《移动应用安全服务项目2023-2024年度需求.docx》由会员分享,可在线阅读,更多相关《移动应用安全服务项目2023-2024年度需求.docx(8页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、移动应用安全服务项目(2023-2024年度)需求项目名称移动应用安全服务项目(2023-2024年度)二.服务内容序号名称详细描述服务范围1移动应用渗透测试服务1 .渗透工程师模拟黑客方式,分别从源码/代码、调试安 全、数据安全、加密算法安全、常见安全漏洞、传输协议 安全、身份鉴别安全、接口安全等方面进行全量渗透测 试,并输出渗透报告;2 .对发现的问题整理修复建议,并针对于报告中的问题提 供线上的答疑支持。App/公众号/ 小程序渗透测 试,远程及现场服务2个人信息安全检测服务对标监管部门相关政策要求,依据APP违法违规收集使用 个人信息自评估指南为检测内容,检测覆盖范围包括但 不限工信部
2、发布信管函2019337号关于开展APP侵害 用户权益专项整治工作的通知、App违法违规收集使用个 人信息行为认定方法、工业和信息化部关于开展纵深 推进APP侵害用户权益专项整治行动的通知(工信部信 管函2020) 164号等检测要点,对小程序进行个人信息 违法违规检测,并提供相应评估报告及修复意见,包含初 测、整改咨询、复测服务。App/小程序个 人信息安全检 测,远程及现 场服务3APP安全加固服务一、Android安全加固:1、Android基础加固项:含DEX函数分离+DEX整体加壳、 资源防篡改、代码防篡改、防dump、动态调试、防注入、 防二次打包;2、资源文件加密:对应用中ass
3、ets、res目录下的资源进 行加密,防止资源查看以及盗用;3、S0库加壳:利用自主研发的加密算法对C/C+源码编译 出来的so文件进行加壳,使加壳后的so文件无法通过idaApp安全加 固,服务期内 不限制应用加 固次数反编译工具查看导出符号,并在加壳的过程中对数据段进 行加密压缩,从而加壳后的so文件具备无法正确反编译和 反汇编并体积会有减小的趋势;4、签名文件保护:对应用签名信息进行校验,防止APK被 其他签名证书签名;5、本地数据加密:对应用中本地数据读写接口进行自动拦 截加密出来,防止应用缓存数据明文落地。二、I二安全加固:对C/C+/OC代码进行混淆加固,包括字符串加密、指令多 样
4、化、基本块分裂、控制流引入、跳转指令插入、控制流 扁平化、控制流间接化等功能。4APP自动 化平台检 测服务APP加固完成后对APP进行自动化平台检测,针对Android 和I0S移动应用通过静态反编译技术对APK文件进行反编 译,通过词法分析、语法分析、控制流、数据流分析等技 术对移动应用程序代码和配置文件进行扫描,验证移动应 用是否满足规范性、安全性、可靠性、可维护性等进行检 测,同时通过沙箱模型、云手机等方式对移动应用的安 装、运行过程中的行为进行监测分析,验证应用是否存在 安全性问题。Android、 IOS 加固完成后, 对已加固APP 分别进行自动 化平台检测, 并提供自动化 平台
5、检测报告5移动应用 资产排查 及梳理服务期内,定期针对我单位的移动应用资产进行摸排统计(包括APP、公众号、小程序等),形成移动应用资产数据 表,并定期对所有移动应用进行安全检查及防护。移动应用资产数据表6重大节假 日前后扫 描支持服务期内,在重大节假日前后针对移动应用开展安全扫描 服务。App/公众号/ 小程序安全扫描7移动应用安全培训服务APP安全检测报告、个人信息安全检测报告解读,标准规范 咨询、解读培训等。报告解读及标 准规范咨询、 解读培训等, 现场培训(一)移动应用渗透测试服务针对我方的APP/公众号/小程序开展人工渗透测试复测,通过专业的渗透工程师模拟黑客方式 对APP/公众号/
6、小程序分别从源码/代码、调试安全、数据安全、加密算法安全、常见安全漏洞、传 输协议安全、身份鉴别安全、接口安全等方面进行人工渗透,输出渗透报告,并针对于渗透报告中 的问题提供线上的答疑支持。(二)个人信息安全检测服务根据中华人民共和国网络安全法、中华人民共和国个人信息保护法、GB/T 35273-2020- 信息安全技术个人信息安全规范、APP违法违规收集使用个人信息自评指南、APP违法违规收 集个人信息行为认定方法等20条及以上标准依据和范围,涵盖所有用户隐私合规指南,输出评估 报告、整改建议及指导完成整改。检测内容包括但不限于:1)是否有隐私政策2)是否有未成人个人信息保护规则3)是否制定
7、专门的未成年人个人信息处理规则4)隐私政策是否单独成文5)隐私政策是否易于访问6)隐私政策是否易于阅读7)是否明示收集个人信息的业务功能8)业务功能与所收集的个人信息类型是否一一对应9)是否明示各项业 务功能所收集的个人信息类型10)是否以改善功能、优化体验等为由收集个人信息11)是否显著标识个人敏感信息类型12)是否明示APP功能划分13)必要个人信息是否满足告知同意通用要求14) App运营者的基本情况15)个人信息存储和超期处理方式16)强制定向推送信息17)显著区分定向推送服务18)是否收集唯一设备识别码用于定向推送/用户画像场景19)是否存在大数据杀熟的情形20)个人信息出境情况21
8、)个人信息安全保护措施和能力22)对外共享、转让、公开披露个人信息规则23)用户权利保障机制24)征得授权同意的例外25)个人信息的展示限制26)用户申诉渠道和反馈机制27)隐私政策时效28)隐私政策更新29)隐私政策等文件是否存在免责等不合理条款30)是否同步告知申请打开个人信息权限目的31)是否同步告知申请提供个人敏感信息的目的32)若使用Cookie及其同类技术收集个人信息,是否向用户明示33)若存在嵌入第三方代码插件收集个人信息的功能,是否向用户明示34)是否为用户提供第三方应用授权管理功能或渠道35)是否向用户明示建立个人信息保护“双清单”制度36)是否优化隐私政策和权限调用展示方式
9、37)是否欺骗误导用户下载APP38)是否规范APP推荐下载行为,改善网页浏览服务体验39)应用分发平台上的APP信息是否明示不到位40)应用分发平台管理责任落实不到位41)以默认选择同意隐私政策等非明示方式征求用户同意42)征得用户同意前就开始收集个人信息或打开可收集个人信息的权限43)是否存在将多项业务功能和权限打包,要求用户一揽子接受的情况44)是否存在过度声明权限的情形45)前台收集个人信息的频度等超出业务功能实际需要46)后台收集个人信息的频度等超出业务功能实际需要47)收集个人信息的频度是否与业务场景对应48)是否未征得用户同意读取剪切板/公共存储区49)是否存在不给权限不让用50
10、) APP频繁自启动和关联启动51)私自截留第三方应用收集的个人信息52)是否以不正当方式误导用户同意收集个人信息53)广告关闭选项找不到、关不掉54)实际收集的个人信息类型是否超出隐私政策所述范围55)收集与业务功能有关的非必要信息,是否经用户自主选择同意56)是否在用户明确对于用户明确拒绝后继续索要权限、打扰用户57)是否拒绝提供非服务所必需的个人信息时,影响用户使用58)是否收集与业务功能无关的个人信息59) App更新是否更改系统权限设置60)是否支持用户注销账号61)是否支持用户查询、更正或删除个人信息62)是否及时反馈用户申诉检测技术要求:1)能够检测APP未经授权同意,私自获取使
11、用个人信息行为,监控行为包含不可变设备 识别符(IMEI、MEID、SIM卡序列号、设备硬件序列号、BSSID(WIFI的AMC地址)/ 可变设备标识符(Android ID、IP、GAID、0AID、IDFA、IDFV)。2)能够检测APP在前台及锁屏状态下收集使用个人信息与权限的行为以及频率,支持App 在前台状态时收集个人信息行为和个人信息权限的频率检测、支持App在锁屏静默状 态时收集个人信息行为和个人信息权限的频率检测。3)能够检测APP在后台及保活状态下收集使用个人信息与权限的行为以及频率,支持App 在可见后台状态时收集个人信息行为和个人信息权限的频率检测,支持App在保活后 台
12、状态时收集个人信息行为和个人信息权限的频率检测。4)能够检测App存在频繁自启动,APP结束进程后可通过广播监听自启动。测试要求:院方有权要求对供应商进行个人信息安全检测技术验证,验证包括本项要求的全部内容及技术 要求,供应商需对Android和I0S、小程序进行全量个人信息安全检测,5个工作日内完成检测并出 具检测报告。测试不能满足本项目的基本技术要求时,则视为该不满足参数要求。(三)APP安全加固服务本次APP安全加固服务内容范围包括Android APP加固、IOS APP加固、及APP安全培训服务 等。1) Android APP 加固:.1、DEX代码加固技术: 多DEX文件加密:对
13、APK中所有DEX文件执行加固,并确保APP兼容性和性能不收影响。 DEX整体加壳:对DEX源码进行整体加密和隐藏,保留壳代码,防止黑客发现源码。 DEX分离加壳:对DEX文件中的代码进行函数抽离保护,程序运行时将代码分段动态回填, 保证内存中不存在连续、完整的代码。 DEX代码VMP保护:对DEX中的java代码进行抽离与转换(java代码的native化),根据 自定义的虚机指令集去调用C层转换的代码。 Java2CPP:将DEX文件中的Java代码转换成C+代码,将C+代码编译成动态库。2、SO代码加固技术: SO库文件加壳:对自主研发的SO文件进行加壳处理,隐藏外部函数,自定义elf结
14、构防 止so文件被黑客逆向。 SO库高级混淆:提供LLVM级别的加密编译器,可将自主研发的SO文件在编译时对代码进 行高强度的混淆保护。 SO Linker:对整个so文件进行加密压缩,包括代码段、符号表和字符串等,运行时再解 密解压缩到内存,从而有效的防止so数据的泄露。 SO防调用:对so文件进行授权绑定,防止so文件被非授权应用调用运行。 SO虚拟化保护:采用ELFVMP技术,so文件的源码进行虚拟化保护,实现数据隐藏、防篡 改、防Dump,增加逆向分析的难度。3、应用防篡改技术:(1)代码防篡改: 支持对DEX文件防篡改。 支持SO库文件防篡改。 支持H5代码防篡改。 支持DLL文件防
15、篡改。(2)资源文件防篡改: 支持assets资源文件防篡改。 支持res资源文件防篡改。 支持防篡改。(3)签名文件保护 支持签名防篡改。4、防调试保护技术 防动态调试:防止对App进行进程调试,如GDB动态调试。 防进程调试:防止第三方工具对程序进程进行进程附着等调试。 防内存代码注入:防止黑客在进程附着后的内存代码注入。 防内存dump:防止黑客通过内存dump的方式窃取内存数据。 防加速器:通过对加速器整体分析,进行针对性的防护措施。 防止模拟器运行:检测App运行环境,禁止在模拟器中运行。5、数据防泄漏技术内存数据保护:防止内存数据读取工具窃取App内存数据,防止第三方工具对内存数据
16、修 改。 防日志泄露:防止黑客通过日志调试的方式分析客户端代码。 本地数据保护:支持本地sharepreference数据加密、SQLite数据加密。6、页面数据保护应用防截屏:防止黑客通过对重要页面截屏的方式窃取敏感数据,采用纯净加密方式,无 需集成SDK即可实现。 应用防劫持:防止黑客通过钓鱼页面攻击的方式,采用纯净加密方式,无需集成SDK即可 实现。2) IOS APP 加固:支持通过对C/C+/OC代码进行混淆加固,包括字符串加密、指令多样化、基本块分裂、控 制流引入、跳转指令插入、控制流扁平化、控制流间接化等功能,实现iOSapp代码保护。(四)APP自动化平台检测服务APP加固完成
17、后对APP进行自动化平台检测,针对Android和I0S移动应用通过静态反编 译技术对APK文件进行反编译,通过词法分析、语法分析、控制流、数据流分析等技术对移动 应用程序代码和配置文件进行扫描,验证移动应用是否满足规范性、安全性、可靠性、可维护 性等进行检测,同时通过沙箱模型、云手机等方式对移动应用的安装、运行过程中的行为进行 监测分析,验证应用是否存在安全性问题。(五)移动应用资产排查及梳理采用大数据监测技术对全国范围类的app应用市场、贴吧、论坛、网盘等进行监测及数据 收集,梳理出我单位的移动应用资产,并对梳理出移动应用开展安全检测及防护。(六)重大节假日前后扫描支持服务期内,在重大节假
18、日前后针对移动应用开展安全扫描服务。(七)移动应用安全培训服务针对APP安全检测报告、个人信息安全检测报告解读,标准规范咨询等提供解读培训。三.服务方式服务商成立专门的项目组开展工作,指派专人负责,按时完成工作内容。四.服务时间合同生效起24个月内。五.服务响应要求(一)服务响应时间1 .工作期间(正常工作日8: 00-18: 00),服务响应时间不超过0.5小时,到达现场时间不超 过2小时。2 .非工作期间,服务响应时间不超过1小时,到达现场时间不超过3小时。3 .服务商应提出问题解决方案,工作至问题完全修复为止,修复时间不超过2个工作日。(二)服务商应作出无推诿承诺:即服务商在收到院方应急
19、通知及要求后,须立即组织人员远 程或派技术人员到场,全力协助、使问题尽快恢复正常。(三)提供详细的服务人员清单服务商应有专门的服务部门并指定固定技术力量用于项目服务,并向用户提供详细的服务人员 清单及其联系方式。六.资质要求供应商应该同时具有:1 .中国网络安全审查技术与认证中心颁发的信息安全应急处理服务(二级)及以上资质。(提交 加盖公章资质证明文件)2 .中国网络安全审查技术与认证中心颁发的信息安全风险评估服务(二级)及以上资质。(提交 加盖公章资质证明文件)3 .中国信息安全测评中心颁发的信息安全服务资质证书(安全工程类一级)及以上资质。(提 交加盖公章资质证明文件)4 .近3年(已合同签订日期为准)实施过安全服务类项目案例23个。(提供加盖公章的有效 合同复印件)注:未提交证明材料、不符合资质及技术要求的供应商报价视为无效,弄虚作假一经查实则将 供应商列入采购人黑名单。