上海浦东发展银行总行WAF应用防火墙替换项目采购供应商征集公告

需求项

需求说明

通信时延

通信时延应控制在5％以内。

高可用性

支持软件一键Bypass功能，可保证WAF安全策略检测阻断异常时网络和业务不间断；支持集群部署模式，支持负载均衡设备对流量进行调度来保证整个网络的高可用性。

稳定性指标

平均无故障时间应超过5W个小时。

检测准确性

必须保证较低的误报率和较低的漏检率。

业务性能容量

生产环境支持82万TPS业务处理能力、测试环境支持37万TPS业务处理能力。

横向扩容需求

扩容须保证安全策略、规则和防护能力的一致性，策略、规则均可平滑横向复制迁移，满足统一监控、统一运营、统一管理的需求；可与我行现有WAF灵活调配**分摊负载各种业务秒杀场景的压力，后续随着业务增长可继续平滑横向扩容。

软件模式部署需求

须支持软件模式部署，可部署在我行标准的物理或虚拟服务器上，并符合我行基线配置要求（包括软件、硬件、虚拟化、操作系统等）。

架构性能容量需求

应选择使用最高档性能配置的WAF进行技术方案设计，在满足总体业务性能容量需求，且考虑高可用冗余的情况下，单套集群WAF数量应尽可能少。

稳定性、成熟度需求

原厂商须从2023年1月1日起至今（以合同签订日期或框架协议有效期内的订单签订日期为准****银行总行、十二家****银行总行有至少一个所投WAF产品实施案例（提供项目合同/发票证明复印件，或提供框架协议+有效订单/发票证明复印件）。

信创要求

服务器硬件（CPU）、操作系统、数据库的信创适配要求须符合我行最新信创要求；无开源java中间件的使用，如tomcat、jetty等，开发组件/框架中涉及嵌入开源java中间件的也须替换成国产java中间件；产品访问/管理模式须为B/S架构，须完全适配我行统信桌面终端信创360浏览器。

【增强项】

身份认证要求

需要对接我行统一身份和访问管理系统（UIAS），实现行员的统一登录及统一权限管理。

【增强项】

国密算法要求

系统内数据加密、校验、数字签名，管理端登录身份鉴别，转发检测节点与管理节点间通信都应支持国密算法。

需求项

需求说明

web应用攻击防护

能够对主流的Web应用攻击SQL注入、XSS攻击、CSRF攻击、文件上传攻击、命令注入攻击等应用安全威胁，进行准确识别并具备实时阻断的能力；具备多层编码的解码能力。

未知威胁防护

需具备对访问的URL、动态页面传递参数、Cookie传递的参数等进行监测的能力，并对比正常的访问行为基线，如明显偏离正常行为模式则产生告警或即时阻断。除规则库外，应具备一定的智能检测能力，以应对未知威胁和变种攻击，如：基于语义分析，能够对请求进行语法、语义分析，有效识别和防御变种攻击。此外，需支持灵活的自定义规则设置。

应用层DDoS攻击防护

具备针对7层的DDoS攻击防护能力，在目标应用遭到CC攻击时可利用基于挑战和基于行为的技术来识别和滤除Bot流量，同时尽可能地减少对正常业务流量的误伤。通过对恶意Bot流量的精准识别与自动阻断，保护目标应用系统。

【增强项】

网页请求返回内容检查

能够对网页请求返回内容进行检查，防止用户敏感信息（信用卡、身份证、支付卡、其他个人信息）、程序通用错误信息以及开发人员备注等信息的泄露。同时，支持对敏感信息进行屏蔽展示。

支持威胁情报

需支持实时威胁情报，并支持威胁情报的实时或定期更新。利用威胁情报，可以使得WAF设备主动过滤来自已知恶意来源的流量，提高WAF准确度。

【增强项】需支持虚拟补丁功能，针对高危漏洞或0day漏洞，虚拟补丁功能应支持导入漏洞扫描报告或支持基于攻击特征，快速下发精准的防护规则对特定URL路径进行检测或阻断，从而实现对突发漏洞的即时缓解。

特殊Web应用需求

支持爬虫和暴力扫描防护、访问频率控制、弱口令防护、黑白名单、客户端识别、阻断页面自定义、快速添加例外、IPV4和IPV6双栈防护、HTTP方法限制、API资产管理等功能。

灵活的部署方式

具备灵活的部署方式，包括透明桥接、反向代理、旁路监听等多种部署方式；须支持软件或虚拟机的部署模式，具备在云环境中灵活的横向扩容能力。

监控与展示

需支持详细的告警日志记录，告警日志应轻松被检索、分类，并直接关联到相应的安全规则，告警需具备良好的可视化功能，如实时仪表盘可提供高级系统状态和安全事件视图，便于安全人员及时发现事件及事后的深入分析。支持Web应用访问日志的记录，支持记录真实访问IP，支持对攻击事件原始报文提取，支持抓包功能。

日志外发

需提供详细的告警日志和系统操作日志，日志应通过syslog等方式输出，能统一接入我行的网络威胁态势感知平台，方便安全日志的实时关联分析。

统一管理功能

支持统一集中管理，包括对多台WAF设备统一管理和下发策略，统一审计、报告和记录，实时监控事件。能够通过单一控制台监控环境健康状况、查看整个部署的安全防护活动。支持用户权限分级管理、可配置登录IP白名单、支持NTP时钟同步、配置备份和恢复、站点检查、升级回退等功能。

签名升级

WAF签名升级时，应自动识别并标识出所有本次签名升级所涉及的新增或改动的签名，并将所有这些签名自动设置为观察模式（仅检测告警，不阻断），并且不影响其他原有未改动签名的执行策略。

【增强项】在告警日志中可通过自动筛选，快速筛选出本次签名升级后处于观察模式中的签名产生的告警。对处于观察模式的签名，应支持批量或统一修改的方式快速将观察模式的签名修改为正常的生效模式（并按需生效为阻断或仅告警模式），并且不影响其他原有未改动签名的执行策略。

注册材料

境内企业

境内机构

境外主体

营业执照

营业执照

事业单位法人证/律所职业资格证/其他机构登记证明

商业登记证明

承诺声明及授权书（含廉洁自律承诺函）

√

√

√

供应商声明

√

√

√

法人身份证/护照

√

√

√

企业介绍

√

√

上年度财报（因有特殊情况，****公司没有强制审计、成立不满1年或其他原因等，可情况说明代替）

√

√

同等证明材料

税收及社保缴纳记录（近6个月任一期）

√

√

同等证明材料

资质材料（注册环节非必传）

√

√

√

案例材料（注册环节非必传）

√

√

√