网络通信与安全紫金山实验室 - 竞价公告 (CFPMLABS2023000254)
发布时间：2023-10-27 17:18:48 截止时间：2023-10-30 17:28:46
基本信息：
申购主题：基于Kubernetes定制化改造的云平台功能测试服务和渗透测试服务的竞价...
报价要求：国产含税
发票类型：增值税专用发票
付款方式：货到验收合格后付款
送货时间：合同签订后15天内送达
安装要求：免费上门安装（含材料费）
预算：****** 人民币

收货地址：江苏省/南京市/江宁区/****
备注说明：
采购明细：

序号	采购内容	数量/单位	预算单价	品牌	型号	规格参数	质保及售后服务	附件

1

基于Kubernetes定制化改造的云平台功能测试服务和渗透测试服务

1/批

一、功能测试 1.测试1套内生安全云服务系统：包括内生安全微服务框架原型系统1套，包括异构资源池、安全接入区、网络交换区、运维管理区等； 2.测试无侵入或低侵入内生安全微服务软件开发和自动部署能力，包括非侵入式应用改造技术； 3.测试云服务系统支持不少于3种国内主流公有云资源的全局编排与管理； 4.完成不少于3项典型应用的拟态化和上云示范的综合效能评估，验证其拟态防御能力，包括但不限于是否能够有效抵御90%以上基于白盒构造的未知漏洞后门攻击，评估拟态化应用的效率； 5.测试支持国产和非国产CPU的混合使用，云管支持纳管和自动标记国产和非国产CPU的计算节点；云控组件支持将应用部署在异构CPU上，其中CPU种类不少于3种、兼容性适配厂商不少于3家； 6.测试云管支持纳管的拟态基础组件、异构计算节点等资源的命令行操作和可视化运维，将拟态能力（拟态括号、拟态调度等）抽象为完整的云原生API； 7.测试支持OpenStack、EasyStack、Vmware等私有云平台的管理，支持K8S等容器云平台的管理； 8.测试支持拟态云应用的自动化编排、调度和重构； 9.测试云管支持对拟态化改造后云应用进行自动化运维管理WEB页面，支持功能的平滑升级和系统资源的平滑扩容； 10.测试云平台支持将拟态应用部署在基于2种操作系统（Fedora和openEuler）的K8S集群； 11.测试支持同一Pod中包含多个应用容器、支持自定义应用的访问端口、支持云网关和容器化业务代理作为用户侧拟态括号新模式； 12.测试支持异构执行体多维信息和行为监控、行为状态裁决等功能； 13.测试管理规模：可管理的云规模不少于1000个节点； 14.测试云管支持每秒100+请求，并支持并行扩展； 15.测试面向微服务加密流的拟态归一化功能； 16.软件异构化工具链与开发环境支持端IDE开发、云DevOps服务2种应用场景； 17.DEvOps版软件异构化工具链支持存量云原生应用的快速、敏捷迁移，具备作为内生安全微服务开发框架底座的能力； 18.IDE版软件异构化工具链与开发环境支持可视化的代码编写、调试、执行体生成等内生安全软件开发功能； 19.IDE版软件异构化工具链与开发环境支持支持单步调测、语法检查、自动补全等基本功能； 20.IDE版软件异构化工具链与开发环境支持异构执行体自动化批量构建功能； 21.IDE版软件异构化工具链与开发环境支持支持视图插件形式的可视化功能配置，包括通过配置插件指定软件多样化生成方法、生成策略、生成数量； 22.IDE版软件异构化工具链与开发环境支持运用多种可视化控件完成与用户交互，包括通过提示信息显示每种异构化功能的效果说明； 23.支持针对C、C++、Go、PHP、JavaScript、Python、Java 7种编程语言多样化功能，根据不同语言特性对二进制可执行文件、源代码、字节码进行异构化； 24.多样化功能支持代码混淆，包括垃圾代码插入、控制流平坦化、模糊谓词、等效指令替换等具体功能； 25.多样化功能支持内存布局随机化，包括栈帧布局随机化、寄存器分配随机化、函数列表随机化、堆-栈转换等具体功能； 26.支持至少1种IDE插件类型的web类代码加固方法，预防针对web注入攻击，包括XSS、 CSRF、 HTML代码注入和服务器端代码注入。 二、渗透测试 对拟态SaaS云系统（强网比赛环境和靶标应用等不少于3个示范应用）进行渗透测试（黑盒测试和白盒测试）和攻防测试。 攻击面：至少应包括协议、软件、裁决方式等方面，其中： 协议：至少应包括HTTP/HTTPS、REDIS、MYSQL协议的渗透测试攻击；软件：拟态云系统需要相应的操作系统和域名解析软件，攻击内容应包括这些软件的漏洞； 裁决方式：因为拟态应用中会有多个执行体，裁决方式有漏洞，那也就可能有所影响，攻击面应包括裁决方式； 服务内容：至少应包括拟态云系统中的web应用、云虚拟化安全、云服务器安全、代理分发单元安全（web入口）、网络隔离性等，其中： web应用： （1）黑盒测试：包括但不仅限于以下测试项 a.SQL注入漏洞 b.跨站脚本攻击(XSS) c.XML外部实体漏洞(XXE) d.跨站请求伪造(CSRF) e.服务器请求伪造(SSRF) f.敏感信息泄露 g.中间件漏洞 h.反序列化漏洞 i. 弱口令漏洞 j. 任意文件操作漏洞 k.远程代码执行 l. 远程命令执行 m.越权漏洞 n.条件竞争 o.非流量型拒绝服务攻击 （2）白盒测试：包括但不仅限于以下测试项目 a.SQL注入漏洞 b.跨站脚本攻击(XSS) c.XML外部实体漏洞(XXE) d.跨站请求伪造(CSRF) e.服务器请求伪造(SSRF) f.敏感信息泄露 g.中间件漏洞 h.反序列化漏洞 i. 弱口令漏洞 j. 任意文件操作漏洞 k.远程代码执行 l. 远程命令执行 m.越权漏洞 n.条件竞争 o.非流量型拒绝服务攻击 p.不足的日志记录和监控 q.安全配置错误 云服务器安全：包括但不仅限于以下测试项目 （1）账户安全 （2）口令安全 （3）日志配置操作安全 （4）系统补丁 （5）第三方应用配置 云虚拟化安全：包括但不仅限于以下测试项目 （1）虚拟化逃逸漏洞 （2）指令仿真缺陷 （3）外设处理缺陷

1、未经采购方同意，供应商不得使用、复制项目的商标、企业名称、标识、商业信息、技术及其他享有知识产权的产品和资料等； 2、提供测试用例文档，包含能够覆盖各种功能的测试用例，出具测试报告并盖章； 3、提供履行合同所必需的资质、设备和专业技术能力等证明的书面材料； 4、根据项目服务目标和项目服务内容，供应商应提供详细的服务实施方案，包括但不限于以下内容：项目沟通、方案制定、信息收集、测试实施、报告输出和安全复查、项目实施计划表； 5、供应商1年内需提供的免费服务包括：技术支持、版本问题修复；技术支持需在1个工作日内响应，版本问题7个工作日内完成修复； 6、服务单位需提供半年驻场技术服务，驻场技术人员1名，具备3年及以上相关工作经验； 7、合同签订生效后，验收合格后支付合同金额的90%，服务期（1年）满支付10%尾款并退还履约保证金； 8、合同签订后15个工作日内交付； 9、配合采购方进行交付后现场测试，如交付物不符合采购方需求的，采购方有权退货（履约保证金不退）； 10、乙方应保证甲方获得服务不受第三方提出侵犯其专利权、版权、商标权或其他权利的主张或起诉。一旦出现被主张或认定侵权，乙方应承担全部责任，包括承担甲方支付的诉讼费、律师费、鉴定费、拍卖费、调查费、赔偿款、补偿款等，甲方可要求乙方免费代为处理全部事项或全力提供协助。