截止日期：2018-12-08
公告说明：晋商银行移动客户端安全威胁感知项目供应商征集公告
采购需求描述：

晋商银行移动客户端安全威胁感知

项目供应商征集公告

一、项目名称

晋商银行移动客户端安全威胁感知项目

二、项目背景

2018年8月14日,中国人民银行办公厅再次下发《中国人民银行办公厅关于开展支付安全风险专项排查工作的通知》银办发〔2018〕146 号,开展支付安全风险专项检查,进一步加强支付领域网络与信息安全管理,有效防范支付风险。其中要求移动客户端具备木马病毒防范、信息加密保护、运行环境可信等方面提升安全防控能力，并将手机支付环境安全状况向后台反馈的能力。

因此需要针对我行的移动客户端进行建立安全威胁感知系统。对终端环境威胁、终端应用威胁、终端程序运行数据进行采集、计算、分析并向用户提供实时的威胁情报和威胁预警,同时可对已知威胁进行溯源追踪,精准定位威胁源头,对潜在威胁进行有效防御。

三、项目要求

通过建设移动客户端安全威胁感知平台具备以下功能：

基础功能：应从木马病毒防范、信息加密保护、运行环境可信等方面提升安全防控能力，并能监测并向后台系统反馈手机支付环境安全状况。

综合态势:图形化展现移动应用、终端运行状况，主观展现启动运行状况、安全事件及威胁态势、崩溃趋势等情况，实时掌控应用运行态势。

运行分析:对应用启动状况进行统计分析，对终端设备情况、终端应用安装情况进行统计，便于用户掌握应用热度，终端用户分布情况。

威胁分析:实时展现各类威胁情报，支持从设备类型、地域、系统版本、应用版本、时间等维度对安全事件、威胁事件、环境风险进行分类统计分析和详细展现，用于事前预警和事后还原攻击场景，具备攻击链回溯能力。

崩溃分析:统计应用运行过程中发生的各类崩溃行为，包括应用加固本身的崩溃情况，不依赖于用户代码的log信息。能够对崩溃类型、设备进行统计分析，提供崩溃堆栈信息，帮助用户优化应用。

智能管理:支持自定义表单生成，数据导出; 定义威胁发生的保护策略。进行事中防护； 支持安全事件自定义、威胁自定义、环境自定义。

全局搜索:

支持试用IMEI，UDID字段全局搜索特定设备，展现其设备、系统、应用、安全事件等多维度信息，用于事后跟踪回溯。

四、实施内容

以移动APP部署SDK，服务端在本地部署形式建设，支持Android、iOS两大系统平台，并要求与我行面向互联网提供服务的手机银行、直销银行、信用卡融合对接。系统具备威胁感知模型，拥有移动威胁数据采集、挖掘、可视化展示、风险管理一体化服务。安全威胁感知系统基于终端信息采集及设备指纹技术，实时监控终端状态，对移动应用运行环境、风险攻击、应用异常状态等多维度信息进行深度关联分析，构建风险态势感知平台。利用大数据技术统计、分析、建模，呈现移动应用的安全态势，动态感知可疑设备、攻击痕迹、异常回报信息，实时预警安全威胁，提高自我保护和风险控制能力。

五、潜在供应商资格要求

（一）资质和能力要求

1、具备独立法人资格，具有完成项目的技术力量，财务能力和良好的信誉；

2、供应商具备须具备ISO9001等体系认证资格证书；

3、2015年至今（以合同签署时间为准）具备移动端安全态势感知系统的建设案例；

4、与其它报名的供应商不存在任何关联关系。

（二）其它要求

1、理解我行项目实施、人员管理、财务管理的相关规定；

2、响应我行签订服务项目管理协议的要求，包括但不限于保密协议、服务承诺书、工作计划任务书；

3、接受我行内部、第三方机构、上级监管部门的检查、监督及审计等。

4、严格遵守我行保密要求；

5、如供应商相关人员未遵守晋商银行要求，造成晋商银行经济损失或声誉损失，晋商银行可依法追究相关责任。

六、潜在供应商需提交的材料及方式、时间

1、需提交材料：

（一）营业执照、税务（国税、地税）登记证、组织机构代码证副本或统一社会信用代码证；

（二）企业及服务团队简介；

（三）2015年至今(以合同签署时间为准)，公司或实施团队所承接的金融行业案例清单、简介、合同等证明材料；

（四） 提供公司联系人、电话、电子邮箱、地址等。

注：上述资料均需提供加盖公章的扫描件。

2、提交方式：电子邮件wangcheng@jshbank.com，邮件名称：晋商银行移动客户端安全加固项目+供应商名称；

3、提交时间：2018年11月28日—2018年12月8日。

4、我行将根据潜在供应商报名情况安排后续商务、技术交流时间。

七、联系方式

商务联系人：王成

联系电话：134*****555

邮箱地址：wangcheng@jshbank.com

技术联系人：周扬

联系电话：155*****190

邮箱：zhouyang@jshbank.com

科技信息部

2018年11月28日