根据贵州银行采购工作的需要,现委托“中国金融集中采购网”面向全国征集2018年度相关采购项目类别供应商。
征集人为贵州银行,现将有关事项公告如下。
一.征集范围
1.供应商征集类别:全密码应用安全平台
2.供应商征集适用范围:本次为供应商征集,通过供应商征集审查的供应商将纳入贵州银行供应商信息库。纳入贵州银行供应商信息库,不代表是贵州银行的合作供应商,也不代表与贵州银行发生实质性合作。贵州银行将优先考虑邀请供应商信息库中的供应商参与采购活动,但是不代表贵州银行供应商信息库中的供应商都将受到贵州银行邀请参与采购活动。
二.报名时间及方式
1.报名截止时间:2018年10月25日17:00止。
2.报名方式:供应商请于上述规定时间内登陆中国金融集中采购网(www.cfcpn.com,以下简称“金采网”)免费在线报名,并在线上传报名材料,报名材料审核时间为[2]个工作日。
非金采网平台注册供应商请首先在平台免费注册,审核通过后方可报名;供应商报名后须自行查看审核信息。
3.金采网技术支持电话:010-51813266。
三. 资格要求:
(一)供应商的准入应符合以下条件:
1.具有独立承担民事责任的能力;
2.具有良好的商业信誉和健全的财务会计制度;
3.具有履行合同所必需的设备和专业技术能力;
4.有依法缴纳税收和社会保障资金的良好记录;
5.在前三年在经营活动中,没有重大违法记录;
6.法律、行政法规规定的其他条件。
7.具有信息安全服务资质。
(二)全密码应用安全平台的主要技术标准:
1.建立高性能、线性可扩展的综合加密服务平台,为行内业务系统提供基于国际标准算法、国密算法的安全密码服务功能,支持行内业务系统对于密码加密、转加密、安全验证、MAC计算及验证、敏感数据加密/转加密、非对称签名验签等功能,满足行内各类渠道应用(如ATMP/POSP/柜面等)、核心系统等行内系统,支持银联、兴业柜面通等三方支付等外联系统的数据加解密、签名验签等安全性要求,保证交易过程的完整性,安全性和可用性。
2.建立统一的密码管理服务平台,实现全行统一密钥及证书管理。结合业务及监管要求,实现密钥及证书安全管理流程策略的制定、执行与审计。如业务所需的密钥/证书规划、生成、分发、使用、审计等流程,实现对人员、流程、制度的统一管理。规范密钥及证书管理工作,保证密钥全生命周期的安全,可靠,满足日益严苛的合规性要求。
3.建立业务应用密钥场景化接入服务平台。以业务需求为主导,基于对称、非对称加密体系,快速为业务构建安全体系,满足业务的快速接入及安全应用。如银联、网联、ATM、POS、柜面终端等的场景化接入模板,证书场景化在后续本省特色化银企、银政接入的快速接入和安全应用。
4.建立全行密码资产统一管理服务平台。对全行密码资产进行统一管理,实现密码资产电子化,将管理员、设备和系统三维结合,保障密码资产的安全及有效应用。
5.建立密码监控服务能力平台,实现密码资源实时监控及服务性能分析,构建一个安全、可靠、高效的密码系统监控保障体系,能快速、准确度量密码系统各项指标,提前预知系统运行状态,敏捷应对业务系统发展,掌握密码系统在规划、管理、运维方面的主动性。
6.建立弱密码、弱口令分析服务平台。能对客户账号弱密码、关键系统账号弱口令等等进行风险识别。能够安全的实现对弱密码的甄别功能,能够根据客户相关信息识别出弱密码,对于操作系统、数据库等的弱口令,能够根据操作系统的具体环境(IP、主机名、系统简称等)识别弱口令。
7.建立高安全自用CA中心。CA中心要求遵循PKI体系建设,可实现机构内部使用的数字证书的申请、审批、自签发、证书更新、证书有效性维护、证书链管理等功能,能为后续贵州银行行内特色化业务项目提供高安全、便捷的自签发数字证书服务。
8.实现安全服务全链路SSL加密。能提供应用数据的全链路加密,保障业务数据的安全传输。
9.建立关键系统设备核心账号管理服务平台。对各类主机设备、数据库、应用硬编码等的特权帐号进行统一集中安全管理。包括:集中的访问授权、集中的密码自动化更改、帐号行为画像及分析等。满足等级保护及网络安全法对帐号管理的要求。
10.建立高可用、高性能的密码安全服务平台平台,为业务连续性提供保障。平台应支持集群双活部署,可弹性扩展,以满足不断增加的业务性能需求和业务高可用需求。
11.支持移动终端(手机、PAD等)SDK集成方式的软证书注册、下载、注销、硬件绑定等,实现对移动用户的电子签名,对APP内交易、PIN码进行加解密、数字签名验签等安全保护功能。
12.兼容行方现有通讯密管平台,在原有业务系统不改动接口代码的情况下,实现安全功能无缝迁移到新的全密码应用安全平台,同时保证在迁移过程中的新系统稳定性和原有业务连续性。经初步对现有通讯密管平台API接口进行梳理,已明确需要兼容支持的交易约为200个(包括C API和JAVA API,分别各约100个),初步评估总体兼容开发工作量在10-15/人月,包含现有代码阅读和兼容性开发。
13.总体框架和应用结构应遵循科学性、系统性和前瞻性、适用性原则,结合招标方自身实际情况,兼顾安全、高效和节俭等各个方面,从全局出发,充分把握银行业在管理、业务和技术上的发展趋势,使系统能够满足招标方未来5-10年的发展,从而达到满足交易安全性的业务目标。
(三)须提供资格文件
详见附件:贵州银行供应商征集响应文件
四、供应商的其它要求:
(一)近三年内,至少有3个银行业省级城商行总行以上成功案例,自有产品及非自有产品均须提供相应案列。
(二)本项目不接受联合体,不允许转包或分包。
(三)采用集群或分布式等先进技术架构。
(四)所提供全密码应用安全平台软硬件必须通过国家密码管理局主管部门鉴定和认证。
(五)所提供密码平台产品必须为自有产品,其余功能模块为非自有产品的,须提供生产厂商针对本项目的授权函及售后服务承诺函原件。
(六)所提供相关软硬件须含三年原厂维保,产品验收后第一年维护周期内须一名现场人员驻场。
(七)提供投标软件产品的源代码,便于招标方系统的维护和后续开发,要求源码注释清晰、可读性强。
五.联系方式
联系单位:中国金融集中采购网
地址:北京市西城区佟麟阁路95号尚信大厦12层
联系人:赵晓菲、王舒
电话:010-57476943、010-51813266
邮箱:zhaoxf@cfcpn.com
征集人:贵州银行
征集协助单位:中国金融集中采购网
2018年10月15日