàn)行內(nèi)告警統(tǒng)一管理。

4. 高性能與穩(wěn)定性

（1）性能穩(wěn)定：在平穩(wěn)狀態(tài)、壓測(cè)狀態(tài)下，保證安全插件占用業(yè)務(wù)資源最小化。

（2）熔斷降級(jí)控制：提供探針熔斷機(jī)制開(kāi)關(guān)，探針自動(dòng)判斷業(yè)務(wù)系統(tǒng)資源負(fù)載情況，確保業(yè)務(wù)先行，當(dāng)業(yè)務(wù)系統(tǒng)負(fù)載恢復(fù)正常時(shí)自動(dòng)開(kāi)啟，自判斷應(yīng)至少支持CPU/內(nèi)存占用等指標(biāo)。

二、服務(wù)需求

1. 根據(jù)行內(nèi)實(shí)際情況，協(xié)助行內(nèi)人員制定RASP系統(tǒng)整體實(shí)施策略，包括但不限于部署方案、系統(tǒng)使用規(guī)范、工作流銜接、與其它系統(tǒng)聯(lián)動(dòng)等內(nèi)容。

2. 應(yīng)提供為期三年的維保服務(wù)。維保服務(wù)包括但不限于：系統(tǒng)升級(jí)與優(yōu)化、防護(hù)策略升級(jí)、漏洞修復(fù)、故障應(yīng)急處置、定期巡檢等。廠商產(chǎn)品線如有大版本升級(jí)或增加相關(guān)功能，服務(wù)供應(yīng)商須免費(fèi)為我行產(chǎn)品提供升級(jí)，并做好有關(guān)定制開(kāi)發(fā)功能的對(duì)接。

3. 每季度派遣原廠專家至總行進(jìn)行一次系統(tǒng)現(xiàn)場(chǎng)巡檢。巡檢內(nèi)容包括但不限于系統(tǒng)運(yùn)行情況、防護(hù)策略升級(jí)與優(yōu)化、系統(tǒng)有效性驗(yàn)證等。

4. 提供7×24小時(shí)應(yīng)急技術(shù)支持，系統(tǒng)出現(xiàn)故障時(shí)，需在3小時(shí)內(nèi)響應(yīng)，并在12小時(shí)內(nèi)提供解決方案，事后出具原廠故障分析報(bào)告。

5. 提供包括但不限于產(chǎn)品說(shuō)明書(shū)、功能說(shuō)明書(shū)、操作手冊(cè)、運(yùn)行維護(hù)手冊(cè)、參數(shù)維護(hù)手冊(cè)等與系統(tǒng)安裝配置和運(yùn)行維護(hù)相關(guān)的全套技術(shù)資料文檔，并提供產(chǎn)品調(diào)整、修改、安裝補(bǔ)丁、矯正、產(chǎn)品維護(hù)、培訓(xùn)等服務(wù)，保證我行技術(shù)人員可完成平臺(tái)管理、安裝、運(yùn)維等工作。

6. 供應(yīng)商須制定完善的應(yīng)急預(yù)案，對(duì)不同級(jí)別的突發(fā)事故要提供可靠的應(yīng)對(duì)方案，以確保采購(gòu)人業(yè)務(wù)的連續(xù)性和完整性。

7. 服務(wù)期間內(nèi)需報(bào)告其產(chǎn)品或服務(wù)發(fā)現(xiàn)的安全缺陷和漏洞。當(dāng)發(fā)生影響我行系統(tǒng)運(yùn)行、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、業(yè)務(wù)開(kāi)展等工作的生產(chǎn)事件時(shí)，應(yīng)第一時(shí)間通知我行，事后及時(shí)向我行提供事件分析報(bào)告或說(shuō)明。

8. 服務(wù)提供商需對(duì)我行互聯(lián)網(wǎng)資產(chǎn)數(shù)據(jù)進(jìn)行嚴(yán)格保密，禁止公開(kāi)、提供給第三方或違規(guī)使用。

附件：

寧波銀行信息科技服務(wù)提供商盡職調(diào)查報(bào)告

一、基本信息

1.1服務(wù)提供商基本信息

1.2監(jiān)管評(píng)價(jià)

（是否出現(xiàn)在監(jiān)管機(jī)構(gòu)的黑名單中）

（最近二年在政府或金融同業(yè)合作過(guò)程中是否受到處罰）

（是否存在未決訴訟）

1.3關(guān)聯(lián)公司或附屬機(jī)構(gòu)信息

（關(guān)聯(lián)公司或附屬機(jī)構(gòu)是否存在經(jīng)營(yíng)危機(jī)，該危機(jī)是否危及該服務(wù)提供商的正常經(jīng)營(yíng)）

1.4主要客戶清單列表

（主要客戶群體）

二、服務(wù)提供商持續(xù)經(jīng)營(yíng)能力

2.1財(cái)務(wù)情況

 （近三年經(jīng)審計(jì)的財(cái)務(wù)報(bào)表）

三、服務(wù)提供商內(nèi)部控制和管理能力

3.1服務(wù)提供商內(nèi)控評(píng)估報(bào)告

 （評(píng)估報(bào)告內(nèi)容如覆蓋以下3.2-3.6內(nèi)容，則將評(píng)估報(bào)告內(nèi)容對(duì)應(yīng)填寫(xiě)至各個(gè)部分）

3.2服務(wù)提供商的組織結(jié)構(gòu)

(內(nèi)部控制部門，如是否建立了內(nèi)部的使用工具的安全測(cè)試部門、內(nèi)控部門、審計(jì)部門)

3.3 IT制度體系建設(shè)

（是否對(duì)其公司及項(xiàng)目的安全管理及流程管理建立了相應(yīng)的制度）

（項(xiàng)目過(guò)程中的項(xiàng)目管理（PMO）體系，包括例會(huì)、溝通渠道等）

（服務(wù)質(zhì)量控制方法）

3.4培訓(xùn)體系建設(shè)

（是否對(duì)其員工定期開(kāi)展技術(shù)技能以及安全防范相關(guān)的培訓(xùn)，提供培訓(xùn)計(jì)劃或培訓(xùn)材料）

3.5服務(wù)提供商人員離職率

（了解公司技術(shù)人員的離職率）

3.6IT風(fēng)險(xiǎn)管控

（包括對(duì)公司本身的IT風(fēng)險(xiǎn)管控及所承接外包項(xiàng)目的IT風(fēng)險(xiǎn)管控情況）

四、服務(wù)提供商信息技術(shù)能力

4.1服務(wù)能力和支持技術(shù)

（服務(wù)提供商的技術(shù)能力資質(zhì)證明，專業(yè)認(rèn)證等）

（描述使用的工作方法、應(yīng)用軟件、技術(shù)文檔、評(píng)估模型、評(píng)估工具等使用情況、知識(shí)產(chǎn)權(quán)等）

4.2服務(wù)經(jīng)驗(yàn)與市場(chǎng)評(píng)價(jià)

（服務(wù)提供商主要的服務(wù)行業(yè)、主營(yíng)業(yè)務(wù)、服務(wù)客戶）

（類似的服務(wù)項(xiàng)目經(jīng)驗(yàn)及項(xiàng)目合同證明材料）

五、服務(wù)提供商的網(wǎng)絡(luò)和信息安全保障能力

（該項(xiàng)評(píng)估內(nèi)容用于非駐場(chǎng)信息科技外包）

（描述內(nèi)容可包括網(wǎng)絡(luò)與信息安全管理體系建設(shè)情況、網(wǎng)絡(luò)與信息安全技術(shù)防護(hù)體系建設(shè)情況、安全事件響應(yīng)和恢復(fù)能力、實(shí)踐經(jīng)驗(yàn)等）