2024年集团科技人机对抗项目供应商征集

根据业务发展需要，泰康保险集团股份有限公司目前正在进行“2024年集团科技人机对抗项目”供应商征集工作。 征集截止时间为1月30日17：00。 请满足项目需求的供应商请点击下方“点击报名”，欢迎大家踊跃报名！同时也欢迎广泛转发本通知。 商务联系人：张欣，邮箱zhangxin02@taikanglife.com?技术联系人：罗杰文， 邮箱luojw16@taikanglife.com?请在报名的同时，提供以下要求证明文件盖章扫描件发送至二位联系人的邮箱。 报名供应商需提交材料：一、营业执照扫描件（企业注册资金在500万以上）二、上年度财务报表（年营收5000万以上）三、要求供应商未被列入国家企业信用信息公示系统经营异常名录和严重违法失信企业名单。要求没有司法或行政主管部门的处罚记录、财务违法记录，以及合同违约情况。四、具有可持续的研发、联合创新能力，在职人员50人及以上，请提供员工（参保）人数证明材料。五、案例证明：要求企业具有丰富的人机对抗服务经验和产品私有化能力，满足在业务交易、数据保护、账号安全等场景下的防护能力要求，与大型保险、银行、互联网等行业的人机对抗合作和提供服务不少于5个，并提供相关项目合同证明材料，证明材料必须加盖公章。六、资质证明：1.具有ISO20000、ISO27701、ISO27701、ISO9001等信息安全管理体系认证。?2.公安部信息安全等保护三级及以上。3.CMMI二级及以上认证。4.计算机软件著作权登记证书。???七、专利要求：1.具有人机对抗系统相关的系统和检测方法、外观设计专利证书等不少于5个，且提供相关证明材料。具体的征集信息请下载附件，欢迎大家踊跃报名！泰康保险集团2024年人机对抗项目技术需求书_v1.1.docx报名截止时间：2024-01-30 17:00我要报名泰康保险集团2024年人机对抗项目技术需求说明书二〇二四年一月目录一、项目概况………………..3二、项目目标………………..31、项目总体目标………………..32、项目实施的业务范围………………..3三、项目需求………………..31、人机对抗系统产品服务需求31.1产品功能需求………………..41.2产品非功能指标………………..51.3系统技术架构………………..62、集成与定制化开发需求………………..6四、项目实施要求………………..71、驻场要求………………..72、实施周期………………..73、验收要求………………..74、项目管理及规范要求………………..75、服务效能指标要求………………..8五、维保服务要求………………..81、维保时间周期………………..82、维保要求………………..83、应急要求8六、知识转移要求………………..91、知识产权………………..92、源代码………………..93、项目交付物要求………………..94、培训方案………………..9七、付款阶段及付款条件说明………………..10八、罚则101.项目概况随着互联网的发展，越来越多的网站和应用程序面临着各种Bot自动化攻击威胁，如机器人攻击、垃圾注册、刷单等。在当前情况下，代理人获客、客户经营等收到极大影响，业务在线上获客等场景的投入无法真实触达，还会导致客户投诉。除此之外还可能导致网站或应用程序的数据泄露、财产损失等严重后果。业务安全在风控领域开展了大量建设工作，目前已经具备IP、手机号风险画像、实时决策等黑灰产识别打击能力，为各项业务开展提供高效风控服务。为应对当前日益严峻的黑灰产对抗形式，强化业务安全风险防控能力，提高对自动化攻击威胁的识别拦截能力，需要建立专业的人机对抗体系，形成多场景下的智能真人识别手段，为业务风险防控增添新手段。2.项目目标1、项目总体目标该项目旨在加强业务安全能力建设，建设人机对抗防护系统，提高业务的安全性。具体而言，该项目利用人机验证的设备环境识别能力，搭载已具备的决策引擎系统，实现智能切换验证难度，从而有效地识别和拦截机器行为。这将有助于保护业务免受恶意机器行为的攻击，保障用户的信息安全和业务的正常运行。2、项目实施的业务范围本项目的业务方涉及泰康医生、泰生活、泰康养老、人寿的各个渠道，覆盖包括但不限于APP、小程序、H5等形式的业务系统，助力业务在注册登录、实名认证等环节开展高效获客，提升业务转化率。在客户信息查询、保单查询等场景，开展机器拦截，保障业务安全。利用本产品良好的交互体验、高效的人机认证等功能，建立人机对抗系统，从设备环境、用户操作环境、用户操作习惯等维度开展风险识别，并结合积累的黑产人机作弊特征和风控防护经验，实现多场景下的智能真人识别手段，解决注册登录场景中虚假用户行为及客户信息查询场景中的数据爬取行为等，为各业务系统账号安全和数据安全保驾护航。3.项目需求1.人机对抗系统产品服务需求采购一套人机对抗系统和定制化实施服务，要求此产品具备人机识别算法和智能模型能力，对用户行为、设备、网络进行识别，准确区分机器和真人。同时，需要一套管理后台能对防护策略管理、业务线管理、威胁可视化、异常行为告警等功能，并支持与采购方已有的各系统进行对接，高效支持各业务条线系统调用及业务人员使用。要求包含一年免费维保。产品需提供对采购方系统所涉及服务的有效适配整合，针对采购方包括但不限于Android、IOS、小程序、H5、公众号等设备终端类型，登录注册、数据查询、线上营销反欺诈等业务场景的人机风险识别和攻击防御。1.1产品功能需求1.1.1功能需求人机对抗系统产品需满足包含但不限于如下需求：1.人机对抗能力：通过人机识别算法和智能模型，对用户行为、设备、网络等进行识别，准确区分机器和真人。2.用户端验证：建设用户侧验证能力，兼容APP、web、小程序等平台，并提供友好的交互界面和交互方案，在不影响用户使用体验的情况下完成验证流程。3.用户接入能力：需要提供使业务便捷接入的工具组件，组件可以适配Android、IOS、web、H5、小程序前端应用。4.验证场景运营：根据不同场景、产品的特点，配置相应的校验模式和模型算法，以适应不同风险下的人机对抗需求，并支持实时调整。5.数据运营：展示不同场景下按小时的请求量及拦截量，提供指定时间内的验证趋势统计分析能力和数据导出能力。1.1.2功能指标验证码支持形式1、支持滑动验证。 2、支持文字点选验证。 3、支持图标点选验证。 4、支持空间语义点选验证。 5、支持刮图验证。 6、支持语序点选验证。 7、支持智能无感验证。 8、支持拼图验证。验证码展示方式1、支持嵌入式展示。 2、支持触发式展示。 3、支持弹出式展示。数据采集1、支持正常采集客户行为、系统环境数据，不采集客户敏感信息规则管理1、支持不同业务场景或者应用的增加、删除、修改和查询。 2、支持针对不同业务场景或者应用配置不同验证策略，支持验证形式的管理。 3、支持验证码背景图片自定义。 4、支持滑块验证图片混淆、加密、切割处理。5、支持不同场景安全配置的版本管理，包括策略保存、策略同步和策略回退等。数据统计分析1、支持按照业务场景或者应用实时统计每日验证码请求量、每日验证码验证量、每日验证码验证成功/失败量（率）、每日验证码拦截量（率）。 2、支持近期（包括但不限于7天、15天、30天）验证趋势统计分析。用户管理1、提供用户管理、角色管理等用户管理功能，对用户进行权限控制。兼容性1、支持多平台的兼容性，兼容Android 4.0及以上版本，兼容iOS 8及以上版本，兼容主流浏览器和微信内置浏览器。 2、支持多种前端类型的集成，支持Web、Android原生形态产品、iOS原生形态产品、H5形态产品、小程序形态产品的集成。 3、支持多种类型后端的集成，支持Java、PHP、Python开发的业务系统集成。安全性1、Android、iOS的SDK和JS具备混淆加固，防止被逆向破解。 2、具备防重放能力。 3、具备采集要素（设备信息、用户操作行为）报文加密，防信息泄露和篡改。 4、支持国密算法加密。5、支持异常数据告警及告警策略配置。可靠性1、服务不可用时，不影响客户正常使用。 2、各应用模块服务必须支持集群部署，避免单点故障。 3、各应用模块服务均支持动态横向扩展。1.2产品非功能指标1.2.1非功能指标1.高可用：在线服务支持集群方式容器云环境部署，随着业务的发展，系统可以平滑扩容，对业务无感更新，保证在业务增长的情况下，系统仍具有较高的性能。2.性能：前端验证码请求以及后台校验毫秒级响应。3.兼容性：系统应能适配采购方当前系统和用户端各系统、组件版本，便于进行对接。4.系统架构：要求采用分布式架构，应用层各模块间松耦合，利于二次改造开发。5.用户体验：项目实施过程中提供通俗易懂的平台操作手册说明，并对运维人员进行培训，使运维人员可快速熟练使用平台。6.安全性：系统在整体设计时必须充分考虑到信息与数据的安全，加强权限的控制与管理。无安全漏洞、无密钥泄露风险、无数据泄露风险等。7.容错性：前端用户校验出现弱网、无网或其他系统失效情况下，具备容错机制，优先使用户完成流程，并生成特殊token进行后台校验，后台可进行追溯和告警。8.用户体验感：设计简便易用的验证界面，减少用户操作复杂度，提升用户满意度和参与度。9.安全合规：系统和解决方案需满足监管对于数据安全、个人隐私保护等合规要求。1.2.2性能指标人机对抗主应用部署在8C16G服务器环境下，需满足以下指标：非功能性大类非功能性指标要求非功能性大类接口响应时间（单笔请求处理耗时） RT非功能性大类事务处理能力TPS>3000非功能性大类Web页面响应速度响应时间非功能性大类业务容量（最大的业务数据量）亿级1.2.3安全性1.满足系统可靠性要求，系统健壮性强，合理处理系统运行过程中出现的各种异常情况，如：人为操作错误、输入非法数据、硬件设备失败等，系统应该能正确的处理，恰当的规避。2.确保源代码安全，无重大攻击漏洞。保证传输过程数据安全性、完整性、可用性。3.满足审计要求：业务操作过程痕迹保留，可追溯、可审计，系统能够保存配置操作历史版本，满足系统审查和事务处理。4.满足人机对抗需具备的其他安全要求，包括但不限于系统安全、算法协议安全、数据安全、通信安全、密码安全。1.3系统技术架构1.系统主要使用主流开发语言、主流开源技术框架及中间件，保证系统技术体系的先进性。2.系统采用微服务方式开发，兼容容器化技术。支持Kubernetes和云原生技术进行部署发布和运维管理。3.系统使用主流的通讯方式和报文格式提供标准且安全的系统接口，支持与已有系统进行对接。4.系统支持高可用方式进行集群部署，支持动态扩容。5.系统具备完善的日志记录和监控预警功能，可实时监控系统运行状况、预警系统风险。2.集成与定制化开发需求定制化开发服务需要供应商按照采购方功能需求进行开发，主要满足如下功能点：1.适配风控系统：人机对抗系统需要与原有的风控系统进行集成，实现风险评估和决策的协同工作。要求系统能够实时获取风控系统的风险评分或标记，根据风险等级调整验证码的复杂度和验证策略。2.适配业务安全平台：智能验证码系统需要与业务安全平台进行集成，实现统一的安全管理和监控。要求系统能够与安全平台进行数据交互，包括用户信息、访问记录等，以便进行安全审计和事件追溯。3.定制化验证码类型：根据甲方的业务需求，要求智能验证码系统支持多种类型的验证码，如图形验证码、短信验证码、语音验证码等。同时，验证码的样式和内容可以根据甲方的品牌形象进行定制，提升用户体验。4.自定义验证策略：智能验证码系统应支持甲方根据业务特点和安全需求，自定义验证策略。例如，设置不同用户群体的验证码难度、设置访问频率限制、设置异常行为识别规则等，以保障业务的安全性。5.集成第三方数据源：为了提高验证码的准确性和安全性，智能验证码系统可以集成第三方数据源，如地理位置信息、IP地址库等，对用户请求进行更全面的风险评估。6.开发API接口：为了方便与甲方现有的系统进行集成，智能验证码系统需要提供标准化的API接口，包括用户验证接口、数据同步接口等。同时，需要提供详细的接口文档和技术支持，确保顺利集成。7.定制化报表和监控：智能验证码系统应支持定制化的报表和监控功能，以便甲方实时了解验证码的使用情况、验证成功率、用户行为等信息。通过数据分析，甲方可以及时调整验证策略，优化用户体验。8.安全加密：智能验证码系统应具备强大的安全加密机制，确保用户数据在传输和存储过程中的安全性。同时，要求系统支持多种加密算法，并提供密钥管理功能，以满足甲方的安全需求。4.项目实施要求1.驻场要求项目期间至少具备一名有6年以上开发和实施经验的高级工程师作为项目经理驻场，提供接口对接开发、与决策平台集成开发、系统整体测试和运维。2.实施周期项目建设实施周期预计为12个月，完成产品部署及定制化开发、功能测试，UAT测试至Bug修复至项目投产，以及业务场景落地、业务技术培训，具体实施进度最终按照甲方合同约定的时间计划表推进。3.验收要求1.按适合采购方测试生产部署环境的要求完成私有化部署，并按合同范围适配采购方其他系统。2.完成采购方需求开发完成需求功能开发和测试，并通过采购方测试。3.按交付要求输出项目所需文档等交付物，以及全部源代码。4.驻场服务人员负责及时响应、有效完成系统的各项工作5.提供规范的培训文档，完成系统管理员、普通用户、系统开发人员、运维人员、业务人员等相关培训工作。4.项目管理及规范要求实施团队应遵守《泰康项目管理制度》,监督项目进度，保证项目质量，及时汇报项目风险，确保项目按计划完成。要求投标人制定完善的项目沟通计划，包括周例会、月例会、阶段性评审会等。请投标人阐述本项目的风险、问题管理方法，包括风险问题的识别、规避、应对策略等。5.服务效能指标要求监控指标指标定义目标值考核频率外包人员满意度对供应商服务人员的整体评价结果季度需求完成率考评周期内项目需求中要求供应商开发的需求及时完成率项目验收阶段采购系统服务的满意度评价周期内对供应商负责的系统服务情况评价结果项目验收阶段投产交付成果质量评价供应商在场景应用中交付成果的质量项目验收阶段5.维保服务要求1.维保时间周期供应商提供本项目软件产品及定制化开发部分一年期免费维保服务。维保服务自软件产品及定制化开发部分全部验收完毕并稳定运行三个月后，双方签署《验收报告》之日起计算。2.维保要求1.拥有专业的技术支持团队，能够对产品的后期运维和定制化开发提供支持。2.提供定期更新和版本升级服务。每季度巡检一次，公司如有临时活动要求，需提供现场技术支持和保障服务。3.提供7*24小时现场或远程技术支持服务和咨询服务，具备完善的系统应急方案，对不同级别的突发事件提供及时有效的应对措施（包括远程和现场支持）。4.当乙方产品交付后被发现存在安全漏洞、系统安全缺陷、算法安全隐患时，应在乙方知晓（或应当知晓）此漏洞或缺陷后的24小时内向采购方提供书面解决方案，并于3个工作日内解决。5.受邀单位应提供详细的服务计划和服务承诺。在服务计划中要从服务人员配置、服务流程、服务文档、服务响应时间等几个方面进行明确的说明。3.应急要求具备完善的系统应急方案，对不同级别的突发事件提供及时有效的应对措施（包括远程和现场支持）。6.知识转移要求1.知识产权投标人已申请专利的成熟产品之外，项目各阶段的各类产出物或交付物的知识产权均属于泰康保险集团，未经泰康书面同意，投标人不得擅自复印和用于非本招标项目所需的其他目的。投标人承诺项目实施过程中所用到的软件、源代码，不存在知识产权争议，泰康可以安全、合法地进行二次开发及使用。已申请专利的成熟产品知识产权归投标人所有，但需授予泰康及子、分公司完全免费使用进行业务功能开发。2.源代码提供本项目所有源代码，以及文档材料等材料。3.项目交付物要求应提供满足采购方对信息化项目管理所需要的相关文档资料，包含不限于以下文档：1.提供业务需求、技术需求文档，包括但不限于《需求规格说明书》、《概要设计说明书》、《详细设计说明书》《数据库设计说明书》、《系统接入文档》等。2.提供产品测试相关文档，包括但不限于《测试方案》、《测试案例/测试用例》、《集成测试报告》、《UAT测试报告》、《性能测试报告》、《安全测试报告》等。3.提供系统上线相关文档，包括但不限于《上线申请书》、《用户操作手册》、《上线投产方案》、《系统运维手册》、《系统部署方案》、《应急与快速恢复手册》。4.提供项目管理类文档，包括但不限于《项目实施里程碑计划》、《日报/周报/月报》、《关键会议纪要》、《项目总结报告》、《项目验收报告》等报告。4.培训方案提供完善的系统使用、开发和维护培训，提供项目涉及的产品、技术、运维等文档，每年至少提供2次现场培训，并提供相应的培训教材。7.付款阶段及付款条件说明人机对抗系统服务费用：合同签订生效之后，乙方完成标准产品的本地化部署且甲方收到乙方开具的对应价款专用发票之日起【15个工作日】内，甲方向乙方支付合同总价款的20%，作为项目首付款。合同签订生效之后，乙方按照附件三中的要求完成客户化开发、系统的联调测试并稳定运行（以甲、乙双方签字的验收报告日期为准）满一个月（30天）且甲方收到乙方开具的对应价款专用发票之日起【15个工作日】内，甲方向乙方支付合同总价款的30%，作为项目初验款。合同签订生效之后，乙方按照附件三中的要求完成客户化开发、系统的联调测试并稳定运行（以甲、乙双方签字的验收报告日期为准）满半年（180天）且甲方收到乙方开具的对应价款专用发票之日起【15个工作日】内，甲方向乙方支付合同总价款的30%。合同签订生效之后，项目验收合格（以甲、乙双方签字的验收报告日期为准）进入运行保障阶段，运行保障满1年且甲方收到乙方开具的对应价款专用发票之日起【15个工作日】内，甲方向乙方支付合同总价款的20%作为项目尾款。八、罚则因乙方产品缺陷或者服务不及时等原因导致泰康对应的业务系统出现故障，甲方有权视事件故障影响每次从合同项目尾款中扣减合同总金额的1%-5%作为处罚金（按次扣减），且乙方应全力协助甲方处理直至问题解决。事件影响认定参考泰康保险集团股份有限公司《IT系统故障管理制度》执行。定级及处罚标准如下：事件级别分级标准处罚标准一级1. 3 个或 3 个以上对接业务系统同时发生业务中断； 2. 单个对接业务系统发生中断 90 分钟以上； 3. 生产业务数据丢失； 4. 重复发生的故障； 5. 其它 IT 管理层判断为一级的故障；扣减合同总金额的5%/次二级1. 2 个对接业务系统同时发生业务中断； 2. 单个对接业务系统发生业务中断 30 分钟以上； 3. 其它 IT 管理层判断为二级的故障；扣减合同总金额的3%/次三级1. 单个对接业务系统发生业务中断；2. 非对接业务系统发生业务中断 90 分钟以上；3. 存在造成生产业务中断、数据丢失的巨大风险； 扣减合同总金额的1%/次四级1.系统操作使用不便，但无业务停顿或性能下降； 2.生产系统失去冗余，但无生产业务停顿或性能下降； 3.所有可能导致生产业务系统性能下降的硬件或应用故障；不扣减，但乙方应全力协助甲方处理直至问题解决