厦门航空有限公司“移动安全平台项目”采购公告

厦门航空有限公司“移动安全平台项目”采购公告

 

厦门航空有限公司现对“移动安全平台项目”进行采购,现邀请符合条件的供应商报名,并提供满足需求的物资。采购项目相关信息如下:

一、    项目名称移动安全平台项目

二、   项目技术要求:

1.1防爬系统需求

1.2防爬系统

1、支持Web、IOS、Android、H5全平台,同时支持对非80、8080、443、8443等非常规端口的防爬防护。

2、通过异步处理用户客户端请求,将请求的各种信息如用户IP/UA/访问路径等数据传入后台反爬处理系统进行判断处理。通过针对用户行为和请求的分析,系统自主判断是否为爬虫并将其添加入黑/白名单。反爬系统允许后台管理员自主添加防护规则,IP访问频度等阈值,并允许调整参数在算法中的相应权重, 可方便灵活的配置规则,包括增、删、改、查操作。

3、后台管理系统需提供统计数据报表,为管理员决策或系统自主决策提供相关依据,如根据长期监测结果将长期有规律低频访问的代理IP加入黑名单等。

4、根据预先定义的判断规则,使用实时数据流处理技术,可实时判别访问请求是否是爬虫请求,响应时间低于500ms。

5、判定的爬虫请求,根据不同规则的严重程度,可对访问进行屏蔽或弹出验证码,验证码需支持全平台,并可根据规则调整难度。

6、支持每天1亿条以上的访问请求,支持对客户端的访问进行跟踪,记录和分析,通过分析结果反映系统运行的状态。支持根据通讯中HTTP的元素(URL,IP,session与cookie,UserAgent)进行大数据审计,通过数据分析找出风险行为。

7、部署在旁路,部署、运行都不可影响现有系统的正常运行。根据风险评估结果,以及用户配置的规则,做出防护操作,如弹出验证码、流量屏蔽等。支持提供拖动式、旋转式验证码,并根据风险级别定义验证码难度,区分是否有机器访问行为,支持Web,H5,IOS,Android。

8、可方便的配置在用户指定的任一接口上。

9、可兼容手机客户端的其他安全加固内容,如:容通讯协议保护、加固等技术方案。

10、需要提供现场工程师的技术支持,协助完成防爬系统配置,原则上不少于10人天。

11、若为云上服务,支持的业务带宽不少于500Mbps,同时提供1对1的专家服务。

12、产品至少需要提供三年服务和技术支持,技术支持需要7*24小时。

13、防爬策略需要及时更新,控制查询预定比在200:1左右。


21、加固需求:

2.  2  APP加固

1、要求安全软件独立于应用,能够对应用进行加固操作,应用无需进行集成开发即可完成加固过程。

2、要求应用加固后运行稳定,程序功能运行正常,用户体验无差别。

3、应用安全加固后,apk体积增加不超过3M。

4、应用安全加固后的应用apk安装包具备代码级别的安全防护机制,包括但不限于以下加固方式:

1)源代码保护,包括但不限于防反编译与混淆处理,防止代码被篡改。

2)防资源篡改与数据保护,包括但不限于对文件资源和数据库的加密,防止资源被窃取与篡改。

3)防内存修改保护,对运行中的应用进行内存数据保护,防止内存数据被修改和利用。通过对SO库加密等手段,防止黑客对应用进行代码调试。

4)Java层防hook、核心算法与加密算法的JAVA-C 转换、C层防hook,为应用提供高等级的安全防护及抗攻击能力。

5、使用安全软件对应用加固后,程序启动增加的时间不超过1s。

6、加固后的应用不存在与主流应用存在不兼容问题,不存在主流安全软件误报病毒问题。

7、加固后的应用,对于不同版本操作系统的兼容支持不得低于未加固前的98%。

8、加固后,支持APP热更新,具有安卓应用热修复功能、应具有iOS应用热修复功能。

9、针对我司的E鹭飞安卓手机客户端及苹果版客户端版本进行安全加固(苹果版加固方案为对代码进行混淆,其他不做强制要求),同时不限加固次数,同款应用的版本升级、衍生版本不另计数量。

10、产品需要提供三年服务和技术支持,技术支持需要7*24小时。

2. 2  APP通讯协议保护

1、应具备APP端通讯协议保护机制。

2、数据传输的机密性:利用白盒加解密算法对传输的报文数据进行加密。

3、白盒密钥应支持国际通用密钥算法,也支持国密算法;

4、身份验证机制:基于应用的身份信息对服务器和客户端交互进行身份验证,使非授权客户端无法访问服务器。

5、消息完整性验证,消息传输过程中使用哈希算法来检验消息的完整性。

6、支持Android, iOS平台。

7、公钥随机生成,可为不同用户分配不同加密密钥,且密钥可以动态进行切换,具有高度的灵活性和保密性。

8、产品需要提供三年服务和技术支持,技术支持需要7*24小时。

2.3 滑动验证码

1、滑动安全验证码能够在不增加正常人的识别难度基础上,增加验证码机器识别的难度,并通过流程的控制使得难以接入打码平台。

2、通过拖动滑条实现防止机器人的验证方式,应具备安卓app版本、iOS版本、触屏版本、Web官网页面版本的新滑动验证码模块。

3、支持滑动验证码形状多样性,支持9宫格,6宫格、 支持单行显示。

4、滑动验证码复杂度可配置。

5、图形验证码支持难易度可调节。

6、产品需要提供三年服务和技术支持,技术支持需要7*24小时。

2.4 渗透测试

提供两次免费的渗透测试,通过黑盒机制,以黑客视角,逆向分析,对APP功能进行破解,找出漏洞和缺陷,提供《安全检测报告》,并对结果进行培训讲解。测试内容包括但不限于以下方面:

1.软件逆向破解脆弱性检测。

2.软件漏洞扫描检测。

3.通讯数据安全脆弱性。

4.业务流程逻辑脆弱性。

5.移动端病毒、木马攻击测试。

6. 客户端身份认证机制安全相关。

7. 提供《安全检测报告》,并对结果进行培训讲解。

8. 提供本次服务测试发现问题的回归测试(不限回归测试次数)并协助修复问题。

9. 对于生产运行过程中,采购方提供的APP遭受攻击时,服务方负责诊断及恢复运行,并协助修复漏洞(服务期内提供不低于5�8技术支持)。



三、供应商资质要求

1、注册资本:人民币100万(含)以上;

2、具有法人资格或者具有独立承担民事责任的能力;

3、遵守国家法律、行政法规,具有良好的信誉;

4、能提供正规的增值税专用发票;

5、代理商必须有制造商的正式授权代理文件,并在采购合同签订前获得制造商对该项目的正式授权,明确产品最终用户是厦航;

6、不接受被列入厦航《供应商黑名单》及有违法违规记录的供应商报名。

四、供应商报名及获取采购文件的时间、方式

1、    供应商报名时间:截止至20181127日(含);

2、    采购文件获取时间:20181230日(含)前。

注:厦航仅向通过供应商考察评估的候选供应商发出采购文件及邀请函。

3、    报名方式:邮件报名。请发邮件至chenjikuan@xiamenair.com,并抄送cgyw@xiamenair.com 

六、报名需要提供的资料复印件或扫描件(资料原件备查)

1、   三证合一营业执照副本(复印件加盖公章)

2、   银行开户许可证(复印件加盖公章)

七、本采购公告的解释权归厦门航空有限公司。

特此公告。


厦门航空有限公司

      二〇一八年十一月十九日