泰康保险集团2022年移动应用APP安全服务项目供应商征集

招标

移动应用APP安全服务移动应用APP安全检测和安全加固服务 APP仿冒监测服务 APP安全加固服务文件检测泰康保 AndroidIOSHarmonyOS 移动应用安全增值服务 APP安全防护技术 APP安全测试培训 APP安全开发培训 APP个人隐私保护培训定期驻场巡检服务移动安全应急响应服务合规解读咨询移动安全通告移动安全分析 APP安全检测服务 APP仿冒应用监测服务移动应用APP自动化检测报告人工渗透检测报告安全加固部署方案安全检测部署方案移动应用APP仿冒监控部署方案移动应用APP加固后性能测试报告功能测试报告移动应用APP全网仿冒应用监测报告移动应用APP仿冒应用危害分析报告移动应用APP仿冒应用朔源分析报告威胁情报分析报告移动应用APP行业合规分析报告移动应用APP竞品分析报告移动应用APP安全分析报告移动应用APP培训服务方案 APP移动应用安全服务验收报告日常技术支持 APP安全管理服务应用软件硬件设备升级服务操作维护电话热线技术服务维修运维支持设备出现故障时能及时提供现场支持邮件技术技术协助大客户档案技术问题咨询故障诊断现场技术支持产品运行状况进行巡检系统优化建议与措施产品原理现场培训产品升级升级安装移动应用安全分析 APP扩容环境准备与测试

金额

项目地址

发布时间

2022/07/21

公告摘要

项目编号-

预算金额-

招标公司泰康保险集团股份有限公司

招标联系人-

标书截止时间-

投标截止时间2022/07/26

公告正文

泰康保险集团2022年移动应用APP安全服务项目供应商征集

根据我公司业务发展需要，现启动“泰康保险集团2022年移动应用APP安全服务项目”供应商征集工作，请满足项目需求的供应商点击下方“点击报名”，同时也欢迎广泛转发。

报名截至时间：2022年7月26日17时。

具体的征集信息请下载附件，欢迎大家踊跃报名！

20220720泰康保险集团2022年移动应用APP安全服务项目技术需求书.docx 20220720泰康保险集团2022年移动应用APP安全服务项目技术需求书.docx

报名截止时间：2022-07-26 17:00

扫描二维码可通过公众号报名

特别提示如下：A包：移动应用APP安全检测和安全加固服务该项目分为A包和B包，供应商需求满足其一即可参与报名，报名时请明确所参与标包。报名须知：技术需求书泰康保险集团2022年移动应用APP安全服务项目

一、项目需求详情见项目需求B包：移动应用APP仿冒监测服务以上为本需求入围强制条款，其它要求详见项目需求投标人应承诺在本项目交付过程中，提供一项移动应用安全领域相关发明专利给到招标人，并协助招标人成功完成此项专利申请。本次投标产品必须通过专业第三方测评机构的技术测试，测评机构为中国泰尔实验室，测试费用由参与厂商支付；

针对合规要求对APP客户端移进行安全加固保护，使之具有防逆向反编译、防动态攻击、防二次打包、资源文件及数据库文件加密等防护功能，加固后APP符合各类监管机构的安全要求。卖方应提供软硬件一体化服务平台，安全加固服务平台支持本地化部署。（1）APP安全加固A包：1.1功能性指标1、功能需求

一、加固功能要求
序号	客户端类型	功能模块	安全加固策略项	功能描述
1	Android	代码部分DEX保护	DEX加壳保护	对DEX源码进行整体加密和隐藏，保留壳代码，防止黑客发现源码，防止反编译，对DEX文件中的代码进行函数抽离保护，程序运行时将代码分段动态回填，保证内存中不存在连续、完整的代码
2	Android	代码部分DEX保护	DEX字符串加密	对DEX内的明文字符串进行加密保护，如密钥、接口地址、敏感信息等
3	Android	代码部分DEX保护	DEX抽取分离保护技术	对DEX内的类、方法代码进行抽取加密，并且只在类被执行时进行解密，将DEX文件方法体单独抽离加密，防止查看；按需解密，使用到函数时进行解密，内存中的DEX不连续存储；防止通过内存DUMP获取明文DEX
4	Android	代码部分DEX保护	DEX VMP保护	对DEX中的java代码进行抽离与转换（java代码的native化），根据自定义的虚机指令集去调用C层转换的代码。将DEX中原始指令虚拟化为自定义虚拟指令，运行时使用自定义虚拟机进行指令解析，不在内存中还原代码；防止内存DUMP获取核心数据和代码；增加黑客反编译代码后对业务逻辑的理解难度.虚拟机指令一对多随机映射，防止对虚拟化保护技术破解
5	Android	代码部分DEX保护	多DEX加固保护	对APK中多个DEX文件进行加固保护
6	Android	代码部分DEX保护	DEX加花	对java代码编译生成的DEX文件采用加壳保护，对DEX中的代码加入花指令，防止被分析
7	Android	代码部分DEX保护	DEX分离加壳	对java代码编译生成的DEX文件采用加壳保护，对DEX中的代码与原DEX文件分离保护
8	Android	代码部分DEX保护	DEX整体加密	对DEX文件进行整体加密，加密后原始DEX代码已密文形式存在，防止通过第三方反编译工具获取源码；对java代码中插入花指令，对抗线性反编译工具，防止dex2jar工具的逆向。加花后代码使用dex2jar逆向时将逆向为乱码。
9	Android	代码部分DEX保护	Jave2C保护	将DEX代码中函数转化为C/C++代码，并将代码便以为新的SO库文件，同时对该so库文件进行保护。
10	Android	代码部分SO保护	SO加壳保护	对自主研发的SO文件进行加壳处理，隐藏外部函数，对elf头文件信息进行保护，被逆向时看到的混淆信息会错乱。，自定义elf结构防止SO文件被黑客逆向。对SO内的字符串/函数表信息防止反汇编。对SO内的字符串/函数表信息防止反汇编。SO被执行时才会解密，且函数执行后动态清除内存中的解密内容，并将函数重新加密，防止对SO的dump攻击
11	Android	代码部分SO保护	SO隐藏保护	对SO文件或第三方SO文件进行处理，处理后的SO 文件内容不可读写，以达到隐藏保护的效果。
12	Android	代码部分SO保护	SO防盗用	支持将SO文件同应用进行绑定，防止SO文件被盗用。对so文件进行授权绑定，可绑定客户端包名及签名信息，防止so文件被非授权应用调用运行。对SO文件的执行格式做转换处理，达到无法解读SO文件
13	Android	代码部分SO保护	SO VMP	so文件中经过虚拟化保护后的函数，其原有指令已被清空，而真正的代码已经被编译成了自定义虚拟机字节码。可有效保护so库函数的安全。
14	Android	代码部分SO保护	SO Linker	对整个so文件进行加密压缩，包括代码段、导出表和字符串等，运行时再解密解压缩到内存，从而有效的防止so数据的泄露。使用so Linker，隐藏so的基地址，有效的防止so被DUMP
15	Android	代码部分SO保护	SO源码混淆	对so文件的源码进行结构混淆，包括扁平化、插入控制流等。降低黑客反编译的可读性，增加反编译难度。可多种混淆方式联用，可根据自己的实际需求选择混淆强度
16	Android		SO防调用	对so文件进行授权绑定，可绑定客户端包名及签名信息，防止so文件被非授权应用调用运行
17	Android		SO格式转型	对SO文件的执行格式做转换处理，达到无法解读SO文件
18	Android	H5代码保护	客户端H5代码保护	对APP客户端的H5相关代码，如JS，html进行加密保护
19	Android	H5代码保护	服务端H5保护	安全加固后APP本地的资源文件具备加密能力，对服务端下发的H5代码做加密混淆，防止被读取和篡改
20	Android	完整性保护	APK完整性保护	支持对APK内的文件进行完整性校验，防止篡改
21	Android	完整性保护	APK签名校验	支持在APK运行时对其签名的合法性进行校验，防止二次打包和盗版。防止APK被其他签名证书签名；防止APK组件篡改；防止APK资源文件篡改；防止APK二次打包
22	Android	完整性保护	DEX文件完整性校验	对DEX文件进行完整性校验，防止篡改
23	Android	完整性保护	so文件完整性校验	对so文件进行完整性校验，防止篡改
24	Android	完整性保护	资源文件完整性校验	对所有资源文件进行完整性校验，防止篡改；防止盗版应用
25	Android	完整性保护	配置文件完整性校验	对AndroidManifest配置文件以及xml文件进行完整性校验，防止篡改
26	Android	防篡改	DEX防篡改	对DEX代码文件进行完整性校验，发现被篡改时关闭App
27	Android	防篡改	SO防篡改	对SO文件进行完整性校验，发现SO文件被篡改后关闭App
28	Android	防篡改	脚本文件防篡改	对脚本文件进行完整性保护，防止篡改
29	Android	防篡改	资源文件防篡改	对所有资源文件目录下所有文件进行完整性校验，防止资源文件被篡改
30	Android	防篡改	配置文件防篡改	对xml等配置文件进行完整性保护，防止篡改
31	Android	防篡改	AndroidManifest配置文件防篡改	对AndroidManifest配置文件进行完整性校验，防止篡改
32	Android	动态防护	防日志泄露	防止黑客通过日志调试的方式分析客户端代码
33	Android	动态防护	防动态调试	防止利用调试技术或工具对应用进行内存动态调试，防止GDB、IDA Pro等动态调试工具调试APK；保护内存数据不被读取；保护内存数据不被篡改
34	Android	动态防护	防进程调试	防止第三方工具对程序进程进行进程附着等调试
35	Android	动态防护	防动态注入	防止利用内存注入技术对应用进行恶意代码注入，实时检测APK运行环境，监控内存和进程状态；检测到内存注入时，则自动退出
36	Android	动态防护	防内存DUMP	防止通过内存dump，获取应用源代码，防止第三方工具对内存数据修改
37	Android	动态防护	防Hook攻击	防止利用xposed、Cydia Substrate、Frida等眶锯或工具进行Hook攻击，
38	Android	数据文件保护	数据库文件加密	对SQLITE等数据库文件进行透明加密保护
39	Android	数据文件保护	SharedPreferences数据文件加密	对SharedPreferences数据文件进行透明加密保护
40	Android	数据文件保护	加密数据同设备绑定	将加密后的数据文件同设备进行绑定，防止文件复用、盗用
41	Android	数据文件保护	防内存数据读取	实时检测APK运行环境，监控内存和进程状态；检测到内存数据被读取时，则自动退出
42	Android	数据文件保护	防内存数据修改	实时检测APK运行环境，监控内存和进程状态；检测到内存数据被修改时，则自动退出
43	Android	数据文件保护	防日志泄露	拦截日志输出接口；拦截到的日志信息不在进行输出打印操作
44	Android	数据文件保护	本地SQLite数据加密	APK写入数据库文件的时候，进行透明加密；APK写入数据库文件的时候，进行透明加密；加密so库进行加固，混淆保护，防止算法本身被破解
45	Android	资源文件保护	资源文件全加密	安全加固后APP本地的资源文件具备加密能力，对所有资源文件下的所有内容进行加密保护，如图片、证书、html、xml等
46	Android	资源文件保护	XML配置文件加密	对配置文件进行透明加密保护
47	Android	资源文件保护	证书加密	对SSH等证书文件进行透明加密保护
48	Android	运行环境保护	运行环境检测	对APP运行的手机运行环境进行监测，如提权、攻击框架、软件抓包、Hook攻击、进程注入、应用双开、游戏外挂、设备信息篡改、加速器等
49	Android	运行环境保护	防截屏	安全加固后APP具备防截屏能力，防止数据泄露
50	Android	运行环境保护	防劫持	安全加固后APP具备防劫持能力，防止关键页面的敏感信息泄露
51	Android	运行环境保护	安全键盘	实时加密通过键盘输入的信息；隐藏键盘回显、按键水印等信息；防截屏，有效防止黑客通过截屏技术窃取输入信息；数据在内存中加密，防止通过内存搜索到键盘录入的数据信息，如密码等
序号	客户端类型	功能模块	安全加固策略项	功能描述
1	iOS	代码保护	代码乱序	对源代码进行混淆保护
2	iOS	代码保护	代码拆分（包含基本快分裂、基本快调度、代码块分离等代码块保护内容）	对源代码进行拆分保护，对C/C++/OC/Swift代码中函数所对应的基本块进行“分裂”变扁，并调度随机化，使其在常用反编译工具中，增加破解者分析难度，有效的保护核心算法的原始逻辑。
3	iOS	代码保护	代码加花	对源代码进行加入花指令保护
4	iOS	代码保护	等效指令替换	对C/C++/OC/Swift代码中的函数所对应的原始代码块指令进行等效转换，使其在常用反编译工具中，增加破解者分析难度，有效的保护核心算法的原始逻辑。
5	iOS	代码保护	控制流变化（包含平展控制流、虚假控制流、控制流扁平化、控制流间接化等控制流保护）	对C/C++/OC/Swift代码中的函数所对应的原始代码块插入一些不可达指令以及多余的跳转指令，使其在常用反编译工具中，增加破解者分析难度，有效的保护核心算法的原始逻辑。将C/C++/OC/Swift代码中函数的所有基本块交由调度块进行分对C/C++/OC/Swift代码中的函数里的跳转地址进行重定向，使其在常用反编译工具中，无法逆向出真实的代码，增加破解者分析难度，有效的保护核心算法的原始逻辑。使其在反编译工具中无法逆向出真实的代码，有效保护源代码，增加破解者分析代码的难度。
6	iOS	客户端数据保护	URL加密保护	采用本地化工具对程序中的URL常量进行加密保护，防止被静态分析。
7	iOS	客户端数据保护	防截屏	采用SDK集成的方式集成到APP中，检测到应用正在截屏时，立即通知APP，由APP进行处理。
8	iOS	客户端数据保护	反调试	采用SDK集成的方式集成到APP中，检测到程序被调试，程序退出运行
9	iOS	客户端数据保护	数据文件加密	提供sdk集成的方式，对本地资源文件和数据文件以及日志输出信息和通信数据做加密保护，防止被篡改和查看。
10	iOS	混淆方式	源代码级混淆	加固后可直接查看编译之后的源代码，可采用兼容xcode 的编译插件工具集成，混淆后的源代码可以做到优化操作
11	iOS	混淆方式	不透明谓词	对跳转逻辑的判断值进行隐藏，增加攻击者逆向分析的难度
12	iOS	混淆方式	自定义混淆程度	可自定义控制流混淆的程度，针对业务需求将安全和效率进行平衡
13	iOS	字符串加密	字符串加密	对字符串进行加密，支持单独加固范围选择
14	iOS	字符串加密	自定义字符串加密范围	可以对字符串加密覆盖范围进行自定义控制
15	iOS	防动态调试	防GDB动态调试	防止通过GDB工具对代码进行动态调试
16	iOS	防动态调试	防LLDB动态调试	防止通过LLDB工具对代码进行动态调试
17	iOS	防动态调试	防Xcode动态调试	防止通过Xcode工具对代码进行动态调试
18	iOS	防动态注入	防Inline Hook	防止通过Frida等工具对代码进行InlineHook
19	iOS	防动态注入	防Swizzling Hook	防止通过Cydia Substrate等工具对代码进行Swizzling Hook
20		完整性保护	代码完整性保护	防止代码被篡改，对代码完整性进行随机校验，如发现被篡改即闪退
21		Xcode最新版	兼容xcode最新版
22		兼容热修复	支持JSPatch
二、加固平台安全要求
序号	功能模块		安全策略项	功能描述
1	平台自身安全防护		SQL注入、Cookie 注入攻击、命令注入攻击、目录遍历、信息泄露	安全平台应具备自身防护能力，除功能模块的使用外，该平台的服务端应有效对抗传统的网络攻击手段
2	性能测评		内存比、首次启动时间、流量、电量、二次启动时间、CPU占用、内存占用。	可以对加固前后的APP做性能测试和对比分析，并出具报告
3	用户权限管理		用户分级管理	安全平台用户角色至少分成管理员和操作员角色，可以对不同组织分别设置账号权限。不同账号间的数据、策略分离，保证账号分级管理安全性。
4	加固策略		加固策略自定义	加固平台自定义当前加固强度及安全内容
三、加固强度要求
序号	客户端类型	功能模块	安全等级	功能描述
1	加固壳强度能力	安全加固强度测试	优秀	对加固壳源代码进行高强度混淆，加固壳源代码不易被看到，能够在被第三方破解工具（如baksmali、jadx）分析时，直接报错
1	加固壳强度能力	安全加固强度测试	良好	对加固壳源代码进行高强度混淆，加固壳源代码不易被看到，无法实现还原vmp
1	加固壳强度能力	安全加固强度测试	较差	加固壳代码可被反编译看到，全完脱壳还原业务逻辑代码。
四、加固性能要求
序号	要求项			具体指标
1	加固平台性能要求			应用加固耗费时间在分钟级别，不能超过5分钟。
2	加固后APP运行性能要求			1、CPU占用率增加量：小于2%2、内存占用增加量：小于5%3、启动时间增量：小于1秒4、兼容性总体通过率(%)＞99%5、兼容性降低百分比(%)＜1%6、客户直观体验无卡顿、无影响7、加固体积增长控制在3%以内8、加固后APP首次启动时间增量不应该大于2秒，平均启动时间增量不应该大于0.5秒

（1）APP仿冒监测B包：基于静态检测技术，自动化扫描APP客户端常见各类漏洞，按高中低危分类，并附上相关风险的修复建议与代码修改范例。基于DAST、IAST动态检测技术以及模拟交互检测技术，让APP运行在模拟沙箱中进行动态安全检测。卖方应提供软硬件一体化服务平台，安全检测服务平台支持本地化部署。（2）APP安全检测

一、检测功能要求
序号	客户端类型	功能模块	功能名称
1	Android	基本信息检测	应用基本信息检测，应用名称、包名、文件大小、版本信息、文件MD5、签名信息、加固厂商
2	Android	基本信息检测	应用加固壳识别
3	Android	基本信息检测	应用签名信息检测
4	Android	基本信息检测	应用权限信息检测
5	Android	基本信息检测	第三方SDK检测
6	Android	基本信息检测	广告SDK检测
7	Android	基本信息检测	行为信息
8	Android	基本信息检测	IP检测
9	Android	基本信息检测	恶意程序
10	Android	基本信息检测	越权行为
11	Android	基本信息检测	权限滥用
12	Android	恶意行为检测	敏感词汇检测
13	Android	恶意行为检测	敏感函数检测
14	Android	恶意行为检测	应用调用系统功能行为检测
15	Android	源代码安全	java代码加固壳检测
16	Android	源代码安全	so文件加固检测
17	Android	源代码安全	Java代码混淆检测
18	Android	源代码安全	Java代码反编译风险
19	Android	源代码安全	动态加载DEX文件风险
20	Android	源代码安全	动态加载SO文件风险
21	Android	源代码安全	测试信息残留风险
22	Android	源代码安全	URL硬编码检测
23	Android	源代码安全	硬编码风险
24	Android	源代码安全	内网测试信息残留漏洞
25	Android	源代码安全	全局异常检测
26	Android	源代码安全	篡改/二次打包攻击风险
27	Android	源代码安全	应用完整性签名校验风险
28	Android	安全策略风险	动态加载外部代码风险
29	Android	安全策略风险	数据越权备份风险
30	Android	安全策略风险	从SD卡加载SO漏洞
31	Android	安全策略风险	使用调试证书发布应用风险
32	Android	安全策略风险	单元测试配置风险
33	Android	安全策略风险	H5文件加固检测
34	Android	安全策略风险	Janus漏洞
35	Android	安全策略风险	模拟器运行风险
36	Android	安全策略风险	终端ROOT状态检测
37	Android	安全策略风险	系统键盘使用风险
38	Android	安全策略风险	Java层代码动态调试风险
39	Android	安全策略风险	C层代码动态调试风险
40	Android	安全策略风险	动态注入攻击风险
41	Android		私有函数调用风险
42	Android		Java层关键函数风险
43	Android		启动隐藏服务风险
44	Android	应用自身安全	资源文件包含APK检测
45	Android	应用自身安全	证书明文存储风险
46	Android	应用自身安全	调试证书使用风险
47	Android	应用自身安全	未保护的申明自定义权限风险
48	Android	应用自身安全	开发商自定义服务风险
49	Android	应用自身安全	应用测试模式发布风险
50	Android	应用自身安全	Java层动态调试风险
51	Android	应用自身安全	资源文件特定词汇检测
52	Android	应用自身安全	特定图片检测
53	Android	应用自身安全	病毒扫描
54	Android	组件安全	Activity最小化权限检测
55	Android	组件安全	Activity界面劫持风险
56	Android	组件安全	Service 最小化权限检测
57	Android	组件安全	Broadcast Receiver 最小化权限检测
58	Android	组件安全	Content Provider最小化权限检测
59	Android	组件安全	动态注册广播风险
60	Android	组件安全	WebView系统隐藏接口未移除漏洞
61	Android	组件安全	WebView组件克隆应用漏洞
62	Android	组件安全	WebView密码明文存储风险
63	Android	组件安全	WebView组件忽略SSL证书验证错误漏洞
64	Android	组件安全	启用VPN服务检测
65	Android	组件安全	Intent URL Scheme 攻击漏洞
66	Android	组件安全	动态注册Receiver风险
67	Android	组件安全	Activity组件导出风险
68	Android	组件安全	Service组件导出风险
69	Android	组件安全	Broadcast Receiver组件导出风险
70	Android	组件安全	Content Provider组件导出风险
71	Android	算法使用安全	AES/DES/TDES加密算法不安全使用风险
72	Android	网络通信安全	HTTPS未校验服务器证书漏洞
73	Android	网络通信安全	HTTPS未校验主机名漏洞
74	Android	网络通信安全	HTTPS允许任意主机名漏洞
75	Android	网络通信安全	中间人攻击风险
76	Android	网络通信安全	Webview绕过证书校验漏洞
77	Android	网络通信安全	联网环境检测
78	Android	网络通信安全	HTTP传输通道风险
79	Android	数据交互安全	getDir数据全局可读写漏洞
80	Android	数据交互安全	Intent敏感数据泄露风险
81	Android	数据交互安全	PendingIntent误用Intent风险
82	Android	数据交互安全	发送广播信息泄漏漏洞
83	Android	数据交互安全	输入监听风险
84	Android	数据交互安全	Intent组件隐式调用风险
85	Android	数据交互安全	Intent Scheme URL攻击漏洞
86	Android	数据交互安全	Fragment 注入攻击漏洞
87	Android	数据交互安全	反射调用风险
88	Android	数据交互安全	RSA加密算法不安全使用风险
89	Android	数据交互安全	日志数据泄露风险
90	Android	数据交互安全	URL硬编码风险
91	Android	数据交互安全	密钥硬编码风险
92	Android	数据交互安全	Intent隐式调用风险
93	Android	数据交互安全	拒绝服务检测
94	Android	数据交互安全	AES/DES加密算法不安全使用风险
95	Android	数据交互安全	测试信息泄露风险
96	Android	数据交互安全	PendingIntent错误使用Intent风险
97	Android	数据存储安全	内部文件全局读写漏洞
98	Android	数据存储安全	FFmpeg任意文件读取漏洞
99	Android	数据存储安全	sqlite数据库全局读写漏洞
100	Android	数据存储安全	SQL数据库注入漏洞
101	Android	数据存储安全	剪贴板信息泄露风险
102	Android	数据存储安全	数据存储位置风险
103	Android	数据存储安全	Webview明文存储密码风险
104	Android	数据存储安全	webview File同源策略绕过漏洞
105	Android	数据存储安全	明文数字证书风险
106	Android	数据存储安全	调试日志函数调用风险
107	Android	数据存储安全	Webview远程调试风险
108	Android	数据存储安全	应用数据任意备份风险
109	Android	数据存储安全	敏感函数调用风险
110	Android	数据存储安全	数据库文件任意读写漏洞
111	Android	数据存储安全	全局可读写的内部文件漏洞
112	Android	数据存储安全	SharedPreferences数据全局可读写漏洞
113	Android	数据存储安全	sharedUserId属性设置漏洞
114	Android	数据存储安全	Internal Storage数据全局可读写漏洞
115	Android	数据存储安全	getDir数据全局可读写漏洞
116	Android	数据存储安全	FFmpeg文件读取漏洞
117	Android	数据存储安全	剪切板敏感信息泄露漏洞
118	Android	数据存储安全	内网测试信息残留漏洞
119	Android	数据存储安全	随机数不安全使用漏洞
120	Android	数据存储安全	URL信息检测
121	Android	数据存储安全	残留账户密码信息检测
122	Android	数据存储安全	残留手机号信息检测
123	Android	数据存储安全	证书文件明文存储风险
124	Android	数据存储安全	资源文件泄露风险
125	Android	数据存储安全	数据文件全局可读写风险
126	Android	数据存储安全	Content Provider数据泄露风险
127	Android	数据存储安全	SD卡数据泄露风险
128	Android	恶意攻击防范能力	恶意可执行程序感染漏洞
129	Android	恶意攻击防范能力	应用运行其它可执行程序漏洞
130	Android	恶意攻击防范能力	本地端口开放越权漏洞
131	Android	恶意攻击防范能力	SO未使用地址空间随机化风险
132	Android	恶意攻击防范能力	SO未使用编译器堆栈保护风险
133	Android	恶意攻击防范能力	"寄生推"SDK 云控漏洞
134	Android	恶意攻击防范能力	ZipperDown漏洞
135	Android	恶意攻击防范能力	模拟器检测
136	Android	恶意攻击防范能力	截屏攻击风险
137	Android	恶意攻击防范能力	“应用克隆”漏洞攻击风险
138	Android	恶意攻击防范能力	Webview远程代码执行漏洞
139	Android	恶意攻击防范能力	未移除有风险的Webview系统隐藏接口漏洞
140	Android	恶意攻击防范能力	zip文件解压目录遍历漏洞
141	Android	恶意攻击防范能力	下载任意apk漏洞
142	Android	恶意攻击防范能力	从sdcard加载dex风险
143	Android	恶意攻击防范能力	从sdcard加载so风险
144	Android	恶意攻击防范能力	未使用编译器堆栈保护技术风险
145	Android	恶意攻击防范能力	未使用地址空间随机化技术风险
146	Android	恶意攻击防范能力	Root设备运行风险
147	Android	恶意攻击防范能力	不安全的浏览器调用漏洞
148	Android	应用行为监控	文件操作行为监控
149	Android	应用行为监控	访问通讯录监控
150	Android	应用行为监控	短信监控
151	Android	应用行为监控	设备信息获取监控
152	Android	应用行为监控	录音录像行为监控
153	Android	应用行为监控	蓝牙访问行为监控
154	Android	应用行为监控	摄像头访问行为监控
155	Android	应用行为监控	应用程序包管理行为监控
156	Android	应用行为监控	账户管理行为监控
157	Android	应用行为监控	HTTP请求行为监控
158	Android	应用行为监控	位置访问行为监控
159	Android	应用行为监控	本地数据库存储行为监控
160	Android	应用行为监控	本地配置文件存储行为监控
161	Android	应用行为监控	WebView加载行为监控
162	Android	应用行为监控	本地端口开放越权漏洞
163	Android	应用性能检测	首次启动时间
164	Android	应用性能检测	启动网络流量消耗
165	Android	应用性能检测	再次启动时间
166	Android	应用性能检测	启动FPS分析
167	Android	应用性能检测	启动CPU使用
168	Android	应用性能检测	启动内存使用
169	Android	应用性能检测	启动电量消耗
1	IOS		广告sdk检测
2	IOS		XCodeGhost病毒
3	IOS		URL信息泄露
4	IOS		配置文件信息
5	IOS		使用SQL数据库
6	IOS		弱加密函数使用
7	IOS		不安全的随机函数
8	IOS		使用WebView组件
9	IOS		反调试功能
10	IOS		内存分配安全
11	IOS		输出LOG信息
12	IOS		编译时使用ARC标志
13	IOS		编译时使用SSP标志
14	IOS		编译时使用PIE标志
15	IOS	自身安全	权限信息
16	IOS	自身安全	行为信息
17	IOS	自身安全	敏感词信息
18	IOS	自身安全	第三方SDK检测
19	IOS	二进制代码保护	代码未混淆风险
20	IOS	二进制代码保护	未使用地址空间随机化技术风险
21	IOS	二进制代码保护	未使用编译器堆栈保护技术风险
22	IOS	客户端数据存储安全	动态调试攻击风险
23	IOS	客户端数据存储安全	输入监听风险
24	IOS	客户端数据存储安全	调试日志函数调用风险
25	IOS	客户端数据存储安全	Webview组件跨域访问风险
26	IOS	客户端数据存储安全	数据库明文存储风险
27	IOS	客户端数据存储安全	动态库信息泄露风险
28	IOS	数据传输安全	HTTP传输数据风险
29	IOS	数据传输安全	HTTPS未校验服务器证书漏洞
30	IOS	数据传输安全	URL Schemes劫持漏洞
31	IOS	加密算法及密码安全	AES/DES加密算法不安全使用漏洞
32	IOS	加密算法及密码安全	弱哈希算法使用漏洞
33	IOS	加密算法及密码安全	随机数不安全使用漏洞
34	IOS		Zipper Down解压漏洞
35	IOS		iBackDoor控制漏洞
36	IOS		未使用自动管理内存技术风险
37	IOS		内存分配函数不安全风险
38	IOS	基本信息检测	证书类型
39	IOS	基本信息检测	授权设备数量
40	IOS	基本信息检测	编译架构
41	IOS	基本信息检测	应用配置信息
42	IOS	基本信息检测	应用信息风险
43	IOS	行为检测	敏感函数检测
44	IOS	行为检测	敏感行为检测
45	IOS	加密算法和密码安全检测	弱加密算法检测
46	IOS	加密算法和密码安全检测	弱HASH算法
47	IOS	加密算法和密码安全检测	弱随机数
48	IOS	源文件风险检测	恶意代码
49	IOS	源文件风险检测	Private Framework
50	IOS	源文件风险检测	Private Methods
51	IOS	源文件风险检测	ZipperDown漏洞
52	IOS	源文件风险检测	YOUMI恶意SDK漏洞
53	IOS		缓冲区溢出漏洞
54	IOS		PIE地址随机化
55	IOS		配置文件明文存储
56	IOS		SSP栈溢出保护
57	IOS		资源文件加密
58	IOS	数据存储风险检测	ptrace方法调用
59	IOS	数据存储风险检测	动态库信息泄露风险
60	IOS	数据存储风险检测	malloc方法调用
61	IOS	数据存储风险检测	NSLog调用
62	IOS	数据存储风险检测	Webview组件跨域访问风险
63	IOS	数据存储风险检测	越狱设备运行风险
64	IOS	安全规范检测	不安全的API函数引用
65	IOS	安全规范检测	Xcodeghost感染
66	IOS	安全规范检测	ARC自动内存管理
67	IOS		数据传输漏洞
68	IOS		URL Scheme检测
二、检测性能要求
序号	要求项	具体指标
1	检测平台性能要求	检测时长不应超过5分钟,支持报告导出。150M大小以内的应用上传后平均能够在40分钟内出具检测报告
三、检测能力要求
序号	要求项	具体指标
1	资产管理	包含平台中已上传全部资产，并记录资产检测次数及记录，同时应具备资产搜索能力
2	任务管理	可以查看安卓、IOS、公众号、SDK检测的状态、分数；可以查看检测的详情、下载检测报告；可以重新开始检测、搜索任务、删除任务等。
3	检测范围	应包含安卓、IOS、公众号、SDK检测
4	文件检测	可针对文本信息及图片进行自定义检测
5	检测模板配置	可自定义敏感词、敏感权限；同时可自定义检测模板。
6	用户管理权限	具备完善的用户及权限管理

卖方应满足买方4个APP的安全加固、安全检测和24个APP仿冒监测服务，具体APP清单、需要的服务模块以及技术栈情况，详见下表；移动应用APP安全服务应由原厂提供各类服务；1.2非功能性指标对公开渠道应用商城、网盘、下载站、分发平台等，并覆盖国内外的主要APP商店市场，包括安卓APP、苹果APP、鸿蒙APP等应用市场进行监测，可发现与目标APP相似的仿冒应用、盗版应用、侵权APP、二次打包APP、木马APP、诈骗APP等可疑应用，并下载后进行技术分析，与正版对比MD５、签名等信息，最终发现疑似盗版应用和预警，并协助买方进行盗版应用下架。仿冒监测应具备支持云服务，通过提供相关地址及账号进行登录，上传监测应用程序完成监测。

一、仿冒监测功能要求
序号	功能模块	功能点
1	仿冒监控	支持渠道监控的范围
2	仿冒监控	渠道分布监控
3	仿冒监控	版本分析
4	仿冒监控	下载量分析
5	仿冒监控	盗版/钓鱼应用识别
6	仿冒监控	待监测资产管理
7	仿冒监控	自定义监测策略
8	仿冒监控	协调下架
二、仿冒监测性能要求
序号	要求项	具体指标
1	仿冒监控在执行监控扫描任务的同时，应满足以下性能要求	监测扫描一款APP应控制在1小时以内，并支持报告导出。每个月应提供全量的APP仿冒监测报告。

序号	单位	APP名称	系统	安全检测	安全加固	仿冒监测
1	集团	泰康医生	AndroidIOS HarmonyOS	√	√	√
2	集团	泰家园	AndroidIOS HarmonyOS	√	√	√
3	集团	泰生活	AndroidIOS HarmonyOS	√	√	√
4	集团	泰医圈	AndroidIOS HarmonyOS	√	√	√
5	集团	泰康云慧2021	AndroidIOS HarmonyOS			√
6	人寿	泰行销	AndroidIOS HarmonyOS			√
7	人寿	智慧柜员机	AndroidIOS HarmonyOS			√
8	人寿	泰行销银行版	AndroidIOS HarmonyOS			√
9	在线	泰康在线	AndroidIOS HarmonyOS			√
10	在线	泰睿宝	AndroidIOS HarmonyOS			√
11	在线	泰易赔	AndroidIOS HarmonyOS			√
12	健投	泰康医疗	AndroidIOS HarmonyOS			√
13	健投	泰乐	AndroidIOS HarmonyOS			√
14	健投	康复专科	AndroidIOS HarmonyOS			√
15	健投	设计云平台	AndroidIOS HarmonyOS			√
16	健投	工程质量管理	AndroidIOS HarmonyOS			√
17	健投	能源及设备实施管理	AndroidIOS HarmonyOS			√
18	养老	泰照护评估版—评估端	AndroidIOS HarmonyOS			√
19	养老	泰照护—参保人端	AndroidIOS HarmonyOS			√
20	养老	泰照护机构版—护理端	AndroidIOS HarmonyOS			√
21	养老	政府医保—稽核端	AndroidIOS HarmonyOS			√
22	资产	泰康资产	AndroidIOS HarmonyOS			√
23	资产	泰财富	AndroidIOS HarmonyOS			√
24	资产	泰康保	AndroidIOS HarmonyOS			√

卖方能够提供包括不限于以下移动应用安全增值服务，卖方应在投标方案中明确具体提供的服务内容、服务方式、频度和交付物：每年一次全量APP（25个）安全检测（包括自动化检测和人工检测）；卖方应每月提供APP安全分析报告，对泰康集团APP运行情况及合规情况进行分析。卖方应在投标文件中详细说明APP安全分析报告的内容组成及所实现的效果；卖方应协助买方建立和优化泰康集团APP安全管理规范和流程；卖方应对买方APP加固后的功能和性能进行兼容性测试，确保加固前后APP功能正常运行；卖方应对买方每个需加固的APP制定专用的加固策略，应在每个APP新版本发布之前更新加固策略，加固策略更新周期不超过一周；

1.3服务内容、服务频率及服务方式本次购买APP的安全加固、安全检测和仿冒监测服务有效期为1年，服务周期：2022年11月1日-2023年10月31日。卖方应在投标材料中明确续期和扩容的价格。提供4次移动安全相关的安全培训，包括APP安全防护技术、APP安全测试培训、APP安全开发培训、APP个人隐私保护培训等；提供定期驻场巡检服务；按需提供移动安全应急响应服务；按需提供合规解读咨询、移动安全通告、移动安全分析；

序号	服务大类	服务子项	服务频率要求	现场服务	远程服务
1	APP安全检测服务	自动化漏洞扫描	根据APP发版频率要求	▲
2	APP安全检测服务	人工安全检测、合规安全评估及修复建议	每个APP一年2次	▲
3	APP安全加固服务	Android安全加固	根据APP发版频率要求	▲
4	APP安全加固服务	iOS安全加固	根据APP发版频率要求	▲
5	APP安全加固服务	定制化加固策略	根据APP发版频率要求		▲
6	APP安全加固服务	加固后兼容性测试及适配	根据APP发版频率要求		▲
7	APP安全加固服务	加固后性能测试	根据APP发版频率要求		▲
8	APP安全加固服务	加固后功能性测试	根据APP发版频率要求		▲
9	APP仿冒应用监测服务	全网应用市场监测	7*24小时实时动态监测	▲
10	APP仿冒应用监测服务	自动仿冒应用预警	7*24小时实时动态预警	▲
11	APP仿冒应用监测服务	仿冒应用报告	每个APP一个月1次		▲
12	APP仿冒应用监测服务	仿冒应用应急响应及盗版下架	协助下架		▲
13	APP仿冒应用监测服务	仿冒应用危害分析、仿冒应用朔源分析	24小时出具危害、朔源分析报告		▲
14	APP仿冒应用监测服务	移动应用威胁情报	每个APP一个月1次		▲
15	移动应用安全增值服务	合规解读咨询、移动安全通告	一年4次	▲
16	移动应用安全增值服务	移动安全工具操作培训、移动应用安全意识培训，移动应用安全开发培训、移动应用安全运维培训	一年4次	▲
17	移动应用安全增值服务	移动安全应急响应服务	7*24小时实时响应	▲
18	移动应用安全增值服务	定期驻场巡检		▲

技术经理，具有PMP、CISSP、CISP或信息安全等级保护测评师等资格认证，且具备5个以上安全服务项目管理经验。项目经理，具有PMP、CISSP、CISP或信息安全等级保护测评师等资格认证，具有重保安全服务经验，如国家各类重要会议、重大赛事以及重大活动中的信息安全安保任务经验。且具备10个以上移动安全服务项目管理经验。原厂应针对本项目成立专门的项目组，项目组成员必须包括项目经理、技术经理、实施工程师等骨干人员，需要附上人员简历。明确列出项目组主要成员的工作简历、工作经验、参加本项目的工作内容。1.5项目实施团队与人员要求1.4服务交付物

序号	交付物内容	交付频度
1	移动应用APP自动化检测报告	根据APP发版频率要求
2	移动应用APP人工渗透检测报告	每个APP一年2次
3	移动应用APP安全加固部署方案	单次
4	移动应用APP安全检测部署方案	单次
5	移动应用APP仿冒监控部署方案	单次
6	移动应用APP加固后兼容性测试及适配性报告	根据APP发版频率要求
7	移动应用APP加固后性能测试报告	根据APP发版频率要求
8	移动应用APP加固后功能测试报告	根据APP发版频率要求
9	移动应用APP全网仿冒应用监测报告	每个APP一个月1次
10	移动应用APP仿冒应用危害分析报告	每个APP一个月1次
11	移动应用APP仿冒应用朔源分析报告	每个APP一个月1次
12	移动应用APP威胁情报分析报告	每个APP一个月1次
13	移动应用APP行业合规分析报告	每个APP一个月1次
14	移动应用APP竞品分析报告	每个APP一个月1次
15	移动应用APP安全分析报告	每个APP一个月1次
16	移动应用APP培训服务方案	一年4次
17	APP移动应用安全服务验收报告	按实际情况出具
18	移动应用APP驻场巡检服务报告（周报、月报）	按实际情况出具

2、售后服务与技术支持变更实施/拒绝：要求记录实施变更带来的风险、不实施变更带来的风险、实施变更带来的影响、不实施变更带来的影响、最终决策。变更发起：要求记录变更描述、变更原因、变更成本、变更影响、相关材料。参加项目启动会前，项目团队成员需得到买方项目经理的确认和同意。任何卖方项目组成员的变动，需要得到买方项目经理的确认和同意.项目管理将按照买方IT项目管理模式进行，项目实施过程中，买方有权提出更换卖方项目实施团队成员。实施人员（驻场服务人员），具备2个以上安全服务项目管理经验。

需求项	需求描述
1、售后服务体系	应当具有良好的服务理念和完善的售后服务体系，能够按照投标技术方案提供系统集成技术支持服务
2、质保期	APP安全管理服务质保期不低于服务期限（1年），质保期内应用软件和硬件的升级、维护均免费。在保修期内，因设备本身缺陷造成各种故障应由原厂商提供免费技术服务和维修。说明质保期后的售后服务内容和收费标准。
3、运维支持	具有专业化的本地服务支持团队或承诺在指定地点设立专职服务点（专职服务点的运维支持人员的费用应包括在投标价格内，期限至少涵盖1年质保期），能对客户提出的需求快速反应，提供本地技术支持服务，设备出现故障时能及时提供现场支持（本地服务团队或指定地点至少包括南京、武汉、宁波、成都、北京）
4、日常技术支持	厂商根据用户需求提供高级别的服务承诺，提供7天×24小时电话热线技术服务、邮件技术支持及远程技术协助服务，建立大客户档案，工程师在线提供技术问题咨询和故障诊断服务。
5、现场技术支持	对于远程无法解决的技术问题，提供现场技术支持。一般问题专业技术支持工程师应在4小时内到达用户现场，重大问题专业技术支持工程师应在2小时内到达用户现场。卖方应在3天内出具故障报告，提出解决方案，并给出最终实施的时间期限。
6、巡检	定期派专业认证工程师对产品运行状况进行巡检，提出系统优化建议与措施。
7、培训	提供产品原理、部署、操作维护等相关知识的现场培训。根据医院的业务特点和用户认知程度不同，提出系统而有效的培训方案。
8、升级服务	在保修期内，按用户要求提供产品升级服务，制定升级计划，按期进行升级安装。
9、重保支持	在买方要求的重要保障期间提供相应的现场值守服务，负责解决出现的产品相关的任何问题，确保不影响正常业务运行。

硬件设备交付方式：卖方负责将有关硬件设备运送至买方指定的地点。卖方应按照买方提供的收货单位、详细地址、联系人、联系方式、交货日期等信息，向买方提供有关硬件设备。如买方未提供详细收货信息，卖方应提前联系买方确定详细收货信息。由卖方确定运输方式并承担全部运输费用，若有关硬件设备在运输过程中发生任何产品损坏、延迟由卖方负责。三、交付方式二、软、硬件及服务需求清单3、资质要求

需求项	需求描述
1、注册资金	投标供应商注册资金不低于1000万
2、同业案例	投标产品原厂近三年的金融行业、保险行业的成功案例不低于3个
3、产品原厂商	投标供应商须为产品原厂商（必须满足）
4、资质证明	1、原厂应具备安全资质：原厂应具备ISO 9001、ISO 27001认证；原厂应具备中国信息安全测评中心或中国网络安全审查技术与认证中心颁发的安全风险评估类信息安全服务资质证书；原厂应具备国家信息安全漏洞库CNNVD技术支撑单位资质2、投标产品应具备销售许可证和软件著作权。
5、POC响应	在测试中，厂商表现出来的响应速度，技术处理能力，提交文档质量等；A包产品功能和性能POC满足情况，本次投标产品必须通过专业第三方测评机构的技术测试，测评机构为中国泰尔实验室，测试费用由参与厂商支付；（必须满足）

服务类别	服务内容
APP安全检测服务	卖方应满足买方4个APP的安全检测服务。基于SAST静态检测技术，自动化扫描APP客户端常见各类漏洞，按高中低危分类，并附上相关风险的修复建议与代码修改范例。基于DAST、IAST动态检测技术以及模拟交互检测技术，让APP运行在模拟沙箱中进行动态安全检测。
APP安全加固服务	卖方应满足买方4个APP的安全加固服务。针对合规要求对APP客户端移进行安全加固保护，使之具有防逆向反编译、防动态攻击、防二次打包、资源文件及数据库文件加密等防护功能，加固后APP符合各类监管机构的安全要求。
APP仿冒应用监测服务	卖方应满足买方24个APP的仿冒监测服务。对全网应用市场、下载站进行监测，对目标APP进行全站点搜索，可发现与目标APP相似的仿冒应用、盗版应用以及可疑应用，并下载后进行技术分析，与正版对比MD５、签名等信息，最终发现疑似盗版应用并预警
移动应用安全增值服务	1、合规解读咨询、移动安全通告、移动应用安全分析；2、移动安全应急响应服务；3、定期驻场巡检；4、移动安全相关的安全培训，包括APP安全防护技术、APP安全测试培训、APP安全开发培训、APP个人隐私保护培训等。
服务扩容费用	卖方应说明未来APP扩容的价格，以APP为单价报价，包括安全加固、安全检测和仿冒监测服务。

（2）合同签订生效后，定制化服务实施完成且甲方验收合格之日（以项目验收报告为准）后，甲方自收到乙方付款申请之日起20个工作日内，甲方向乙方支付合同价款总额的20%。（1）合同签订生效后，软硬件平台在甲方环境内部署安装调试完成且甲方验收合格之日（以平台验收报告为准）后，甲方自收到乙方付款申请之日起20个工作日内，甲方向乙方支付合同价款总额的30%。双方确认，买方按以下方式支付合同价款，买方有权根据卖方履约的具体情况确认最终的结算款项：四、付款周期专业服务交付方式：实施服务在硬件设备、软件到达买方场地后卖方指派专业技术实施人员对设备进行实施安装调制；维保售后服务在项目验收后正式启动，卖方应指定专业售后技术人员抵达买方指定场所提供专业的售后维保服务。软件产品交付方式：卖方应以光盘的形式交付买方所购有关软件，同时由原厂商协助开通相关账号权限和安装部署工作。

项目主要工作进度如下：五、项目工期上述所有款项支付均以本合同签订并生效为前提，且卖方应在买方每次付款前，提前20个工作日向买方开具相应金额的增值税专用发票。以上合同价款为卖方完成合同项下义务所应收取的全部费用，除本条所约定金额外，买方无须再向卖方支付其他任何费用。（4）合同约定的安全服务期限（1年）届满后，甲方自收到乙方付款申请之日起20个工作日内，向乙方支付合同价款总额的25%。（3）平台验收合格（以平台验收报告为准）满6个月后，甲方自收到乙方付款申请之日起20个工作日内，甲方向乙方支付合同价款总额的25%。

序号	任务名称	时间	备注
1	项目呈批与招采（提交技术指标、招标、评标、商务合同）	100天
2	环境准备与测试	5天
3	安全服务执行	1年

因卖方产品缺陷或者服务不及时等原因导致泰康对应的业务系统出现故障，买方有权视事件故障影响每次从合同项目尾款中扣减合同总金额的1%-5%作为处罚金（按次扣减），且卖方应全力协助买方处理直至问题解决。事件影响认定参考泰康保险集团股份有限公司《IT系统故障管理制度》执行。定级及处罚标准如下：八、罚则

事件级别	分级标准	处罚标准
一级	1. 3 个或 3 个以上对接业务系统同时发生业务中断； 2. 单个对接业务系统发生中断 90 分钟以上； 3. 生产业务数据丢失； 4. 重复发生的故障； 5. 其它 IT 管理层判断为一级的故障；	扣减合同总金额的5%/次
二级	1. 2 个对接业务系统同时发生业务中断； 2. 单个对接业务系统发生业务中断 30 分钟以上； 3. 其它 IT 管理层判断为二级的故障；	扣减合同总金额的3%/次
三级	1. 单个对接业务系统发生业务中断；2. 非对接业务系统发生业务中断 90 分钟以上；3. 存在造成生产业务中断、数据丢失的巨大风险；	扣减合同总金额的1%/次
四级	1.系统操作使用不便，但无业务停顿或性能下降； 2.生产系统失去冗余，但无生产业务停顿或性能下降； 3.所有可能导致生产业务系统性能下降的硬件或应用故障；	不扣减，但卖方应全力协助买方处理直至问题解决