2023-063-北京農商銀行2023年安全設備防護規則有效性驗證服務采購項目公告

　　一、項目概述
　　我行啟動2023年安全設備防護規則有效性驗證服務采購項目，以攻防演習為契機，通過安全有效性驗證發現和整改一批網絡安全深層次問題隱患，提升我行關鍵信息基礎設施安全保護能力和應急處置水平，切實提高各業務部門與網絡安全部門協同配合和聯合處置能力。具體如下：
　　1.實現目標
　　通過采用“持續性、常態化、自動化的自我攻擊模擬驗證”，基于攻擊視角對當前安全建設進行全方面的從點至面的安全驗證和評估。通過入侵和攻擊模擬（BAS）技術模擬對企業資產進行攻擊，側方位驗證企業安全防御的有效性真正做到實戰化的網絡安全評估。
　　本項目主要實現以下目標：
　?。?）通過在各個網絡域部署模擬驗證攻擊機和靶機，開展持續的模擬攻擊驗證，形成自動化規則策略驗證閉環，實現安全防護、檢測等安全設備的有效性驗證，確保網絡安全配置、安全設備、安全策略等按照預期運行。重要安全設備、規則和策略失效能夠在1小時內發現，非關鍵設備、規則和策略失效能夠在24小時內發現。以此保障安全設備、規則和策略每天都在正常工作。
　?。?）通過自動化同步安全資產，定期梳理行內現有安全措施和策略，分析攻擊者路徑和攻擊手法，有針對性地形成對應的有效性驗證方法，持續識別安全監測和防護設備的安全狀態。
　?。?）通過全面的自動化攻擊驗證場景，結合滲透測試和紅藍對抗，開展攻擊和防護體系持續對抗和能力升級，融合現有安全運營體系，建設以攻防實戰為核心、具有持續驗證能力的安全體系。新的攻擊方式和攻擊工具，能夠最快24小時內在行內進行自動化驗證。
　?。?）通過自動化攻擊驗證能力替代現有安全策略的手工驗證，在提升驗證頻率的同時節省人力，提升驗證效率和效果，實時識別失效策略，確保安全防護體系實時有效。
　?。?）分析驗證結果，形成防護有效性報告，量化安全防護能力和效果；結合網絡及應用拓撲結構，可視化展示安全防護狀態。
　　2.服務需求
　?。?）整體規劃
　　明確技術實施方案制定、實施流程、實施規則等工作
　?。?）實施范圍：
　　通過在各個網絡域部署模擬驗證攻擊機和靶機，開展持續的模擬攻擊驗證，形成自動化規則策略驗證閉環，實現安全防護、檢測等安全設備的有效性驗證，確保網絡安全配置、安全設備、安全策略等按照預期運行。
　　每月需出具1份有效性驗證報告。
　?。?）實施環境：
　　服務商需自備相關配套相關設備（包括但不限于有效性驗證平臺），負責設備部署、配置、環境搭設等環節工作。
　　3.服務方式
　　本項目擬采用現場服務的方式完成。
　　4服務周期
　　本次服務周期為1年，每月分別進行1次檢測和驗證服務，服務商需自帶有效性驗證平臺及工具，服務商所提供的有效性驗證平臺及工具，使用周期為1年。
　　5.服務人員
　　本項目擬采購的項目實施人員要求提供原廠服務。
　　二、服務商準入標準
　　1．公司為獨立法人。
　　2．服務商信譽良好，沒有負面評價，在經營活動中沒有重大違法記錄。
　　3．服務商具有信息安全相關專業資質。
　　4．服務商近3年（2020年1月至今）具有相同項目案例經驗（須提供相關證明材料）。
　　5.本項目不接受代理商報名參與，服務需由原廠商提供。

　　請有意參與我行項目合作且符合準入條件的公司，從該網站下載并填寫《北京農商銀行xxx項目服務商自薦表》，于2023年5月23日下午17點前發送至xinxjsh_shangwu@bjrcb.com郵箱中。
　　發送報名郵件要求：
　　1．該郵箱不支持云附件下載，請以常規方式黏貼附件，并將郵件大小控制在15M以內；
　　2．郵件標題：公告編號+公告名稱+公司名稱。
　　3.郵件正文中須寫明公司招標聯系人***
　　4.請將服務商自薦表的蓋章掃描件、Word可編輯版一并提供。
　　5.郵件標題、正文、附件中不能含敏感字。
　　三、其它事項
　?。ㄒ唬┱堅谝幎〞r間內參與報名，截至報名日期后我行將不再接受任何形式的申請材料。
　?。ǘ┱執峁┓⻊丈痰挠行撓捣绞?**
　?。ㄈ┐嬖陉P聯的公司在同一項目中只能參選1家公司。
　?。ㄋ模┪倚凶鹬貐⑦x服務商的隱私權，對服務商的信息嚴格保密，參選服務商應當按我行要求提交其所需材料，并對所提交資料的真實性承擔責任，我行在參選服務商過程中的任何階段發現參選服務商提交的材料不實，有權取消其參選資格。
　　四、聯系人***
　　聯系人***
　　咨詢電話：***

北京農商銀行信息科技部

2023年5月13日