******有限公司(以下简称******商行联盟”或“征集人”)现就“移动威胁感知系统针对新型黑产工具监测能力升级项目”开展POC测试候选供应商公开征集,诚邀符合资格条件的供应商参与。
一、项目概况
(一)项目名称: 移动威胁感知系统针对新型黑产工具监测能力升级项目
(二)基本情况
******有限公司移动威胁感知系统针对新型黑产工具监测能力升级项目拟******商行联盟需求的产品和服务,保证联盟需求正常落地,现征集优质的具备移动端安全监测能力的供应商进行POC测试。
(三)测试内容
本次POC测试计划分别对供应商提供Android端和ios端安全监测能力进行测试。测试内容包括以下方面:
1、安全监测能力验证
Android端:要求供应商提供Android端监测能力必须包含但不仅限于以下监测能力:
(1) root、框架攻击工具(Frida、Xposed、Magisk、LSPosed、EdXposed等新型、新版本工具)、虚拟环境(VirtualXposed、太极APP)、屏幕共享、使用VPN、开发者模式、调试、风险进程、定制rom、改机工具、正在通话中、无障碍模式风险、新版安卓系统内存分页特征(16K内存分页安卓设备感知)等环境风险监测能力。
(2) 注入攻击、调试行为、模拟器、云手机、人脸绕过、Http代理、位置欺诈、证书库异常、应用破解、应用多开等攻击监测能力。
IOS端:要求供应商提供IOS端监测能力必须包含但不仅限于以下监测能力:
(1) 越狱(包含新型隐藏越狱特征识别)、框架攻击工具(Cydia、Sile、Zaber等新型、新版本工具)、macOS(ARM架构、intel x86系列芯片)监测、定制ROM、改机工具、屏幕共享、使用VPN、正在通话中等风险环境监测能力。
(2) 越狱后高频安装插件特征、注入攻击、调试行为、模拟器、云手机、人脸绕过、Http代理、Https劫持、位置欺诈、域名欺诈、应用破解等攻击监测能力。
2、异常操作行为监测能力验证
要求供应商提供异常操作行为监测能力必须包含但不仅限于以下监测能力:
高频更换设备、更换IP、更换地域、高频启动APP等异常操作行为的监测能力。
3、隐私合规要求验证
要求供应商服务采集的设备环境信息、索要用户权限等需满足监管部门规定的隐私合规要求。
要求供应商提供第三方隐私合规监测报告。
4、管理台验证
要求供应商提供以下可视化管理台,可对数据进行查询、统计、分析等功能:
(1) 在管理台展示风险请求详情,风险攻击、设备信息(设备型号和系统)、IP信息(IP地址和归属地)、用户信息等。
(2) 管理台能对风险请求通过用户ID、设备标识、IP等进行关联和查询。
(3) 具有风险统计、设备详细画像等数据统计功能。
5、策略配置验证
要求供应商提供自定义策略配置功能和名单管理库等功能:
(1) 要求供应商提供自定义策略配置的功能,可定义、修改风险策略的监测能力、风险等级和处置策略等。
(2) 要求供应商提供风险设备管理、风险IP管理等规则。
(3) 名单具备自动封禁、解封禁和手动一键封禁等名单管理功能。
6、系统架构部署能力验证
要求供应商提供系统架构和部署能力需满足以下要求:
(1) 要求支持容器化架构设计,允许根据负载动态横向扩展实例数量。
(2) 要求系统支持信创技术标准,兼容X86-64、ARM架构CPU,支持麒麟V10、信创UOS国产操作系统,支持goldendb数据库。
(3) 要求支持系统私有化部署。
(4) 要求系统所需开源软件满足联盟技术栈要求。
7、与现有系统对接能力验证
要求供应商具备与联盟现有移动威胁感知系统、移动网关等系统对接能力:
(1) 系统具备通过Kafka将风险等级、风险处置和风险标签等数据接出的能力。
(2) 要求供应商提供与现有系统对接方案。
8、安全合规能力验证
要求供应商展示其解决方案在数据安全和隐私保护方面的措施,包括加密通信、数据存储安全、用户认证等。
联盟将评估供应商解决方案的安全能力,以及对当前国内相关数据保护法律法规的遵循程度。
9、系统性能验证
联盟将采购系统性能进行详尽评估,包括响应速度、以及内存/CPU等资源的使用率等。
为此,要求各个供应商提供相关性能报告,报告需涵盖丰富的性能指标以证明系统性能优异。
10、系统运维能力验证
要求供应商在部署过程中体现在运维监控、快速故障定位、自动化告警功能等方面的能力。
要求提供应急处理预案,明确系统遇到极端情况下处置措施,规避系统稳定性风险。
11、文档交付能力验证
联盟将对供应商所提供的技术资料进行细致评估,包括但不限于部署架构及应用交互文档、操作手册、用户指南、部署手册、运维手册、SDK兼容性测试报告、安全合规说明等。联盟将评估供应商的产品资料的完整性,便于联盟开发、理解和使用相关产品。
12、系统授权验证
要求供应商不得限制系统授权时限和APP授权数量。
二、征集时间
本项目征集自发布之日起至2025年4月7日17:00止。
三、合格供应商要求
(一)供应商须为在中国境内注册具有独立承担民事责任的主体且截至2025年3月31日成立时间超过3年;
(二)供应商财务状况良好,有依法缴纳税收和社会保障资金的良好记录;
(三)供应商及其董事、监事、高级管理人员未被列入失信被执行人、重大税收违法失信主体、政府采购严重违法失信行为记录名单;
(四)供应商有金融行业实施案例;
(五)供应商不在联盟服务提供商黑名单中;
(六)供应商必须具备安全合规资质,能提供安全合规材料,包括并不限于ISO27001信息安全管理体系认证证书等;
(七)供应商提供服务及其工具不涉及知识产权纠纷;
(八)供应商需现场参与POC。
四、报名所需提供的资料
(一)基本信息
1.合法有效的公司营业执照(提供原件电子扫描件)。
2.法定代表人或授权代表身份证原件电子扫描件(由授权代表报名的,还须提供加盖公章的法定代表人授权书原件电子扫描件)
3.遵守国家法律法规,在经营活动中没有违法记录,具备履行合同所必须的设备和专业技术能力(提供承诺函)。
4.提供以下供应商的相关打印页面及书面承诺函:
(1)提供国家企业信用信息公示系统(******) 中登记信息(含有股东信息)、以及 “列入严重违法失信企业名单(黑名单)信息”的截图;
(2)提供信用中国网(******/),有关“失信被执行人”及“重大税收违法案件当事人名单”的截图;
(3)无不良信用行为记录承诺函(格式自拟,提供加盖公章的原件电子扫描件)。
5.供应商整体情况介绍,包括基本信息、规模实力、信用状况、财务状况等。
6.供应商的人员规模、能力情况。
7.按照要求填写《附件:供应商信息表》。
8******商行联盟保留要求供应商补充提交资料的权利。
9.提供安全合规资质材料。包括并不限于ISO27001信息安全管理体系认证证书等。
(二)报名资料要求
1.请按上述要求提供报名材料,报名资料须提供加盖公章的原件扫描件,对******商行联盟将拒绝接受其报名。
******商行联盟视收到的上述资料不涉及商业秘密,所有供应商报名资料恕不退还。
五、注意事项
(一)本次公开征集不收取供应商的任何费用。
******商行联盟POC测试及集中采购活动。
(三)参与POC的供应商之间要有保密意识,不得泄漏测试命题、测试数据。参与测试的人员不允许以任何方式带出数据,一经发现,立即终止供应商******商行联盟POC测试的名额及后续集中采购活动。
(四)报名资料发送指定邮箱:
******;
sunjie01@bankalliance.com.cn
邮件标题格式为:公司全名+移动威胁感知系统针对新型黑产工具监测能力升级项目。报名邮件的容量超过10M时,请压缩、拆解成多个小于10M的邮件或以超大附件形式发送;报名资料以指定邮箱收到为准。
六、声明
******商行联盟有权选定并邀请全部或部分合格供应商参与本项目POC测试及采购活动。
供应商超期提交的,征集人不予受理。
七、联系方式
******有限公司
(二)地址:山东省济南市高新东区科创路1001号
(三)邮箱:******;
sunjie01@bankalliance.com.cn
特此公告。
******有限公司
2025年3月31日
供应商报名信息表(模板).docx
