| 公告時(shí)間: | 2016-12-15 09:22:33 | |||||||||
| 項(xiàng)目名稱: | 中國互聯(lián)網(wǎng)絡(luò)信息中心網(wǎng)絡(luò)安全設(shè)備自動(dòng)滲透測試工具及配件采購項(xiàng)目 | |||||||||
| 項(xiàng)目編號: | GDC-20161208111963479 | |||||||||
| 中央國家機(jī)關(guān)政府采購中心受采購單位 中國互聯(lián)網(wǎng)絡(luò)信息中心 委托, 對下列貨物及服務(wù)進(jìn)行網(wǎng)上電子政府采購,現(xiàn)邀請合格投標(biāo)人進(jìn)行網(wǎng)上競價(jià)。 | ||||||||||
| 采購項(xiàng)目信息 | ||||||||||
| 采購單位: | 中國互聯(lián)網(wǎng)絡(luò)信息中心 | 報(bào)價(jià)截止時(shí)間: | 2016-12-20 09:22:33 | |||||||
| 聯(lián)系人: | 張新躍 | 送貨地點(diǎn): | 海淀區(qū)中關(guān)村南四街4號1號樓 | |||||||
| 聯(lián)系電話: | 13370166118 | 到貨時(shí)間: | 合同簽訂后2個(gè)日歷日到貨 | |||||||
| 聯(lián)系郵件: | zhangxinyue@cnnic.cn | 項(xiàng)目預(yù)算: | 200000.0 (注:此預(yù)算在采購人可支付的情況下可增加金額) | |||||||
| 剩余時(shí)間: | 簽約時(shí)間: | 成交公告發(fā)布后3個(gè)工作日內(nèi)簽署合同 | ||||||||
| 資質(zhì)要求 | ||||||||||
| 售后服務(wù)網(wǎng)點(diǎn): | 要求當(dāng)?shù)赜惺酆蠓?wù)網(wǎng)點(diǎn) | 銷售資質(zhì)需求: | 協(xié)議供貨商 | |||||||
| 售后上門服務(wù)要求: | 上門服務(wù)年限:3年
上門服務(wù)時(shí)限:接到報(bào)修后12小時(shí) |
電話技術(shù)支持服務(wù)響應(yīng)要求: | 7X24小時(shí) | |||||||
| 免費(fèi)維保質(zhì)保期: | 3年 | |||||||||
| 踏勘需求 | ||||||||||
| 踏勘地點(diǎn): | 無 | 踏勘時(shí)間: | 無 | |||||||
| 聯(lián)系人: | 無 | 聯(lián)系電話: | 無 | |||||||
| 采購商品信息 | ||||||||||
| 商品分類 | 商品名稱 | 參考品牌 | 規(guī)格型號 | 單位 | 數(shù)量 | 產(chǎn)地要求 | 是否要求有現(xiàn)貨 | 是否要求承諾原廠全新未拆封正品 | 技術(shù)指標(biāo) | |
| 網(wǎng)絡(luò)安全設(shè)備及配件 | 自動(dòng)化滲透測試工具 | 杭州安恒明鑒 | DAS-APENTEST | 套 | 1 | 中國 | 是 | 是 | 一、基本功能要求: 1、自動(dòng)分析網(wǎng)絡(luò)服務(wù),自動(dòng)加載對應(yīng)的掃描模塊(識別到HTTP協(xié)議加載Web掃描器)。 2、自動(dòng)分析漏洞,自動(dòng)滲透,獲取控制會(huì)話,包括基于TCP的控制會(huì)話、WebShell、遠(yuǎn)程管理協(xié)議賬戶口令的獲取。 3、信息采集功能 1)Ping檢查:檢查網(wǎng)絡(luò)是否連通,進(jìn)行路由跟蹤 2)主機(jī)探測:如主機(jī)名、操作系統(tǒng)名稱、操作系統(tǒng)版本等 2)端口探測:如端口號、服務(wù)名、協(xié)議、版本、狀態(tài)等 3)網(wǎng)站指紋識別:如web框架、版本號等 4)域名信息查詢:如域名所有人、域名注冊商、注冊日期等 4、漏洞發(fā)現(xiàn)功能 1)網(wǎng)站漏洞掃描 a、安全掃描策略支持:支持策略自定義及策略分類;支持常見的Web漏洞、OWASP TOP 10等主流安全漏洞,如SQL注入、Cookite注入、XSS跨站腳本、CSRF跨站偽造請求、命令注入、代碼注入等。 b、掃描過程:支持實(shí)時(shí)顯示詳細(xì)的掃描和檢測見過統(tǒng)計(jì)數(shù)據(jù),并展示相應(yīng)的統(tǒng)計(jì)圖表 2)系統(tǒng)漏洞功能 a、安全掃描策略支持:支持自定義選擇策略模板,支持各種主機(jī)主流操作系統(tǒng)如windows、linux、unix、hp及tomcat等中間件的漏洞掃描 b、掃描過程:支持查看漏洞詳情、修復(fù)建議、CVE編號等 3)數(shù)據(jù)庫漏洞功能 a、支持掃描方式:支持支持授權(quán)掃描、非授權(quán)掃描 b、支持掃描策略:支持緩沖區(qū)溢出漏洞、訪問控制漏洞、提前漏洞、執(zhí)行權(quán)限過大漏洞、訪問權(quán)限繞過漏洞、弱口令等 5、支持對掃描的漏洞進(jìn)行驗(yàn)證 1)、SQL注入漏洞自動(dòng)化滲透測試,支持自動(dòng)識別注入點(diǎn),支持對數(shù)據(jù)庫配置進(jìn)行審計(jì),支持后臺數(shù)據(jù)庫的數(shù)據(jù)提取、執(zhí)行控制臺命令、讀取 注冊表、獲取目錄樹、數(shù)據(jù)庫備份、遠(yuǎn)程文件下載、文件上傳等。 2)、SQL注入半自動(dòng)化滲透測試 1)滲透內(nèi)容:支持http或https協(xié)議的測試;支持常見的數(shù)據(jù)庫,包括mssql,oracle,mysql,db2,access等數(shù)據(jù)庫;支持任意注入點(diǎn)的注入( 包括url注入、偽靜態(tài)注入、cookie注入、referrer注入、GET參數(shù)注入、POST參數(shù)注入、xml格式請求注入、json格式請求注入等);支持盲注、錯(cuò)誤注入、union注入方式;獲取數(shù)據(jù)庫各種環(huán)境變量、列舉數(shù)據(jù)庫名、表名,獲取表結(jié)構(gòu),并能導(dǎo)出相關(guān)數(shù)據(jù);支持?jǐn)U展功能,各種滲 透功能,包括執(zhí)行系統(tǒng)命令、啟動(dòng)組件、遠(yuǎn)程桌面開啟關(guān)閉、獲取系統(tǒng)信息、文件讀取、注冊表讀取。 2)滲透功能:支持提交注入U(xiǎn)RL自動(dòng)獲取HTTP頭功能;具有手工數(shù)據(jù)包重放測試功能,重放數(shù)據(jù)包應(yīng)包括測試類型、時(shí)間、響應(yīng)碼和響應(yīng)長 度、SQL驗(yàn)證語句;支持多線程快速測試;支持參數(shù)處理,可對注入語句進(jìn)行base64編碼、url編碼、字符串替換、字符串編碼等操作;支持 forward狀態(tài)跟蹤;支持WAP網(wǎng)站、webservice、偽靜態(tài)站點(diǎn)等特殊站點(diǎn)的測試;能夠進(jìn)行數(shù)據(jù)包跟蹤,進(jìn)行注入調(diào)試,快速判斷問題點(diǎn);支 持配置文件的導(dǎo)入導(dǎo)出;支持表結(jié)構(gòu)的導(dǎo)入導(dǎo)出;支持表內(nèi)數(shù)據(jù)的導(dǎo)出;支持狀態(tài)保存,下次啟動(dòng)保存前一次的狀態(tài)。 3)報(bào)告 可支持注入點(diǎn)配置設(shè)置導(dǎo)入導(dǎo)出; 4)、Struts2遠(yuǎn)程命令執(zhí)行:支持S2-005、S2-013、S2-016、S2-019及其他版本漏洞滲透測試 5)、IIS文件上傳滲透測試:支持文件上傳、文件重命名滲透測試 6)、ElasticSearch Groovy遠(yuǎn)程命令執(zhí)行:支持遠(yuǎn)程命令執(zhí)行、文件上傳測試 7)、MogoDB PhpMoAdmin 遠(yuǎn)程代碼執(zhí)行:支持遠(yuǎn)程命令執(zhí)行測試 6、支持滲透測試對象 1)支持掃描對象:包括IIS、Websphere、Appache、Weblogic等web服務(wù)器,支持Asp、Jsp、Php等編程語言;支持Microsoft Windows XP/2003/Vista/2008/7、Sun Solaris、HP Unix、IBM AIX、IRIX、Linux、BSD等操作系統(tǒng),以及常用軟件,網(wǎng)絡(luò)設(shè)備,Oracle、MS SQLserver、Mysql、Infomix、DB2、Sybase等主流數(shù)據(jù)庫。 2)滲透測試支持對象:包括支持IIS、Websphere、Weblogic、Apache等所有的應(yīng)用服務(wù)器;Asp、Jsp、.Net、J2EE、Php,perl等所有的WEB應(yīng)用編程語言; 7、輔助工具功能: 1)工具自帶HTTP請求編輯器、谷歌黑客工具,編碼/解碼工具,MD5暴力破解工具以及Openssl漏洞批量檢測工具; 2)工具支持根據(jù)自己的需要自定義添加分組及輔助工具。 8、滲透測試報(bào)告功能 1)可導(dǎo)出掃描、滲透報(bào)告; 2)支持截圖功能和及時(shí)取證。 二、滲透測試技術(shù)支持服務(wù)要求 1、滲透測試工具具有較強(qiáng)的專業(yè)性和自身安全要求,要求供應(yīng)商提供工具原始廠商為期三年的質(zhì)保服務(wù),同時(shí)提供為期三年的滲透測試技術(shù)服務(wù)支持。 2、現(xiàn)場技術(shù)支持,要求供應(yīng)商具有本地化技術(shù)支持能力,提供本地技術(shù)支持服務(wù),需提供本地化服務(wù)證明,接到報(bào)修電話2小時(shí)內(nèi)響應(yīng),12小時(shí)內(nèi)上門; 3、提供不少于三年的原始廠商7*24小時(shí)服務(wù)支持; 4、不少于5名原始廠商工程師到現(xiàn)場實(shí)施及提供滲透測試相關(guān)的培訓(xùn),指導(dǎo)工具的正確使用; 5、采購人將對中標(biāo)到貨設(shè)備進(jìn)行性能測試和功能驗(yàn)證,與投標(biāo)承諾不符將作為無效投標(biāo)處理,由此引發(fā)的所有損失由該投標(biāo)人承擔(dān); 6、產(chǎn)品部署完成需用戶、代理商、廠商三方共同參與技術(shù)驗(yàn)收。 7、提供正式授權(quán)的正版系統(tǒng),要求提供來源證明文件。 | |
