关于征集H5密码控件产品供应商网上报名公告
本次为福建海峡银行密码安全输入控件产品供应商的资格预审。入围单位可参与我行后续的项目报价及商务竞标。公示期间欢迎符合资质要求的单位前来报名。
一、采购标的
H5密码安全输入控件
二、资质要求
1、公司要求:具备经年检合格有效的独立法人营业执照、税务登记证、组织机构代码证(三证合一的仅需提供营业执照),需为增值税一般纳税人。(须提供证件扫描件及复印件)
2、专业要求:公司应持有商用密码产品生产定点单位证书。
3、案例要求:公司应具备至少包含 PC、移动APP(android及ios)及H5 全平台密码安全输入控件产品;平台每一类控件产品至少具备1个银行业成功案例(近3年);公司应承若产品满足下列产品要求。
三、产品要求
(一)、H5密码控件要求
1、H5密码控件特征
1)、要求脚本程序只能从“安全输入控件”中获取到用户密码的密文,不能有明文获取函数;
2)、密文应采用非对称的密钥体系,加密强度至少达到SM3、RSA 1024位或采用ECC算法;
3)、密文应能防范“重放”攻击;
4)、“安全输入控件”应通过专业测评机构的验证测试。
2、H5密码控件构成
1)、服务端包含JAR和DLL的解密包
3、H5密码控件功能
1)、防止恶意程序拦截按键;
2)、用户输入数据内存密文存储;
3)、支持随机键盘;
4)、支持无按键状态键盘,防截屏录屏;也可切换为气泡效果;
5)、反调试、反注入、反汇编;
6)、设备自适应,能自适应android设备以及iOS设备尺寸,包括iPhone,iPod Touch,iPad;
7)、支持Portrait和Landscape键盘布局;
8)、键盘UI支持客户化开发,a)可支持数字键盘和字母键盘切换;b)可以在键盘嵌入客户logo; c)可以切换背景颜色;
(二)、网银WEB密码控件
1、网银WEB密码控件特征
1)、支持键盘、鼠标双输入,满足输入方式多样化的要求;
2)、要求脚本程序只能从入,满足输入方式多样化的要求;键盘切换;b)可以在键盘嵌入客
3)、密文应采用非对称的密钥体系,加密强度至少达到SM3、RSA 1024位或采用ECC算法;
4)、密文应能防范对称的密钥体系
5)、“文应能防范对称的密钥体系,加密强度至少达到S
2、网银WEB密码控件构成
1)、客户端控件/插件以CAB包、EXE安装包、DMG包、TAR包等多种形式提供。
2)、服务端包含JAR和DLL的解密包
3、网银WEB密码控件功能
类别 | 功能点 | |
键盘输入安全保护 | 防止木马程序利用WindowsHooks技术(键盘钩子、日志钩子、窗口过程钩子)记录用户键盘输入 | |
防止木马程序通过GetAsynKeyState、GetKeyState、GetKeyboardState、GetRawInputData方式记录用户键盘输入 | ||
防止木马程序通过DirectX方式记录用户键盘输入 | ||
防止内核级木马程序利用内核设备过滤技术记录用户键盘输入,同时提供PS2及USB键盘防护。 | ||
防止内核级木马程序利用键盘设备端口访问技术记录用户键盘输入 | ||
防止内核级木马程序利用键盘中断截取技术记录用户键盘输入 | ||
鼠标输入安全保护 | 控件式软键盘按键位置随机变化 | |
控件式软键盘按键过程出现干扰背景 | ||
防止木马程序利用微截屏技术截获用户输入 | ||
接口脚本安全保护 | 防止恶意程序通过IE COM接口读取、篡改网银客户输入控件内容,保护用户登录账号、交易账号、交易金额、登陆密码和交易密码等敏感数据 | |
防止恶意程序通过脚本注入技术读取、篡改网银客户输入控件内容,保护用户登录账号、交易账号、交易金额、登陆密码和交易密码等敏感数据 | ||
SSL通讯增强保护 | 支持加密时间戳设定 | |
支持加密时间戳自我修正 | ||
支持RSA PKCS1加密,弥补Windows系统SSL通讯模块存在的安全缺陷,防止恶意程序截获网银系统客户端SSL通信明文 | ||
支持RSA科友加密机填充加密,弥补Windows系统SSL通讯模块存在的安全缺陷,防止恶意程序截获网银系统客户端SSL通信明文 | ||
其他安全保护 | 防止Windows消息伪造类软件的欺骗 | |
防网银转账确认页转入帐号替换 | ||
控件提供多种自我保护机制及进程保护机制 | ||
可按需定制是否允许账户聚合控件(如:Frontdoor)的调用 | ||
提供编辑控件、工具控件等对页面敏感数据的明文输入的安全保护(对页面的交易账号、交易金额等敏感信息的保护) | ||
提供禁用编辑指令和功能键的命令,防止用户无意泄密 | ||
客户感受 | 支持机器指纹获取 | |
加密公钥支持微软PublicKeyBlob,X.509数字证书, 16进制公钥模数串等格式 | ||
支持自定义正则表达式验证用户输入 | ||
支持密码强度检测 | ||
支持密码内容重置 | ||
支持密码长度获取 | ||
支持自定义字体 | ||
支持自定义前景色、背景色 | ||
支持自定义边框颜色 | ||
支持自定义输入长度限制(最大长度、最小长度) | ||
支持自定义全键盘、数字键盘 | ||
支持自定义软键盘标题内容、标题颜色、标题字体、标题字号、标题粗体(对于需要标题的界面) | ||
支持自定义软键盘按键是否随机变换位置 | ||
支持回车键、TAB键、密码强度事件处理 | ||
支持Caps lock键状态提示 | ||
支持自定义时间戳修正是否启用 | ||
兼容性 | 支持Windows操作系统全线产品(Windows98第二版(兼容) Windows 2000 / XP / 2003 / 2008 / Vista / 7 / 8及以后版本) 支持Windows 32位及64位操作系统 支持Mac OS操作系统 支持Windows操作系统内嵌(自带)浏览器:IE6以后(含)版本浏览器(32位及64位)以及Edge浏览器 支持Firefox 3.5 Above/SeaMonkey/Chrome/Safari/Opera以后(含)版本浏览器 |
(三)、移动客户端密码控件要求
1、移动客户端密码控件特征
1)、要求脚本程序只能从“安全输入控件”中获取到用户密码的密文,不能有明文获取函数;
2)、要求控件应具有抗反编译、反调试跟踪功能;
3)、密文应采用非对称的密钥体系,加密强度至少达到SM3、RSA 1024位或采用ECC算法;
、密文加密时应添加时间戳因子进行加密,具有超时检查功能;
5)、密文应能防范“重放”攻击;
6)、“安全输入控件”应通过专业测评机构的验证测试。
2、移动客户端密码控件构成
1)、客户端控件版本(支持Android版、IOS版)
2)、客户端控件包含:密码输入控件、编辑控件、工具控件
3)、服务解密包、解密示例
3、移动客户端密码控件功能
类别 | 功能点 | |
键盘输入安全保护 | 控件式软键盘按键位置应支持随机变化 | |
控件式软键盘按键过程出现干扰背景 | ||
防止木马程序利用微截屏技术截获用户输入,泄露敏感信息 | ||
防止木马程序利用Hooks技术(键盘钩子、日志钩子、过程钩子)记录用户触摸按键选择 | ||
防止伪造消息类软件攻击 | ||
防止木马程序对用户操作进行Activity支持 | ||
SSL通讯增强保护 | 支持加密时间戳设定 | |
支持加密时间戳自我修正 | ||
支持RSA PKCS1加密,弥补Windows系统SSL通讯模块存在的安全缺陷,防止恶意程序截获取系统客户端SSL通信明文 | ||
支持RSA科友加密机填充加密,弥补Windows系统SSL通讯模块存在的安全缺陷,防止恶意程序截获系统客户端SSL通信明文 | ||
其他安全保护 | 应有效防止敏感信息泄露,界面框不应保存用户输入的敏感信息,应将加密后存放在安全键盘核心动态库 | |
控件提供多种自我保护机制及进程保护机制 | ||
提供编辑控件、工具控件等对页面敏感数据的明文输入的安全保护(对页面的交易账号、交易金额等敏感信息的保护) | ||
提供禁用编辑指令和功能键的命令,防止用户无意泄密 | ||
控件应提供允许定期更换加密时所使用的公共密钥机制 | ||
外观及定制 | 支持机器指纹获取 | |
加密公钥支持微软PublicKeyBlob,X.509数字证书, 16进制公钥模数串等格式 | ||
支持设置输入框显示字符掩码 | ||
支持设置键盘类型(数字、大小写字母、符号、横竖键盘),自定义设置是否启用随机键盘 | ||
支持设置正则表达式规则,验证用户输入 | ||
支持设置密码字典 | ||
支持密码强度检测 | ||
支持密码内容重置 | ||
支持密码长度获取 | ||
支持自定义字体 | ||
支持自定义前景色、背景色 | ||
支持自定义边框颜色 | ||
支持自定义输入长度限制(最大长度、最小长度) | ||
支持自定义全键盘、数字键盘 | ||
支持自定义软键盘标题内容、标题颜色、标题字体、标题字号、标题粗体 | ||
支持自定义时间戳修正是否启用 | ||
兼容性 | 支持IOS7.1、Android4.2以上版本,以及兼容低版本客户端 |
四、服务要求
1、服务内容
1)、微码、补丁升级
原厂需对安全控件提供先进的故障检测手段,对双方或任何第三方发现的安全控件的后门和漏洞,负责进行终身升级。
2)、版本、功能升级
原厂需不断扩展安全输入控件的功能,在服务期内及时把新功能特性通知到客户,如果客户需要,可免费索取。
安全控件常规升级周期为每季度一次,应对新的安全攻击的升级不定期,根据新攻击方式出现的时机进行升级,升级应采用签名后的自运行的方式进行。
安全控件升级版本应经过防病毒软件检测,以保证提供给需方的升级版本已进行防计算机病毒及木马感染处理。
2、服务水平
服务合同用户可以通过技术服务热线电话,电子邮件向供应商提出服务请求。
对于安全输入控件故障,根据故障的严重程度,在一定的时限内采取行动,包括:电话响应、现场支持。
A级:系统重大故障。包括:业务无法进行、作弊、泄密等。
B级:系统部分功能故障。
故障级别 | 服务措施 | 时限 | 备注 |
A | 电话响应 | 5分钟 | |
A | 现场支持 | 4小时 | 自收到故障报告时起计算 |
A | 确诊 | 2小时 | 自支持技术人员抵达现场起计算 |
A | 故障排除 | 2小时 | 自确诊起计算 |
B | 电话响应 | 5分钟 |
五、网上公示及资质材料报送截止时间
本次资格预审网上公示及资质材料报送时间为2018年6月15日至2018年6月29日,公示结束时间即为报送截止时间,公示结束后不再接收供应商报名。
六、报名方式
1、确认报名。
以电子邮件的方式将单位报名信息发送到我行渠道管理部采购中心邮箱,邮件名称为“福州地区发电机组维保服务项目资格预审报名”,报名信息包含公司名称、公司联系人、联系电话、电子邮箱。
2、报名材料递交。
将报名表(详见附件)及其他纸质报名文件递交到我行渠道管理部采购中心,同时将电子版扫描件发到我行采购中心邮箱。
3、原件校对。
我行采用资格预审制,请安排公司人员携带相关材料原件,进行现场原件校对,校对后即可收回(涉密部分原件上可以遮盖)。
七、报名注意事项
1、报名材料为复印件的均需提供原件核验,原件于现场核对后退还,复印件须加盖公章。不得将公司材料原件直接寄往我行。
2、报名材料请在邮件确认报名后尽快提交,现场报名时会进行报名文件的核验,若核验后需要补充材料的需尽快补齐,我行有权拒收报名截止日期之后递交的报名文件。
3、报名材料不作为项目的投标材料。
八、资质材料报送地址、联系人及联系方式
地址:福建省福州市台江区江滨中大道358号(22楼)
部门名称:渠道管理部采购中心
联系人:康杰、肖昕
联系电话:0591-87572813
电子邮箱:hxbankcgzx@163.com
邮政编码:350011
福建海峡银行股份有限公司
2018年6月15日
闽公网安备 35010302000395号