招标
2021年数字国检能力提升包六:Web应用安全扫描工具终端版等需求公示
金额
334万元
项目地址
广东省
发布时间
2021/04/13
公告摘要
公告正文
| 序号 | 采购计划编号 | 货物名称 | 数量 | 单位 | 备注 | 财政预算限额(元) |
|---|---|---|---|---|---|---|
| 1 | PLAN-2021-440301-0110117018-01010 | Web应用安全扫描工具终端版等 | 1.0 | 批 | 部分接受进口 | 3340000.0 |
具体技术要求
货物详细清单
| 序号 | 货物名称 | 数量 | 单位 | 预算(元) | 备注 |
| 1 | Web应用安全扫描工具终端版 | 2 | 套 | 1120000 | 接受进口 |
| 2 | 远程安全评估系统 | 2 | 套 | 820000 | 拒绝进口 |
| 3 | 网络回溯分析系统 | 1 | 套 | 1400000 | 拒绝进口 |
具体技术要求:
| 序号 | 货物名称 | 招标技术要求 |
| 1 | Web应用安全扫描工具绿装端版 | ▲1.1 Web应用安全扫描工具应支持对如今最新的Web应用技术,包括使用双重身份鉴定及其它改进技术的内容丰富的网站进行分析。支持对jQuery framework、Ajax、Web Service、JavaScript、Flash、Applet和Silverlight等Web2.0应用进行扫描分析。 |
| 1.2 支持常见的Web认证方式(表单、验证码等)。 | ||
| ▲1.3支持断点续扫功能,即扫描中断后,产品会自动记录断点位置,可以从断点继续扫描测试。 | ||
| ▲1.4 能够在扫描之前,智能化地分析Web应用架构,并自动生成建议的扫描配置,从而提高扫描的效率和准确性。 | ||
| ▲1.5 针对发现的漏洞,能够提供相关攻击HTTP报文和响应报文细节供人工调试。 | ||
| ▲1.6 支持对各种常见漏洞的检测,包括SQL注入漏洞、各种XSS漏洞、服务端敏感信息泄漏漏洞、文件上传攻击漏洞、http请求伪造漏洞、权限提升漏洞、LDAP注入漏洞、XPath注入漏洞、缓冲区溢出漏洞、会话重放漏洞、CMD注入漏洞、格式化字串攻击漏洞、SSI攻击漏洞、RFI-LFI攻击漏洞、CRLF攻击漏洞。 | ||
| ▲1.7能够创建宏以录制登录过程或者特定业务流程的访问顺序,可实现重复性检测的自动化。 | ||
| ▲1.8 支持向导提示选择评估类型以及评估Web应用的安全策略。使其适应各种Web应用环境,使用自定义检查向导创建自定义扫描方式。 | ||
| ▲1.9 支持PCI合规扫描(具备PCI ASV资质,或具备其他相似等级安全扫描资质)支持种类越多越好。 | ||
| ▲1.10 支持配置扫描深度及广度。 | ||
| 1.11支持定制化规则扫描。 | ||
| ▲1.12 定制化扫描策略模板,支持自定义规则,建立全局模板对同一类系统进行定制化扫描。 | ||
| 1.13 支持配置扫描检测模块。 | ||
| ▲1.14 产品支持完善的网络吞吐量控制功能,产品的使用不会对甲方内网环境和服务器造成过量的负载,影响内网其他服务器使用性能。 | ||
| 1.15 支持立即扫描 | ||
| 1.16 支持定时扫描:任务创建支持设定扫描发起时间、扫描强制结束时间。 | ||
| 1.17 周期扫描计划:周期扫描时间、频率;多次扫描事件状态、报告(对比)。 | ||
| 1.18 支持单个任务:新增(含对象、规则策略、时间控制策略、时间管制)、暂停&继续、终止、查看状态、查看&导出报告。 | ||
| 1.19 扫描任务运行流畅。 | ||
| 1.20支持周期任务计划:新建、暂停&继续、终止。 | ||
| ▲1.21 支持全局白名单,并在扫描任务中自动排除,而无须在添加扫描任务时人为排除。 | ||
| 1.22 扫描录制完成后,希望能支持录制的回放,以便后续查看扫描内容是否覆盖。 | ||
| ▲1.23 作业的历史扫描记录能查询和查看扫描情况。 | ||
| 1.24 每个系统都可以设定自己的自动扫描规则,比如每天,每周。 | ||
| ▲1.25 能自定义绑定Host扫描。 | ||
| 1.26 能根据自身系统情况制定扫描规则。 | ||
| ▲1.27 可导出报表格式包括HTML、CSV、PDF、RTF、XML、TXT以及XLS等格式。 | ||
| ▲1.28 包括支持多国语言,至少包括简体中文和英语,以直接符合国内安全规范和国际安全规范。 | ||
| 1.29 支持基于扫描对象的多次扫描任务结果对比。 | ||
| ▲1.30 具备PCI ASV资质,或具备其他相似等级安全扫描资质)支持种类越多越好。 | ||
| ▲1.31工具应包括多种能体现组织安全状态的预置报告,包括C-level趋势报告、详细的开发报告及合规/违规报告等。可1.32 以编辑报告,添加自定义注释或详细信息,报告中包含的数据能以各种标准格式导出。 | ||
| ▲1.33 报告中支持按照开发人员、QA人员和专业安全运维人员多种角色提供分类别的详尽修复建议,从而能够使相关人员快速了解如何确认和修复该漏洞。 | ||
| 1.34 对扫描出的风险结果有明晰的风险级别定义。 | ||
| 1.35 支持单漏洞、单URL快速复测。 | ||
| 1.36 安全漏洞统计数据导出功能。 | ||
| ▲1.37 漏洞bug扫描出后,需要能有接口可以对接jira等管理系统,进行漏洞的修复跟踪工作,同时也用来做事件追溯使用。 | ||
| ▲1.38 支持在线自动+离线。 | ||
| ▲1.39 纯软件形态,不依赖特定硬件/盒子/Ukey。 | ||
| 1.40 支持集群横向扩展。 | ||
| 1.41 支持对扫描器的自动健康监控。 | ||
| 1.42 支持告警信息主动发送: 邮件、Syslog、SNMP、消息队列等方式自动发送。 | ||
| 1.43 任务管理:新增、暂停、继续、终止、查看状态。 | ||
| 1.44 报告管理: 导出。 | ||
| 1.45 系统可用性:查询系统组件及其可用性状态。 | ||
| 1.46 内置多种Web应用安全渗透工具辅助结果确认,而不需要另外使用别的工具验证,需要包括: SQL injector:使用SQL注入漏洞提取数据库的内容 Cookie cruncher:分析cookie的优点,以避免会话劫持 编码器:解密加密方式和编码标准 HTTP编辑器:创建和编辑原始HTTP请求 Regex编辑器:检测并建立正则表达式(regular expression) SOAP编辑器:生成和编辑原始web服务请求 Web Fuzzer:使用HTTP模糊检测或修改输入变量发现缓冲器溢出 Web代理:浏览网站时查看每个请求和服务器响应 WebBrute:检测登录表的优点 WebDiscovery:查找端口后的web服务器及web应用 服务器分析器:确定web服务器或设备,进行深入的SSL分析 流量统计(Traffic monitor):监视扫描与审计过程中发出的所有HTTP请求和响应。 | ||
| ▲1.47 支持和主流Web应用防火墙产品如F5、Imperva进行整合防御,将扫描的漏洞导入WAF,作为虚拟补丁阻挡外部的攻击。 | ||
| ▲1.48 支持和主流白盒源代码安全测试产品进行黑白盒关联分析,将两者的结果在同一管理平台集中展现和分析,将检测的漏洞准确定位到相应的代码行,从而能够使相关人员快速修复问题。 | ||
| ▲1.49 支持和主流的测试管理系统集成。使安全测试、功能测试和性能测试发现的问题统一管理,与开发测试团队现有的流程相融合。 | ||
| ▲1.50 支持Web应用安全业界主流的法律法规和安全规范基础要求和最佳实践,其中应包括基本的: 1、《萨班斯•奥克斯利法案》(SOX) 2、OWASP TOP 10 3、 CWE 4、California SB 1386 5、《金融服务现代化法案》(GLBA) 6、 ISO 17799 7、PCI数据安全标准(DSS)规定。 | ||
| ▲1.51如果供应商非产品制造商,需提供产品制造商的原厂代理授权和服务证明。 | ||
| 2 | 远程安全评估系统 | 2.1 产品需使用专门的硬件,有自主知识产权的安全操作系统,采用B/S设计架构,并采用SSL加密通信方式,无须安装客户端,用户可通过浏览器远程方便的对产品进行管理。 |
| ▲2.2 提供1U机架式设备,含1个RJ45串口,1个GE管理口,6个10M/100M/1000M自适应以太网电口扫描口,1个接口扩展槽位(支持4电、4光、8电、8光),含交流单电源。。 | ||
| 2.3允许最大并发扫描≥60个IP地址,允许最大并发任务≥10个任务,无限IP授权扫描。 | ||
| ▲2.4支持检测的漏洞数大于190000条,兼容CVE、CNCVE、CNNVD、CNVD、Bugtraq等主流标准。 | ||
| ▲2.5产品应支持通过多种维度对漏洞进行检索,包括:CVE ID、BUGTRAQ ID、CNCVE ID、CNVD ID、CNNVD ID、MS 编号、风险等级、漏洞名称、是否使用危险插件、漏洞发布日期等信息。 | ||
| 2.6提供高级漏洞模板过滤器,支持将符合筛选条件的漏洞自动加入到自定义漏洞模板中,及后续插件升级包中的漏洞也可以自动加入到模板中。 | ||
| 2.7支持扫描国产操作系统、应用及软件的安全漏洞,如红旗、麒麟、起点操作系统,提供详细漏洞列表。 | ||
| 2.8支持扫描主流云主机机管理系统的安全漏洞,如:VMWareESX/ESXi、KVM、Xen,要求能够扫描大于5000条相关漏洞,并提供功能截图和支持的漏洞列表。 | ||
| 2.9支持扫描容器镜像存在的漏洞,支持扫描互联网上公开仓库中的镜像以及私有仓库中的镜像。 | ||
| 2.10支持专门针对DNS服务的安全漏洞检测,包括DNS投毒等漏洞检测能力;支持“幽灵木马”检测;请提供功能截图。 | ||
| 2.11支持专门针对已有攻击利用代码的漏洞检测,检测用户资产是否存在可利用的漏洞,请提供功能截图。 | ||
| 2.12支持智能端口挖掘,可以智能发现非默认端口启动的服务,请提供功能截图。 | ||
| 2.13具备单独口令猜测扫描任务,支持多种口令猜测方式,包括利用SMB、TELNET、FTP、SSH、POP3、TOMCAT、SQL SERVER、MYSQL、ORACLE、SYBASE、DB2、SNMP等协议进行口令猜测,允许外挂用户提供的用户名字典、密码字典和用户名密码组合字典,请提供功能截图。 | ||
| ▲2.14支持立即执行、定时执行、周期执行扫描任务,自定义的周期时间可精确至每*月第*个星期*的*点*分,请提供功能截图。 | ||
| ▲2.15支持断点续扫,可对已完成的扫描任务中没有被覆盖到的目标重新下发扫描任务,请提供功能截图。 | ||
| 2.16支持扫描时间段控制,只在指定时间段内执行任务,未完成任务在下一时间段自动继续执行,请提供功能截图。 | ||
| 2.17支持复用已有任务配置用于新的扫描任务,请提供功能截图。 | ||
| 2.18支持认证信息管理,可将系统登录信息、配置检查模板进行统一管理和配置,提供登录信息导入功能,无须每次下任务时进行配置,请提供功能截图。 | ||
| 2.19提供通过资产树对资产进行分级管理,支持设备权重设置和可信设备登记,支持将资产信息批量导入到资产树,可在资产树上直接指定主机开展扫描任务.请提供功能截图。 | ||
| 2.20支持风险告警和风险闭环处理,可在集中告警平台灵活配置告警内容、告警方式、告警资产范围等,支持邮件和页面告警,支持单个或批量修改风险状态,请提供功能截图。 | ||
| 2.21支持自定义风险值计算标准配置,可对主机风险等级评定标准和网络风险等级评定标准进行自定义,请提供功能截图 | ||
| 2.22支持通过仪表盘直观展示资产风险值、主机风险等级分布、资产风险趋势、资产风险分布趋势等内容,并可查看详情,请提供功能截图。 | ||
| ▲2.23支持高级数据分析,可对同一IP的两次扫描结果进行风险对比分析,并可在线查看同一IP的多次历史扫描结果,请提供功能截图。 | ||
| 2.24支持将按IP范围、起止时间、任务名称、任务状态、漏洞模板、用户等筛选扫描任务,并对筛选结果进行汇总,和生成在线及离线报表,请提供功能截图。 | ||
| 2.25支持实现显示扫描结果,包括扫描进度、主机存活数、预计扫描时间、漏洞风险信息等,请提供功能截图。 | ||
| ▲2.26提供多种报表类型,包括综述报表和主机报表,请提供功能截图。 | ||
| ▲2.27支持多用户分级权限管理,可为每个用户角色分配账号、任务级的权限分配、允许登录的IP范围和允许扫描的IP范围等, 请提供功能截图 | ||
| 2.28支持手动和自动升级。自动定时升级支持Http代理方式,立即升级支持一键式更新。请提供功能截图。 | ||
| 2.29漏洞知识库至少每隔一周进行一次定期升级,请提供截图证明和链接。 | ||
| 2.30公安部颁发的《计算机信息系统安全专用产品销售许可证(增强级)》。 | ||
| 2.31产品应该是被广泛应用的成熟产品,在国内市场具有较高的市场份额,近三年市场占有率排名在不应低于前3名。须提供知名第三方机构(如IDC)出具的市场占有率排名有效证明材料。 | ||
| 3 | 网络回溯分析系统 | 3.1支持多种接入方式(网桥、网关、旁路),支持物理线路捆绑,支持软件bypass、电口bypass,独立管理接口,千兆电口>=5,千兆光接口>=2,支持最多2000条虚拟WAN线路接入,支持Console和USB,最大吞吐>=800M,最大连接数>=6万/秒,并发IP数>=300,包转发率>=100万 |
| ▲3.2支持对2~7层流量的识别能力,特别是针对第 7层的应用识别能力,能够识别主要应用协议,并逐级细分P2P下载、网络视频、网络电话、游戏、HTTP协议的子类别和具体客户端名称;支持DPI、DFI、节点跟踪、主动探测、加密分析等多种技术,对已经采用加密技术的P2P类应用比如BT、迅雷、Skype、eDonkey、Qvod、PPFilm、百度影音等精确识别,支持“迅雷增强识别”和“P2P智能识别”,大幅度改进对迅雷、P2P加密协议、流量识别;支持虚拟身份的识别,如QQ号码、MSN帐号、POP3帐号、百度贴吧等 | ||
| 3.3自动对移动终端的信息识别,能识别到访问IP、首次访问时间等信息 | ||
| ▲3.4可对整个系统最近一月的流量和连接数统计图表,支持TOP应用、TOP用户可根据流量、连接数排序,可实时查询每个IP的当前所有会话的速率及连接明细,支持具体会话连接中判断质量时延,以便于异常流量诊断,同时可以提供IP对应的身份信息,支持多个应用进行趋势图对比 | ||
| ▲3.5支持“内网伪IP”防护功能; 检测内网中毒设备伪装大量假IP攻击网络的行为;支持“IP分片”攻击检测及过滤功能;支持对异常流量IP的实时查询、日志反查功能 | ||
| ▲3.6支持实时分析每一条TCP连接的客户时延(设备到客户端的网络时延),服务时延(设备到服务器的网络时延),应用时延(会话上下行首包时间差),最大包长(会话上下行最大包的长度) | ||
| ▲3.7支持端口镜像功能;可根据设置条件将不同应用、流量方向、源目IP/IP段、终端类型等流量等镜像至指定网络接口,最多,可满足>=15份流量复制,与第三方审计设备联动,便于用户做精细化、个性化的数据分析 | ||
| 3.8支持管理配置日志,可以SYSLOG格式向第三方设备输出日志,输出日志内容有:URL访问、QQ登陆退出事件,MSN登陆事件,DNS查询事件,POP3登陆事件,淘宝登录账号、腾讯微博账号登录事件和微信ID发现事件 | ||
| 3.9支持中英文WEB管理界面,支持WEB方式升级维护,支持自定义协议、自定义协议组功能,支持用户权限分级,支持跨三层获取MAC并绑定,支持"系统告警"功能,支持多台设备在云平台集中管控 | ||
| ▲3.10支持指定时间段流量日志留存、统计和排序;支持访问域名统计,支持TOP目标IP统计、排序;支持流量流向、用户行为查询,可以查询从什么运营商线路出去,访问什么目标,目标具体省份位置,虚拟身份关联 | ||
| ▲3.11支持对上行流量、下行流量、总流量、并发连接数、IP流量趋势的指定时间段IP流量统计,支持TOP目标、TOP端口、TOP区域、协议区域查询 | ||
| ▲3.12支持对指定时间段的应用明细统计;支持DNS日志查询,支持对用户访问的域名进行TOP统计;支持NAT日志查询;支持内网用户画像;支持用户过滤功能;支持会话日志全量查询,并能根据多样条件进行细分查询;支持异常流量分析,增加运营商和NAT查询条件,可统计时间段内某条线路的流量,可统计时间段内去某运营商的流量;支持基于五元组或应用协议的速率诊断;支持基于域名的会话信息查询; | ||
| ▲3.13支持实时分析每一条TCP连接的客户时延(设备到客户端的网络时延),服务时延(设备到服务器的网络时延),应用时延(会话上下行首包时间差),最大包长(会话上下行最大包的长度);支持自定义时间段基于某协议、某用户(IP地址)、某域名的客户时延、服务时延、应用时延分析 | ||
| ▲3.14支持基于某IP地址进行明文图片查询;支持邪教网站访问统计;支持校园贷网站访问统计;支持翻墙软件和虚拟货币访问统计和分析 | ||
| ▲3.15支持SYN Flooding、UDP Flooding、NTP Flooding的TOP目标和TOP用户差量访问统计与分析;支持威胁情报分析,包括URL访问次数排名、用户排名;支持威胁情报库更新 | ||
| 3.16支持用户导入本地资产备案名单并自学习展示;支持根据流量分析结果与用户导入的备案文档进行对比,自动分析出可信资产、灰色资产以及黑色资产;支持查看用户自有资产信息,包括:域名、服务器地址、群组名称、访问次数、上下行流量以及总流量等;支持非80或443端口应用查询;支持资产域名所在区域以及访问量查询 | ||
| 3.17支持中文WEB管理界面;支持WEB页面在线升级;支持流量大屏展示;支持NPM大屏展示;支持服务器大屏展示;支持选择性或全量接收多台设备流量日志;支持账号权限分级 |
商务需求
| 序号 | 目录 | 招标商务需求 |
| (一)免费保修期内售后服务要求 | ||
| 1 | 免费保修期 | ★货物免费保修期1年,时间自最终验收合格并交付使用之日起计算。 |
| 维修响应及故障解决时间 | 在保修期内,一旦发生质量问题,投标人保证在接到通知24小时内赶到现场进行修理或更换。 | |
| 其他 | 投标人应按其投标文件中的承诺,进行其他售后服务工作。 | |
| (二)其他商务要求 | ||
| 1 | 关于交货 | ★1.1签订合同后 90 天(日历日)内。 |
| 1.2投标人必须承担的设备运输、安装调试、验收检测和提供设备操作说明书、图纸等其他类似的义务。 | ||
| 2 | 关于验收 | ★2.1投标人货物经过双方检验认可后,签署验收报告,产品保修期自验收合格之日起算,由投标人提供产品保修文件。 |
| ★2.2当满足以下条件时,采购人才向投标人签发货物验收报告: a、投标人已按照合同规定提供了全部产品及完整的技术资料。 b、货物符合招标文件技术规格书的要求,性能满足要求。 c、货物具备产品合格证。 d、设备纸质版说明书和电子版说明书。 | ||
| 3 | 关于付款 | ★付款方式:本合同以人民币进行结算,合同签订后,投标人须提供30%预付款收据,采购人支付30%预付款;剩余货款按到货进度支付,货物全部验收合格后,投标人提供5%质保金和全额增值税专用发票后,采购人支付尾款。免费保修期满一年且没有遗留的质量问题,并经采购人确认后,退回质保金。 |
| 4 | 关于投标报价 | ★投标价要求: 报价包括仪器设备费、税费、包装、运输、装卸、安装、调试、技术指导、培训、咨询、服务、保险、计量、检测等验收合格交付使用之前以及售后服务等其他各项有关费用,上述各项费用不单列。 采购人无须向投标人另外支付中标价格以外的任何费用。 |
| 5 | 关于违约责任 | 5.1采购人无正当理由拒收货物的,采购人向投标人支付合同总价百分之五的违约金。 |
| 5.2由于投标人的原因未能按时供货的,每迟一天罚款合同总额的0.5%;如超过供货期30天,采购人将终止合同并通过法律程序对供应商进行索赔。 5.2.1投标人逾期交付部分货物的,每逾期一天应向采购人偿付逾期交货部分货款总额的万分之三/天计算,累计至交齐货物之日止,向采购人支付违约金,投标人仍需履行合同向采购人交付货物。 5.2.2如投标人逾期三十天仍未交齐货物的,采购人有权解除合同,投标人则应按合同总价的百分之二十向采购人支付解除合同违约金,并全额退还采购人已付给投标人的钱款及其利息。 | ||
| 5.3投标人交付货物的型号、品质、性能、技术标准、质量要求不符合合同约定的,采购人有权向投标人提出更换货物及索赔,投标人应在采购人提出之日起的10天内免费更换合格的货物,由此造成的时间延误视作投标人未按时交货,按第5条第(2)款处理。 | ||
| 5.4如经两次更换,货物质量仍不符合合同规定的,采购人有权解除合同,投标人应向采购人返还已付款项,并按合同总价的百分之二十标准另向采购人支付解除合同违约金。 | ||
| 5.5采购人偿付的违约金不足以弥补投标人损失的,还应按投标人损失尚未弥补的部分,支付赔偿金给投标人。 | ||
| 5.6投标人偿付的违约金不足以弥补采购人损失的,还应按采购人损失尚未弥补的部分,支付赔偿金给采购人。 | ||
| 5.7由于投标人原因,在货到一周内未进行安装调试,或安装调试时间超过正常要求,按每超过一天罚款合同总额的0.5%或按实际损失罚款。情节严重者,将依法律程序对投标人进行索赔。 | ||
| 6 | 合同签订注意事项 | 投标人必须在中标通知书发出之日起10天内与采购人签订合同。由于投标人的原因未能按时签订合同或投标人无正当理由拒绝签订合同的,采购人有权将有关情况上报政府采购主管部门,因此引起的一切后果由投标人自行承担。 |
| 7 | 其它要求 | 产品质量和安装调试检验标准以技术指标为准。所有货物验收时均需提供具有法定资质的检测部门出具的校准或检定证书,相关费用包含在投标报价中。 |
备注:
1. “(一)免费保修期内售后服务要求”部分,请详细列明免费保修期内的售后服务要求,内容包括但不限于免费保修期限、售后服务人员配备、技术培训方案、质量保证、违约承诺、维修响应及故障解决时间、方案等。
2. “(二)免费保修期外售后服务要求”部分,请详细列明免费保修期外的售后服务要求,内容包括但不限于零配件的优惠率、维修响应及故障解决时间、方案、提供的服务等。
3. “(三)其他商务要求”部分,如有补充,请详细列明。
技术规格偏离表
| 序号 | 货物名称 | 招标技术要求 | 投标技术响应 | 偏离情况 | 说明 |
| 1 | Web应用安全扫描工具绿装端版 | ▲1.1 Web应用安全扫描工具应支持对如今最新的Web应用技术,包括使用双重身份鉴定及其它改进技术的内容丰富的网站进行分析。支持对jQuery framework、Ajax、Web Service、JavaScript、Flash、Applet和Silverlight等Web2.0应用进行扫描分析。 | | | |
| 1.2 支持常见的Web认证方式(表单、验证码等)。 | | | | ||
| ▲1.3支持断点续扫功能,即扫描中断后,产品会自动记录断点位置,可以从断点继续扫描测试。 | | | | ||
| ▲1.4 能够在扫描之前,智能化地分析Web应用架构,并自动生成建议的扫描配置,从而提高扫描的效率和准确性。 | | | | ||
| ▲1.5 针对发现的漏洞,能够提供相关攻击HTTP报文和响应报文细节供人工调试。 | | | | ||
| ▲1.6 支持对各种常见漏洞的检测,包括SQL注入漏洞、各种XSS漏洞、服务端敏感信息泄漏漏洞、文件上传攻击漏洞、http请求伪造漏洞、权限提升漏洞、LDAP注入漏洞、XPath注入漏洞、缓冲区溢出漏洞、会话重放漏洞、CMD注入漏洞、格式化字串攻击漏洞、SSI攻击漏洞、RFI-LFI攻击漏洞、CRLF攻击漏洞。 | | | | ||
| ▲1.7能够创建宏以录制登录过程或者特定业务流程的访问顺序,可实现重复性检测的自动化。 | | | | ||
| ▲1.8 支持向导提示选择评估类型以及评估Web应用的安全策略。使其适应各种Web应用环境,使用自定义检查向导创建自定义扫描方式。 | | | | ||
| ▲1.9 支持PCI合规扫描(具备PCI ASV资质,或具备其他相似等级安全扫描资质)支持种类越多越好。 | | | | ||
| ▲1.10 支持配置扫描深度及广度。 | | | | ||
| 1.11支持定制化规则扫描。 | | | | ||
| ▲1.12 定制化扫描策略模板,支持自定义规则,建立全局模板对同一类系统进行定制化扫描。 | | | | ||
| | 1.13 支持配置扫描检测模块。 | | | | |
| ▲1.14 产品支持完善的网络吞吐量控制功能,产品的使用不会对甲方内网环境和服务器造成过量的负载,影响内网其他服务器使用性能。 | | | | ||
| | 1.15 支持立即扫描 | | | | |
| 1.16 支持定时扫描:任务创建支持设定扫描发起时间、扫描强制结束时间。 | | | | ||
| 1.17 周期扫描计划:周期扫描时间、频率;多次扫描事件状态、报告(对比)。 | | | | ||
| 1.18 支持单个任务:新增(含对象、规则策略、时间控制策略、时间管制)、暂停&继续、终止、查看状态、查看&导出报告。 | | | | ||
| 1.19 扫描任务运行流畅。 | | | | ||
| 1.20支持周期任务计划:新建、暂停&继续、终止。 | | | | ||
| ▲1.21 支持全局白名单,并在扫描任务中自动排除,而无须在添加扫描任务时人为排除。 | | | | ||
| 1.22 扫描录制完成后,希望能支持录制的回放,以便后续查看扫描内容是否覆盖。 | | | | ||
| ▲1.23 作业的历史扫描记录能查询和查看扫描情况。 | | | | ||
| 1.24 每个系统都可以设定自己的自动扫描规则,比如每天,每周。 | | | | ||
| ▲1.25 能自定义绑定Host扫描。 | | | | ||
| 1.26 能根据自身系统情况制定扫描规则。 | | | | ||
| ▲1.27 可导出报表格式包括HTML、CSV、PDF、RTF、XML、TXT以及XLS等格式。 | | | | ||
| ▲1.28 包括支持多国语言,至少包括简体中文和英语,以直接符合国内安全规范和国际安全规范。 | | | | ||
| 1.29 支持基于扫描对象的多次扫描任务结果对比。 | | | | ||
| ▲1.30 具备PCI ASV资质,或具备其他相似等级安全扫描资质)支持种类越多越好。 | | | | ||
| ▲1.31工具应包括多种能体现组织安全状态的预置报告,包括C-level趋势报告、详细的开发报告及合规/违规报告等。可1.32 以编辑报告,添加自定义注释或详细信息,报告中包含的数据能以各种标准格式导出。 | | | | ||
| ▲1.33 报告中支持按照开发人员、QA人员和专业安全运维人员多种角色提供分类别的详尽修复建议,从而能够使相关人员快速了解如何确认和修复该漏洞。 | | | | ||
| 1.34 对扫描出的风险结果有明晰的风险级别定义。 | | | | ||
| 1.35 支持单漏洞、单URL快速复测。 | | | | ||
| 1.36 安全漏洞统计数据导出功能。 | | | | ||
| ▲1.37 漏洞bug扫描出后,需要能有接口可以对接jira等管理系统,进行漏洞的修复跟踪工作,同时也用来做事件追溯使用。 | | | | ||
| ▲1.38 支持在线自动+离线。 | | | | ||
| ▲1.39 纯软件形态,不依赖特定硬件/盒子/Ukey。 | | | | ||
| 1.40 支持集群横向扩展。 | | | | ||
| 1.41 支持对扫描器的自动健康监控。 | | | | ||
| 1.42 支持告警信息主动发送: 邮件、Syslog、SNMP、消息队列等方式自动发送。 | | | | ||
| 1.43 任务管理:新增、暂停、继续、终止、查看状态。 | | | | ||
| 1.44 报告管理: 导出。 | | | | ||
| 1.45 系统可用性:查询系统组件及其可用性状态。 | | | | ||
| 1.46 内置多种Web应用安全渗透工具辅助结果确认,而不需要另外使用别的工具验证,需要包括: SQL injector:使用SQL注入漏洞提取数据库的内容 Cookie cruncher:分析cookie的优点,以避免会话劫持 编码器:解密加密方式和编码标准 HTTP编辑器:创建和编辑原始HTTP请求 Regex编辑器:检测并建立正则表达式(regular expression) SOAP编辑器:生成和编辑原始web服务请求 Web Fuzzer:使用HTTP模糊检测或修改输入变量发现缓冲器溢出 Web代理:浏览网站时查看每个请求和服务器响应 WebBrute:检测登录表的优点 WebDiscovery:查找端口后的web服务器及web应用 服务器分析器:确定web服务器或设备,进行深入的SSL分析 流量统计(Traffic monitor):监视扫描与审计过程中发出的所有HTTP请求和响应。 | | | | ||
| ▲1.47 支持和主流Web应用防火墙产品如F5、Imperva进行整合防御,将扫描的漏洞导入WAF,作为虚拟补丁阻挡外部的攻击。 | | | | ||
| ▲1.48 支持和主流白盒源代码安全测试产品进行黑白盒关联分析,将两者的结果在同一管理平台集中展现和分析,将检测的漏洞准确定位到相应的代码行,从而能够使相关人员快速修复问题。 | | | | ||
| ▲1.49 支持和主流的测试管理系统集成。使安全测试、功能测试和性能测试发现的问题统一管理,与开发测试团队现有的流程相融合。 | | | | ||
| ▲1.50 支持Web应用安全业界主流的法律法规和安全规范基础要求和最佳实践,其中应包括基本的: 1、《萨班斯•奥克斯利法案》(SOX) 2、OWASP TOP 10 3、 CWE 4、California SB 1386 5、《金融服务现代化法案》(GLBA) 6、 ISO 17799 7、PCI数据安全标准(DSS)规定。 | | | | ||
| ▲1.51如果供应商非产品制造商,需提供产品制造商的原厂代理授权和服务证明。 | | | | ||
| 2 | 远程安全评估系统 | 2.1 产品需使用专门的硬件,有自主知识产权的安全操作系统,采用B/S设计架构,并采用SSL加密通信方式,无须安装客户端,用户可通过浏览器远程方便的对产品进行管理。 | | | |
| ▲2.2 提供1U机架式设备,含1个RJ45串口,1个GE管理口,6个10M/100M/1000M自适应以太网电口扫描口,1个接口扩展槽位(支持4电、4光、8电、8光),含交流单电源。。 | | | | ||
| 2.3允许最大并发扫描≥60个IP地址,允许最大并发任务≥10个任务,无限IP授权扫描。 | | | | ||
| ▲2.4支持检测的漏洞数大于190000条,兼容CVE、CNCVE、CNNVD、CNVD、Bugtraq等主流标准。 | | | | ||
| ▲2.5产品应支持通过多种维度对漏洞进行检索,包括:CVE ID、BUGTRAQ ID、CNCVE ID、CNVD ID、CNNVD ID、MS 编号、风险等级、漏洞名称、是否使用危险插件、漏洞发布日期等信息。 | | | | ||
| 2.6提供高级漏洞模板过滤器,支持将符合筛选条件的漏洞自动加入到自定义漏洞模板中,及后续插件升级包中的漏洞也可以自动加入到模板中。 | | | | ||
| | 2.7支持扫描国产操作系统、应用及软件的安全漏洞,如红旗、麒麟、起点操作系统,提供详细漏洞列表。 | | | | |
| 2.8支持扫描主流云主机机管理系统的安全漏洞,如:VMWareESX/ESXi、KVM、Xen,要求能够扫描大于5000条相关漏洞,并提供功能截图和支持的漏洞列表。 | | | | ||
| 2.9支持扫描容器镜像存在的漏洞,支持扫描互联网上公开仓库中的镜像以及私有仓库中的镜像。 | | | | ||
| 2.10支持专门针对DNS服务的安全漏洞检测,包括DNS投毒等漏洞检测能力;支持“幽灵木马”检测;请提供功能截图。 | | | | ||
| 2.11支持专门针对已有攻击利用代码的漏洞检测,检测用户资产是否存在可利用的漏洞,请提供功能截图。 | | | | ||
| 2.12支持智能端口挖掘,可以智能发现非默认端口启动的服务,请提供功能截图。 | | | | ||
| 2.13具备单独口令猜测扫描任务,支持多种口令猜测方式,包括利用SMB、TELNET、FTP、SSH、POP3、TOMCAT、SQL SERVER、MYSQL、ORACLE、SYBASE、DB2、SNMP等协议进行口令猜测,允许外挂用户提供的用户名字典、密码字典和用户名密码组合字典,请提供功能截图。 | | | | ||
| ▲2.14支持立即执行、定时执行、周期执行扫描任务,自定义的周期时间可精确至每*月第*个星期*的*点*分,请提供功能截图。 | | | | ||
| ▲2.15支持断点续扫,可对已完成的扫描任务中没有被覆盖到的目标重新下发扫描任务,请提供功能截图。 | | | | ||
| 2.16支持扫描时间段控制,只在指定时间段内执行任务,未完成任务在下一时间段自动继续执行,请提供功能截图。 | | | | ||
| 2.17支持复用已有任务配置用于新的扫描任务,请提供功能截图。 | | | | ||
| 2.18支持认证信息管理,可将系统登录信息、配置检查模板进行统一管理和配置,提供登录信息导入功能,无须每次下任务时进行配置,请提供功能截图。 | | | | ||
| 2.19提供通过资产树对资产进行分级管理,支持设备权重设置和可信设备登记,支持将资产信息批量导入到资产树,可在资产树上直接指定主机开展扫描任务.请提供功能截图。 | | | | ||
| 2.20支持风险告警和风险闭环处理,可在集中告警平台灵活配置告警内容、告警方式、告警资产范围等,支持邮件和页面告警,支持单个或批量修改风险状态,请提供功能截图。 | | | | ||
| 2.21支持自定义风险值计算标准配置,可对主机风险等级评定标准和网络风险等级评定标准进行自定义,请提供功能截图 | | | | ||
| 2.22支持通过仪表盘直观展示资产风险值、主机风险等级分布、资产风险趋势、资产风险分布趋势等内容,并可查看详情,请提供功能截图。 | | | | ||
| ▲2.23支持高级数据分析,可对同一IP的两次扫描结果进行风险对比分析,并可在线查看同一IP的多次历史扫描结果,请提供功能截图。 | | | | ||
| 2.24支持将按IP范围、起止时间、任务名称、任务状态、漏洞模板、用户等筛选扫描任务,并对筛选结果进行汇总,和生成在线及离线报表,请提供功能截图。 | | | | ||
| 2.25支持实现显示扫描结果,包括扫描进度、主机存活数、预计扫描时间、漏洞风险信息等,请提供功能截图。 | | | | ||
| ▲2.26提供多种报表类型,包括综述报表和主机报表,请提供功能截图。 | | | | ||
| ▲2.27支持多用户分级权限管理,可为每个用户角色分配账号、任务级的权限分配、允许登录的IP范围和允许扫描的IP范围等, 请提供功能截图 | | | | ||
| 2.28支持手动和自动升级。自动定时升级支持Http代理方式,立即升级支持一键式更新。请提供功能截图。 | | | | ||
| 2.29漏洞知识库至少每隔一周进行一次定期升级,请提供截图证明和链接。 | | | | ||
| 2.30公安部颁发的《计算机信息系统安全专用产品销售许可证(增强级)》。 | | | | ||
| 2.31产品应该是被广泛应用的成熟产品,在国内市场具有较高的市场份额,近三年市场占有率排名在不应低于前3名。须提供知名第三方机构(如IDC)出具的市场占有率排名有效证明材料。 | | | | ||
| 3 | 网络回溯分析系统 | 3.1支持多种接入方式(网桥、网关、旁路),支持物理线路捆绑,支持软件bypass、电口bypass,独立管理接口,千兆电口>=5,千兆光接口>=2,支持最多2000条虚拟WAN线路接入,支持Console和USB,最大吞吐>=800M,最大连接数>=6万/秒,并发IP数>=300,包转发率>=100万 | | | |
| ▲3.2支持对2~7层流量的识别能力,特别是针对第 7层的应用识别能力,能够识别主要应用协议,并逐级细分P2P下载、网络视频、网络电话、游戏、HTTP协议的子类别和具体客户端名称;支持DPI、DFI、节点跟踪、主动探测、加密分析等多种技术,对已经采用加密技术的P2P类应用比如BT、迅雷、Skype、eDonkey、Qvod、PPFilm、百度影音等精确识别,支持“迅雷增强识别”和“P2P智能识别”,大幅度改进对迅雷、P2P加密协议、流量识别;支持虚拟身份的识别,如QQ号码、MSN帐号、POP3帐号、百度贴吧等 | | | | ||
| | 3.3自动对移动终端的信息识别,能识别到访问IP、首次访问时间等信息 | | | | |
| ▲3.4可对整个系统最近一月的流量和连接数统计图表,支持TOP应用、TOP用户可根据流量、连接数排序,可实时查询每个IP的当前所有会话的速率及连接明细,支持具体会话连接中判断质量时延,以便于异常流量诊断,同时可以提供IP对应的身份信息,支持多个应用进行趋势图对比 | | | | ||
| | ▲3.5支持“内网伪IP”防护功能; 检测内网中毒设备伪装大量假IP攻击网络的行为;支持“IP分片”攻击检测及过滤功能;支持对异常流量IP的实时查询、日志反查功能 | | | | |
| ▲3.6支持实时分析每一条TCP连接的客户时延(设备到客户端的网络时延),服务时延(设备到服务器的网络时延),应用时延(会话上下行首包时间差),最大包长(会话上下行最大包的长度) | | | | ||
| ▲3.7支持端口镜像功能;可根据设置条件将不同应用、流量方向、源目IP/IP段、终端类型等流量等镜像至指定网络接口,最多,可满足>=15份流量复制,与第三方审计设备联动,便于用户做精细化、个性化的数据分析 | | | | ||
| 3.8支持管理配置日志,可以SYSLOG格式向第三方设备输出日志,输出日志内容有:URL访问、QQ登陆退出事件,MSN登陆事件,DNS查询事件,POP3登陆事件,淘宝登录账号、腾讯微博账号登录事件和微信ID发现事件 | | | | ||
| 3.9支持中英文WEB管理界面,支持WEB方式升级维护,支持自定义协议、自定义协议组功能,支持用户权限分级,支持跨三层获取MAC并绑定,支持"系统告警"功能,支持多台设备在云平台集中管控 | | | | ||
| ▲3.10支持指定时间段流量日志留存、统计和排序;支持访问域名统计,支持TOP目标IP统计、排序;支持流量流向、用户行为查询,可以查询从什么运营商线路出去,访问什么目标,目标具体省份位置,虚拟身份关联 | | | | ||
| ▲3.11支持对上行流量、下行流量、总流量、并发连接数、IP流量趋势的指定时间段IP流量统计,支持TOP目标、TOP端口、TOP区域、协议区域查询 | | | | ||
| ▲3.12支持对指定时间段的应用明细统计;支持DNS日志查询,支持对用户访问的域名进行TOP统计;支持NAT日志查询;支持内网用户画像;支持用户过滤功能;支持会话日志全量查询,并能根据多样条件进行细分查询;支持异常流量分析,增加运营商和NAT查询条件,可统计时间段内某条线路的流量,可统计时间段内去某运营商的流量;支持基于五元组或应用协议的速率诊断;支持基于域名的会话信息查询; | | | | ||
| ▲3.13支持实时分析每一条TCP连接的客户时延(设备到客户端的网络时延),服务时延(设备到服务器的网络时延),应用时延(会话上下行首包时间差),最大包长(会话上下行最大包的长度);支持自定义时间段基于某协议、某用户(IP地址)、某域名的客户时延、服务时延、应用时延分析 | | | | ||
| ▲3.14支持基于某IP地址进行明文图片查询;支持邪教网站访问统计;支持校园贷网站访问统计;支持翻墙软件和虚拟货币访问统计和分析 | | | | ||
| ▲3.15支持SYN Flooding、UDP Flooding、NTP Flooding的TOP目标和TOP用户差量访问统计与分析;支持威胁情报分析,包括URL访问次数排名、用户排名;支持威胁情报库更新 | | | | ||
| 3.16支持用户导入本地资产备案名单并自学习展示;支持根据流量分析结果与用户导入的备案文档进行对比,自动分析出可信资产、灰色资产以及黑色资产;支持查看用户自有资产信息,包括:域名、服务器地址、群组名称、访问次数、上下行流量以及总流量等;支持非80或443端口应用查询;支持资产域名所在区域以及访问量查询 | | | | ||
| 3.17支持中文WEB管理界面;支持WEB页面在线升级;支持流量大屏展示;支持NPM大屏展示;支持服务器大屏展示;支持选择性或全量接收多台设备流量日志;支持账号权限分级 | | | |
商务规格偏离表
| 序号 | 目录 | 招标商务需求 | 投标商务条款 | 偏离情况 | 备注 |
| (一)免费保修期内售后服务要求 | | | | ||
| 1 | 免费保修期 | ★货物免费保修期1年,时间自最终验收合格并交付使用之日起计算。 | | | |
| 维修响应及故障解决时间 | 在保修期内,一旦发生质量问题,投标人保证在接到通知24小时内赶到现场进行修理或更换。 | | | | |
| 其他 | 投标人应按其投标文件中的承诺,进行其他售后服务工作。 | | | | |
| (二)其他商务要求 | | | | ||
| 1 | 关于交货 | ★1.1签订合同后 90 天(日历日)内。 | | | |
| 1.2投标人必须承担的设备运输、安装调试、验收检测和提供设备操作说明书、图纸等其他类似的义务。 | | | | ||
| 2 | 关于验收 | ★2.1投标人货物经过双方检验认可后,签署验收报告,产品保修期自验收合格之日起算,由投标人提供产品保修文件。 | | | |
| ★2.2当满足以下条件时,采购人才向投标人签发货物验收报告: a、投标人已按照合同规定提供了全部产品及完整的技术资料。 b、货物符合招标文件技术规格书的要求,性能满足要求。 c、货物具备产品合格证。 d、设备纸质版说明书和电子版说明书。 | | | | ||
| 3 | 关于付款 | ★付款方式:本合同以人民币进行结算,合同签订后,投标人须提供30%预付款收据,采购人支付30%预付款;剩余货款按到货进度支付,货物全部验收合格后,投标人提供5%质保金和全额增值税专用发票后,采购人支付尾款。免费保修期满一年且没有遗留的质量问题,并经采购人确认后,退回质保金。 | | | |
| 4 | 关于投标报价 | ★投标价要求: 报价包括仪器设备费、税费、包装、运输、装卸、安装、调试、技术指导、培训、咨询、服务、保险、计量、检测等验收合格交付使用之前以及售后服务等其他各项有关费用,上述各项费用不单列。 采购人无须向投标人另外支付中标价格以外的任何费用。 | | | |
| 5 | 关于违约责任 | 5.1采购人无正当理由拒收货物的,采购人向投标人支付合同总价百分之五的违约金。 | | | |
| 5.2由于投标人的原因未能按时供货的,每迟一天罚款合同总额的0.5%;如超过供货期30天,采购人将终止合同并通过法律程序对供应商进行索赔。 5.2.1投标人逾期交付部分货物的,每逾期一天应向采购人偿付逾期交货部分货款总额的万分之三/天计算,累计至交齐货物之日止,向采购人支付违约金,投标人仍需履行合同向采购人交付货物。 5.2.2如投标人逾期三十天仍未交齐货物的,采购人有权解除合同,投标人则应按合同总价的百分之二十向采购人支付解除合同违约金,并全额退还采购人已付给投标人的钱款及其利息。 | | | | ||
| 5.3投标人交付货物的型号、品质、性能、技术标准、质量要求不符合合同约定的,采购人有权向投标人提出更换货物及索赔,投标人应在采购人提出之日起的10天内免费更换合格的货物,由此造成的时间延误视作投标人未按时交货,按第5条第(2)款处理。 | | | | ||
| 5.4如经两次更换,货物质量仍不符合合同规定的,采购人有权解除合同,投标人应向采购人返还已付款项,并按合同总价的百分之二十标准另向采购人支付解除合同违约金。 | | | | ||
| 5.5采购人偿付的违约金不足以弥补投标人损失的,还应按投标人损失尚未弥补的部分,支付赔偿金给投标人。 | | | | ||
| 5.6投标人偿付的违约金不足以弥补采购人损失的,还应按采购人损失尚未弥补的部分,支付赔偿金给采购人。 | | | | ||
| 5.7由于投标人原因,在货到一周内未进行安装调试,或安装调试时间超过正常要求,按每超过一天罚款合同总额的0.5%或按实际损失罚款。情节严重者,将依法律程序对投标人进行索赔。 | | | | ||
| 6 | 合同签订注意事项 | 投标人必须在中标通知书发出之日起10天内与采购人签订合同。由于投标人的原因未能按时签订合同或投标人无正当理由拒绝签订合同的,采购人有权将有关情况上报政府采购主管部门,因此引起的一切后果由投标人自行承担。 | | | |
| 7 | 其它要求 | 产品质量和安装调试检验标准以技术指标为准。所有货物验收时均需提供具有法定资质的检测部门出具的校准或检定证书,相关费用包含在投标报价中。 | | | |
评标信息
| 序号 | 评分项 | 权重 | |||
| 1 | 价格 | 30 | |||
| 2 | 技术部分 | 57 | |||
| | 序号 | 评分因素 | 权重 | 评分方式 | 评分准则 |
| 1 | 技术保障措施 | 3 | 专家打分 | 在投标文件中详细说明保障措施(包括技术团队、技术方案、技术人员、场地、车辆等),评审委员会根据响应情况进行横向比较,按优100分,良80分,中60分,差0分打分。 | |
| 2 | 技术规格偏离情况 | 54 | 专家打分 | 1. 投标人应如实填写《技术规格偏离表》,评审委员会根据技术需求参数响应情况进行打分,各项技术参数指标及要求全部满足的得100分,每负偏离一项扣5分,带▲条款每负偏离一项扣10分。 | |
| 3 | 商务需求 | 7 | |||
| | 序号 | 评分因素 | 权重 | 评分方式 | 评分准则 |
| 1 | 免费保修期内售后服务条款偏离情况 | 5 | 专家评分 | 投标人应如实填写《免费保修期内售后服务条款偏离表》,评审委员会根据响应情况进行打分,全部满足要求的得100分,每负偏离一项扣30分。 | |
| 2 | 其他商务条款偏离情况 | 2 | 专家评分 | 投标人应如实填写《其他商务条款偏离表》,评审委员会根据响应情况进行打分,全部满足要求的得100分,每负偏离一项扣10分。 | |
| 4 | 综合实力部分 | 6 | |||
| | 序号 | 评分因素 | 权重 | 评分方式 | 评分准则 |
| 1 | 投标人近三年同类业绩(截止日为本项目公告发布之日) | 3 | 专家评分 | 提供3个同类业绩即得满分,提供2个得60分,提供1个得30分,未提供的不得分。投标人必须在投标文件中提供每一个完工项目的合同和验收报告,否则不得分。 | |
| 2 | 履约评价 | 3 | 专家评分 | 根据深圳市政府采购履约评价库中的资料打分。履约评价无差评的得100分,有差评的得0分。 | |
其它
附件
深圳市发改委关于同意国家数字电子产品质量监督检验中心能力提升建设项目总概算备案的批复(深发改【2018】1435号).pdf
解决方案
联系我们
返回顶部