一、项目概况 (一)项目名称 : 移动威胁感知系统针对新型黑产工具监测能力升级项目 (二)基本情况 山###市商业银行合****公司移动威胁感知系统针对新型黑产工具监测能力升级项目 拟 启动,为了能够获得最符合商行联盟需求的产品和服务,保证联盟需求正常落地,现征集优质的 具备 移动端安全监测能力 的 供应商进行 POC测试。 (三) 测试内容 本次 POC测试计划 分别对 供应商 提供 Android端和ios 端安全监测能力 进行测试。测试内容包括以下方面: 1、 安全 监测能力 验证 Android端 : 要求供应商提供 Android端监测能力 必须包含 但不仅限于以下监测能力: (1) root、框架 攻击工具( Frida、Xposed、Magisk、LSPosed、EdXposed等新型、新版本工具) 、虚拟环境 ( VirtualXposed、太极APP) 、屏幕共享、使用 VPN、开发者模式、调试、风险进程、定制rom、 改机工具、正在 通话 中、无障碍模式风险、新版安卓系统内存分页特征( 16K内存分页安卓设备感知)等 环境风险监测能力。 (2) 注入攻击、调试行为、模拟器、云手机、人脸绕过、 Http代理、位置欺诈、 证书库异常、 应用破解、 应用多开等 攻击监测能力。 IOS 端 : 要求供应商提供 IOS 端监测能力 必须包含 但不仅限于以下监测能力: (1) 越狱 (包含新型隐藏越狱特征识别) 、框架 攻击工具( Cydia、Sile、Zaber等新型、新版本工具) 、 macOS(ARM架构、intel x86系列芯片)监测 、 定制 ROM、改机工具、 屏幕共享、使用 VPN、 正在 通话 中 等风险环境监测能力 。 (2) 越狱后高频安装插件特征、 注入攻击、调试行为、模拟器、云手机、人脸绕过、 Http代理、Https劫持、位置欺诈、域名欺诈、应用破解等攻击监测能力。 2、 异常操作行为监测能力验证 要求供应商提供异常操作行为监测能力 必须包含 但不仅限于以下监测能力: 高频 更换设备、更换 IP、更换地域 、高频启动 APP 等异常操作行为的监测能力。 3、 隐私合规要求 验证 要求供应商 服务采集的设备环境信息、索要用户权限等需满足监管部门规定的隐私合规要求 。 要求供应商提供第三方隐私合规监测报告。 4、 管理台验证 要求供应商提供以下可视化管理台 ,可对数据进行查询、 统计 、分析 等功能: (1) 在管理台展示风险请求详情,风险攻击、设备信息(设备型号和系统)、 IP信息(IP地址和归属地)、用户信息等。 (2) 管理台能对风险请求通过 用户 ID、 设备标识、 IP等进行 关联和查询 。 (3) 具有风险统计 、设备详细画像 等数据统计功能。 5、 策略配置验证 要求供应商提供自定义策略配置功能和名单管理库等功能: (1) 要求供应商提供自定义策略配置的功能,可定义、修改风险策略的监测能力、风险等级和处置策略等。 (2) 要求供应商提供风险设备管理、风险 IP管理等规则。 (3) 名单具备自动封禁、解封禁和手动一键封禁等名单管理功能。 6、 系统架构部署能力验证 要求供应商提供系统架构和部署能力需满足以下要求: (1) 要求支持容器化架构设计,允许根据负载动态横向扩展实例数量。 (2) 要求系统支持信创技术标准,兼容 X86-64、ARM架构CPU,支持麒麟V10、信创UOS国产操作系统 ,支持 goldendb数据库 。 (3) 要求支持系统私有化部署 。 (4) 要求系统所需 开源软件满足联盟技术栈要求 。 7、 与现有系统对接能力验证 要求供应商具备与联盟现有移动威胁感知****网关等系统对接能力: (1) 系统具备通过 Kafka将风险等级、风险处置和风险标签等数据接出的能力。 (2) 要求供应商提供 与现有 系统对接方案。 8 、安全合规能力 验证 要求 供应商 展示其解决方案在数据安全和隐私保护方面的措施,包括加密通信、数据存储安全、用户认证等。 联盟将 评估 供应商 解决方案的安全能力,以及对当前国内 相关 数据保护法律法规的遵循程度 。 9、 系统 性能验证 联盟将 采购系统 性能进行详尽评估,包括 响应速度、 以及 内存 /CPU等资源的使用率 等 。 为此,要求 各个 供应商 提供 相关性能 报告,报告 需涵盖丰富的性能指标以证明 系统性能优异。 1 0 、 系统运维能力验证 要求供应商在部署过程中体现在运维监控、快速故障定位、自动化告警功能等方面的能力。 要求提供应急处理预案,明确系统遇到极端情况下处置措施,规避系统稳定性风险。 11、文档交付能力验证 联盟将对供应商所 提供的技术资料 进行细致评估, 包括 但不限于部署架构及应用交互 文档、操作手册、用户指南、部署手册、运维手册、 SDK兼容性测试报告、安全合规说明等。 联盟将 评估 供应商的 产品资料的完整性, 便于联盟开发、理解和使用相关产品。 12、 系统授权验证 要求供应商不得限制系统授权时限和 APP授权数量。 二、征集时间 本项目征集自发布之日起至 202 5 年 4 月 7 日 17 :00止。
本招标项目仅供 正式会员查阅,您的权限不能浏览详细信息,请点击注册/登录,请联系工作人员办理入网升级。
联系人:张培
电话:010-53658120
手机:13718359801 (欢迎拨打手机/微信同号)
邮箱:zhangpei@zbytb.com
