2026-007-移动APP安全加固项目（二期）

一、项目名称：移动APP安全加固项目

二、采购内容简介

（一）项目描述

根据监管对金融机构APP安全要求，以及APP实际运行过程中的安全防范风险需要。需通过APP安全加固措施，增强APP代码逻辑保护能力，防止遭受逆向分析、篡改、盗用、劫持、业务逻辑等攻击，建立并持续完善移动应用安全防护体系，规避APP应用安全风险。

（二）服务内容

项目实施后，安全加固系统拟实现以下目标：

1.防逆向分析：防止攻击者通过反编译技术将二进制程序转换成易读的一种描述语言的形式， 反编译的结果是易读的代码。通过加固服务后，攻击者不能通过反编译技术阅读代码了解客户端的逻辑，**与服务端的通讯方式，加解密算法、密钥，转账业务流程、软键盘技术实现。

2.防App篡改：防止攻击者对客户端程序添加或修改代码，修改客户端**图片，配置信息，图标等，再生成新的客户端程序，从而实现应用钓鱼。通过加固服务后，禁止任何添加病毒代码、广告SDK，以及非我行业务内容等恶意动作。

3.防动态攻击：防止攻击者通过调试技术、注入技术、Hook等技术，在客户端程序运行时窃取用户输入的数据、修改用户输入的数据、改变客户端代码运行逻辑等，如在用户转账时修改收款人账号、姓名和金额。

通过移动应用安全加固系统，对我行Android、HarmonyOS 、iOS、H5、SDK应用进行加固保护，增加VMP保护技术，提升现有安全防护级别，具体内容包括：

（1）Android及HarmonyOS 系统加固

采用特殊语言翻译APP的代码，同时增加动态监控技术，实时探测并防御来自外界的动态攻击，增加攻击破解成本。内容包含DEX文件的VMP保护、Java2CPP加固、SO文件 VMP保护。

（2）iOS加固（代码混淆）服务

对源代码进行语法分析以及逻辑分析，解析出代码中字符串的位置，采用随机加密、运行时动态解密的方式对字符串进行混淆以及加密，增大表态分析难度，使破解者无法使用它来快速定位程序核心代码的位置。

（3）Html5加固服务

通过对html文件和JavaScript等文件进行代码解析、代码压缩、代码混淆、字符串加密、防调试代码注入等方式进行保护，方式H5文件的代码泄露。

（4）SDK加固服务

通过移动应用安全加固系统,****银行场景的外发SDK进行加固，提升SDK输出代码的安全强度。Android及HarmonyOS SDK应对JAR\SO格式文件进行安全加固，iOS SDK应对C/C++/Swift源码进行混淆，降低黑客反编译的可读性，增加反编译难度。

(5)安全加固后的APP，支持我行现有生产APP自动升级更新。

按照行内统一规划，本系统须符合信创相关技术要求。

三、意向供应商资质要求及提交材料要求

（一）供应商资质要求

1、基本要求：

（1）具有独立承担民事责任的能力；

（2）具有良好的商业信誉和健全的财务会计制度；

（3）具有履行合同所必需的设备和专业技术能力；

（4）有依法缴纳税收和社会保障资金的良好记录；

（5）参加采购活动前三年内，在经营活动中没有重大违法违规记录；

（6）存在关联关系的不同单位，不得同时参与本项目。

（7）本项目不接受联合体参与，不接受分包、转包；

2.针对本项目供应商应具备的具体要求：

（1）资质要求：须具有以下资质：

ISO9000系列质量管理体系认证

ISO27001系列信息安全管理体系认证

ISO20000信息技术服务管理认证

CMMI3及以上资质

国家信息安全测评信息安全服务资质认证

注册资本（人民币）：500万元（含）以上

（2）提供的产品或服务须具有近5年（自2021年起至今）的项目案例。

同业同类案例

（3）授权要求

原厂

（二）提交材料内容

1.供应商情况表需提供盖章扫描件及Word可编辑版。

2.具有良好的商业信誉和健全的财务会计制度书面声明并加盖公章，此项材料要求为PDF格式文件。

3.具有依法缴纳税收和社会保障资金的良好记录书面声明并加盖公章，此项材料要求为PDF格式文件。

4.在“国家企业信用信息公示系统”、“信用中国”系统提供查询结果(截屏盖章），包括不限于经营异常、行政处罚、变更记录、重大税收违法失信情况等。

5.近三年内在经营活动中没有重大违法记录书面声明并加盖公章，此项材料要求为PDF格式文件。

6.提交加盖单位公章的载有统一社会信用代码的营业执照，材料需为PDF格式文件。

7.****公司参与本项目承诺函并加盖公章。

8.提交符合前述案例要求的合同扫描件（1个及以上，包括不限于合同首尾页、盖章页、服务内容页等）并加盖公章。此项材料要求为PDF格式文件。

9.提供上述要求的资质文件扫描件。

（三）提交材料要求
1.邮件主题：项目名称+公司名称；邮件主题、正文、附件中不能含敏感字。
2.****公司的联系人姓名、手机号、邮箱。
3.须以传统方式黏贴附件，不能发云附件；发送的附件（压缩文件、文档等）不得设置密码或编辑权限；单个邮件大小控制在50MB以内（如果超限，可分几个邮件发）。
4.报名资料未按要求提供或提供不全的情况，采购人将拒绝其报名。

5.采购人视收到的上述材料不涉及商业秘密。

6.采购人可能根据项目情况取消采购，供应商应予接受。

7.前来报名的供应商应保证所提供材料的真实合法性，并由此承担法律风险和赔偿责任。采购人保留对相关材料进一步核实的权利，如发现提供虚假材料的供应商，采购人将取消其本次及以后的报名资格。

8.****公司在同一项目中只能参选1家公司。

四、征集期

自2026年1月20日起至2026年1月24日17时止。

请在规定时间内参与报名，截至报名日期后我行将不再接受任何形式的申请材料。
联系人及电话：冯老师 010-****7935

邮箱地址（专用）：****@bjrcb.com

****

2026年1月20日