首页 /应用审计平台项目竞价公告

应用审计平台项目竞价公告

公告-招标公告

江苏 -南京

发布时间： 2025年10月23日

摘要信息

招标单位

招标编号

招标估价

招标联系人

招标代理机构

代理联系人

报名截止时间

投标截止时间

关键信息

平台公告

招标详情

下文中****为隐藏内容，仅对千里马会员开放，如需查看完整内容请或拨打咨询热线： 400-688-2000

相关单位：

***********公司企业信息

一、项目信息

项目名称：应用审计平台项目

项目编号：****
项目联系人及联系方式： **** 025****0621

报价起止时间：2025-10-29 08:00 - 2025-11-03 18:00

采购单位：****

供应商规模要求： -

二、采购需求清单

预算总价： 462525

商品名称	参数要求	购买数量	控制金额(元)	意向品牌
API应用审计系统	核心参数要求: 商品类目: 密码产品; 型号:DS-AAS-2000-S或DAS-ABL-AAS-8800或联软UniWSG2000 Web安全网关;硬件性能要求:2U硬件，冗余电源；CPU≥16核32线程2；内存≥128GB，硬盘≥32TB；千兆电口≥4个，万兆光口≥2个，国产化操作系统;处理性能要求:提供全部功能授权，审计接口数量不限制，支撑分布式横向扩容，提供三年质保服务；许可到期不限制产品或软件功能使用。; 次要参数要求:应用资产识别:自动识别流量中的应用系统，并对同应用进行合并，形成应用清单，支持对发现时间、活跃时间、访问量等维度进行排序，支持以表格形式导出。支持对应用进行二次拆分，手动配置方式针对性的添加URL路径识别，实现应用的精准拆分。应用画像支持树形展示应用下API结构，树结构最高深度支持不少于24层，可下钻查看API维度画像。;接口资产识别1:支持列表结构呈现 API 清单，展示 API 的基本信息包括：名称、API（路径）、类型、访问量、访问域、部署域、发现时间、活跃时间等。;接口资产识别2:支持根据策略自动识别划分其他URL和API，支持可视化多指标组合配置划分规则，配置指标维度包括：URL、请求用户代理、请求方法、响应内容类型、请求头、响应头、响应码、请求体、响应体。;接口资产识别3:支持自定义API打标策略，可细粒度配置到请求方式、请求URL、请求头、请求体、响应码、响应头、响应体、四元组、API 类型等，支持对以上维度进行组合配置。;账号资产识别:支持表结构形式展示账号清单，展示账号相关信息，支持展示账号关联信息，如发现时间、应用名称、应用状态、组织架构、活跃状态等。支持根据API账号请求进行提取，能够自动账号提取和手动修改提取配置。;文件资产识别:持多种文件类型，至少包括：doc、pdf、docx、xls、xlsx、ppt、zip、json等文件还原，能够对文件进行清单化管理;资产脆弱性识别:内置不少于40个脆弱性风险策略，能够识敏感接口未鉴权、脱敏策略不一致、源代码泄漏等风险。支持通过界面自定义新增脆弱性漏洞，可细粒度配置到请求方式、请求URL、请求头、请求体、响应码、响应头、响应体、四元组、API 类型等。根据内置脆弱性风险策略自动从流量中识别监测接口中存在脆弱性，并留存 API 脆弱性证据样例，并给出对应的修复建议。;行为风险识别1:内置不少于20个主体行为风险识别策略，能够识别账号执行路径遍历、IP执行翻页遍历，API数据爬取风险等。持以IP、账号、IP+API、账号+API、数据维度进行行为风险配置。支持通过多种指标组合自定义配置新增风险策略。当监测到流量中有风险行为时自动预警，历史风险日志自动合并，提高运营效率，同一主体触发相同的风险会自动累计风险触发次数和数据量。;行为风险识别2:对于数据维度的风险，支持提供丰富的审计详情信息和分析维度，可根据风险日志自动绘制API风险链路关系。;行为风险识别3:行为风险具有丰富的、有助于用户分析的风险详情，包括：基础信息、告警信息、历史处置记录和基于风险主体行为进行统计分析的风险性分析，包括：访问UA 分布、访问账号/IP分布、访问应用分布和包含数据量、访问量、上传文件数、下载文件数等趋势的行为画像等。支持对数据行为构建风险行为画像，对数据的路径流转进行可视化拓扑分析。;行为风险识别4:当监测到流量中有风险行为时自动预警，历史风险日志自动合并，提高运营效率，同一主体触发相同的风险会自动累计风险触发次数和数据量。;日志检索:留存全量的 API 操作日志，最高可审计的单日志大小为 16MB，支持配置日志留存时间，默认日志完整保存 180天以上;敏感数据识别规则:支持通过正则表达式、关键字典等方式设置敏感数据识别规则，且支持定义敏感数据标签的位置，可定义位置包括：请求头、请求体、响应头、响应体、请求url、文件;分类分级结果同步:能够与分类分级系统对接或者批量导入分类分级结果方式，*银行业务系统敏感数据;大模型支持:支持对接AI大模型，授权AI自动纠偏API划分以及脆弱性风险告警的结果，支持立即执行存量API的划分、打标、聚合。;资质要求:产品支持全球 IPv6；产品获得计算机软件著作权登记证书;	1件	283000.00	观安安恒联软
大数据日志分析系统	核心参数要求: 商品类目: 密码产品; 型号:DAS-AILOG-7800-N或NS-CLA-500或联软UniLog1000;硬件性能要求:标准2U硬件，CPU≥24核48线程，内存≥128G，2块系统盘≥480G、数据盘≥8T*8，冗余电源，千兆电口≥4个，万兆光口≥2个，国产化操作系统；;处理性能要求:提供全部功能授权，审计日志源资产数量不限制，峰值处理性能20000/S EPS，提供三年质保服务；许可到期不限制产品或软件功能使用。; 次要参数要求:部署要求:支持集群部署、分布式部署；支持计算和存储服务的横向动态扩容，不影响日志管理平台的正常业务运行。支持高可用、多副本部署，保障系统故障、设备宕机等异常情况时系统和数据的持用可用性、冗灾性。支持目前主流的安全设备、网络设备、操作系统、应用系统、中间件等；支持常见的虚拟机环境日志收集，包括Xen、VMWare、Hyper-V等；。;数据接入要求:支持核心或出口防火墙、负载均衡等日志量巨大的设备日志采集，不限于NAT日志、会话日志、威胁日志，并保存时间超过180天，同时能对接现网其他安全设备日志信息。实现日志进行自定义查询条件，解析字段不少于300个，解析规则可以根据客户要求定制扩展。由中标方自行解析流量日志入库。支持检索百亿条日志查询，响应时间小于1秒；;数据处理要求:支持高压缩比的数据存储，1T存储空间可存储50亿条日志。支持三维关联分析，支持通过资产、安全知识库、威胁情报库三个维度分析事件是否存在威胁，并形成关联事件。并提供syslog日志外发功能。;数据整合要求:支持分布式关联分析计算，图形化展示关联计算拓扑，显示每个计算任务的进出流量、计算配置和内存使用率等。;系统配置:支持日志平台的可用性状态监控，包括CPU、内存、硬盘。日志平台支持多租户，各租户的资产、数据、仪表盘、审计报表、权限需满足数据隔离、权限隔离。支撑大模型智能体功能，能够自然语言交互实现数据查询，能够通过智能化技术实现安全解析规则快速生成，能够通过智能技术实现智能问答，提供大模型交互窗口和接口配置窗口。;资质要求:产品支持全球 IPv6；产品获得计算机软件著作权登记证书。;	1件	179525.00	安恒观安联软

三、供应商要求

序号

要求类型

要求内容

是否必须响应

序号	要求类型	要求内容	是否必须响应
1	付款条件	最终验收完成后，乙方开具等额发票，甲方支付全部款项。	是
2	其他要求	基本要求。供应商应当遵守、履行和承担《政府采购货物买卖合同（试行）》（财办库[2024]84号）约定的义务和责任。	是
3	其他要求	履约保证金。本项目不接受联合体投标，不得转包、分包。按甲方常用合同模板签订合同。合同签订前，乙方向甲方支付合同金额3%的款项，作为履约保证金，质保期结束后，设备无问题或故障已按要求解决，甲方无息返还。	是
4	其他要求	验收要求。验收分初步验收和最终验收：初步验收：到货后，乙方负责设备上架并调试设备，并达到甲方要求。无问题后，甲方初步验收。最终验收：初步验收完成后，设备试运行90天无故障，或者故障按甲方要求已解决，甲方最终验收。	是
5	其他要求	产品、配送和安装服务要求。 1、供应商必须保证所有产品是全新产品（非假货、水货、拆机货、OEM产品），硬件和软件产品需为同一品牌。2、本项目采购的设备供应商需专人免费送货上门，验收时，我方要求生产单位现场查验设备及主要配件序列号、注册信息、提供3年整机生产单位硬件维保和软件升级服务，7×24小时设备生产单位工程师现场支持服务(故障硬盘不返还)。2、数据安全运维辅助项目提供3年技术服务；3.设备及软件产品（包括服务器操作系统）注册信息均必须是**，验证后免费安装、调试。供应商提供的产品到货后核实设备配置如发现不一致（设备必须是未状态），采购方拒绝收货，供应商并承担损失，商品验收合格后支付货款。4、所提供产品或****银行业务领域网络安全和数据安全相关规定。中标供应商在中标后，签订合同前需安排需求功能测试，以确保满足采购人的建设需求，如不满足需求，采购人有权更换本项目其他投标供应商的产品。5、中标供应商协调设备生产厂商工程师上门安装部署（原厂工程师上门服务时，需出具原厂商工作证及近一年内任意一个月的有效社保证明，否则甲方不允许其进入甲方施工现场，乙方不能按要求协调的，视为验收不通过）。实施过程中设备所需的辅材辅料（含网线、光纤线）由中标供应商免费提供。	是