******银行关于2025年互联网应用监测与应急处置服务项目供应商征集公告
根据我行网络安全工作需要,我行开展互联网应用监测与应急处置服务项目,现公开对互联网应用监测与应急处置服务项目进行供应商征集,有关事宜公告如下:
一、采购需求及资格要求
1.1采购需求
为能及时解决网络与信息安全方面的各类突发情况和问题,第一时间组织开展应急处置工作,拟重新采购互联网应用监测与应急处置服务,该项目包括网络安全事件监测、网络安全事件处置、网络安全预警信息通报、跨境数据传输监测、IPv6支持度监测通报服务、重要敏感时期网络安全保障服务六项服务内容。该项目服务方式为远程服务,依托乙方的平台、系统及能力为我行提供应急监测与应急处置服务。
1.2 技术要求
1.2.1网络安全事件监测发现
重点参照《国家网络安全事件应急预案》,并结合其他相关标准、规范来完成网络安全事件监测发现工作,主动监测发现钓鱼网站、仿冒APP、木马、僵尸网络、DDOS拒绝服务攻击、蠕虫病毒、漏******银行监测月报。
1.2.2网络安全预警信息通报
具备互联网国际出入口、省际骨干网、城域网原始数据的监测系统,通过系统捕获数据和多渠道的网络安全信息收集进行分************银行安全专报》。
1.2.3网络安全事件应急处置支援
具备在全国范围内跨区域、跨网络、上下联动、全程全网的网络安全事件协调处置能力,是国际应急响应与安全组织FIRST的正式成员,能够及时为我行协调处置境内外网络安全事件。具体服务内容如下:
根据监测结果和我行投诉情况,在我行验证核实为仿冒我行网站后,及时开展协调处置,帮助消除影响。
根据监测结果和我行投诉情况,在我行验证核实为仿冒APP后,及时开展协调处置,消除影响。
协助我行开展网络攻击事件攻击源的跟踪、定位、分析和取证,协助开展网络攻击事件攻击源(IP、域名)的协调处置。
协助我行开展域名劫持、域名解析异常处置,及时协调相关域名注册解析服务机构等开展应急处置。
为我行开展网络系统安全漏洞整改修复提供咨询、建议等支撑。
1.2.4跨境数据传输监测通报
具备互联网国际出入口数据传输监测能力,对我行互联网IP地址、域名开展全网监测,及时发现、并向我行通报跨境数据异常传输事件,加强防范个人信息和重要敏感数据传输或泄露到境外,并有效应对相关主管部门对跨境数据安全的检查、通报。
1.2.5 IPv6支持度监测通报
掌握相关监管政策法律法律要求,能够模拟中央网信办和省委网信办IPv6支持度检测算法,对我行互联网网站开展IPv6支持度监测。
定期对我行互联网网站首页IPv6可访问情况进行检测,每月统计我行互联网网站首页IPv6可访问率,及时发现、反馈首页IPv6长时间无法访问情况。
每月对我行互联网网站首页IPv6支持情况、二级链接IPv6支持率、三级链接IPv6支持率进行测试,及时将发现的问题反馈我行。
1.2.6重要敏感时期网络安全保障
分为部署准备、落实保障、巩固总结三个阶段进行重要敏感时期网络安全保障服务,对工作任务进行分解,列出工作计划和重点保障目标,制定专项保障工作方案,加强保障值班,及时发现、处置和通报相关网络安全事件,做好保障工作总结,确保重要敏感时期我行不发生重大网络安全事件。
1.3 服务要求
1.3.1网络安全事件监测发现服务
网页仿冒:对涉及我行的钓鱼网站或页面进行7×24小时监测,及时将发现的问题反馈我行核实。
仿冒APP监测:对涉及我行的仿冒APP进行7×24小时监测,及时将发现的问题反馈我行核实。
互联网计算机感染木马、僵尸网络、蠕虫等恶意程序:对我行提供的所有与保障目标相关的互联网地址进行监测,及时发现感染木马、僵尸网络、蠕虫等恶意程序主机,及时将发现的问题反馈我行。
网络访问流量异常:对我行提供的目标网站进行访问流量监测,及时发现涉及我行目标网站的流量异常事件,及时将发现的问题反馈我行。
网页篡改、挂马:对我行目标网站进行监测,及时发现涉及我行网站页面的网页挂马、网页篡改事件,及时将发现的问题反馈我行。
域名劫持、域名解析异常:对我行网站域名解析情况进行监测,及时发现域名劫持、域名解析异常事件,及时将发现的问题反馈我行。
漏洞监测:发现涉及我行互联网网站、系统或设备存在的安全漏洞后,及时将发现的问题反馈我行。
1.3.2网络安全事件预警信息通报服务
************银行网络安全事件和风险漏洞监测处置情况等。
******银行安全事件动态、隐私数据泄露动态、金融安全措施法规动态等。
1.3.3网络安全事件应急处置支援服务
网络钓鱼通报及投诉受理
事件通报内容:在监测发现疑似我行钓鱼网站后,在1小时内向我行指定电子邮箱通报。事件受理内容:7×24小时受理由我行自主监测发现提交的钓鱼网站和我行反馈确认需关停的钓鱼网站。
钓鱼网站处置要求
接到我行提交的钓鱼网站处置请求后,对钓鱼网站域名在境内注册或服务器IP位于境内的,确保90%以上在24小时内关停,对钓鱼网站域名在境外注册且服务器IP位于境外的,90%以上48小时内完成关停。
仿冒APP分析鉴定
针对监测发现的仿冒APP,进行鉴定分析,确认是否为恶意仿冒软件,并向我行反馈鉴定分析报告。
仿冒APP下架处置
针对我行提出的处置请求,根据实际情况采取以下措施:一是协调下载站或应用商店清除传播该仿冒APP的URL;二切断该仿冒APP的下载源,从源头上遏制该恶意软件的传播。自受理之日起,至下架成功之日结束,下架时间不多于72小时。
境内外网络安全事件处置
在全国范围内实现跨区域、跨网络、上下联动、全程全网的网络安全事件协调处置体系,能够快速处置涉及境内的所有网络安全事件。
构建跨境网络安全事件的快速响应和协调处置机制,能够有效协调处置涉及境外网络安全事件。
1.3.4跨境数据传输监测通报服务
涉域名跨境数据异常传输事件监测:对涉及我行网站域名的跨境数据进行监测,及时将发现的事件反馈我行核实。
涉IP跨境数据异常传输事件监测:对涉及我行互联网IP地址的跨境数据进行监测,及时将发现的事件反馈我行核实。
******银行提供的特定互联网IP、域名的跨境数据进行监测,及时将发现的事件反馈我行核实。
1.3.5 IPv6支持度监测通报服务
每月统计我行互联网网站首页IPv6可访问率,及时发现、反馈首页IPv6长时间无法访问情况。
首页包含的链接为二级链接,打开二级链接的页面,该页面包含的链接为三级链接,链接包括页面、图片、声音、脚本等,测试二级链接、三级链接的IPv6可访问率。
每月测算分析我行互联网网站IPv6首页支持情况、二级链接IPv6支持率、三级链接IPv6支持率以及IPv6支持度得分,及时将发现的问题反馈。
1.3.6重要敏感时期网络安全保障服务
在重要敏感时期,按照我行通知,制定重要敏感时期网络安全保障方案,启动重点保障服务,针对我行加强值班值守,安******银行等部门遭受黑客攻击情况下,根据我行通知,加大对网络系统的监测保障力度,及时反馈监测情况。
通过微信、电话、邮件等方式及时向我行通报收集的重大网络安全事件、重大信息系统漏洞和境外黑客组织攻击等情况,尤其是通用漏洞、勒索病毒、挖矿木马、APT攻击、fg黑客攻击等预警信息,及时提醒我行做好防护。
1.4 供应商资质要求
1.4.1 企业成立一年以上,近三年财务稳健,可稳定提供服务。
******银行总部级合作开展与本项目互联网应用监测与应急处置服务同类的成功案例(须提供相关案例合同证明材料,以合同签订日期为准)。
二、报名要求
2.1 依法成立,为存续、在营、开业、在册、登记成立等正常企业状态。
******银行对公账户结算该项目相关费用。
2.3 充分理解我行服务需求并能够根据需求提供相应的服务。
2.4 具有良好的商业信誉和财务情况。
2.5 依法缴纳税收和社会保障资金。
2.6 未被“信用中国”网列入“重大税收违法案件当事人名单”、未被“中国执行信息公开网”列入“失信被执行人名单”、未被“中国政府采购网”列入“政府采购严重违法失******银行供应商禁用/退出期内。
2.7 经营范围经国家行政管理部门依法批准,同时获得从事行业有效执业证明、行政许可、专业资质等证照。
2.8 两年内目标服务领域未出现严重安全事件。
三、征集时间
本次供应商征集自即日起至2025年8月14日23:59止。
四、报名方式
采购部门联系人:
叶老师,联系电话:0591-******
向老师,联系电话:0591-******
联系时间:工作日8:30-12:00,14:30-18:00(其他时间请勿打扰)。若有意向请将供应商资料于征集截止时间前提交至******邮箱。
欢迎各供应商对此项目的需求、技术要求、服务要求提出书面意见或建议,若有请将于征集截止时间前提交至************银行互联网应用监测与应急处置服务采购项目》需求意见或建议-公司名称(全称)。
报名注意事项:
1.提交的供应商资料内容包括如下四项:
材料1:《互联网应用监测与应急处置服务项目》供应商征集反馈材料-公司名称(全称)
材料******银行互联网应用监测与应急处置服务项目信息收集表
材料3:供应商准入信息导入模板
材料4:承诺函
以上四项材料填报模板详见附件,提交材料1-3无需加盖公司(单位)公章。材料4需加盖公司(单位)公章或者由法定代表人签字。
2.提交资料所发送的邮件名称如下:《互联网应用监测与应急处置服务项目》供应商征集反馈材料-公司名称(全称)。请仅发送一封邮件,拆分发送多封邮件视为无效应答。
3.提交供应商资料大小不超过10M。(提交的邮件附件总大小超过10M自动拦截视为无效应答,附件请勿通过第三方邮箱转存附件)
五、注意事项
1.能够完全满足我行采购需求、有合作意向、符合资格要求、报名要求的供应商均可报名。
2.本次市场调研不代表采购邀请或意向,仅为调研市场情况发起。若需后续对接,我行将会主动联系报名者;未予联系的报名者,我行将对材料予以保密。
3.本次市场调研不收取供应商的任何费用。
4.供应商须对报名信息和资料的真实性负责。如提供虚假材料,将取消报名资格并列入我行供应商黑名单。
5.对于上述事项存在疑问的,请及时与我行联系。
