2023年中國電信貴州公司W(wǎng)EB/APP防護系統(tǒng)改造項目應用軟件采購-招標


1、招標范圍
1.1、招標內(nèi)容：本項目為2023年中國電信貴州公司W(wǎng)EB/APP防護系統(tǒng)改造項目應用軟件采購，本次采用一事一議合同形式。具體采購內(nèi)容詳見“第五章技術規(guī)范書”。

序號一級功能二級功能功能描述數(shù)量單位
1WEB動態(tài)防御動態(tài)令牌對當前訪問頁面內(nèi)的合法請求地址授予一定時間內(nèi)有效的一次性動態(tài)令牌，攔阻沒有令牌、令牌過期、令牌重用等非法請求。2套
2動態(tài)驗證對客戶端瀏覽器隨機選取檢測的項目與數(shù)量進行真實性動態(tài)驗證，防止惡意終端訪問。
3動態(tài)混淆對訪問過程中涉及的敏感數(shù)據(jù)（postdata、URLargs、responsedata等）進行動態(tài)混淆，防止偽造請求、惡意代碼注入、竊聽或篡改交易內(nèi)容等攻擊行為。
4動態(tài)封裝對網(wǎng)頁代碼的敏感內(nèi)容（鏈接、表單結(jié)構(gòu)、JS代碼、Cookie等）進行動態(tài)封裝，防止代碼分析和調(diào)試，隱藏業(yè)務邏輯和攻擊入口。
5APP動態(tài)防御移動端動態(tài)環(huán)境驗證通過對客戶端與服務器的動態(tài)雙向驗證，嚴密檢查移動端運行環(huán)境、設備指紋等因素，防止惡意終端訪問。2套
6移動端動態(tài)封裝混淆通過一系列復雜算法對移動端接口交互的所有數(shù)據(jù)（如requestbody、responsebody等）進行動態(tài)變換，將明文信息轉(zhuǎn)化為毫無規(guī)律的亂碼，從而防止偽造請求、惡意代碼注入、竊聽或篡改交易內(nèi)容等攻擊行為。
7移動端動態(tài)令牌為用戶端提出的合法訪問請求分配的一次性“通行證識別碼”，用戶端每個請求附帶的令牌都需要通過服務器端的校驗，從而防止違規(guī)訪問等惡意行為。
*************************此行內(nèi)容正式會員可見，請登錄后查看******************************
9動態(tài)技術國密支持保護站點的動態(tài)技術包含的數(shù)據(jù)通信將支持國密算法進行加解密，包括動態(tài)封裝、動態(tài)令牌、動態(tài)混淆等。
10APP加殼Android加殼提供DEX代碼整體加殼、DEX類動態(tài)保護技術、DEX虛擬化保護技術、字符串加密、so文件加殼、SO動態(tài)清除保護技術等防止代碼被反編譯逆向分析。2套
11提供APK完整性保護、APK簽名校驗保護、代碼防篡改、資源文件防篡改等功能保障應用完整性，防止被篡改及二次打包。
*************************此行內(nèi)容正式會員可見，請登錄后查看******************************
13通過數(shù)據(jù)透明加密技術對APK內(nèi)的數(shù)據(jù)文件、配置文件、資源文件進行加密保護，防止敏感數(shù)據(jù)泄露。
14提供防截屏錄屏、防日志泄漏、模擬器檢測、ROOT及越獄檢測、應用多開檢查、網(wǎng)絡代理檢查等運行時環(huán)境保護能力。
15小程序加殼代碼保護：通過代碼緊湊、防格式化、控制流平坦化、函數(shù)混淆、JS虛擬化保護、偽造控制流等保護代碼安全。2套
16動態(tài)保護：通過防調(diào)試保護、防控制臺輸出等保護小程序安全。
17加殼代碼保護：通過代碼緊湊、整體加殼、控制流平坦化、函數(shù)混淆、多樣性混淆、常量混淆、JS虛擬化保護、表達式混淆等保護代碼安全。2套
*************************此行內(nèi)容正式會員可見，請登錄后查看******************************
19APP綜合化檢測Android應用檢測對Android應用自身風險和安全（權限過度聲明風險、未保護的自定義權限風險、應用測試模式發(fā)布風險、來源安全、應用權限安全、控制力安全）、程序源文件安全、本地數(shù)據(jù)存儲安全、通信數(shù)據(jù)傳輸安全、內(nèi)部數(shù)據(jù)交換安全、組件安全、惡意攻擊防范能力進行檢測，發(fā)現(xiàn)Android應用存在的漏洞風險，防止敏感信息泄露。2套
20微信公眾號/小程序檢測對微信公眾號/小程序進行自身安全（基本信息、權限信息、服務開放端口）、通信傳輸安全、數(shù)據(jù)泄露風險、組件漏洞風險、HTTP不安全配置檢測。4套
21工單推送告警工單推送通過告警策略機制對探測到的運行風險、攻擊和威脅生成告警工單，采用信息外送方式經(jīng)由網(wǎng)絡安全威脅監(jiān)測系統(tǒng)與SOC之間的接口講告警工單推送到SOC，由SOC系統(tǒng)派單進行相應處理。1項
22加殼任務推送經(jīng)由網(wǎng)絡安全威脅監(jiān)測系統(tǒng)與SOC之間的接口，向SOC推送加殼任務工單，規(guī)范應用上線發(fā)布前的加殼、檢測等安全機制。
23接口開發(fā)與網(wǎng)絡安全威脅監(jiān)測系統(tǒng)接口動態(tài)防御與網(wǎng)絡安全威脅監(jiān)測系統(tǒng)接口，將系統(tǒng)產(chǎn)生的告警信息、攻擊事件、風險監(jiān)測數(shù)據(jù)發(fā)送給網(wǎng)絡安全威脅監(jiān)測系統(tǒng)，輔助網(wǎng)絡安全威脅監(jiān)測系統(tǒng)形成攻擊者畫像。1項
24與數(shù)據(jù)安全防護系統(tǒng)接口動態(tài)防御與數(shù)據(jù)安全防護系統(tǒng)接口，將瀏覽器訪問記錄發(fā)送給數(shù)據(jù)安全防護系統(tǒng)。
25APP加殼接口開發(fā)針對不同形態(tài)的應用，系統(tǒng)經(jīng)由APP加殼接口將加殼流程相關數(shù)據(jù)發(fā)送至相應目標系統(tǒng)。
1.2、本項目預估金額為139.72萬元人民幣（不含稅）。
1.3、交付期限：合同簽訂之日起30天完成交付上線。
1.4、技術標準要求：按招標文件第五章技術標準要求執(zhí)行。
*************************此行內(nèi)容正式會員可見，請登錄后查看******************************
1.6、交貨地點：貴州省范圍內(nèi)招標人指定地點。
1.7、保修期：12個月，從驗收證書簽發(fā)之日起開始計算。
1.8、合同履約期限：雙方合同自簽訂之日起生效，至雙方完全履行合同項下的所有義務且雙方之間的所有付款和索賠已結(jié)清后結(jié)束。
1.9、本項目不劃分標包及份額，中標人數(shù)量：1人。
??2、投標人資格要求
2.1、投標人基本資格要求
2.1.1★投標人應為中華人民共和國境內(nèi)法律上和財務上獨立的法人或依法登記注冊的其他組織，合法運作并獨立于招標人和招標代理機構(gòu)?！?br />2.1.2★具備有效期內(nèi)的合法企業(yè)工商營業(yè)執(zhí)照?！?br />2.1.3★投標人的法定代表人或負責人為同一人或者存在控股、管理關系的不同投標人，不得參加同一標包投標或者未劃分標包的同一招標項目投標。★
2.1.4★投標人承諾中標后實現(xiàn)現(xiàn)有系統(tǒng)（WEB/APP防護系統(tǒng)）的無縫對接，根據(jù)技術規(guī)范書的改造要求，改造完成后保證本系統(tǒng)及直接相連的相關系統(tǒng)的原功能不受損（提供承諾，格式自擬）?！?br />2.1.5★不接受投標人通過OEM、代理等方式提供應用軟件產(chǎn)品，投標人提供的應用軟件必須是投標人自有知識產(chǎn)權的產(chǎn)品，需提供所投軟件的著作權證明材料。★
2.1.6★本項目不接受聯(lián)合體投標。★
2.1.7★本項目不接受代理商投標?！?br />2.2★投標人不得存在下列情形之一
（1）為招標人不具有獨立法人資格的附屬機構(gòu)（單位）；
（2）被依法暫?；蛉∠稑速Y格的；
（3）被責令停產(chǎn)停業(yè)、暫扣或者吊銷許可證、暫扣或者吊銷執(zhí)照；
（4）進入清算程序，或被宣告破產(chǎn)，或其他喪失履約能力的情形；
（5）在最近三年內(nèi)[投標截止時間前36個月]被相關行業(yè)主管部門或司法機關認定有騙取中標、嚴重違約、重大工程質(zhì)量或者安全問題的；
（6）在最近五年內(nèi)[投標截止時間前60個月]被判處單位行賄罪，且行賄行為與采購活動相關的（以“中國裁判文書網(wǎng)”的生效判決為準）；
（7）在最近五年內(nèi)[投標截止時間前60個月]被判處合同詐騙罪的（以“中國裁判文書網(wǎng)”的生效判決為準）；
（8）被最高人民法院在“信用中國”網(wǎng)站（www.creditchina.gov.cn）或各級信用信息共享平臺中列入失信被執(zhí)行人名單；已執(zhí)行完畢或不再執(zhí)行的除外；
（9）為本招標項目提供過設計、編制技術規(guī)范和其他文件的咨詢服務；
（10）為本工程項目的相關監(jiān)理人，或者與本工程項目的相關監(jiān)理人存在隸屬關系或者其他利害關系；
（11）為本招標項目的代建人；
（12）為本招標項目招標代理機構(gòu)；
（13）與本招標項目的監(jiān)理人或代建人或招標代理機構(gòu)同為一個法定代表人；
（14）與本招標項目的監(jiān)理人或代建人或招標代理機構(gòu)存在控股或參股關系；
（15）被工商行政管理機關在國家企業(yè)信用信息公示系統(tǒng)中列入嚴重違法失信企業(yè)名單的；
（16）其他按照《中國電信供應商不良行為管理規(guī)則》、《中國電信貴州公司供應商安全生產(chǎn)不良行為管理實施細則》及處理結(jié)果，應對投標人及其投標產(chǎn)品品類在本項目中執(zhí)行禁止采購處理措施的。同一標包或未劃分標包的同一招標項目涉及多個產(chǎn)品評估品類的，投標人及其任一投標產(chǎn)品品類涉及相關禁止采購處理結(jié)果的，該標包或招標項目應適用相關的禁止采購處理措施。
（17）法律法規(guī)、招標文件限定的其他情形。
投標人是代理商的，本條所指的投標人也包括其所代理的制造商；聯(lián)合體投標的，聯(lián)合體成員均不得存在上述任一情形。★
2.3、投標產(chǎn)品資格要求
2.3.1★APP加殼產(chǎn)品具備有效期內(nèi)的《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》或依據(jù)《關于調(diào)整網(wǎng)絡安全專用產(chǎn)品安全管理有關事項的公告》（2023年第1號）要求，通過第三方檢測機構(gòu)的安全認證（或安全檢測）。（提供APP加殼產(chǎn)品的《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》證書掃描件或相關網(wǎng)站查詢截圖并加蓋單位公章，產(chǎn)品類型須為“移動互聯(lián)網(wǎng)應用程序安全加固產(chǎn)品”類或提供APP加殼產(chǎn)品的安全認證（或安全合格）檢測報告，且第三方檢測機構(gòu)為列入《承擔網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品安全認證和安全檢測任務機構(gòu)名錄》提供證明材料）?！?br />3、資格審查方法
????本項目將進行資格后審，資格審查標準和內(nèi)容見招標文件第三章“評標辦法”，凡未通過資格后審的投標人，其投標將被否決。
4、招標文件獲取
4.1招標文件獲取時間：2023年09月05日09時00分至2023年09月11日12時00分，（北京時間，下同）。
5、投標文件的遞交
????5.1投標文件遞交截止時間（即投標截止時間，下同）為：2023年09月22日09時30分。


友情提醒：報名前與下方聯(lián)系人索取投標登記表，以及辦理后續(xù)事宜。
聯(lián)系人：郝亮
手機：13146799092
郵箱：1094372637@qq.com