招标信息

二、征集时间：自公告发布之日起至2024年10月23日

三、项目需求

上海浦东发展银行现有第三方文件传输平台实现了行内应用系统和第三方机构间的批量非实时文件传输，对外提供WEB、JAVA/C的 SDK客户端接口及SFTP三种接入方式。平台实现了行内系统对接外部机构的文件传输统一管理及配置，并对文件传输过程进行安全控制，确保传输文件的可靠性、一致性和传输链路安全性。由于目前平台无法适配实时文件传输场景且存在功能、性能等短板，现需对平台进行重构。新平台除了需要覆盖现有平台具备的批量非实时的文件传输能力，还需满足实时文件传输场景需求、具备对第三方机构接入和使用过程中提供有效治理手段以及满足容灾、安全、性能等非功能需求，以适应我行的业务快速发展。

业务及技术需求：

1.平台支持对接我行数据湖系统，集成其基于对象存储的文件订阅和发布功能。（发布的文件日期、资产名等信息支持配置，如文件日期可以是文件当时处理日期也可以是文件名中的日期）。

2.平台支持对接我行统一认证平台，且支持根据不同的人员角色设定不同权限管理。

3.平台支持对接我行通知平台、监控告警平台的相关接口。相关日志输出和备份审计策略满足我行日志管理要求（可集成我行提供公共日志组件），以便对平台本身运行情况、文件传输情况及第三方机构相关异常行为通过邮件、短信等方式主动告警。

4.平台支持容器化、微服务化的方式部署，具备横向扩展能力，满足双中心多活的架构体系，要求具备公网和专线双出入口能力。平台7*24小时运行，要求RTO为1小时，RPO为20分钟。

5.平台加解密须支持国密算法（可集成我行提供公共加解密组件）。平台对于涉及到的密码等敏感信息有统一管理功能且必须使用密文方式保存。

6.平台支持对于同流程的任务策略进行配置化开发，且具备接管平台现有同流程相关任务配置的能力。

7.平台使用到的第三方API组件、开源组件须满足我行安全审计要求，不符合要求的组件需进行升级替换。

8.平台具备传输文件生命周期管理功能，如存储方式、存储路径、存储限制、备份、清理等管理功能。平台具备容错能力，支持文件发到多个目标接收系统、文件可以被多个第三机构共享使用下载。

9.平台具备对第三方机构入行文件进行病毒查杀的功能，对于异常文件要有邮件告警、隔离机制和后续的处理流程。

10.平台具备对接入第三方机构进行全生命周期的治理，在接入过程、使用过程、下线过程等各个阶段都要提供有效治理手段，例如在接入过程具备接入方式权限控制、IP地址的黑白名单控制、秘钥或证书签发校验和同步及有效期管理、机构之间的文件权限隔离、有效用户接入认证等能力，在使用过程具备数据签名验签、文件传输速率限制、任务级别优先级配置管理、文件每日访问频率、机构传输配额控制、不同机构上送同名文件处理等能力，同时具备异常情况处置能力，有效应对如文件推送不到第三方机构、抽取第三方机构文件不成功（某些场景的错误可配排除）、某个时间点第三方机构文件还没抽到、第三方频繁异常的下载文件、上传病毒文件、上传超大文件等异常场景。

11.平台提供对文件传输历史和当前信息的查询、统计功能。可以按照多种不同维度的条件进行查询和统计，如行内业务系统与行外第三方机构间的文件传输时间、大小、成功失败次数等信息统计和查询。提供行内业务系统每月、每季、每年涉及的第三方机构文件传输情况报表。

12.平台提供给第三方机构接入的方式要有如下几种：SDK客户端方式、WEB方式、SFTP方式、HTTPS的API接口方式，满足我行对于上述4种的方式安全要求，且具备适配第三方机构自身的文件传输API接口能力， 以满足部分第三方机构关于指定报文格式传输、加密、签名以及非标准的二进制流传输等定制化需求，在传输文件场景中SDK客户端方式和WEB方式可以无缝衔接。

13.平台支持国产信创产品即goldenDB数据库、宝兰德中间件、麒麟及统信操作系统、国产对象存储、国产负载均衡等。对外提供的SDK客户端要适配跨操作系统能力，要求至少支持LINUX、WINDOWS、AIX,HP-UNIX、统信操作系统。对外提供的WEB接入方式支持信创浏览器，支持接入国产WAF。

14.平台提供的WEB网站接入方式必须满足我行的会话安全（会话标识、防固定会话攻击、Cookie安全性、会话并发、会话退出）、访问控制（防水平越权、防垂直越权、防URL跳转漏洞）、输入校验（防SQL注入、防跨站、防XML外部实体注入）、数据安全（报文加密及完整性校验、多余信息返回、敏感数据缓存）、身份认证（防登录重放、口令安全策略、防空口令登录）、文件越权下载、图形验证码、防爬虫防护等方面的安全要求。

15.使用SDK客户端接入方式进行文件下载需支持文件名通配符（？和*）下载方式，对于有同名文件情况则选择命中的文件应为最新的文件。客户端的地址配置支持多地址轮询或域名方式（即支持多点接入方式），相关敏感信息的配置须进行加密。支持第三方机构本地大文件分段上传及断点续传机制。支持文件传输过程中的加密和压缩传输及MD5的防篡改功能，支持文件传输过程中一文件一密机制。文件不可在DMZ区落地，且满足我行对其的安全要求，如SDK加固、数据安全传输、SDK更新、数据存储安全要求、敏感数据留存等。

16.使用SFTP接入方式须支持定时/周期性抽取或推送文件，支持用户密码和证书方式两种认证，须使用DMZ区代理服务和第三方机构进行交互。支持文件传输过程中控制传输速度，有传输超时时间配置，且能够适配平台现有存量接入的第三方SFTP服务器的功能。

须支持以下功能：抽取第三方机构有效期内的未抽取文件（注意对方文件在生成过程中不可以抽取）。抽取完文件支持可删除对方文件。支持对满足条件的文件进行重复抽取，支持对方抽取目录的日期和字符串常量的配置化（日期可从文件中获取或传输发起的日期）。支持对方目录下文件名过滤（通配符和正则表达式）。

推送文件至第三方机构时支持文件名的过滤（通配符和正则表达式）。文件传输成功后可以配置对文件进行删除、备份操作，支持推送过程中中间态文件名加后缀信息以便区分最终结果文件。支持文件推送目录的日期和字符串常量的可配置化（日期可从文件中获取或传输发起的日期）。

17.对于提供HTTPS的API接口方式的文件传输，要支持同步接入我行API管理平台的第三方机构配置信息（如机构ID即clientid、密钥对、场景ID等信息）。收到文件后可通过对象存储的预签名方式进行文件存储保存。提供第三方机构ID、文件ID等信息对应的预签名信息查询接口供行内系统查询使用。并且要满足我行对其的安全要求，如身份认证、会话安全、输入校验、数据安全、密钥管理等。

本招标项目仅供正式会员查看，您的权限不能浏览详细信息，请点击注册/登录，联系工作人员办理入网升级。

联系人：陈经理
电话：010-83551561
手机：13717815020 (欢迎拨打手机/微信同号)
邮箱：kefu@gdtzb.com
QQ：1571675411