一、项目信息
项目名称:湖州师范学院关于网络攻防单兵作战系统 1套，服务器一 1台等的在线询价采购项目
项目编号:32020081720531913 
项目联系人:徐亚娟 
项目联系电话:13567238631 
采购计划文号:HZCG[2020]1891号 
采购计划金额（元）: 336500.00 
预算总额（元）: 336500.00  
项目所在行政区划编码:330599 
项目所在行政区划名称:湖州市本级 
二、采购单位信息
采购单位名称: 湖州师范学院 
采购单位地址: 湖州市二环东路759号 
采购单位联系人和联系方式:沈艺 0572-2321119 
采购单位社会统一信用代码或组织机构代码:123305004711725032 
采购单位预算编码:359001 
三、采购项目内容
 

序号	采购内容	品牌	规格型号	数量	技术参数或配置要求
1	网络攻防单兵作战系统	西普阳光 SimpleCRC-NF;南京维能 NJwn-zz;浙江雅然 ZJYR-zzxt;		1	二、功能 1.具有统一的身份认证系统供各用户端使用，对用户进行授权控制； 2.支持管理员、教师和学生三种角色的使用与验证，同时支持对并发用户数量的控制； 3.支持硬件资源的调用管理，能够平衡硬件的性能，使整个系统的性能达到最优，确保资源的合理分配和利用； 4.存储、处理主要数据和信息。具有高速的运算能力、长时间的可靠运行及强大的外部数据吞吐能力。 5.系统支持B/S架构访问，无需安装客户端软件； 6.支持资源使用率进行监控； 7.内置DHCP服务，可以设置多个地址池， 8.能够为系统资源分配IP地址，包括：网段、掩码位、适用模块等；能够支持数据的实时传输； 9.内置资源动态调配机制，支持虚拟机的动态挂载； 10.系统B/S架构访问，无需安装客户端软件； 11.内置轮询算法，支持最优算法的测算及选择； 12.支持闲置资源的释放，能够实时动态释放断开连接的虚拟机所占用的资源； 13.支持每个虚拟机内配置对应实验所需要的实验环境，包含操作系统环境、实验配套工具等，要求虚拟机通过WEB浏览器页面的形式进行实验操作； 14.支持KVM虚拟化，将设备物理资源转化为虚拟化资源池。 15.支持单用户授权，可以自动识别教师、学生、管理员用户，无需在登录时选择用户角色，教师用户可以实现对教学课程、教学实验、教学环境的管理，学生用户可以实现对教师安排的实验课程的学习，管理员用户可以实现对系统本身的管理以及资源使用情况的监控。支持10人并发。 16.支持用户以拖拽方式自主设计网络拓扑，可拖拽多个网络和主机，组成不同vlan，提供可视化展示，并支持按网络拓扑图自动生成虚拟网络环境； 17.▲支持防火墙功能，防火墙作用于不同网络之间，实现网络间的阻隔与放行设置，支持给防火墙增加策略和防火墙规则，以实现不同功能；（为证明此功能的真实性，必须提供产品功能截图并加盖厂商公章） 18.支持安全组功能，安全组作用于不同虚拟机主机之间，实现主机间不同协议和端口的阻隔与放行设置，支持给安全组增加规则，安全组规则支持常用的14+种协议及用户的定制协议规则，以实现不同功能； 19.支持给网络设置ip段，支持给主机设置固定ip； 20.▲支持镜像库管理功能，支持添加、删除、查询等操作，根据镜像大小可选择网页上传或工具上传两种形式。（为证明此功能的真实性，必须提供产品功能截图并加盖厂商公章） 21.系统实时监控系统硬件资源的利用率，为平台提供稳定、高效、高并发的虚拟化能力，实现资源最大化利用； 22、 ★支持远程连接，学生可异地参加训练，参加竞赛。23.▲管理员可自行创建竞赛或练习场景，可自行选择题目类型、题目数量、竞赛时间并自动计算总体分值；（为证明此功能的真实性，必须提供产品功能截图并加盖厂商公章） 24.支持靶机环境自动生成，包括练习使用靶机与竞赛使用靶机； 25.▲系统根据题目拓扑类型生成对应的网络环境，网络环境数量会随比赛队伍数或练习队伍数智能生成。每一套网络环境，是完全隔离的、独享的；（为证明此功能的真实性，必须提供产品功能截图并加盖厂商公章） 26.智能建立参赛团队与虚机环境之间的联系，学生作答登录指定环境； 27.▲为保证攻防阶段比赛的公平公正性，每套环境中虚机密码不同；（为证明此功能的真实性，必须提供产品功能截图并加盖厂商公章） 28.系统支持主流的主机操作系统类型，包含Windows XP、Windows server 2003、Windows server 2008、Windows 7、Windows 10、Linux、CentOS、Kali等操作系统类型； 29.系统基于B/S架构，学生无需安装任何客户端工具，通过浏览器登录系统，在虚拟环境中进行实验操作。 30.支持不同用户间的实验拓扑环境完全隔离，即不同学员在进行实验操作时开启同一网段下的相同或者不同实验拓扑场景，场景之间不可通讯； 31.▲支持实验虚机操作界面和实验指导、实验视频同屏显示，支持实验视频全屏播放，进度调整，暂停等功能，无需进行页面跳转即可根据实验指导完成实验内容，方便学生学习（为证明此功能的真实性，必须提供产品功能截图并加盖厂商公章）； 32.★支持对学生的实验过程进行录像，录像结果可以反复提交，要求操作视频支持FLV格式（为证明此功能的真实性，必须提供现场演示）； 33.★支持断点保存功能，学生退出实验学习界面系统自动保存实验进度，再次学习实验时可以直接进入到上次保存的实验进度，继续实验学习。系统保存进度的实验数量有上限（为证明此功能的真实性，必须提供现场演示）； 34.系统根据内置的初始化课程实验，为每个实验都配备相对应的基础母本、网络拓扑等场景配件； 35.★系统内置经典密码学算法案例，支持对系统内置算法进行编辑修订，在内置算法的基础上进行算法设计(为证明此功能的真实性，必须提供现场演示)； 36.支持积木式密码算法拆解互动教学模式，要求可以将算法拆解进行设计和教学，并支持将拆解的算法进行积木式搭建； 37.★支持可视化密码学算法设计，要求系统内置标准的算法设计标识，可以实现拖拽的形式进行算法设计(为证明此功能的真实性，必须提供现场演示)； 38.★要求支持密码学算法设计的加载项，控制算法调试面板，支持密码学算法调试面板的前置显示和隐藏(为证明此功能的真实性，必须提供现场演示)； 39.★支持运行算法功能，系统自动计算该环节下的算法设计结果(为证明此功能的真实性，必须提供现场演示)； 40.支持算法调试面板的错误信息提示，当算法运行出现异常，及时提示相关的错误信息； 41.要求算法设计的跟踪功能支持跟踪数据抽取设置功能； 42.支持算法运行结果的数据类型的隐藏和显示。 ★注：中标方需3日内到校针对功能逐条进行现场演示，如有不满足，视为自动放弃中标资格。三、资源包 1.包含mailpress RCE漏洞、弱口令漏洞、权限提升、注入漏洞、失效的身份认证、安全配置错误、目录遍历漏洞、任意文件读取漏洞、后台密码爆破、认证绕过漏洞、网页编辑器漏洞、任意文件上传漏洞、敏感文件泄露漏洞、上传绕过漏洞、自定义页面上传木马、中间件解析漏洞等漏洞内容； 2.包括信息收集、php-fpm未授权访问、redis未授权访问、Web入侵安全防护、主机入侵与防护、数据库攻击与防护、溢出攻击、提权攻击与防护、后门技术与防护措施、操作系统漏洞等漏洞类型； 3.包含基本编码、MySQL数据库安全、SQL注入利用、XXE实体注入利用、LDAP注入、OS命令注入、文件包含、代码注入、数据库远程登录、信息隐藏、XSS与编码、CSRF利用、MSSQL数据库安全、MD5算法、缓冲区溢出之shellcode提取； 4.包含端口扫描、密码破解、SQL注入、源码分析、欺骗技术、缓冲区溢出、组件安全、编码解码、防火墙防护配置及绕过技术等内容； 包含系统压缩文件密码破解、代码审计、密码哈希破解等内容；包含简单的实例、验证码的生成、正则表达函数、while循环、结构嵌套、显示页面制作、后台页面制作、超级管理员后台页面、注册页面制作、PHP代码审计命令注入、PHP代码审计执行注入、PHP代码审计XSS反射型漏洞；PHP代码审计XSS存储型漏洞、APPscan扫描器扫描web漏洞、awvs扫描器扫描web漏洞、Parosproxy扫描器、union联合查询、截取字符串、REGXP正则匹配、floor报错注入、XML攻击、SQL_injection、Authentication、CVE-2016-7095 Exponent cms任意文件上传漏洞、CVE-2017-6823 Fiyo CMS权限提升、延时注入查询数据库表中的信息、延时注入工具、MYSQL日志介绍、MYSQL攻击日志分析、Tomcat安全加固、Apache攻击日志分析、Apache安全加固、Apache攻击日志分析、Apache安全加固（此处重复）；用IO Graphs工具测算链路的吞吐量、Jinja2模板应用、Bootstrap开源框架、IPSEC_AH_ESP协议开发使用、密钥有效性检测、5轮DES线性密码分析、欧几里德算法。 ★注：中标方需3日内到校针对功能逐条进行现场演示，如有不满足，视为自动放弃中标资格。 四、其他 ★参与竞赛团队建设：参与日常训练指导，根据竞赛训练需求，提供竞赛训练教学、竞赛模拟环境搭建、竞赛模拟组织等工作，帮助提升竞赛水平。
2	服务器一	西普阳光 SimpleCRC-MCN;南京维能 NJwn-server1;浙江雅然 ZJYR-f01;		1	★硬件参数： 1. 主机：2U服务器产品，采用INTEL C620芯片组，最大支持两颗英特尔至强可扩展系列处理器； 2. CPU：≥2*Intel XEON Silver 4110 8C/16T 2.1GHz 11M 85W； 3. 内存：≥128G/DDR4/2133或2400MHz/ECC/REG/2RANK ； 4. 硬盘：≥SSD 2T*1； 5. 接口：≥2个千兆网口，2个USB口，1个RJ-45串口； 6. 最大平均无故障运行时间(MTBF)：10万小时； 7. 独立模块，2U硬件； 8. 硬件平台运行稳定，支持CTF竞赛系统全部功能并稳定运行。
3	网络攻防擂台对抗系统	西普阳光 SimpleCRC-PT;南京维能 NJwn-lt;浙江雅然 ZJYN-dkxt;		1	一、功能 1.▲支持分析每个参赛团队每个阶段中的实时得分、赛题提交时间、所有题目的提交答案历史；（为证明此功能的真实性，必须提供产品功能截图并加盖厂商公章） 2.支持通过团队名称、所属院校查询团队成绩详情； 3.支持竞赛成绩导出，导出内容包含参赛队伍信息、各阶段分值等信息，导出格式Excel； 4.能够将任意一支队伍的所有阶段答题详情进行导出，导出格式为图片，导出内容包含各阶段得分占比图、正确率占比图、整场比赛的得分走势图、答题详情； 5.★支持搭建模拟企业网络环境，支持对企业网络环境进行渗透测试； 6.▲支持展示本场竞赛中所有团队的总体得分、阶段得分，包括每个队伍得分时间现状图；（为证明此功能的真实性，必须提供产品功能截图并加盖厂商公章） 7.支持按照团队统计与题目统计两种方式统计成绩，团队统计为每个团队的得分情况进行统计，题目统计以每道题目在各个团队的答题正确率进行统计； 8.支持试卷发布功能，发布后学生才可进行答题。在考试开始之前支持教师进行撤销发布操作，考试开始后无法撤销； 9. ★支持远程连接，学生可异地参加训练，参加竞赛。 ★注：中标方需3日内到校针对功能逐条进行现场演示，如有不满足，视为自动放弃中标资格。二、资源包 1.包含口令加固、文件上传绕过加固、sql注入加固、密码重置加固、重装漏洞加固; 2.包含webshell清理加固、文件及目录权限加固、用户权限加固、代码执行加固、php反序列化加固、java反序列化加固； 3.包含端口加固、系统服务权限加固、命令注入加固、任意文件读取加固、穷举用户加固、web未授权访问加固； 4.包括权限提升加固、信息泄露加固、接口暴露加固、数据库未授权访问加固； 5.包括对所有加固点的监控，检测到异常自动扣分，检测到加固成功自动加分，检测时间可以根据智能算法控制，防止选手猜测出检测时间。 6.包含5个虚拟机以上的网络拓扑环境、必须包括多个vlan、必须有模拟的外网地址、且选手只能通过外网地址访问环境； 7.包含web口令爆破、ftp口令爆破、ssh口令爆破、后台地址爆破、目录爆破、绝对路径获取、hash密码破解； 8.包含文件上传绕过漏洞、敏感信息泄露漏洞、远程代码执行漏洞、java反序列化命令执行漏洞、php反序列化命令执行漏洞、xxe注入漏洞、文件包含漏洞、认证绕过漏洞、sql注入漏洞、sql二次注入漏洞、sql注入绕过waf、密码重置逻辑漏洞、任意文件读取漏洞、条件竞争泄露hash漏洞； 9.包含数据库获取webshell、修改配置文件注入so共享库漏洞、邮件服务器协议利用、metinfo后台getshell、jymusic后台getshell； 10.包含wordpress插件任意文件下载漏洞office命令执行漏洞、snmp信息泄露漏洞、Supervisord 远程命令执行漏洞、读取chrome保存的账号密码、双重md5解密； 11.包含python、php源码分析； 12.包含Joomla二阶注入漏洞、appcms的前台sql注入漏洞、zoom client远程命令执行漏洞；13.包含Apache ActiveMQ Fileserver远程代码执行漏洞、Haraka远程代码执行漏洞、Xplico未授权远程命令执行、OFFICE-CVE-2017-11882漏洞、CVE-2017-12629漏洞、MS15-077漏洞、CVE-2014-3704漏洞、CVE-2017-12635漏洞、CVE-2017-12636漏洞、JTRT Responsive Tables注入漏洞； 14.包含防毒墙的认证绕过漏洞、防毒墙的认证绕过漏洞； 15.包含内网扫描、端口转发、nc反弹shell、msf木马获取meterpreter-shell、web代理、socks4代理、socks5代理、windows系统提权、linux系统提权。 16.包含利用dede查找按钮事件的段首地址、ALT+F9关键CALL追注册码、真码保存在系统文件、BC++手动查找IAT、VB按钮脚本破解、修改软件标题图标、加壳软件打补丁、易语言退出暗桩、暴力破解程序。 ★注：中标方需3日内到校针对功能逐条进行现场演示，如有不满足，视为自动放弃中标资格。 三、其他 ★参与竞赛团队建设：参与日常训练指导，根据竞赛训练需求，提供竞赛训练教学、竞赛模拟环境搭建、竞赛模拟组织等工作，帮助提升竞赛水平。
4	CTF竞赛系统	西普阳光 SimpleCRC-CTF;南京维能 NJwn-jsctf;浙江雅然 ZJYR-jsxt;		1	二、功能 1、 支持对网络靶场竞技系统资源的调用； 2、 支持在管理系统中对服务器进行远程重启，关机操作，支持一键关机； 3、 支持管理员、参赛队员和观众三种角色的使用与验证，同时支持对并发用户数量的控制； 4、 系统支持B/S架构访问； 5、 系统支持竞赛模式和练习模式两种使用模式； 6、 支持对资源使用率进行监控； 7、 支持系统状态监控，包括：系统用户数量、在线用户数量、竞赛数量、练习数量、虚拟机母本数量、正在运行的虚机数量等内容； 8、 系统内置赛题类型七种，包括基础理论、夺旗闯关、主机渗透、攻防对抗、取证溯源、企业环境渗透、安全加固； 9、 内置DHCP服务，可以设置多个地址池，能够为竞赛中的资源分配IP地址，包括：网段、掩码位、适用模块等； 10、 支持sdn、openflow、vpc、router、防火墙服务、安全组、openvswitch、bridge、vlan、vxlan 11、 用户能够通过网络靶场竞技系统中的工具箱下载竞赛工具，也可以使用自己的工具进行比赛或练习，提供的工具应覆盖扫描探测、漏洞扫描、密码破解、加密解密、嗅探欺骗、逆向工程、木马后门等 12、 支持系统资源实时调用； 13、 支持实时监控挂载运行虚拟机数量，并实时提供虚拟机占用资源情况； 14、 支持自动对系统内闲置资源的实时释放，防止资源被消耗浪费； 15、 支持KVM虚拟化技术，内置轮询算法，支持最优算法测算及选择； 16、 支持单用户授权，可以自动识别选手、管理员用户，无需在登录时选择用户角色。学生用户可以实现参与竞赛或练习答题相关操作，管理员用户可以实现对竞赛本身的管理以及资源使用情况的监控。产品可实现5队用户并发。 17、 ★支持八种竞赛阶段：基础理论阶段、夺旗闯关阶段、主机渗透阶段、攻防对抗阶段、取证溯源阶段、企业环境渗透阶段、安全加固固阶、自定义竞赛阶段（为证明此功能真实性，必须提供现场演示）； 18、 支持教师管理私有实验库，可对实验列表进行排序、删除等功操作；内容以列表形式显示； 19、 支持选课人数限制，若某时间段的选课人数达到上限，该学生只能预约其它时间段学习； 20、 支持选修课程学习倒计时功能，倒计时结束后，系统自动结束学习内容； 21、 ★支持系统自动评分功能，学生选修的课程学习结束后，系统自动评判学生学习结果，给出学习成绩（为证明此功能的真实性，必须提供现场演示）； 22、 ★系统支持远程控制服务器，支持一键关机、独立关机等操作（为证明此功能的真实性，必须提供现场演示）； 23、 支持管理安全实验室设备、外接设备（为证明此功能的真实性，必须提供截图）； 24、 支持对教师、学生帐号进行管理，要求新增帐号默认有初始密码，帐号支持帐号禁用、批量删除、批量初始化密码等操作； 25、 至少包含Windows基本环境配置、用户与组管理、用户环境安全、隐藏账户、NTFS磁盘的安全与管理、文件共享；部署企业中流媒体服务器实验、部署企业中邮件服务器实验、部署企业中文件服务器实验；部署企业中终端服务器实验、Linux的帮助文档与工具、文件的增删改查、文件的分割与合并、文件的权限管理、Linux的目录结构、SQL视图操作、SQL语言的使用、数据库的语句操作、数据库和表的建立、安装SQLServer2008。 26、 包含基本编码、MySQL数据库安全、SQL注入利用、信息隐藏、XSS与编码、MSSQL数据库安全、MD5算法、缓冲区溢出之shellcode提取、移动应用的安全防护、逆向工程等内容；（与“三、资源包”中内容重复） 27、 包含密码破解、SQL注入、源码分析、欺骗技术、缓冲区溢出、溢出攻击安全防护、编码解析等内容；（与“三、资源包”中内容重复） 28、 包括Windows操作系统主机安全防护、Linux/Unix操作系统主机安全防护、DNS系统的安全防护、扫描与探测、DOS及DDOS类攻击的安全防护、网络层攻击的安全防护；（与“三、资源包”中内容重复） 29、 包含主机恶意代码防护、网络单元信息的收集、暴力破解、Web入侵安全防护、安全设备与工具、系统压缩文件密码破解、代码审计等内容；（与“三、资源包”中内容重复） 30、 ★支持远程连接，学生可异地参加训练，参加竞赛。 ★注：中标方需3日内到校针对功能逐条进行现场演示，如有不满足，视为自动放弃中标资格。三、资源包 1、包含基本编码、MySQL数据库安全、SQL注入利用、信息隐藏、XSS与编码、MSSQL数据库安全、MD5算法、缓冲区溢出之shellcode提取、移动应用的安全防护、逆向工程等内容； 2、包含密码破解、SQL注入、源码分析、欺骗技术、缓冲区溢出、溢出攻击安全防护、编码解析等内容； 3、包括Windows操作系统主机安全防护、Linux/Unix操作系统主机安全防护、DNS系统的安全防护、扫描与探测、DOS及DDOS类攻击的安全防护、网络层攻击的安全防护； 4、包含主机恶意代码防护、网络单元信息的收集、暴力破解、Web入侵安全防护、安全设备与工具、系统压缩文件密码破解、代码审计等内容； 5、题目类型至少包括WEB安全、密码学、安全杂项、逆向工程、溢出等5大类型 6、web安全方面包含SQL注入，宽字节注入，盲注，报错注入，字符串黑名单绕过、SSRF服务端请求伪造获取数据，文件包含(本地和远程)，文件上传和各种检查绕过和解析漏洞，php代码审计中的变量覆盖，命令执行，反序列化等漏洞和hash函数的不当使用等； 7、密码学包含古典密码中单表代换加密：凯撒密码 ，多表代换加密，以及其他类型加密如JSFuck，培根密码，栅栏密码，RSA加密，选择密文攻击，hash长度扩展攻击、DSA数字签名，以及伪随机数生成相关攻击； 8、安全杂项包括Morse 编码、格雷编码、曼彻斯特编码、XXencoding、Base64、ASCII 编码、以及条形码、二维码相关技术。元数据提取，像素值转化，png图片的lsb信息隐藏，图片长宽调整隐藏，gif图片多帧、时间轴中隐藏信息。pcap文件修复，http，dns等各种协议分析。压缩包暴力破解，明文攻击，伪加密。音频隐写： mp3 、 波形、频谱、LSB音频隐写。Ext，Fat等文件格式分析，内存数据分析； 9、逆向工程包括脱壳技术、反调试技术、Linux逆向技术、python smali java 等语言的逆向技术，windows PE 和 Linux ELF 文件的逆向； 10、溢出包括保护机制绕过、ROP技术，SROP，BROP等、栈指针劫持，动态链接绕过ASLR（ret2dl_resolve）、Partial overwrite 绕过ASLR，绕过canary(leak)。pwn堆溢出方面包括UAF ，double free、off by one 、Fastbin Attack、Unsorted bin attack、Chunk Extend / Shrink、House Of Einherjar、House of Lore、House Of Force、Unsorted Bin Attack、House of Orange。溢出其他漏洞包括格式化字符串漏洞造成任意地址读写、整数溢出漏洞、条件竞争漏洞、linux内核漏洞exploit编写； ★注：中标方需3日内到校针对功能逐条进行现场演示，如有不满足，视为自动放弃中标资格。 四、其他 1、★参与竞赛团队建设，根据竞赛训练需求，参与日常训练指导，提供竞赛训练教学、竞赛模拟环境搭建、竞赛模拟组织等工作，帮助提升竞赛水平。
5	网络攻防红 蓝对抗系统	西普阳光 SimpleCRC-AWD;南京维能 NJwn-gf;浙江雅然 ZJYR-gfxt;		1	一、功能 1.竞赛过程中，参赛端展示系统当前时间、竞赛及阶段相关的时间信息，方便选手合理分配； 2.支持同时开启多场竞赛，用户可自主选择观看的竞赛； 3.★八个竞赛阶段，支持八种不同的态势展现形式，具体表现为基础理论阶段、夺旗闯关阶段、主机渗透阶段、攻防对抗阶段、取证溯源阶段、企业环境渗透阶段、安全加固阶段、自定义竞赛阶段八种不同的竞赛态势展现效果；（为证明此功能的真实性，必须提供现场演示） 4.基础理论阶段，支持以态势图的形式展示本阶段参赛队伍的答题进度。同时会实时展示当前竞赛相关的排名及得分情况； 5.夺旗闯关阶段，支持以态势图的形式展示本阶段参赛队伍的答题情况。 6.支持显示每个参赛队伍本阶段的答题数量、得分、当前排名，支持参赛队伍的总得分及总名次统计 7.系统支持对学生用户实验实操过程及结果进行监测，且支持学生对实验实操过程进行录屏，教师用户能够查看录像信息； 8.要求能够在课程批阅中具体到课程统计，查看课程中每个学生的实验进行情况，查看每个学生的已完成实验数、已批阅实验数以及花费时间，要求能够查看课程下学生提交的实验笔记。 9. ★支持远程连接，学生可异地参加训练，参加竞赛。 ★注：中标方需3日内到校针对功能逐条进行现场演示，如有不满足，视为自动放弃中标资格。二、资源包 1.包括但不限于通信企业、交流平台、涉密企业、电商平台、金融机构等比赛场景； 2.包含任意文件读取漏洞、敏感文件泄露漏洞、网页编辑器漏洞、任意权限getshell、后台任意目录上传和执行、弱密码爆破、宽字节配合万能密钥等漏洞； 3.包含mailpress RCE漏洞、弱口令漏洞、注入漏洞、权限提升、失效的身份认证、安全配置错误、php-fpm未授权访问、中间件解析漏洞、目录遍历漏洞、爆破密码、认证绕过漏洞、任意文件上传漏洞、上传绕过漏洞、自定义页面上传木马等漏洞内容； 4.包含基本编码、数据库安全、溢出攻击、信息隐藏、XSS与编码、MD5算法、缓冲区溢出之shellcode提取； 5.包含密码破解、主机入侵与防护、SQL注入、XXE实体注入、LDAP注入、OS命令注入、文件包含、代码注入、数据库远程登录、源码分析、欺骗技术、组件安全、提权攻击与防护、编码解码等内容； 6.包含各类信息收集、php-fpm未授权访问、redis未授权访问、Web入侵安全防护、主机入侵与方式、压缩文件密码破解、数据库安全、后门技术与防护、代码审计、操作系统漏洞； 7.可以对各队伍主机的运行情况进行监控，如果选手恶意关闭必要服务，监控程序自动扣分。 8.包含子域名爆破、伪造邮件、c段扫描、awvs扫描网站、爆破后台、sql注入、sqlmap扫描、编辑网站模板写shell、数据库下载、反弹内网shell； 9.包含文件上传、xss、系统口令爆破、ftp爆破、ssh口令爆破、web口令爆破、mysql数据库密码爆破、sqlserver数据库密码爆破、vnc密码爆破； 10.包含wordpress网站、dedecms网站、drupal网站、joomla网站、discuz网站、phpcms网站； 11.包含ssh后门、定时任务执行恶意代码、web代理、socks5代理、socks4代理、端口转发，插入js恶意代码；12.包含ntscan的使用、vlan划分、web指纹识别工具的使用、nessus的使用、java反序列化工具的使用、apache解析漏洞的使用、钓鱼邮件的构造、邮件挂马应用、webshell密码爆破、portscan的使用、ftp爆破、john的使用、hydra的使用、linux定时任务、php越权访问、rootkit木马的使用、js探针的使用、伪造邮箱地址、vpn暴力破解、wwwscan的使用、子域名爆破、awvs的使用、php木马的使用、c段扫描工具的使用、nslook的使用、使用ftp提权、撞库攻击、iTop系统的使用； 13.包含sqlmap注入流量识别、sql注入流量识别、菜刀流量识别、js代码分析、js代码解密、webshell流量识别、远程命令流量识别、爆破流量识别、ftp流量识别、mysql协议识别、反序列化力量识别、weblogic后门识别、jsp木马识别、redis流量识别、arp流量识别、mail协议分析； 14.ftp交互流量分析、ftp数据端口计算、流量中文件提取、webshell代码分析、网站密码hash破解、linux系统密码破解、joomla密码破解； 15.pam后门查找分析、分析bash_history、查找隐藏webshell、查找系统后门、计划任务后门分析； 16.包含漏洞扫描工具Openvas安装、安全审计漏洞人工检查、认证人工检查、Cacti+nagios监控系统的运作机制、Nagios服务部署、Cacti+nagios监控系统的运作机制、Nagios服务部署（此处重复）； 17.包含数据源的获取、数据探索与清洗、模型构建、模型评估、Python特征降维、Python特征提升、Python框架之Django模板、Python框架之Django的使用。 ★注：中标方需3日内到校针对功能逐条进行现场演示，如有不满足，视为自动放弃中标资格。 三、其他 ★参与竞赛团队建设：参与日常训练指导，根据竞赛训练需求，提供竞赛训练教学、竞赛模拟环境搭建、竞赛模拟组织等工作，帮助提升竞赛水平。
6	服务器二	西普阳光 SimpleCRC-CNN;南京维能 NJwn-server2;浙江雅然 ZJYR-f02;		1	★硬件参数： 1. 标准2U机架式硬件，配置安装导轨； 2. 主机：2U服务器产品，采用INTEL C620芯片组，最大支持两颗英特尔至强可扩展系列处理器； 3. CPU：≥1*Intel XEON Silver 4110 8C/16T 2.1GHz 11M 85W； 4. 内存：≥96GB/DDR4/2400或2666MHz/ECC/REG； 5. 硬盘：≥1*Samsung/SSD/2TB/860EVO桌面级(SATA/2.5寸/6GB/S） 6. 接口：≥2个千兆网口，≥2个USB口，为减少网络延迟，集成的双口千兆网卡必须支持I/O AT、负载均衡、链路汇聚、绑定冗余等特性；≥5个PCI-E 3.0扩展插槽； 7. 远程管理：标配远程管理控制端口，可实现与操作系统无关的远程对服务器的完全控制，虚拟电源可远程开机、重启、关机，主板集成iBMC，可实现远程iKVM。 8. 硬件平台运行稳定，支持网络攻防单兵作战系统全部功能并稳定运行。

 
服务要求:
 1、商务要求:一、售后服务： （1）质保期：硬件设备提供伍年原厂商质保及免费支持服务。软件产品伍年免费升级更新； （2）供货期：合同签订后30天交付至采购人使用现场，提交一份完整的设备安装验收单或验收报告，由采购人进行验收； （3）供应商提供软件系统及设备原厂商免费上门质保服务，免费服务期内提供系统升级、实验内容免费升级、技术支持等服务。质保期自项目终验合格之日起计算，成交供应商应与原厂商共同提供相应承诺； （4）服务响应时间：接到采购人报修通知后，立即远程指导，如有必要，维修人员应在半小时内到达现场。 二、产品培训服务：成交供应商需为采购人提供免费的现场培训，培训具体要求为： （1）成交供应商需针对本系统及采用的相关技术、设备等提出全面培训计划并征得采购人同意后实施，培训工作须满足系统日常的使用与维护；（2）提供培训手册。 三、演示： （1）中标后3个工作日内采购人有权要求对产品功能进行逐项测试（如果功能、性能要求上理解与采购人有不同，责任有投标人承担），如有虚假应标，采购人有权取消其中标资格并按规定追求相应责任； （2）招标所有参数作为实质性条款必须满足，否则视为无效投标。采购人若有疑问时投标人在成交确认前需提供样品逐项演示产品功能。 四、验收： 供应商应提供合同货物的有效检验文件，经采购人认可后，与货物的性能指标一起作为合同货物验收标准。采购人对合同货物验收合格后，双方共同签署验收合格证书，验收中发现合同货物达不到验收标准或合同规定的性能指标，供应商必须更换合同货物，并负担由此给采购人造成的损失，直到验收合格为止。 五、报价时，供应商需上传原厂商盖章的投标资格授权函，未上传的作无效标处理；中标后3个工作日内，供应商需提供原厂商针对此项目的售后服务承诺书。 六、付款方式：合同签订后10个工作日内采购人向供应商支付合同金额30%，供应商以合同签订内容货物接收地址发货，费用由供应商承担，并负责安装调试验收培训等相关事宜。项目验收后20天内采购人向供应商支付剩余合同金额70%。 注： ☆此项目采购不接受推荐品牌之外的产品。。 
报价时间:2020年08月17日 16:28 - 2020年08月18日 16:28 
四、保证金金额、收款银行、用户名及卡号
   
附件信息：
采购项目方案（网络信息安全） - 2 竞赛部分（红色文字部分为硬件）.xls