江西省永晋招标咨询有限公司关于赣州银行2025年-2026年APP安全加固服务采购项目（项目编号：JXYJ2025-GZYH-G003）的公开招标公告

正文内容

项目概况 **银行****年-****年APP安全加固服务采购项目的潜在供应商按规定获取招标文件，并于****年*月**日**:**（**时间）前提交投标文件。 （一）项目编号：JXYJ****-GZYH-G*** （二）招标方式：公开招标 （三）招标内容： 项目名称 主要服务内容 及要求 数量 单位 预算金额（元） **银行****年-****年APP安全加固服务采购项目 详见采购项目需求 * 项 ******.** （四）投标方式：本项目不接受联合体投标。投标报价为一次性不得更改的最终报价，只允许一个报价，任何有选择的报价都将被拒绝。 （五）投标供应商资格要求： *、具有独立承担民事责任能力的法人或其他组织或自然人； *、具有良好的商业信誉和健全的财务会计制度； *、具有履行合同所必需的设备和专业技术能力； *、有依法缴纳税收和社会保障资金的良好记录； *、参加采购活动前三年内，在经营活动中没有重大违法记录。 （六）本项目特定资格要求： *、采购需求相关的服务承诺函； *、投标供应商具有中国信息安全测评中心颁发的安全运营类一级资质证书； （六）招标文件的购买：****年*月**日至****年*月*日（工作日内）上午**∶**——**∶**，下午**∶**——**∶**，在*************购买，招标文件工本费***元/份，文件售后不退（供应商将招标文件工本费转入采购代理机构的指定账户【户名：***************分公司，开户银行:**浦东发展银行股份有限公司**分行，账号：**** **** **** **** ****，转账时须备注项目编号及用途】，并填写好供应商报名登记表，将供应商报名登记表和工本费转账凭证通过电子邮件发送至***********邮箱，代理机构核实无误后，通过电子邮件将招标文件电子版发送至供应商所填写的邮箱中）。 （七）招标公告期限：发布之日起*个工作日。 （八）投标截止时间和开标时间、地点：****年*月**日**∶**（**时间）。开标地点：***************分公司开标室，届时请各投标供应商的投标代表携带投标文件及投标代表本人身份证明原件出席开标会，签到时间以递交投标文件及投标代表本人身份证明原件时间为准，逾期递交投标文件或投标代表本人身份证明原件的将不予受理，作无效投标处理。 （九）投标保证金:投标保证金人民币壹仟元整，应当以支票或汇票或本票或银行转账或金融机构、担保机构出具的保函等非现金形式提交。投标供应商采用银行转账方式的，应从各自银行账户（自然人参加投标的，从自然人的同名账户银行账户）全额转入采购代理机构的指定账户【户名：***************分公司，开户银行:**浦东发展银行股份有限公司**分行，账号：**** **** **** **** ****，转账时须备注项目编号及用途】，并于****年*月**日**：**（**时间）前到账，否则投标无效；投标供应商采用支票或汇票或本票或保函方式的，须于****年*月**日**：**（**时间）前将支票或汇票或本票或保函原件递交给采购代理机构，否则投标无效。未中标供应商的投标保证金,在《中标通知书》发出之日起五个工作日内无息退还，在质疑或投诉处理完毕后五个工作日内无息退还。中标供应商的投标保证金,在采购合同签订后五个工作日内无息退还。 （十）付款方式：合同签订后，中标供应商按照合同要求完成平台部署，经采购人验收合格后，提供合同金额**%的增值税专用发票给采购人，采购人将发票对应金额的款项支付给中标供应商。合同金额剩余**%在项目免费维保结束后，经双方确认平台使用及维护无遗留事项，中标供应商提供剩余应支付金额对应的增值税专用发票给采购人，采购人按照发票金额支付给中标供应商，不计利息。 （十一）联系方法： 采购代理机构：************* 地址：**省*****经济技术开发区迎宾大道*号“御景**”小区*#写字楼二楼 电话：****-******* 邮箱:*********** 联系人：徐云海、郭玲、熊蕾云 开户行：**浦东发展银行股份有限公司**分行 户名：***************分公司 账号：**** **** **** **** **** 网址：**银行官网（网址：http://www.bankgz.com/）、中国金融集中采购网（www.cfcpn.com） 采购单位：**银行股份有限公司 地址：***赣**大道**号 电话：****-******* 联系人：李先生、邓先生 ****年*月**日 附件*： 采购项目需求 （一）、服务内容 *.Android APP加固服务内容： 要求项 具体要求 备注 防逆向 DEX加壳保护 对DEX文件整体加密、加壳保护，防止反编译还原源代码，防止静态调试分析 DEX字符串加密 对DEX代码内的明文字符串进行加密保护，如密钥、接口地址、敏感信息等 DEX全量虚拟化保护技术（U-VMP） 支持全范围函数的虚拟化保护，VMP保护技术覆盖全部代码，防止静态分析和动态dump SO加壳保护 对SO文件进行加密、加壳保护，防止反编译 防环境风险 防USB调试攻击 支持防止通过USB连接电脑对手机应用进行调试 防日志泄露 支持防止攻击者通过分析应用日志信息获取敏感信息 防设备root 支持设备Root检测，对应用运行环境进行检测，判断设备是否已经Root进，确认后能够阻止应用运行 防模拟器 支持防止模拟器运行，对应用运行环境进行检测，判断是否运行在模拟器上，确认后能够阻止应用运行 防应用多开 支持防APP多开，对应用运行环境进行检测，判断是否通过VirtualApp等工具双开、多开应用，确认后能够阻止应用运行 防截屏 支持防止在应用运行过程中通过截屏非法窃取、捕获敏感数据，保护用户隐私数据安全、交易安全 兼容性要求 兼容性 承诺在中标后*个工作日内进行现场功能和性能演示，演示功能包括用户无感升级，含加固历史版本中的本地数据加解密兼容要求等（原合同APP加固厂商可提供解密服务） 需提供承诺函 *.iOS APP加固服务内容： 要求项 具体要求 备注 支持多种开发语言 Object-C/Object-C++ 支持对Object-C/Object-C++代码的源到源加固 Swift 支持对Swift代码的源到源加固 防调试 静态防调试 在应用源代码里智能添加大量防调试检测因子，与源代码深度耦合在一起，攻击者无法屏蔽、清除、绕过全部的防护检测点，有效防止通过GDB、LLDB等工具对代码进行动态调试 静态防注入 在应用源代码里智能添加大量防注入检测因子，与源代码深度耦合在一起，攻击者无法屏蔽、清除、绕过全部的防护检测点，有效防止通过Cycript指令、Reveal指令进行恶意代码注入 防环境风险 防越狱设备 支持自动检测设备是否越狱，在已越狱的设备上自动阻止App运行 防网络代理 支持自动检测是否存在网络代理设置，当发现APP在启用网络代理的环境上运行时，APP会闪退处理，防止基于代理的抓包分析。 证书文件加密 支持对证书文件加密，防止对证书文件的非法读取 证书文件绑定 支持对证书文件的绑定，自动绑定应用包名和签名，防止被非法盗用 内存hook行为检测 支持内存深度扫描，检测到frida hook行为则阻断App运行。 加固代码安全审计 加固结果可视化 输入的是源代码，加固后输出的是混淆加密的源代码，仍能够直观查看。 第三方组件引入风险审计 可以对加固后的源代码安全审计，检查有无引入第三方代码、组件等未知风险，特别是被篡改、感染后门的第三方组件等 应用问题定位 代码逐行定位问题 对问题的定位可同原包模式一致，支持代码逐行定位问题 加固后代码转换关系映射地图 支持SourceMap，便于研发人员对于加密后的代码与源代码对应关系、位置的识别，提高问题定位效率。 兼容性要求 兼容性 承诺在中标后*个工作日内进行现场功能和性能演示，演示功能包括用户无感升级，含加固历史版本中的本地数据加解密兼容要求等（原合同APP加固厂商可提供解密服务） 需提供承诺函 *.鸿蒙NEXT APP加固服务内容： 要求项 具体要求 备注 鸿蒙应用内ArkTS代码加固保护 源到源保护方案 使用“源到源加固技术”对鸿蒙NEXT应用内的ArkTS代码进行高强度混淆保护。 控制流平坦化混淆 对鸿蒙应用内的ArkTS代码的代码分支、控制流程进行扁平化、平坦化混淆，让攻击者无法理解SDK内代码处理流程和逻辑关系。 虚假控制流 在鸿蒙应用内的ArkTS代码内的添加无实际功能的虚假控制流，让攻击者走入错误的处理逻辑当中，增加逆向破解SDK难度。 字符串加密 对鸿蒙应用内的ArkTS代码内的敏感字符串进行加密处理，防止如url、密钥等敏感字符串信息被攻击者读取和恶意利用。 函数名称混淆 对鸿蒙应用内的ArkTS代码的局部函数名称进行混淆处理，增加SDK代码的不可阅读性，防止攻击者对ArkTS代码的逆向破解。 参数名称混淆 对鸿蒙应用内的ArkTS代码的参数名称进行混淆处理，增加SDK代码的不可阅读性，防止攻击者对ArkTS代码的逆向破解。 常量混淆 对鸿蒙应用内ArkTS代码的常量进行混淆处理，增加代码的阅读难度，防止攻击者利用SDK代码内的常量信息进行攻击。 变量混淆 对鸿蒙应用内ArkTS代码的变量名称进行混淆处理，增加代码的不可阅读性，防止攻击者利用SDK代码内的变量信息进行攻击。 表达式混淆 对鸿蒙应用内ArkTS代码的表达式进行混淆处理，增加SDK代码的不可阅读性。 伪代码植入 向鸿蒙应用内ArkTS代码内添加无实际意义、不会被执行的伪代码，增加攻击者的逆向破解难度 多样性混淆 实现每次鸿蒙应用加固后的ArkTS代码均以不同的混淆效果呈现，增加攻击者的逆向破解难度 字符串加密范围自定义功能 支持指定ArkTS代码内不参与字符串加密的字符串，支持正则表达式匹配规则，通过屏蔽无必要加固的字符串，提高鸿蒙应用加固处理效率。 鸿蒙应用内C/C++代码加固保护 最小细粒度基本块切割 以最小细粒度对鸿蒙应用内的C/C++代码进行分块切割，实现对鸿蒙应用内C/C++代码的最小保护单元处理，增强混淆效果。 控制流平坦化混淆 对鸿蒙应用中的C/C++代码内控制流进行平坦化、扁平化混淆，将单一的控制流混淆为大量的虚假的并行处理逻辑，让攻击者找不到正确的入口。 伪造控制流 在鸿蒙应用内的C/C++代码内随机插入虚假的代码块，增加代码逆向分析难度。 字符串加密 对鸿蒙应用内的C/C++代码中的字符串进行加密保护，防止敏感的字符串信息被攻击者查看和利用。 指令替换 把鸿蒙应用内的C/C++代码内的单一指令替换为等效的多条指令，从而提高代码复杂度，为阅读和反编译代码造成困难。 鸿蒙应用内SO二进制文件加固保护 SO文件加固保护 支持对鸿蒙应用内的SO文件进行加固保护，防止逆向分析。 防环境风险 防模拟器运行保护 支持防止鸿蒙NEXT应用在模拟器上运行，防止基于模拟器的攻击行为。 *.SDK加固服务内容： 要求项 具体要求 备注 防逆向 Jar文件加壳保护 对Jar文件整体加密、加壳保护，防止反编译 字符串加密 对Java代码内的的明文字符串进行加密保护 虚拟化保护 将Java字节码转换为自定义的虚拟机操作码，以自定义虚拟机进行解释运行。 SO文件加壳保护 对SO文件进行加密加壳保护，防止反编译 防调试 防动态调试 防止利用调试技术或工具对应用进行内存动态调试 防外挂、修改器 防止各类游戏外挂、应用修改器、变速器 防Xposed hook攻击 防止利用Xposed工具进行Hook攻击 防Frida hook攻击 防Frida工具进行Hook攻击 支持格式 ZIP格式 支持加固*.zip格式SDK AAR格式 支持加固*.aar格式SDK Jar格式 支持加固*.jar格式SDK *.配套服务内容： *.* 加固工具需要本地化部署。 *.* 每次加固完后，需要对加固的APP及SDK进行兼容性测试，并在提交测试后的*个工作日内完成兼容性测试并反馈测试报告，兼容性测试应该覆盖目前*场主流机型，按照服务承诺测试机型≥***种，同时兼容性测试场景应包括安装、启动、monkey、卸载等。 *.* 应及时对加固产生的不兼容问题进行跟踪解决。 *.* 每款APP每年提供至少一次渗透测试服务。 *.* 提供APP渠道监测服务，每月提供APP监测月报。 *.* 提供****小时远程技术支持服务，若远程无法解决问题，需在故障确认后*小时内派遣技术人员抵达现场。 *.* 每年至少提供两个APP（或小程序）隐私合规评估服务，APP（或小程序）由客户指定。 *.* 每半年至少提供一次系统巡检服务，对加固平台运行状态、安全加固策略配置情况进行巡检，并给出加固策略配置建议。 （二）、商务要求 *.服务期限：自合同签订之日起* 年。 *.服务地点：采购人指定地点。 *.付款方式：合同签订后，中标供应商按照合同要求完成平台部署，经采购人验收合格后，提供合同金额**%的增值税专用发票给采购人，采购人将发票对应金额的款项支付给中标供应商。合同金额剩余**%在项目免费维保结束后，经双方确认平台使用及维护无遗留事项，中标供应商提供剩余应支付金额对应的增值税专用发票给采购人，采购人按照发票金额支付给中标供应商，不计利息。 *.履约保证金：本项目无需履约保证金。 *.验收要求及标准：按照“三、采购项目需求（一）服务内容”的要求完成Android APP加固软件、IOS APP加固软件、鸿蒙NEXT APP加固软件和SDK加固软件部署，并且*个软件每个软件授权使用时间都不低于*年，每个软件授权使用数量都不低于*个APP或*个SDK。 产品/服务名称 产品/服务授权 数量 Android APP加固软件 软件*年使用授权 *个APP加固授权 IOS APP加固软件 软件*年使用授权 *个APP加固授权 鸿蒙NEXT APP加固软件 软件*年使用授权 *个APP加固授权 SDK加固软件 软件*年使用授权 *个SDK加固授权 附件* 项目报名登记表 报名单位名称 报名日期 项目名称 项目编号 联系人 联系电话 电子邮箱 报名资料明细