一、 比选条件

本比选项目OA移动客户端安全加固与持续安全监控（项目名称），建设单位为中国民用航空上海航空器适航审定中心，项目编号为/。目前已具备比选条件，现对该项目进行公开比选。


二、 货物/服务概况

本项目为OA移动客户端安全加固与持续安全监控，其主要包括以下范围：

1. E-Mobile安全加固服务

1.1 要求提供400个E-Mobile为期3年的安全加固服务，提升E-Mobile应用的安全性，保障数据传输的完整性，并符合国家密码算法的要求。

1.2 要求E-Mobile安全加固服务支持iOS、安卓、鸿蒙系统的手机APP进行安全加固服务；

1.3 要求支持对现有的E-Mobile原包应用进行加固，提升APP的安全防护能力，并可以将加固后的应用发布给终端用户使用。

1.4 要求支持为Android侧的应用配置数据安全策略，包括但不限于：文件读取控制、内容分享控制、数据拷贝控制、截屏控制、应用水印、应用锁等，提升安卓侧应用的安全防护能力；

1.5 要求支持为iOS应用配置数据安全策略，包括但不限于：内容分享控制、数据拷贝控制、截屏防护、应用水印、应用锁等，提升IOS侧的安全防护能力；

1.6 要求支持为鸿蒙侧的应用配置数据安全策略，包括但不限于：文件读取控制、内容分享控制、数据拷贝控制、截屏控制、应用水印、应用锁等，提升鸿蒙侧应用的安全防护能力；

1.7 支持配置应用安全锁，安卓端支持开启指纹、手势解锁APP，iOS，鸿蒙端支持开启人脸、手势解锁应用。

1.8 支持提供安全加固管理平台，管理员可以进行应用的自动安全加固，并从管理平台下载加固前和加固后的应用，管理平台支持加固列表展示；

1.9 支持手机端的WEB应用商店，应用商店支持链接分发和二维码分发；

1.10支持对已经加固并发布到安卓或ios应用市场的公有化生态应用配置策略，使其具有安全接入能力及数据防泄漏能力；

1.11支持提供IOS企业签名证书，不低于90天的试用期，并在后续提供IOS企业签名证书，并可支持证书详情查看；

1.12支持加固后的客户端自助进行日志收集，方便运维排查；

1.13支持E-Mobile安全加固服务后用户系统的加密流量解密后镜像给外部系统，如态势感知等设备，以完善系统的用户行为审计溯源能力；

1.14 满足网络等保2.0二级要求，加固后APP不存在严重及高危风险项。

2. OA持续安全监控

2.1 要求提供一年的7*24小时的安全专家值守服务，威胁发现及时响应；

2.2 资产识别与梳理：需结合安全工具发现的资产信息，首次进行服务范围内资产的全面梳理（梳理的信息包含支撑业务系统运转的操作系统、数据库、中间件、应用系统的版本，类型，IP地址；应用开放协议和端口；应用系统管理方式、资产的重要性以及网络拓扑），并将信息录入到安全运营平台中进行管理；当资产发生变更时，安全专家对变更信息进行确认与更新；

2.3 安全现状评估：支持弱口令扫描：实现信息化资产不同应用弱口令猜解检测，如：SMB、Mssql、Mysql、Oracle、smtp、VNC、ftp、telnet、ssh、mysql、tomcat等；

2.4 基线配置核查：检查支撑信息化业务的主机操作系统、数据库、中间件的基线配置情况，确保达到相应的安全防护要求。检查项包含但不限于帐号和口令管理、认证、授权策略、网络与服务、进程和启动、文件系统权限、访问控制等配置情况；

2.5 针对漏洞利用攻击行为、Webshell上传行为、Web系统目录遍历攻击行为、SQL注入攻击行为、信息泄露攻击行为、口令暴力破解攻击行为、僵尸网络攻击行为、系统命令注入攻击行为及僵尸网络攻击行为进行分析评估，判断攻击行为是否成功以及业务风险点；

2.6 安全运营服务期间内，安全专家需对发现的问题进行处置，包含内网脆弱性问题，病毒类事件，入侵行为，勒索、挖矿类事件等；

2.7 潜伏威胁分析：参选方需分析内网主机的非法外联威胁行为，判断是否存在潜伏威胁，并给出解决建议。含：对外攻击、APT C&C通道、隐藏外联通道等外联威胁行为；

2.8 提供脆弱性验证服务，针对发现的脆弱性问题进行验证，验证脆弱性在已有的安全体系发生的风险及分析发生后可造成的危害。针对已经验证的脆弱性，自动生成工单，安全专家跟进修复状态，各个处理进度透明，方便我方清晰了解当前脆弱性的处置状态，将脆弱性处理工作可视化；

2.9 脆弱性管理：参选方需提供客观的修复优先级指导，不能以脆弱性危害等级作为唯一的修复优先级排序依据。排序依据包含但不限于资产重要性、漏洞等级以及威胁情报（漏洞被利用的可能性）三个维度（提供脆弱性优先级排序截图，展示优先级排序情况，并加盖原厂公章）

2.10参选方提供不少于每月一次的全量扫描，提供脆弱性验证服务，针对发现的脆弱性问题进行验证，验证脆弱性在已有的安全体系发生的风险及分析发生后可造成的危害。针对已经验证的脆弱性，自动生成工单，安全专家跟进修复状态，各个处理进度透明，方便招标方清晰了解当前脆弱性的处置状态，将脆弱性处理工作可视化（提供服务工具脆弱性工单截图，需展示当前脆弱性的处置状态，并加盖原厂公章）

2.11 实时监测网络安全状态，对攻击事件自动化生成工单，及时进行分析与预警。攻击事件包含境外黑客攻击事件、暴力破解攻击事件、持续攻击事件（提供安全事件（如暴力破解）的工单举证截图，需展示当前安全事件的处置状态）

2.12 参选方需每月主动分析病毒类、主动分析攻击类、漏洞利用类、失陷类的安全事件，发现日志并研判事件准确性，提供协助处理工具或夙愿服务；

2.13 事件管理：基于主动响应和被动响应流程，对页面篡改、通报、断网、webshell、黑链等各类严重安全事件进行紧急响应和处置的解决方案（提供在服务平台申请主动响应的实际界面截图证明）；

2.14 事件管理：针对分析得到的勒索病毒、挖矿病毒、篡改事件、webshell、僵尸网络等安全事件，通过工具和方法对恶意文件、代码进行根除，帮助招标方快速恢复业务，消除或减轻影响；

2.15 支持面向建设单位的安全态势展示，展示出当前建设单位遭受的威胁事件信息以及脆弱性信息统计，并支持服务专家按照资产类别、威胁类型进行定制化筛选查看，能直观感受到建设单位当前的风险态势情况。（提供服务平台漏洞表、事件表统计信息截图，并证明支持按照资产类别、威胁类型进行定制化筛选查看）；

2.16 服务平台支持面向建设单位的安全报告与交付物管理，可生成、导出、下载各类安全报告，包括但不限于《安全服务值守日报》、《特殊时期值守报告》、《安全运营周报》、《安全运营月报》。

2.17 参选方服务平台已支持的安全检测规则应超过1000个，且覆盖内网脆弱性问题，病毒类事件，入侵行为，勒索、挖矿类事件等；（提供Usecase规则个数截图证明）；

2.18 参选方需为建设单位提供服务监控门户（或用户Portal，区别于安全感知大屏），在门户中建设单位可查看业务和资产安全状态信息，使得建设单位能直观感受到当前的业务和资产安全状态，展示纬度至少包括服务资产安全评级、服务运营状态及成果、安全风险概览、最新情报。（提供监控门户中业务安全状态监控相关的截图证明）

19.SLA承诺：从安全日志产生到事件通告给招标方的时间方面，按照国家标准对安全事件的分类分级指南，重大安全事件通告时间小于30分钟，一般事件的通告时间少于1小时。在配备参选方的边界防护服务组件和终端防护服务组件的情况下，运营服务对于重大安全事件的遏制影响和处置完成时间小于1小时，对于一般事件的遏制影响和处置完成时间小于4小时。对于重大事故应启动应急响应机制，工作时间15分钟之内云端专家进行响应，非工作时间30分钟之内云端专家进行响应，市内2小时上门处置。

3. 交付物要求：

3.1《安全服务运营报告》，报告频率：每周一次；

3.2《首次威胁分析与处置报告》，报告频率：一次；

3.3《事件分析与处置报告》，报告频率：按需触发，不限次数；

3.4《安全通告》，报告频率：按需触发，不限次数；

3.5《综合分析报告/运营月报》，报告频率：每月一次；

3.5《季度汇报PPT》，报告频率：每季度一次；

3.6《年度汇报PPT》，报告频率：每年一次；

4. 周期要求：合同签订后一个月内完成项目开发工作。


三、 合格参选人的资格要求

1 具有独立承担民事责任能力的在中华人民共和国境内注册的企业法人性质的代理商；且要求由安全加固服务商出具针对本项目的授权函；

2 要求安全加固服务商具备CMMI5级认证，提供证明文件并加盖厂商公章；

3 本项目不接受联合体参选。


四、 比选文件的获取

凡有意参加者，请在了解本项目需求并经考虑自身专业符合范围及研究能力等因素后，邮件反馈参与项目名称、编号及贵单位名称和联系方式。建设单位收到反馈后发送具体的比选文件。2022年10月19日下午4时45分（北京时间）后反馈参与意向的，不予受理。


五、 提交参选文件的截止时间与地点

参加本项目比选的单位，请于2022年10月26日4时45分（北京时间）前，将参选文件密封后提交至如下地址：

上海市徐汇区云锦路600号航汇大厦A座1118室

注：若采用邮寄方式，参选文件请独立封装后再装快递袋，并请邮件告知运单号；比选文件逾期送达的或者未送达指定地点的，将不予受理。


六、 发布公告的媒介

本次比选公告在https://caigou.ceair.com/上发布。


七、 建设单位联系方式

建设单位：中国民用航空上海航空器适航审定中心

地址：上海市徐汇区云锦路600号航汇大厦A座1118室

联系人：崔百宇

电话：021-********

邮箱：cuibaiyu@saacc.org.cn