【总行】 恒丰银行用户行为分析项目POC测试供应商征集公告
一、采购人：**********地 址：**省******泺源大街*号 采购代理机构：盛和招标代理有限公司地 址：**省******唐冶西路东八区企业公馆B*楼 二、采购项目名称：恒丰银行用户行为分析项目POC测试供应商征集 采购项目编号：/ 标包 采购 内容 数量 供应商资格要求 * 用户行为分析项目POC测试供应商征集 *宗 *.供应商须在中国境内注册，具有独立法人资格，持有合法的营业执照。 *.供应商须为所投产品原厂商。 *.供应商自****年*月*日至今须至少具有一例银行业用户行为分析平台建设的相关项目采购案例。 *.供应商未被“信用中国”网站(http:/www.creditchina.gov.cn)列入失信被执行人、重大税收违法失信主体、政府采购严重违法失信行为记录名单。 *.本项目不接受联合体POC测试。 三、项目背景、测试范围及技术要求 *.项目背景 为了进一步落实《银行保险机构数据安全管理办法》、《银行保险机构信息科技外包风险监管办法》要求，拟建设用户行 为分析平台，实现录屏审计与追溯、行为安全管理、敏感数据保护、工作效率分析。 *.本项目测试范围 功能类 功能项 功能描述 *.录屏审计与追溯 *.*终端兼容支持 信创虚拟桌面或桌面云的操作行为审计； *.*操作行为元数据获取 通过用户键盘、鼠标及屏幕变化捕捉用户操作画面，建立操作行为元数据； *.*文件操作行为获取 文件操作行为轨迹及操作属性记录留痕 *.*务系统数据获取 B/S业务系统访问记录及留痕 *.* 浏览器通讯报文获取 浏览器未加密通讯报文采集 *.* 浏览器操作按钮获取 浏览器操作标签按钮获取并形成文本记录 *.* Linux运维工具获取 SecureCRT、Xshell、Putty等Linux运维工具数据采集 *.* Windows管理工具获取 CMD、PowerShell等Windows管理工具数据采集 *.* 数据库运维工具获取 dbeaver、Navicat等数据库运维工具数据采集 *.** USB插拔记录获取 USB存储设备插入、拔出事件行为数据采集 *.**剪贴板内容记录获取 剪贴板内容获取形成文本记录 *. 行为安全管理 *.* 行为风险画像 自动为每个用户生成行为风险画像即行为风险值，发现行为风险高的用户 *.* 操作系统类风险操作监控 发现操作系统高危风险操作行为，包括修改本地IP地址、改变防火墙状态、注册表导入/导出等 *.* 浏览器类风险操作监控 发现浏览器高危风险操作行为，包括网页上敏感操作菜单栏，例如导出、上传、下载等 *.* 文件外流类风险操作监控 发现文件外流高危风险操作行为，包括Excel文件加密、文件反复压缩、文件外拷至共享网络等 *.* 软件合规类风险操作监控 发现安装/卸载软件高危风险操作行为，包括安装可疑的绿色软件、卸载桌面安全防护软件等 *.* 主机运维类风险操作监控 发现主机运维高危风险操作行为，包括非法用户远程连接服务器、主机上执行rm、sudo等高危运维命令等 *.* 高危风险可定位显示 有用户触发对应的操作，即可在录屏数据中定位显示，可直接查看触发的操作行为的录屏数据，同时可实现告警提示等 *.敏感数据保护 *.*数据分类分级管理 支持对数据进行分类、分级管理;通过将数据归类到不同的“数据类别”中，对数据的重要程度进行标记，为企业敏感数据、文件保护提供基础保障。 *.*数据泄露风险画像 自动为每个用户生成数据泄露风险画像，发现数据泄露风险高的用户 *.*数据泄露风险等级评分机制 按照等级做风险评分，统计汇总泄密用户数 *.*数据泄露风险态势趋势 以多种形式展现数据泄露事件趋势、数据泄露行为分布情况、Top排名 *.*外发数据明细 记录所有外发数据明细信息，并提供全文细颗粒度检索能力 *.*文件压缩内容识别 支持压缩文件内容识别，是否包括敏感信息 *.*数据泄露行为全程留痕 支持对所有风险泄密行为全程留痕，并提供录屏审计追溯能力 *.*即时通讯工具聊天信息获取 对即时通讯工具Qtrade、企业微信聊天内容留存及各审计形式的查询导出 *.* 全盘扫描 利用全盘扫描技术，检测并自动发现本地存储的敏感文件 *. 工作效率分析 *.* 工作效率统计 能够直观展示部门或用户工作效率情况 *.* 员工工作效率画像 能够按照用户维度进行工作情况画像 *. 客户端管理 *.*客户端具备自我保护机制 客户端具备自我保护机制，包括程序安装目录防篡改、安装程序防卸载、进程防停用等 *.*客户端运行状态管理 客户端运行状态管理，包括实时监控运行进程列表、可以在控制台对客户端信息、在线/离线状态进行记录监控和管理 *.技术要求 本项目技术要求支持**操作系统、Tongweb中间件及GoldenDB数据库等国产化产品、支持在虚拟机上进行部署、支持一键式启停服务；客户端软件要求对**使用有控制策略。 四、议程安排： *.报名参与时间：自****年* 月** 日起至****年*月** 日止，上午*:**－**:**，下午**:**－**:** （**时间，法定公休日、法定节假日除外） *.报名方式： *.*供应商报名前须完成采购人网站注册： 供应商须于报名截止时间前在采购人网站（https://pms.hfbank.com.cn/hfbk/#/outernetlogin）注册并审核通过。网站注册审核单位选择恒丰银行总行，具体操作流程联系代理公司领取《供应商操作手册》。注册过程中如有问题，可致电恒丰银行张老师****-********。若已注册，可忽略本要求。 *.*网上报名： 有意参加本次测试的供应商将报名信息word版（项目名称、供应商名称、联系人姓名、联系人手机号、联系人邮箱）及供应商资格要求的资料扫描件发送至***********，邮件名称命名为恒丰银行用户行为分析项目POC测试供应商征集报名-“供应商单位名称”。 *.报名电话：***********、***********、***********；联系人：赵经理、王经理、袁经理。 *.测试地点：******招商国际金融中心 *.测试联系人：杨经理；电话：***********。 五、有关说明： *．采购人不统一组织供应商对现场进行勘察。无论供应商对现场考察与否，都将被视为熟悉履行合同有关的一切情况，并承担一切与磋商有关的风险、责任和义务，勘察现场所发生的一切费用由供应商自行承担。 *.单位负责人为同一人或者存在直接控股、管理关系的不同供应商，不得参加同一合同项下的采购活动。 六、公告发布媒介 本项目公告在恒丰银行官网、中国招标投标公共服务平台、金采网上发布。其他网站转载无效。 七、联系方式： *.采 购 人：********** 联 系 人：丛经理 电 话：****-******** *.采购代理机构：盛和招标代理有限公司 联 系 人： 赵经理、王经理、袁经理 联系电话：***********、***********、*********** 发 布 人：盛和招标代理有限公司 发布时间：****年*月**日