一、项目概述
（一）项目建设概述
本项目拟采购应用安全开发管理工具1套及其相关支持服务，用于建立北京农商银行（以下简称我行）应用系统安全开发体系建设。详细需求如下：
1.系统功能需求
1.1.自动化安全需求分析。具备自动化安全需求分析功能，项目人员通过简单的情景式问答调查后，平台自动实现场景功能梳理，实现详细安全需求分析，覆盖通信安全、主机安全、应用安全、业务安全、审计安全、客户端安全等类别。所生成的安全需求可以生成规范的安全需求文档。项目人员还可以根据项目的具体情况，对安全需求进行编辑和调整。
1.2.安全设计参考。根据安全需求，自动生成对应的安全设计方案，该设计方案包含标准安全流程设计、关键环节参考代码等内容，为项目团队的安全设计提供全面参考。安全设计会随着安全需求的调整而自动调整，并可生成规范的安全设计建议文档。
1.3.安全测试参考。根据安全需求和安全设计，自动生成对应的安全测试方案和测试用例，形成规范的安全测试文档。
1.4.威胁资源库。满足软件开发团队在项目过程中详细了解信息系统威胁细节的需求。威胁资源库必须完备，应涵盖常见攻击类型与具体细节，每项威胁信息须包含攻击执行顺序、执行攻击的前提条件、严重性、被利用可能性、实例、攻击者需要的知识和技能、探测技术、解决缓解方案等。
1.5.威胁资源可与应用场景等相关联，进而关联应用系统，以评估该威胁在行内的风险程度。支持用户自定义威胁资源，可批量导入威胁资源。
1.6.安全组件库。为提高安全需求实现的效率、质量，在现有信息系统开发范围与当前的软件开发项目安全体系框架下，总结分析中心现有的安全需求标准、标准集成方案等，并针对常见的安全需求，定制开发安全功能实现的安全组件库。供开发团队在实现具体安全要求时遵照执行，保证安全要求实现质量。
针对C语言、Java、Python等常见语言提供安全组件默认库及源码，并可以有效防范常见的XSS、SQL注入、文件上传、路径穿越、短信炸弹等攻击。
提供安全组件的管理功能，并按照版本对安全组件管理，并按照组件版本溯源应用覆盖面，可管理自定义的安全组件。
1.7.安全合规资源库。满足软件开发团队在项目过程中了解行业监管机构对安全合规方面的要求。安全合规资源库须覆盖国家法律法规、中国人民银行、中国银行保险监督委员会的相应文件，以及中国银联、支付清算协会等有关机构的要求文件等。检索方便、简捷，按照业务分类展开。业务覆盖电子银行业务、互联网金融业务、银行卡业务、收单业务、支付业务等。
1.8.场景管理。支持将安全场景（如注册、登录、转账等）与威胁及安全需求进行关联。支持对安全场景的批量导入功能。
1.9.统计报表。统计报表功能通过对流程的分析，将分析结果以图表的形式呈现。可以直观展示单个项目以及整体项目的风险暴露程度及其变化。
1.10.基础配置管理。基础配置管理包括保证系统正常运行的相关配置和管理功能，包括：
（1）系统管理，包含日志管理与文档下载管理。
（2）项目管理，主要功能为用户定义项目名称，可进行项目添加、查看和屏蔽。
（3）用户管理，通过用户角色将不同用户赋予不同操作权限，至少包括系统管理员、模板管理员、项目管理员、项目审批员、审计员等角色；可按照不同项目的分类，将用户划分为不同组。
1.11.其它。此外，系统还支持：
（1）系统的交互性友好，交互简捷，操作简单，能够满足非安全专业人士的使用要求。支持安全需求文档多类型（至少支持word、excel和pdf格式）下载功能。
（2）支持定制开发功能，需根据中心的实际情况进行平台定制。
2.系统非功能性需求
2.1.系统提供软件产品一套。支持主流国产系统体系架构，并能根据我行国产化方案进行适配性改造。系统支持国密算法，用户管理可对接我行统一身份认证系统。
2.2.部署需求。支持主流操作系统平台和数据库，采用B/S方式。操作系统支持包括不限于：Linux、Windows。数据库支持：Mysql常用数据库，PostgreSQL国产化数据库等
2.3.性能要求。系统需要支持100并发用户，TPS>2500以上，每个接口响应时间均小于3秒，每个接口成功率均大于99%。CPU<70%，内存<70%。
2.4.安全需求。要求系统具备一定的自我防护能力，杜绝系统性漏洞，避免常见内外部攻击对网络、主机系统、应用系统及数据库运行带来安全隐患。
3.技术支持服务
协助我行建立应用安全体系架构，具体如下：
3.1.协助修订我行应用安全相关的制度规范。根据国家相关法律规范、监管要求、行业动态，并结合我行实际情况，梳理并修订行内应用安全需求规范、技术规范、开发规范、编码规范、测试规范等。
3.2.协助梳理我行应用安全管理流程。充分调研我行应用安全管理流程，梳理应用安全相关的外规内化、需求管理、软件设计与开发、软件测试、版本投产等相关流程，将应用安全管理融合到我行软件开发现有流程中，提出管理制度修订建议，协助建立应用安全管理体系架构。
3.3.协助建立我行应用安全相关的模板工具。根据我行应用安全需求规范、设计规范、测试规范，针对不同安全等级系统，建立不同的应用安全需求模板、设计模板、测试用例模板等，在应用开发过程中，自动根据模板并结合每个应用特色生成相关文档。
3.4.提供应用安全组件库。根据我行特色，提取我行应用安全相关场景，提供相关开发语言版本的应用安全组件库，指导安全组件库的开发、使用和管理，推动安全组件库在我行软件中的应用。
3.5.集中化管理开发工具、测试工具。将我行现有的开发和测试工具集中统一管理，提供统一下载或访问路径。
4.人员驻场服务
应用安全体系架构建设完成后，在维保期内，提供4人驻场服务。具体如下：
4.1.应用安全管理系统日常运维工作。协助管理系统用户，分配系统用户权限；协助管理系统涉及的文档、模板、工具等；受理并解决用户在系统日常使用中的技术问题。
4.2.参与应用系统安全相关评估和审查。参与应用安全架构、需求、设计等评估，参与系统投产前的安全准出检查，提出专业指导建议，出具相关评估和检查报告。
4.3.应用安全相关规范、模板、工具等迭代更新。根据外规、行业动态、行内风险变化情况，对应用安全相关规范、模板、工具等进行动态更新；针对动态更新部分，对相关人员进行培训。
4.4.协助对应用安全例外进行管理。对于日常应用系统开发中，由于项目特殊需要，开立的应用安全例外进行登记、跟踪，形成报告，及时上报。
5.售后服务
5.1.系统建设服务。免费提供系统安装调试服务。
5.2.免费提供一年的维保服务，自设备上线验收通过之日开始计算。
5.3.在维保服务期间，每三个月进行一次巡检服务，对历史数据备份和清理，对系统进行维护，并提交巡检报告。
5.4.需设有24小时服务热线，并对我行所反映的问题于2小时内响应；对需现场技术支持的事项，达到现场时间应小于4小时。对于系统一般故障应于4小时内修复，严重故障应于2小时内修复。
5.5.设备维护工程师应具有3年以上同类相关系统的维护经验，在维护保修期内需保证有专业维护团队。
5.6.售后培训服务。应用安全体系架构建设和运维过程中对相关项目干系人开展相关培训。
（二）服务商准入标准
1.公司为独立法人。
2.服务商信誉良好，没有负面评价。
3.投标产品拥有银行业应用软件安全开发产品线全流程管理项目成功案例（需提交案例合同关键页扫描件及相关证明材料）。
4.投标公司应具有国家信息安全相关资质证书（需提交相关资质证明扫描件）。
5.本项目中技术支持、驻场、培训、维保等相关服务，均须要由产品原厂商提供。如代理商参与本项目，须在授权书中明示原厂商对上述服务的承诺。
请有意参与我行项目合作且符合准入条件的公司，从该网站下载并填写《北京农商银行xxx项目服务商自荐表》，于2023年3月23日下午17点前发送至xinxjsh_shangwu@bjrcb.com邮箱中。
发送报名邮件要求：
1.邮件主题：公告编号 公司名称；邮件主题、正文、附件中不能含敏感字。
2.须以传统方式黏贴附件，不能发云附件；发送的附件（压缩文件、文档等）不得设置密码或编辑权限；单个邮件大小控制在15MB以内（如果超限，可分几个邮件发）。
3.服务商自荐表需提供盖章扫描件及Word可编辑版。
二、其它事项
（一）请在规定时间内参与报名，截至报名日期后我行将不再接受任何形式的申请材料。
（二）请提供服务商的有效联系方式，并保持通讯畅通，我行将电话联系入选的服务商，对于需要产品测评的项目，后续我行会组织服务商进行测评，测评未通过者将不能作为候选服务商；对未入选的服务商不另行通知。
（三）存在关联的公司在同一项目中只能参选1家公司。
（四）需要代理商参与的，须具备产品原厂商对本项目的授权，对于无法指定唯一代理商的，我行有权取消其产品参与资格。
（五）我行尊重参选服务商的隐私权，对服务商的信息严格保密，参选服务商应当对所提交资料的真实性承担责任，我行在参选服务商过程中的任何阶段发现参选服务商提交的材料不实，有权取消其参选资格。
三、联系人及咨询电话
联系人：郭女士
咨询电话：89198820

北京农商银行信息科技部

2023年3月13日

文章推荐：

新疆其亚硅业/兴立发电-高压电缆-询价项目采购公告

科协大楼11-12层空调风机盘管及电气线路更新改造项目项目公告

浙江交工安盘10标询比采购一批电气导管【重新采购】项目公告

浙江交工集团股份有限公司上塘至大若岩通景道路建设工程(永嘉县大若岩至上塘公路工程)第sg01标段项目经理部商混采购计划项目公告