一、功能及要求：
长沙高新技术工程学校信息安全训教一体化平台采购，具体参数详见采购需求。
二、相关标准：
1.投标人提供的产品应标明所执行的质量标准，若同一标准已颁发新标准，则按最新标准执行。若同一产品同时有几个标准（国家标准、行业标准、企业标准等），则按最高层次的标准执行；
2、成交供应商为采购人提供的商品（货物），应符合相关质量标准和要求并达到采购人的需求标准，同时成交供应商为采购人提供技术上的指导直至采购人能够正常使用该商品（货物）。
三、技术规格：

序号	采购 项目	设备规格参数	数量	单位	单价（元）	总价（元）
1	信息安全训教一体化平台	1、硬件要求： （1）标准x86服务器架构，2U主机箱，机架式。 （2）千兆电口≥2个。 （3）CPU≥2颗Intel Xeon Silver 4110(主频2.1Hz)八核处理器。 （4）内存≥128GB。 （5）硬盘≥1个2TB SSD固态硬盘。 2、基本要求 （1） 平台操作界面基于“教学+实训”设计理念开发，便于学生学习和实训操作，简洁易用，快捷高效，让所有时间都用在学习上。 （2）系统平台采用B/S架构可搭建在实训室内的私有云，也可搭建到公有云为“高水平专业群”建设提供软实力。 （3）实训课程完全覆盖职业院校信息安全与管理专业课程大纲，全面深入的解析技能点，配套视频讲解、实训手册和实训环境，让学员在充分理解后亲自动手实训实操，通过实践掌握相关技能点的运用。 （4）学生账户登录后主页列举平台的相关课程，点击进入即可实训学习，可以通过分类筛选出要实训的课程。 （5）每门课程内容按技术技能点分为一个一个的小节，便于深入学习。同时提供课程讨论、课程笔记、和针对课程的用户评价等模块。 （6）学生可以针对每门课或某个技术点进行平台内交流讨论，促进学生对技术技能的理解和掌握。 （7）每节课程由教学视频、实训手册、实训环境组成，全方位的提供技能解析，提升教学质量。 （8）管理后台可以监控管理用户在线情况、课程讨论热点、课程学习情况进行时时查看，从而掌握学生学习情况。 3、平台功能要求： （1）采用B/S架构设计，通过WEB网页进行访问操作。 （2）平台用户分为普通用户、管理员等角色，所有用户实现单点登陆。 （3）学生账户登录后展现所有在线课程可按类别搜索课程。 （4）每门课程主页显示用户的学习进度，课程内容按小节分类显示。 （5）每门课程有独立的讨论区，独立的学习记录，并提供学习记录的汇总功能。 （6）每节课程的教学资源包括视频讲解、实训文档、实训环境等模块。 （7）具备实训计时功能，倒计时释放实训虚拟机资源，支持虚拟机环境的重置。 （8）具备申请直连IP功能，实现平台内部虚拟机与外部网络互联，可以修改虚拟机外联IP地址段以及VlanID号。 （9）实训环境可以通过远程桌面mstsc或SSH登录操作。 （10）能够图形化展示当前系统状态包括系统的整体使用状态，用户数，当前课程数。 （11）能够对平台课程使用数据进行统计以及排名，并通过图形化界面呈现。 （12）具备用户管理功能，能够查询用户，修改用户信息，重置密码，能够实现通过excel模板批量导入用户，支持对用户修改的批量操作。 （13）支持20个用户同时在线实训操作，并发实训虚拟机环境20个。 （14）本地平台可远程接入公有云管理中心，由远程技术人员维护管理。 （15）满足中职“网络信息安全”专业的专业教学需求，提供相关说明材料并加盖制造商公章。 3、课程资源： （1）信息安全综合实训资源包，课程内容不少于60节，每节课程需包括视频讲解、操作步骤文档，并配套实训环境。课程要求覆盖以下内容： 信息安全发展史（信息安全发展形势、信息安全意识、信息安全法律） 渗透测试方法论（渗透测试概述、渗透测试流程） 渗透测试工具（Kali环境搭建、BurpSuite、 Nmap、AWVS、Metasploit介绍、Metasploit利用） Web安全基础（Web工作机制、HTTP协议分析） SQL注入（SQL注入概述、SQL注入基础、联合查询、报错注入、盲注、POST注入、Cookie注入、base64注入、HTTP头部注入、宽字节注入、读写文件、半自动化注入、Sqlmap） XSS跨站脚本攻击（XSS概述、XSS分类、XSS构造和变形、XSS漏洞利用） CSRF跨站请求伪造（CSRF概述、CSRF漏洞利用） 文件上传（文件上传的原理、文件上传漏洞概述、JS检测与绕过、MIME类型检测与绕过、文件内容检测与绕过、解析漏洞） 文件包含（文件包含概述、文件包含漏洞特点及利用） 命令执行（命令执行概述、远程命令执行危险函数、远程命令执行漏洞利用、 系统命令执行危险函数、系统命令执行漏洞利用） 逻辑漏洞（逻辑漏洞概述、支付逻辑漏洞） HTML语言 （HTML概述、HTML标签、HTML表格、HTML表单） JavaScript语言（JS基础、JS变量与函数） PHP语言（PHP概述、PHP变量、PHP数组、PHP函数、预定义函数、预定义超全局变量） Python语言（Python概述、Python判断语句、Python循环语句、Python函数、Python文件与异常处理） （2）信息安全竞赛资源包，课程内容不少于100节，每节课程需包括视频讲解、操作步骤文档，并配套实训环境。课程要求覆盖以下内容： 缓冲区溢出（缓冲区溢出原理、返回地址、ShellCode、漏洞利用） Web应用程序安全攻防（Web应用程序结构介绍、SQL注入过程、万能密码攻击原理、万能用户名攻击原理、抵御SQL注入攻击之使用PDO对象、抵御SQL注入攻击之密码比对） ARP扫描渗透测试（ARP扫描工作原理、Scapy模块介绍、利用Python语言实现ARP扫描） 操作系统判断渗透测试（通过NMAP进行OS判断、通过Python语言进行OS判断） 数据库访问渗透测试及其加固（数据库密码暴力破解、利用Python进行数据库密码暴力破解、对数据库密码暴力破解的安全加固） 网络协议渗透测试及其加固（未知单播地址泛洪、MAC泛洪攻击原理、MACOF程序分析、MAC泛洪Python程序设计、交换机对MAC攻击的安全防护） 信息安全攻防基本理论（CIA模型介绍、渗透测试基本思路、信息安全最佳实践） 实施探测（判断在线主机、判断OS以及应用程序） 弱口令利用（穷举法、密码暴力破解） 后门程序利用（后门程序利用） Web应用程序安全开发（Web应用程序开发架构、GET请求、POST请求、Web安全开发） Web应用程序漏洞利用（WebShell、命令注入、文件上传漏洞） 数据库漏洞利用（密码破解、木马注入） 弱口令加固（弱口令加固） 关闭不需要的服务（关闭不需要的服务） Web应用程序安全加固（WebShell、防止命令注入、防止上传木马） 密码学与VPN安全（根证书、PKCS#10数据格式、服务器个人证书申请、服务器个人证书安装、安全通道参数确认、访问站点名称匹配问题、流量分析） Web应用安全（抵御万能密码攻击、抵御万能用户名攻击、限制输入的字符、利用PDO对象限制输入的字符） 扫描渗透测试（Scapy模块介绍、UDP扫描程序分析、UDP扫描程序测试） Web应用安全（XSS攻击、应用程序输入端字符过滤、应用程序输出端字符过滤） 逆向分析和缓冲区溢出渗透测试（函数调用以及函数返回的逆向分析、缓冲区溢出原理、GDB调试器的使用、利用逆向分析结果发起攻击） 云服务安全渗透测试（生成模糊测试字符串、利用模糊测试分析缓冲区大小、利用模糊测试分析ESP寄存器的值、利用模糊测试结果发起渗透测试） 渗透测试部分之数据库安全（弱口令利用、一句话木马注入 渗透测试部分之逆向分析（通过汇编语言分析缓冲区大小、通过缓冲区溢出攻击获得系统的控制权） 系统加固部分之数据库安全（系统加固部分之数据库安全） 系统加固部分之操作系统安全（关闭不需要的服务、通过ASLR防止缓冲区溢出） LinuxKernel提权（WebShell利用、上传提权文件、提权文件的运行、利用文件SUID权限） 扫描渗透测试（Mysql弱口令利用、获得扫描程序源文件、扫描程序源文件分析及测试） Linux_x86系统漏洞挖掘与利用（系统调用、Socket系统调用、Socket函数声明、中断向量表、ShellCode编写实例、ShellCode运行测试） Windows_x86系统漏洞挖掘与利用（Windows系统调用、找到函数地址、通过汇编语言调用SYSTEM函数、通过机器语言设计ShellCode、ShellCode二进制编码） 二进制漏洞挖掘与利用（目标主机信息采集、利用GDB调试器分析缓冲区大小、利用GDB调试器对CPU寄存器的内容进行分析、利用对ELF文件反汇编结果发起渗透测试） 操作系统安全渗透测试（构造模糊测试字符串、利用模糊测试分析缓冲区大小、渗透测试程序分析、渗透测试程序运行测试） 实施探测（实施探测） 后门程序利用（后门程序利用） Web应用程序漏洞利用（Web应用程序漏洞利用） 数据库漏洞利用（数据库漏洞利用） 关闭不需要的服务（关闭不需要的服务） Web应用程序安全加固（Web应用程序安全加固） 二进制逆向分析及渗透测试（二进制逆向分析及渗透测试） Linux操作系统安全加固（Linux操作系统安全加固）	1	项	355200	355200
合计		355200元

四、交付时间和地点：
1.1   交货时间：签订合同后7个工作日内交货且安装调试合格。
1.2   交货地点：长沙高新技术工程学校指定地点。
1.3   交货方式：中标人免费运送至采购人指定地点并安装调试验收合格。
五、服务标准：
三、  产品运输、保管及保险
1.    产品运输、保险及保管
1.1 中标人负责产品到施工地点的全部运输，包括装卸及现场搬运等。
1.2 中标人负责产品在施工地点的保管，直至项目验收合格。
1.3 中标人负责其派出的施工人员的人身意外保险。
2. 安装调试
2.1 中标人须加强施工的组织管理，所有施工人员须遵守文明安全施工的有关规章制度，持证上岗。
2.2 项目完成后，中标人应将项目有关的全部资料，包括产品资料、技术文档、施工图纸等，移交采购人。
2.3   项目安装施工及验收所需的所有材料均由中标方免费提供。
2.4   在学校施工应遵守相关安全施工规范，施工过程中发生一切安全事故由中标方负责。
四、  售后服务
1、系统维护。要求提交以下内容：
    1）定期维护计划。
    2）对采购人不定期维护要求的响应措施。
    3）对用户修改设计要求的响应措施
      2、技术支持
     1）提供7×24小时的技术咨询服务。
     2）敏感时期、重大节假日提供技术人员值守服务。
   3）提供设备系统三年免费升级服务。
      3、故障响应
    1）提供7×24小时的故障服务受理，48小时內排除故障。
    2）对重大故障提供7×24小时的现场支援，一般故障提供7×8小时的现场支援。
    3）备件服务：遇到重大故障，提供系统所需更换的任何备件。
      4、质保期内出现任何质量问题（人为破坏或自然灾害等不可抗力除外），由中标人负责全免费（免全部工时费、材料费、管理费、财务费等等）更换或维修。质保期满后，无论采购人是否另行选择维保供应商，中标人应及时优惠提供所需的备品备件。
5、   培训
1）中标人须提供不少于3天的“网络信息安全”师资培训；
2）中标人应按采购人指定负责培训操作管理及维护人员，达到熟练掌握产品性能，能及时排除一般故障的程度。
6、专业教学服务
1）中标人须为采购人提供不少于2次人才培训方案修订服务，满足学校专业教学需求。
2）中标人须为采购人提供不少于2次“网络信息安全”方向教师教学能力竞赛专家指导服务。
五、  质量保证
1、   中标人提供的产品应是原装正品，符合国家质量检测标准，具有出厂合格证或国家鉴定合格证。
2、   项目整体质保期壹年超出厂家正常保修范围的，中标人需向厂家购买；未在投标报价表中单列其费用的，视为免费提供。
3、   质保期从验收合格后开始计算。质保期内所有维护等要求免费上门服务。
六、验收标准：
3.1   产品功能测试：中标人须于中标后三个工作日内到采购人指定地点按照参数进行产品功能演示，如若不合格则中标无效，取消中标资格，顺延至下一中标候选人。
3.2   采用简易程序验收。项目验收国家有强制性规定的，按国家规定执行，验收费用由中标人承担，验收报告作为申请付款的凭证之一。
3.3 验收过程中产生纠纷的，由质量技术监督部门认定的检测机构检测,如为中标人原因造成的，由中标人承担检测费用；否则，由采购人承担。
3.4 项目验收不合格，由中标人返工直至合格，有关返工、再行验收，以及给采购人造成的损失等费用由中标人承担。连续两次项目验收不合格的，采购人可终止合同，另行按规定选择其他供应商采购，由此带来的一切损失由成交人承担。
七、其他要求：
2、   结算方法：
2.1   付款人：长沙高新技术工程学校（通过国库集中支付）
2.2   付款方式：货到安装调试验收合格后支付合同金额的95%，剩余5%作为质保金，满一年后
（无质量问题、售后服务纠纷，以及其他经济法律纠纷等）无息支付。
3、  项目清单中产品，中标人收到中标通知书后10天内提交有效证明确保为原厂产品，能按厂家规定在长沙地区享受厂家售后服务；否则，投标无效，取消成交资格。
4、  质保和售后要求超出厂家正常质保期限和要求的，中标人收到中标通知书后10天内提交有效证明确保能履行承诺。否则，投标无效，取消中标资格。
5、  本项目采用费用包干方式建设，投标人应根据项目要求和现场情况，详细列明项目所需的设备及材料购置，以及产品运输保险保管、项目安装调试（要正确安装并达到技术使用要求）、试运行测试通过验收、培训、质保期免费保修维护等所有人工、管理、财务等所有费用，如一旦中标，在项目实施中出现任何遗漏，均由中标人免费提供，采购人不再支付任何费用。
6、  投标人在投标前，如需踏勘现场，有关费用自理，踏勘期间发生的意外自负。
采购需求仅供参考，相关内容以采购文件为准。