广东招标网


1、项目概况

为 (略) 移动应用系统的稳定、 (略) 。积极响应国家、 (略) 省、 (略) 市信 (略) 门对移动应用安全的监管要求，为提升移动应用安全水平，确保满足合规及安全要求，特启动移动应用安全检测项目。

本项目内容为： (略) 2018年移动应用漏洞扫描及风险评估服务项目。

中标人应与建设单位就此项目签订合同。

2、项目依据

1.国家信息化领导小组《关于加强信息安全保障工作的意见》（中办发[2003]27号）

2.《政府信息系统安全检查办法》（国办发[2009]28号）

3.《 (略) 市人民政府信息系统安全检查办法》（深府办[ * 号）

4. (略) 络与信息安全协调小组《关于开展信息安全风险评估工作的意见》（国信办[2006]5号）

5.中共中央办公厅、 (略) 办公厅《关于促 (略) 健康有序发展的意见》

6. (略) 《关于加 (略) 应用服务安全管理工作的通知》（ (略) 第660号令）

7.全国人民代 (略) 《中华 (略) 络安全法》（ * 日起生效）

8.2017《网络安全等级保护基本要求－ (略) 分：移动互联安全扩展要求》

9. (略) 市经济贸 (略) 《关于做好党政机关AP (略) 络安全防护工作的通知》 深经贸信息测评字[2018]1号文。

3、项目目标

建立移动APP安全防护长效机制，通过全面深入检测，发现当前移动APP中存在的安全问题，从而提升移动APP安全现状水准及满 (略) 门合规要求。

4、服务清单



注：APP和公众号的信息和数量为当前统计，本次招标应包括现有和2 (略) (略) 移动应用漏洞扫描及风险评估服务。

5、APP及微信公众号安全检测项目技术要求

应结合多项移动应用安全的标准及规范和移动APP、微信公众号以及微信小程序自身的脆弱性。移动应用安全检测服务范围涵盖APP客户端、通信链路和服务器端的多方面和多维度。检测内容主要包含但不限于：

运行环境安全检测

软件自身安全检测

用户操作安全检测

数据安全检测

通信安全检测

业务安全检测

5.1配置安全

能够对APP (略) 预处理，利用深度静态检测技术从安装包中抽取获取客户端XML配置文件，对XML (略) XML结构扫描，智能识别不安全配置，至少判断是否存在以下风险：

Android四大组件暴露

危险性识别及冗余权限

允许调试

允许备份

隐藏启动代码

未保护地申明自定义权限

允许访问路径等风险

5.2通信安全

能够对被测系统客户 (略) (略) 理，基于深度静态 (略) 壳分析、逆向分析，进行词法、语法、控制流、数据流和污点分析等技术对 (略) 扫描，依据相关特征，至少能检测以下通讯使用情况：

使用安全通信协议

安全套接字

服务端证书校验

客户端证书绑定等情况

5.3漏洞检测

能够对被测系统客户 (略) (略) 理，基于深度静态 (略) 壳分析、逆向分析，根据漏洞特征，至少能够检测以下漏洞、风险：

(略) (略) ROOT权限检测

是否对 (略) 加密

WebView (略) 漏洞

WebView密码明文保存漏洞

WebView file域同源策略绕过漏洞

WebView不校验https证书漏洞

有风险的Webview接口

AES/DES弱加密风险

本地数据存储安全

file配置安全风险

Database配置模式安全风险

数据备份配置安全

HTTPS中间人劫持漏洞

日志泄露风险

(略) 理

5.4行为分析

能够对被测系统客户 (略) (略) 理，基于深度静态 (略) 壳分析、逆向分析， (略) 为特征，至少能 (略) 为：

root环境检测

模拟器环境检测

对存储卡的操作

对设备信息的操作

对联系人操作

对短信的操作

获取地理位置

5.5资源文件、第三方开发包安全检测

能够对被测系统客户 (略) (略) 理，利用深度静态检测技术从安装包中抽取获取客户端相关资源文件目录和资源文件， (略) 壳分析、逆向分析获取客户端程序源文件。遍历相关资源文件和程序源文件，依据资料类型、标识、内容等属性，至少能分析以下内容：

证书文件

URL检测

email检测

个人帐号密码信息

手机号检测

广告SDK检测识别和归类

支付SDK检测识别和归类

推送SDK检测识别和归类

统计SDK检测识别和归类

5.6控制力检测

能够对被测系统客户 (略) (略) 理，能够根据申请的权限情况依据权威算法综合计算被测客户端的控制力。

5.7Android客户端动态检测模块

*应将目标应 (略) 在真机环境中， (略) 以下项目的动态检测：

二次打包检测：对 (略) 解包再打包操作，检测应用是否具备反二次打包的安全功能；

Acitivity劫持检测：对目标应用的Activi (略) 劫持，检测应用是否具备提示或者防止被劫持的安全功能；

动态调试检测：对 (略) 动态调试，检测应用是否具备防止调试的功能；

SO注入检测：对 (略) so注入，检测应用是否具备防止进程/线程注入的功能；

本地SQL注入检测：检测目标应用的Provider组件是否存在本地SQL注入漏洞；

敏感信息泄漏检测：检测目标应 (略) 时打印、泄漏敏感信息；

(略) 为监控：对目 (略) (略) 监控，判断是否存在危险操作；

应用流量截获和分析： (略) (略) 截获，并交与服务端漏洞 (略) 分析。

图形验证码识别：对 (略) 时的图 (略) 机器识别，检测应用图形验证码是否可以被机器识别；

信息显示安全:对 (略) 时界面显示的个人敏感 (略) (略) 理防止信息泄漏；

重放攻击检测:对 (略) (略) (略) 检测， (略) 络请求是否存在重放攻击；

键盘劫持检测：对 (略) 时 (略) 检测，检测是否可以监听记录键盘输入。

5.8 iOS应用/源码文件安全检测

对iOS平台下的目标应用/源代码文件提供至少包含以下检测点的检测：

编译安全检测：对应用编译时的内存 (略) 检测（PIE、SSP、ARC等）；

运行安全检测：运行时是否打印日志、是否使用webview组件等等；

代码安全检测：是否调用不安全的函数或者不安全地调用加密函数等等；

资源文件安全检测：对资源文件的敏感信息及 (略) 检查；

5.9 服务端漏洞检测

* 对基于C/S架构的目标应用程序，提供对S（服务器）端的安全检测功能。包括：

SQL注入检测；

XSS（跨站点脚本引用）检测；

CSRF（跨站点请求伪造）检测；

弱口令检测；

敏感信息泄漏检测；

(略)

目录遍历

5.10检测报告展示功能

应通过图表、逐条展示应用检测结果，并对应用 (略) 评分；

展示内容至少包含：应用名称、安全等级、版本号、提交时间、签名信息、应用图标等；

展示图表类型至少包括：指针图、柱形图、饼形图等，图例需标注清晰；

安全检测项目展示中应采用不同颜色显示不 (略) 全级别的项目，使用颜色应符合采购方要求。

导出报告内容至少包含2种类型。其中一个概要报告：将应用检测项目结果通过列表清晰展示检测结果；一个详细报告：报 (略) 有风险项目的风险内容、安全等级、检测详情、修复建议，其中检测详情必须精确到代码级、文件级；

可导出类型报告不少于一种，必须包含pdf类型、word类型。

6、 (略) 要求

(略) 应当包含以下角色配置，并满足相应基本条件要求：



注：投标单位应根据实 (略) 要求派 (略) ，项目经理负责对其派出人员的监督和管理。

7、项目总体要求

投标人必须响应下列要求：

1.项目服务周期为合同签订后十二个月。

2.本项目服务费用为10万元人民币以内。

3.提交资料文件(所有资料一正两副)

4.投标人中标后在项目中用于安全检测使用的安全 (略) 商正版授权、符合国家安全标准及用户提出的有关质量标准的设备和产品，投标时提供移动安全漏 (略) 商使用授权书。

5.投标人中标后必须与用户签订保密协议，不得 (略) 接触获得的信息。

6.若因投标人的原因造成信息安全绩效扣分，第一次扣除合同金额的5%，两次视作违约，招标方有权即时终止合同。

7.本项目服务合同内容除服务清单外，该服务项目应根据我市本年度信息安全绩效考核移动应用的要求做到全覆盖。

8.当移动应用出现安全隐患时，投 (略) 应 (略) 理。

9.招标方在提交移动应用版本更新或新上线的程序后，投标人应在3个工作日安排测试检查，并提交漏洞扫描报告，并应及时跟踪进度安排复查。

8、资质要求

1.投标人必须是在中华人民共和国境内注册并合法运作的独立法人机构， (略) (略) 门颁发的企业法人《营业执照》副本或事业单 (略) 颁发的事业单位法人证书副本复印件；

2.注册资金人民币500万元及以上；

3.投标人必须具有 (略) 市政府采购注册供应商资格（ (略) 址：http:/ *** ），须提供 (略) 市政府采购供应商注册卡复印件；

4.投标人必须具有中国信 (略) 颁发的信息安全服务资质证书；

5.本项目不接受联合体投标，不允许转包分包。

9、投标时间及地址

所有投标文件须于 * 日10：00前送至 (略) 市 (略) 区笋岗东路12号 (略) A座1816室。联系人：张步波 联系电话： ***

10、评分标准：

序号 评分因素 分值 评价内容
一 投标报价 20 综合评分法中的价格分统一采用低价优先法计算,即满足招标文件要求且投标价格最低的投标报价为评标基准价,其价格分为满分。其他投标人的价格分统一按照下列公式计算:  
投标报价得分=(评标基准价/投标报价)×分值
二 (略) 分 60 1、整体方案（10分）
依据投标人提供的整体方案的完整性、合理性、提交 (略) 、实施人员安排、项目计划安排，满足项目实施要求及工期要求， (略) 有需求，采用的技术方法和技术手段先进且符合本单位的实际需 (略) (略) 横向比较。
评分标准：优（8.1-10分）；良（5.1-8.0分）；中（3.1-5.0分）；差（0-3.0分）。
2、拟使用的移动安全漏洞扫描及风险评估工具情况（20分）
1、投标人为移动安全漏洞扫描及风险评 (略) 商的。得20。
2、投标人取得移动安全漏洞扫描及风 (略) 商授权书，得10分。
3、无专业的移动安全漏洞扫描及风险评估系统工具的，不得分。
注：
1. 须提供移动安全漏洞扫 (略) 商授权书或移动漏洞扫描工具采购合同等证明资料，原件备查。
2. (略) 的移动安全漏洞扫描工具，要求提供《软件著作权登记证书及销售许可证书》。
（以上证明文件加盖投标人法人公章为准，原件备查，提供的证明文件不满足要求或未提供证明文件的不得分。）
3、拟安排的项目负责人情况（8分）
项目负责人 * 日（以合同签订或委托书时间为准）至今承担制定国家信息安全技术类标准课题研究的，得4分数，否则不得分；
项目负责人具有CSA云安全联盟认证的C-CCSK云计算安全知识认证，得2分，否则不得分；
项目负责人具有中 (略) 业联合会颁发的信息系统集成及服务项目管理人员项目经理证书，得2分，否则不得分。
注：提供拟派项目负责人 (略) 保证明和相应工作经验的合同关键页或委托书、技术认证证书复印件加盖投标人公章，提供的材料不满足要求的不得分。
4、拟安 (略) 成员情况（12分）
评审标准：
拟 (略) 成员中有具备CISP或CISSP，每一人得2分，（若一人同时具备两个及以上资质证书的，得2分），最高得12分。
证明文件：
1) 注： (略) 保部门出 (略) 成员 (略) 保证明及技术认证证书复印件加盖投标人公章（原件备查）。提供的材料不满足要求的不得分。
5、 (略) 保障（10分）
评审标准：依据各投标人在 (略) 具备的稳 (略) (略) 评分。
（1）人数≥100人，得10分； 
（2）80人≤人数＜100人，得8分；
（3）50人≤人数＜80人，得5分；
（4）30人≤人数＜50人，得3分；
（5）20人≤人数＜30人，得2分；
（6）1人≤人数＜20人，得1分。
（7）在 (略) 市不具备 (略) 的，得0分。
证明文件：须提供驻 (略) (略) 保局出具的 (略) 保清单复印件加盖投标人公章。
三 (略) 分 20 1、快速响应服务 (3分)
评审标准: 投标人注册地在 (略) 得3分，投标人为非 (略) (略) 得1分，否则不得分。 
证明文件：
（1）提供相关证明扫描件，原件备查；投标人如为非 (略) (略) 的：须提供经 (略) (略) 营业执照扫描件；
（2）不提供或者不能有效证明的，不得分。
2、投标人资质（9分）
(1)  投标人具 (略) 颁发的《涉及国家秘密的计算机信息系统集成资质证书》的，得3分；
（2）投标人具有中国信 (略) 颁发的《信息安全风险评估服务资质证书》的，得3分；
(3) 投标人具有ISO * 质量管理体系认证证书的，得3分；
证明文件：
提供有效期内的相关证书复印件并加盖投标单位公章；不提供，不得分。
3、信息安全服务单位案例情况(8分)
(略) 签约的信息安全联合检查服务单位在“中共 (略) 市委办公厅、 (略) 市人民政府办公厅关于2015年 (略) 市党政机关信息安全联合检查的情况通报文件”中被通报表扬的客户案例个数。
表扬案例数≥8得8分；
5≤案例数<7 得6分；
3≤案例数<5 得3分；
1≤案例数<3 得1分；
无表扬案例 不得分。
 
(略)
* 日

55