内蒙古广播电视台奔腾OA客户端安全整改项目公告
内蒙古广播电视台奔腾OA客户端安全整改项目公告
项目名称 | 内蒙古广播电视台奔腾OA客户端安全整改项目 | 企业名称 | 内蒙古广播电视台 | 发布时间 | 2023-11-30 |
类型 | 招标公告 | 项目实施地 | 呼和浩特 | 所属行业 | 科教文卫 |
项目核准文号 | 无 | 资金来源 | 自有资金 | 开标时间 | 2023-12-06 09:30 |
内蒙古广播电视台
奔腾OA客户端安全整改项目公告
内蒙古广播电视台采用竞争性谈判方式采购奔腾OA客户端安全整改项目,欢迎符合资格条件的供应商前来报名参加。
一、项目概述:
1、名称:内蒙古广播电视台奔腾OA客户端安全整改项目
2、项目预算金额:******元
3、项目期限:2024年度
4、项目技术要求:
本项目为内蒙古广播电视台奔腾OA客户端安全整改项目,供应商需对所投项目完全响应,不得分解后响应。
服务项目需求一览表
编号 | 服务名称 | 数量 | 服务期限 | 备注 |
1 | Android加固服务 | 1 | 合同日起1年内同一APP不限次加固 | 不可使用进口技术加固 |
2 | IOS加固服务 | 1 | 合同日起1年内同一APP不限次加固 | 不可使用进口技术加固 |
要求项 | 子项 | 具体参数 | |
Android应用防代码逆向要求 | DEX加壳保护 | 支持对DEX文件进行整体加壳保护 | |
DEX字符串加密 | 支持对DEX内的明文字符串进行加密保护 | ||
DEX类动态保护技术 | 支持对DEX内的代码进行动态抽取加密,并且在类被执行时不解密类内全部代码,只对被执行到的方法函数进行解密 | ||
DEX虚拟化保护技术 | 支持DEX虚拟化技术(VMP),能够将DEX代码转换为自定义的虚拟机指令,并以自定义虚拟机进行解释运行 | ||
★DEX全量虚拟化保护技术 | ★支持DEX全量虚拟化技术(ALL-VMP),能够将DEX代码的通过DEX虚拟化技术进行全量保护 | ||
SO加壳保护 | 支持对SO进行加壳保护,防止反编译 | ||
★防查看伪代码 | ★支持对SO代码进行加密混淆,防止IDA的查看伪代码功能(IDA F5功能) | ||
导入/导出函数隐藏 | 支持对SO内的函数表信息进行加密 | ||
★SO动态清除 | ★支持SO动态清除技术,能够在SO执行过程中动态清除内存中的函数符号 | ||
SO防盗用绑定 | 支持将SO文件同应用进行绑定,防止SO文件被非法盗用 | ||
Android应用防二次打包要求 | 完整性保护 | 支持APK完整性验证,防止被非法篡改、二次打包 | |
资源文件加密 | 支持对应用内的资源文件、配置文件进行完整性保护,防止被篡改 | ||
签名验证 | 支持对APP的开发者签名进行验证,防止被篡改签名、非法发布 | ||
Android应用防数据泄露要求 | 数据加密 | 支持对本次存储的数据库文件、JS文件、证书文件、配置文件等进行透明加密保护,防止查看和修改 | |
Android应用防调试要求 | 防动态调试 | 支持防动态调试,防止利用调试技术或工具对应用进行内存动态调试 | |
防内存注入 | 支持防内存注入,防止利用内存注入技术对应用进行恶意代码注入 | ||
防内存dump | 支持防内存dump,防止通过内存dump的方式分析内存数据 | ||
防xposed hook攻击 | 支持防止利用Xposed工具进行Hook攻击 | ||
防Frida hook攻击 | 支持防止利用Frida工具进行Hook攻击 | ||
Android应用环境风险检测与防护要求要求 | 防截屏 | 支持防止在应用运行过程中通过截屏非法窃取、捕获敏感数据,保护用户隐私数据安全、交易安全 | |
防日志泄露 | 支持防止攻击者通过分析应用日志信息获取敏感信息 | ||
防设备root | 支持设备Root检测,对应用运行环境进行检测,判断设备是否已经Root进,确认后能够阻止应用运行 | ||
防模拟器 | 支持防止模拟器运行,对应用运行环境进行检测,判断是否运行在模拟器上,确认后能够阻止应用运行 | ||
防应用多开 | 支持防APP多开,对应用运行环境进行检测,判断是否通过VirtualApp等工具双开、多开应用,确认后能够阻止应用运行 | ||
★防USB调试攻击 | 支持防止通过USB连接电脑对手机应用进行调试 | ||
★防网络代理 | 支持防止应用在开启网络代理的设备上运行 | ||
加固服务统计报告 | 自动生成加固服务报告 | 自动生成包含指定时间范围内的加固各种数据的服务统计报告 | |
服务形式要求 | 交付形式 | ¢支持SaaS在线云交付、支持私有云软件交付、支持本地一体机交付 | |
使用方式 | 支持基于Web浏览器加固、支持API自动化集成工具加固、桌面客户端软件加固 | ||
多语言系统 | ¢支持简体、繁体、英语、韩语系统语言。 | ||
厂商要求 | | CNNVD技术支撑单位二级及以上、ISO 9001质量管理体系认证 |
要求项 | 子项 | 具体要求参数 |
iOS应用加固支持语言要求 | Object-C/Object-C++ | 支持对Object-C/Object-C++代码的源到源加固 |
★Swift | 支持对Swift代码的源到源加固 | |
C/C++ | 持对C/C++代码的源到源加固 | |
iOS防代码逆向要求 | ★控制流平坦化 | 支持在不改变语义的前提下,通过控制流平坦化将控制流进行混淆处理 |
★不透明谓词 | 支持对跳转逻辑的判断值进行隐藏,增加攻击者逆向分析的难度 | |
符号混淆 | 支持对代码内的类名、方法名、函数名进行加密混淆 | |
★字符串加密 | 支持对字符串进行加密 | |
★虚假控制流 | 支持增加新的虚假控制分支,加大破解和分析原始控制流的难度 | |
多样性混淆 | 支持随机化混淆,每次混淆代码不一样 | |
iOS应用防调试要求 | ★静态防调试 | 在源代码内添加防调试校验代码,在函数执行时触发该保护功能,防止继续调试 |
★静态防Inline Hook | 在源代码内添加防Inline Hook校验代码,在函数执行时触发该保护功能,防止Inline Hook攻击 | |
★静态防Swizzling Hook | 在源代码内添加防Swizzling Hook校验代码,在函数执行时触发该保护功能,防止Swizzling Hook攻击 | |
★静态防Frida hook攻击 | 在源代码内添加防Frida hook校验代码,在函数执行时触发该保护功能,防止Frida hook攻击 | |
★静态防Cycript注入 | 在源代码内添加防Cycript校验代码,在函数执行时触发该保护功能,防止Cycript攻击 | |
★静态防Reveal注入 | 在源代码内添加防Reveal校验代码,在函数执行时触发该保护功能,防止Reveal攻击 | |
★静态代码完整性保护 | 在源代码内添加防代码篡改校验代码,在函数执行时触发该保护功能,防止代码完整性被破坏 | |
¢实时防调试 | 在APP运行时开启自动守护功能,随时对调试行为进行监测和阻断 | |
¢实时防hook | 在APP运行时开启自动守护功能,随时对hook行为进行监测和阻断 支持防Inline Hook 支持防Swizzling Hook 支持防fishhook | |
¢实时完整性保护 | 在APP运行时开启自动守护功能,对代码段进行完整性 | |
iOS应用防二次打包要求 | 绑定App包名 | 支持绑定app包名,篡改App包名将会导致应用运行闪退 |
绑定App签名 | 支持绑定app签名,篡改App签名将会导致应用运行闪退 | |
iOS应用环境风险检测与防护要求要求 | 防设备越狱 | 支持自动检测设备是否越狱,在已越狱的设备上自动阻止App运行 |
★防AirPlay投屏 | 支持对AirPlay投屏行为进行检测,当存在AirPlay投屏行为时阻断App的运行,防止用户被进行远程诱导性欺诈。 | |
防日志泄露 | 支持对代码内的系统日志输出进行阻断,防止敏感信息泄漏 | |
★APP模糊化保护 | 支持App后台切换过程的屏幕模糊化,防止信息泄漏 | |
★https证书校验 | 校验https证书的合法性,防止中间人攻击 | |
iOS应用加固后审计与定位要求 | ¢加固结果可视化 | 支持加固后输出的是混淆加密的源代码,能够直观查看加固后的代码。 |
¢代码逐行定位问题 | 支持代码逐行调试代码,准确、快速定位问题 | |
服务形式要求 | ¢交付形式 | 支持SaaS在线云交付、支持私有云软件交付、支持本地一体机交付 |
使用方式 | 支持基于桌面软件加固、支持命令行自动化加固 | |
¢多语言系统 | 支持简体、英语系统语言。 | |
服务形式要求 | ¢交付形式 | 支持SaaS在线云交付、支持私有云软件交付、支持本地一体机交付 |
使用方式 | 支持基于桌面软件加固、支持命令行自动化加固 | |
¢多语言系统 | 支持简体、英语系统语言。 | |
厂商要求 | | CNNVD技术支撑单位二级及以上、ISO 9001质量管理体系认证 |
技术参数(服务)解答联系人:王猛
联系电话:186*****809
二、供应商的资格要求
1、供应商须符合《中华人民共和国政府采购法》第二十二条规定条件;
2、具有有效的营业执照;
3、根据《财政部关于在政府采购活动中查询及使用信用信息记录有关文件的通知》(财库【2016】125号),通过信用中国网站(www.creditchina.gov.cn)、中国政府采购网(www.ccgp.gov.cn)查询信息,对列入“失信被执行人”“重大税收违法案件当事人名单”“政府采购严重违法失信名单”的供应商,拒绝参与采购活动;
4、中国裁判文书网(http://wenshu.court.gov.cn/)无行贿犯罪记录;
5、供应商须提供参加采购活动前三年内,在经济活动中无重大违法记录的承诺书;
6、供应商须提供近一年任意三个月的纳税凭证;
7、供应商须提供近一年经会计师事务所或审计机构审计的财务报告,或基本开户行出具的资信证明;
8、本项目不接受联合体响应,单位负责人为同一人或者存在直接控股、管理关系的不同供应商,不得参加同一合同项下的采购活动。
三、获取谈判文件方式
本公告内容为包含所有技术参数与配置,不需要现场报名,供应商按要求直接递交响应文件。
四、响应文件内附资料如下
1、法定代表人身份证正、反面,加盖公章;
2、非法定代表人报名,出具经法定代表人签字、公司盖章的“授权委托书”及本人身份证复印件,加盖公章;
3、营业执照加盖公章;
4、银行开户许可证(银行开户信息)加盖公章;
5、信用中国截图加盖公章;
6、中国裁判文书网(http://wenshu.court.gov.cn/)无行贿犯罪记录;
7、供应商须提供近一年任意三个月的纳税凭证;
8、供应商须提供参加采购活动前三年内,在经济活动中无重大违法记录的承诺书;
9、供应商须提供近一年经会计师事务所或审计机构审计的财务报告,或基本开户行出具的资信证明;
10、响应文件方案及报价。
以上材料正本一份、副本两份。材料不完整,视为无效响应。
供应商将以上第1、2、3、4、5、6、7、8、9项在2023年12月5日17时前以电子版方式发邮箱nmtvclpe@163.com。(邮件注明:项目名称、公司名称、联系人及联系电话。未在上述时间发送资料到指定邮箱的,视为无效报名,不接受其报价。)
纸质响应文件需在信封的封装处,粘贴采购公告中指明的项目名称并加盖供应商公章。
响应文件以快递寄出或现场递交。谈判开启仪式时,供应商需携带身份证到现场。报价超出预算最高限价的将被视为无效响应。
五、响应文件递交截止时间、谈判时间、地点
1、响应文件快递接收截止时间:2023年12月6日9时15分;
2、响应文件现场递交截止时间:2023年12月6日9时30分;
3、谈判时间:2023年12月6日9时30分;
4、谈判地点:内蒙古广播电视台。
采购单位名称:内蒙古广播电视台
递交地址:呼和浩特市回民区成吉思汗西街1号
邮政编码:******
联系人:张志飞
联系电话:156*****840
内蒙古广播电视台
2023年11月30日
无相关公告
无相关公告
招标
|
- 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无