招标采购Procurement
打印本页内容

百行征信移动应用安全服务项目

招标编号:1243-456OTC1932010 点击:次  发布日期:2019-11-08 18:44    发布人:超级管理员

各投标单位:
    我公司受百行征信有限公司委托,于2019年10月24日发布公告的百行征信移动应用安全服务项目(招标编号:1243-456OTC1932010)公开招标项目,应采购人要求做出变更并延期开标,具体如下:
1、现场审核时间延期至:2019年11月13日。
2、投标截止及开标时间延期至:2019年11月18日14:30(星期一)(北京时间)。
3、项目需求变更如下:
3.1原:

序号 类型 重要性 功能模块 策略项
1 安全加固
 
  DEX加壳保护 对DEX源码进行整体加密和隐藏,保留壳代码,防止黑客发现源码
2   DEX VMP保护 支持虚拟化指定函数
3   多DEX加固保护 对APK中所有DEX文件执行加固,并确保APP兼容性和性能不收影响
4   SO加壳保护 防反编译、导入/导出符号表加密。
5   SO动态保护技术 支持虚拟化指定函数,即将原始指令翻译到自定义CPU指令
6   SO格式转型 对SO执行的文件的格式进行转换处理
7   SO防盗用 将SO文件与APP进行绑定,防止第三方APP调用已经保护的SO,直接盗用SO集成到其他APP中。
8 SO隐藏保护 对SO文件或第三方SO文件进行处理,处理后的SO 文件内容不可读写,以达到隐藏保护的效果。
9   完整性保护 APK完整性保护
10 DEX防篡改 对DEX代码文件进行完整性校验,发现被篡改时关闭App
11 SO防篡改 对SO文件进行完整性校验,发现SO文件被篡改后关闭App
12   assets资源文件防篡改 对assets资源文件目录下所有文件进行完整性校验,防止资源文件被篡改
13   防动态调试 防止调试器(如gdb,lldb、android_server等)附加到应用程序的线程或进程
14   防进程调试 防止调试器(如gdb,lldb、android_server等)附加到应用程序的线程或进程
15   防内存DUMP 防止DEX、SO文件被完整地从内存中dump
16 数据库加密 防止应用的本地数据文件被窃取
17 SharedPreferences数据文件加密 对App本地缓存数据进行加密,采用纯净加密方式,无需集成SDK即可实现
18 assets资源文件全加密 安全加固后APP本地的资源文件具备加密能力,对assets资源文件下的所有内容进行加密保护,如图片、证书、html、xml等
19 XML配置文件加密 安全加固后APP本地的资源文件具备加密能力,对主配置文件XML进行加密保护,防止反编译分析
20 应用内H5保护 安全加固后APP本地的资源文件具备加密能力,对本地的H5代码做加密混淆,防止被读取和篡改
21 服务端H5保护 安全加固后APP本地的资源文件具备加密能力,对服务端下发的H5代码做加密混淆,防止被读取和篡改
22   防截屏 安全加固后APP具备防截屏能力,防止数据泄露
23   防劫持 安全加固后APP具备防劫持能力,防止关键页面的敏感信息泄露
24   运行环境检测(root、模拟器) 安全加固具备环境监控能力,环境检测可以分析安装在环境中的类型,例如模拟器和root环境,此外还可以分析运行环境中的攻击威胁
25 性能监测(首次启动时间、二次启动时间、电量、CPU占用、内存占用 。) 安全平台应具备自身防护能力,除功能模块的使用外,该平台的服务端应有效对抗传统的网络攻击手段
26   平台自身防护(SQL注入、命令注入攻击、目录遍历、信息泄露。) 性能检测可以加固前后的APP做性能测试,分析指标
变更为:
序号 类型 重要性 功能模块 说明
1 安全加固
 
  DEX加壳保护 对DEX源码进行整体加密和隐藏,保留壳代码,防止黑客发现源码
2   DEX VMP保护 虚拟化函数,支持指定
3   多DEX加固保护 对APK中所有DEX文件执行加固,并确保APP兼容性和性能不收影响
4   SO加壳保护 防反编译、导入/导出符号表加密。
5   SO动态保护 虚拟化函数,支持指定
6   SO格式转换 对SO执行的文件的格式进行转换处理
7   SO防盗用 将SO文件与APP进行绑定,防止第三方APP调用已经保护的SO,直接盗用SO集成到其他APP中。
8 SO隐藏保护 对SO文件或第三方SO文件进行处理,处理后的SO 文件内容不可读写,以达到隐藏保护的效果。
9   完整性保护 APK完整性保护
10 DEX防篡改 对DEX代码文件进行完整性校验,发现被篡改时关闭App
11 SO防篡改 对SO文件进行完整性校验,发现SO文件被篡改后关闭App
12   assets资源文件防篡改 对assets资源文件目录下所有文件进行完整性校验,防止资源文件被篡改
13   防动态调试 防止调试器(如gdb,lldb、android_server等)附加到应用程序的线程或进程
14   防进程调试 防止调试器(如gdb,lldb、android_server等)附加到应用程序的线程或进程
15   防内存DUMP 防止DEX、SO文件被完整地从内存中dump
16 数据库加密 防止应用的本地数据文件被窃取
17 SharedPreferences数据文件加密 对App本地缓存数据进行加密,采用纯净加密方式,无需集成SDK即可实现
18 assets资源文件全加密 安全加固后APP本地的资源文件具备加密能力,对assets资源文件下的所有内容进行加密保护,如图片、证书、html、xml等
19 XML配置文件加密 安全加固后APP本地的资源文件具备加密能力,对主配置文件XML进行加密保护,防止反编译分析
20 应用内H5保护 安全加固后APP本地的资源文件具备加密能力,对本地的H5代码做加密混淆,防止被读取和篡改
21 服务端H5保护 安全加固后APP本地的资源文件具备加密能力,对服务端下发的H5代码做加密混淆,防止被读取和篡改
22   防截屏 安全加固后APP具备防截屏能力,防止数据泄露
23   防劫持 安全加固后APP具备防劫持能力,防止关键页面的敏感信息泄露
24   运行环境检测(root、模拟器) 安全加固具备环境监控能力,环境检测可以分析安装在环境中的类型,例如模拟器和root环境,此外还可以分析运行环境中的攻击威胁
25 性能监测(首次启动时间、二次启动时间、电量、CPU占用、内存占用 。) 加固平台须提供性能检测功能,对加固前后的APP做性能测试,分析指标,首次启动时间、二次启动时间、电量、CPU占用、内存占用。
若不能提供云加固平台POC,须在百行征信本地部署。

 
26   平台自身防护(SQL注入、命令注入攻击、目录遍历、信息泄露。) 安全平台应具备自身防护能力,除功能模块的使用外,该平台的服务端应有效对抗传统的网络攻击手段
 
 
3.2原:

序号 类型 重要性 功能模块 策略项
1 渠道监测 500+渠道范围 对国内知名渠道进行监测,包括360应用市场,应用宝,安智,应用汇,小米,91手机助手等国内主流应用分发渠道监测。
2 渠道分布 对APP在各个分发渠道上的分布情况进行统计。
3 版本分析 对APP在各个分发渠道上的APP版本分布情况进行统计。
4 下载量分析 对APP发布到不同的渠道后APP下载量的统计,统计发布的渠道下载数量情况。
5 协调下架 一旦发现包含病毒和恶意程序的盗版APP发布到应用市场等分发渠道,应协助下架服务。
 
变更为:

序号 类型 重要性 功能模块 策略项
1 渠道监测 500+渠道范围 对国内知名渠道进行监测,包括360应用市场,应用宝,安智,应用汇,小米,91手机助手等不少于500家国内主流应用分发渠道监测。
2 渠道分布 对APP在各个分发渠道上的分布情况进行统计。
3 版本分析 对APP在各个分发渠道上的APP版本分布情况进行统计。
4 下载量分析 对APP发布到不同的渠道后APP下载量的统计,统计发布的渠道下载数量情况。
5 协调下架 一旦发现包含病毒和恶意程序的盗版APP发布到应用市场等分发渠道,应协助下架服务。
 
《招标文件》、招标公告如涉及上述内容的应作相应修改,若本通知与原《招标文件》、招标公告内容有不一致之处,应以本公告为准。

变更公告下载
 

联 系 人:黄晓慎、杜磊、李勤超
联系电话:(0755)82949789
传  真:(0755)82949008
电子邮箱:151410230@qq.com
公司网址:www.therockmans.com
地    址:深圳市福田区新闻路59号深茂商业中心13楼A座
 
 
 

www.2016.com
二〇一九年十一月八日

www2016com金莎娱乐网址