中信银行华为全栈云安全计算平台许可框架采购项目供应商征集公告

根据我行业务需求，现开展中信银行华为全栈云安全计算平台许可框架采购项目供应商公开征集工作。凡符合本公告要求的企业均可自愿报名，并提交相关证明文件和材料。具体情况如下：

一、征集公告编号： 2024-ZJZH-008

二、项目名称：中信银行华为全栈云安全计算平台许可框架采购项目

三、项目地点：北京

四、项目内容

目前我行全栈云平台已承载总分行 100 多套应用系统，云底座采用云安全计算平台进行防护，运行稳定。根据我行云基础设施当前规划，未来我行应用系统主要以容器化形式投产，且主要部署于全栈云内，因此需要对云底座的安全进行有效保障，需根据云内节点增加情况，需扩容全栈云计算安全平台的软件许可证。

为简化采购过程，提升采购时效，本项目拟采购全栈云计算安全平台软件产品框架合同，框架合同有效期为两年。

五、供应商资质要求

（一）基本资质

1. 供应商应具有独立承担民事责任的能力；

2. 供应商具有良好的商业信誉和健全的财务会计制度；

3. 供应商具有履行合同所必须的专业技术能力；

4. 供应商有依法缴纳税收和社会保障资金的良好记录；

5. 供应商参加此采购活动前三年内，在经营活动中没有重大违法记录。

（二）产品资质及服务要求

原厂商承诺所供产品具体要求如下：

1. 此次采购华为全栈云安全计算平台软件框架，框架有效期为二年；

2. 原厂商所提供的产品及第三方组件产品可供中信银行使用；

3. 未经甲方许可，产品不得以任何形式收集软件所安装终端的任何信息；

4. 原厂商应对所提供的产品应持有软件著作权。

六、软件和服务技术要求

（一）采购产品说明

1. 原厂商所提供的产品不存在任何已知的与第三方专利权、商标权、或工业设计权相关的任何争议，所提供的产品中若涉及第三方软件或数据的使用，使用到的第三方软件和数据版权与使用费用由原厂商负责，并需在采购前提供组件原厂针对本项目的预授权文件，并在采购后产品安装前提供原厂正式授权文件。当第三方软件、数据或开源组件出现安全漏洞时，原厂商需提供必要的技术支持。

2. 原厂商所提供的产品及第三方组件产品在本项目覆盖范围的系统内，在技术上不做最大用户数限制，可供中信银行及其控股子公司使用。

3. 原厂商自软件产品安装验收之日起提供一年免费维护。在免费维护期内，原厂商应提供版本升级服务，包含原厂商维护及组件原厂维护技术支持。

4. 未经甲方许可，原厂商产品不得以任何形式收集软件所安装终端的任何信息。

5. 产品符合国家信创相关要求。

本次框架采购合同中涉及的产品清单如下：

软件	软件名称	软件描述	用户数要求	产品使用范围	备注
全栈云计算安全平台软件	全栈云计算安全平台软件许可证	全栈云计算安全平台软件许可证，许可包含云区域 Region 以及云节点软件许可，对全栈云底座安全防护	不限制用户数量	中信银行及其控股子公司	包含原厂 1 年服务，主要服务内容如下： 1 、产品版本升级服务； 2 、电话及远程支持服务； 3 、现场支持服务； 4 、巡检服务； 5 、重大事件、重大节日保障服务。

（二）技术要求

1. 产品应提供以下产品功能：

功能项	功能描述	备注
资产管理	收集并展示各项宿主机和管理面虚机资产信息，包括账户信息、进程信息、软件信息、开发端口信息，帮助用户进行监控和管理。
账户破解防护	检测账户遭受的口令破解攻击，防止主机因账户破解被入侵。
漏洞管理	通过与漏洞库进行比对，检测出系统和软件存在的漏洞、帮助用户识别出存在的风险。
关键文件变更检测	对于系统关键文件（例如： ls 、 ps 、 login 、 top 等）进行监控，一旦文件被修改就进行告警，提醒用户关键文件存在被篡改的可能。
基线检查	检测系统中的口令复杂度策略、常见的 Tomcat 配置、 Nginx 配置、 SSH 登录配置、系统账户口令是否属于常用的弱口令，帮组用户识别不安全配置项，给出修改建议。
网站后门检测	支持检测云服务器上 Web 目录中的文件，判断是否为 WebShell 木马文件 。
异常 Shell 检测	支持对系统中异常 shell 获取行为的监测能力，包括对 shell 文件的修改、删除、移动、拷贝、硬链接、访问权限变化。
反弹 Shell 检测	支持通过对用户进程行为进行实时监控，及时发现进程的非法 shell 连接操作产生的反弹 shell 行为，支持对 TCP,UDP,ICMP 等协议的检测。
Root 提权检测	支持对利用 SUID 程序漏洞进行 root 提权、利用内核漏洞进行 root 提权、文件提权的检测。
关键文件完整性管理	支持检查系统关键命令和关键文件的指纹，由管理员在后台统一识别标注，便于第一时间发现被篡改的异常情况。
恶意程序检测	支持使用最新的恶意程序库对运行中的程序进行检测，识别出其中的病毒、木马、后门、蠕虫和挖矿软件等，并提供一键隔离查杀能力。
Rootkit 检测	支持内核 rootkit 置入通道的行为进行监控，支持对系统调用表篡改类 rootkit 置入的监测，同时支持对内核隐藏端口、进程、内核模块进行监测。

（三）质量指标要求

1. 产品可靠性：产品在正式投产后 , 能满足 7x24 小时运行要求（剔除由于运行维护不当导致的停止服务时间）。

2. 产品性能要求：产品满足业务高峰期的系统压力需求。

3. 产品可维护性要求：产品应具备可维护性及易用性。

4. 产品健壮性要求：产品运行稳定，报警迅速。

5. 产品可操作性要求：产品界面友好，操作方便。

6. 合规要求：产品符合甲方信息系统管理的相关技术规范。

7. 服务人员要求：原厂商工程师的技能及资质满足甲方项目要求。

8. 实施进度及质量要求：严格执行实施计划，严格按照甲方要求完成。实施过程中不造成任何生产事故或对生产造成影响。

9. 对于系统自身缺陷（ BUG ）所产生问题，原厂商应承诺产品生命周期内保证修复，由此所产生的一切费用，由原厂商承担。

七、实施周期及阶段交付物要求

在框架合同有效期内购买的软件产品，自软件产品到货后，开始计算实施周期以及实施阶段。具体的实施周期以及阶段交付物要求请见下：

1. 项目实施周期计划为 1 个月，项目阶段如下：

项目 阶段	开始时间	结束时间	任务描述	主要交付物
软件安装	合同签订后	T+1 个月	全栈云计算安全平台软件：对于原厂商交付的产品进行到货验收和安装验收	《到货验收报告》 《安装验收报告》 《软件授权证书》

《软件授权证书》包括采购软件的授权信息，具体数量见采购产品说明章节中的产品清单。

2. 项目维护周期计划为 12 个月，项目阶段如下，详细的工作要求参见第八章节的维护服务要求：

项目 阶段	开始时间	维护周期	任务描述	主要交付物
系统维护	软件安装验收阶段完成	12 个月	按需提供电话和现场支持、系统升级等服务	《服务总结》

八、维护服务要求

在框架合同范围内购买的软件产品，原厂商应提供软件产品的的免费维护服务。

原厂商承诺所提供维护服务要求如下：

1. 软件订阅与保障基础服务

（ 1 ）软件版本更新授权：提供软件版本更新许可，主要包含软件补丁、软件更新、软件维护版本。

（ 2 ）远程支持服务：维护支持服务期内，维护支持服务提供方提供 7 × 24 小时电话、网络等远程支持服务，提供咨询解答。

（ 3 ）在线技术支持：提供技术信息共享与补丁下载服务。

2. 现场技术支持服务

原厂商需提供 7 × 24 电话支持服务及按需现场服务，并按照问题等级要求提供分级服务。

分级服务标准及具体时间要求：

重大故障：指出现生产系统瘫痪或服务中断，导致生产系统的基本功能不能实现或全面退化的故障；

严重故障：指生产系统在运行中出现的直接影响业务、并导致系统性能或业务部分退化的故障。

一般故障：除重大故障、严重故障以外的其它故障。

提供临时解决方案或预案时间：从原厂商工程师到达甲方现场，到提供临时解决方案或预案所经历的时间。

故障级别的界定以甲方判定结果为标准。

服务交付：

1 ）原厂商完成现场服务后填写《现场服务记录评价表》，由甲方签字确认。《现场服务记录评价表》需以甲方的格式模版填写。

2 ）按照甲方的要求，原厂商在服务结束后 3 个工作日内提交《问题分析报告》。该内容包括但不限于故障现象、处理过程、原因分析和后续处理措施等。

3. 培训服务

原厂商根据甲方要求在北京现场或视频方式提供培训服务，原厂商须提前准备培训材料，并安排合格的培训讲师进行培训。

4. 提供文档服务

原厂商为甲方提供确保系统稳定运行相关的技术资料，包括但不限于以下内容：应急预案、日常运维手册、常见故障排查手册等，以上文档要以甲方的模板来编写。

5. 版本升级服务

原厂商在维护服务期内，按照甲方需求，提供软件的升级服务，包括提供软件及对应的人员支持。如原厂商在服务周期内软件产品停产，须向甲方提供同类替代产品，并协助甲方将系统迁移到替代产品中，由此产生的相关费用由原厂商承担。

（ 1 ）针对安全漏洞，原厂需要 7*24 小时响应，及时发现漏洞并进行分析，及时向对甲方报告，确保在发现漏洞时及时响应和处理。

（ 2 ）对于甲方判定的高风险安全漏洞，原厂商需要在 24 小时内提供临时解决方案或预案，并同步进行安全漏洞补丁的分析工作，及时通报结果，确保以上漏洞能及时响应和处理

6. 系统巡检

原厂商每季度至少安排一次原厂工程师上门（总行）进行巡检，巡检内容包括系统运行情况、策略配置情况，形成《季度巡检报告》。

7. 现场保障服务

如遇重大节日或者特殊时期需进行重点保障，原厂商应根据甲方需要安排工程师现场值守，提供必要的技术保障。

九、其他要求

1. 在约定的价格有效期内，若供应商产品价格水平、折扣幅度或其他价格政策发生更有利于甲方的调整，该更优惠的价格政策自动适用于甲方，甲方有权按照该更优惠的价格政策采购供应商产品。供应商有义务及时、主动告知甲方该种价格调整。

2. 供应商提供给甲方的采购价格适用于甲方（包括甲方分行、支行、全资及控股的企业）的全部采购（包括零星采购和批量采购）。供应商产品价格与甲方采购数量无关。

3. 如因国家税务政策调整，造成税率变化的，供应商应保持产品净值不变，产品税率随国家政策调整而调整。

十、验收

供应商需要进行产品安装验收，验收部门为甲方总行科技运营中心。

验收合格标准如下：

1. 到货合格标准：产品名称与合同一致；产品型号、规格、数量与合同一致。

2. 实施合格标准：软件实施完毕符合合同约定要求。

3. 验收合格标准：安装后稳定运行 3 个月且无故障，并提供验收报告。

十一、增值服务

如有，请提供具体方案。

十二、网络安全审查要求

1. 甲方根据网络安全审查相关要求开展相关评估和申报工作，如本合同所采购产品或服务需要申报网络安全审查，甲乙双方在审查通过后才可签署合同。因国家政策或监管要求发生变化，需开展补充审查的，供应商应无条件配合甲方工作。开展网络安全审查工作中产生的费用不计入项目成本，所需要的时间不计入项目服务周期。

2. 甲方在签署合同后补充申报网络安全审查的，应当在网络安全审查过程中中止合同执行，待网络安全审查通过后方可继续执行。

3. 供应商承诺所提供的产品和服务符合《网络安全审查办法》规定，并在投入使用后不会影响国家安全，遵守中国法律法规、行政法规，承诺不利用提供的产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或必要的技术支持服务。

4. 如供应商所提供的产品和服务未通过网络安全审查，甲方依法解除本合同的执行，已产生的费用和成本由供应商自行承担。

5. 供应商应签订《安全承诺函及说明》，模板见附件 3 。

十三、供应商报名提交资料

1. 报名文件及邮件的标题为： 本项目编号 -XXX 公司 ；

2. 按照报名模板文件制作报名材料，包含 EXECL 版《供应商信息登记表》及 PDF 版本的报名文件；

2. 报名网址为：中信银行数字化采购共享平台 https://eps.citicbank.com ，业务公告 - 征集公告本采购项目栏目内；同时，还应同步进行电子邮件报名， 报名文件应 在 15 M 以内。

十四、报名截止时间： 2024 年 3 月 13 日

十五、相关说明

1. 上述内容为我行采购相关工作的初步安排，具体采购项目情况以相关采购公告或采购文件为准。

2. 收到报名材料后，我行将在 2 个工作日内通过邮件回复报名成功，供应商不需要电话确认。

3. 报名成功并不表示我行通过其资格审核。我行有权对供应商报名审核结果及参与后续项目的采购工作不做任何说明。

4. 供应商提交资料中如有虚假信息，我行将取消其报名资格、记入供应商诚信档案并限制其后续参加我行采购项目。

5. 其他内容详见《供应商报名文件》中的报名须知。

十六、联系人及联系方式

业务咨询：李老师 010-66633167

lijinhe@citicbank.com

项目报名：谭老师 010-66636236

tanzheng@citicbank.com

附件： 1. 供应商报名文件

2. 供应商报名表

3. 安全承诺函及说明

中信银行股份有限公司

2024 年 3 月 4 日

文章推荐：

中邮重庆市信息技术中心 重庆邮政生产物资管理系统改造项目 公开竞争性磋商公告

江苏省烟草公司南京市公司2024年全市系统弱电维保服务公开招标公告

中信银行“华为全栈云安全计算平台许可框架采购项目”供应商征集公告

中信银行“华为全栈云web应用防火墙软件许可框架采购项目”供应商征集公告