漏洞扫描系统详细招标参数
漏洞扫描系统及网络与系统安全设备采购项目招投标书范本
大连大学漏洞扫描系统及网络与系统安全设备采购项目招标文件(项目编号:ZZCG-)招标人:大连大学招标代理人:大连中招招投标代理有限公司日期:二○一八年十一月大连大学漏洞扫描系统及网络与系统安全设备采购项目招标文件项目负责人:关慧丽编制人:关慧丽审核人:王胜彬编制日期:年月目录投标邀请函…………………………………………………………第一章投标人须知及前附表……………………………………第二章合同条款及合同格式……………………………………第三章项目需求及技术要求……………………………………第四章投标文件格式……………………………………………附件开标一览表………………………………………………附件评标方法…………………………………………………大连大学漏洞扫描系统及网络与系统安全设备采购项目投标邀请函大连中招招投标代理有限公司受大连大学的委托,对其漏洞扫描系统及网络与系统安全设备采购项目进行国内公开招标,欢迎符合资格条件的投标人报名参加投标。
一、项目编号:ZZCG-二、招标内容:漏洞扫描系统及网络与系统安全设备(详细内容见招标文件第三章)A包:漏洞扫描系统B包:网络与系统安全设备注:.投标人不能只对本项目个别品目进行投标,否则将被视为非响应性投标而被拒绝;.招标文件中要求投标人须提供非进口产品,否则视为无效投标文件(进口产品是指通过中国海关报关验放入中国境内且产自关境外的产品).本项目采购以标段为基本单位,两个标段可兼投兼中(详见附件“评分方法”)。
投标人投多个标段时,应按招标文件要求分别提交投标文件及投标保证金,否则视为无效报价。
三、投标人的资格要求:A包、B包:(一)投标人须为在中国境内注册的独立企业法人;(二)外地投标人须具有在大连地区工商行政管理部门注册的售后服务机构(售后服务机构为外地投标人分支机构的须提供营业执照,非外地投标人分支机构的须提供外地投标人与其售后服务机构的委托协议)。
注:.本项目不接受联合体参与;.为采购项目提供整体设计、规范编制或者项目管理、监理、检测等服务的投标人,不得参加本采购项目的其他活动;. 经查询信用信息存在不良信用记录的不得参加本采购项目(具体要求如下)。
1附表1+网页安全漏洞扫描系统配置标
可靠性与 扩展性
可靠性与 扩展性
升级
其他要求
附表1 网页安全漏洞扫描系统配置标准
项目 运行环境:能运行在主流的Windows操作系统平台上(UNIX/Linux操作系统可选支持),如 Windows XP、Windows Vista、Windows Server2003、Windows7等及其各版本(包括32位和64位 版本),需要数据库时能采用主流数据库(如SQL Server、Oracle、Sybase、Informix、DB2等及 其各版本)存储相关数据。 扫描对象包括应用ASP、JSP、PHP、HTML等技术开发的静态页面、动态页面、页面目录等, 支持扫描运行在各类主流WEB服务器(包括但不限于IIS、WebLogic、WebSphere、Apache、 Tomcat等)的WEB系统。 支持对WAP网站的漏洞扫描 须能够发现网页系统中的各种URL,包括: 1、网页文件包括的URL; 2、解析Javascript等脚本获得的URL; 3、执行Javascript等脚本获得的URL; 支持对网页中的flash文件的搜索,并能发现flash文件中的URL和参数 网页安全漏洞扫描系统须能够对发现的URL以一定结构(包括但不限于树型结构)呈现。 能检测出WEB系统常见安全漏洞,包括但不限于: 1、 SQL注入 2、 Cookie注入 3、 跨站攻击 4、 CSRF 5、 目录遍历 6、 网站信息泄漏 7、 管理后台泄漏 8、 认证方式不健壮 9、 隐藏字段操控 1、须提供网页安全漏洞验证的功能,并支持手工配置验证参数 2、能调用其他浏览器或通过自带浏览器验证跨站攻击漏洞、目录遍历、管理后台泄漏等安全漏 洞 3、能够可配置地自动通过SQL注入点获取后台数据库的相关信息
√
√
√
漏洞扫描系统详细招标参数
★获得中国人民解放军信息安全测评中心颁发的《军用信息安全产品认证证书》,并出具加盖厂商公章的复印件
应急能力
★设备生产厂商具备CNCERT颁发《网络安全应急服务支撑单位证书》,并出具加盖厂商公章的复印件
厂商实力
★设备生产厂商应具有漏洞发现能力,具备《中国国家信息安全漏洞库(CNNVD)技术支撑单位资质》,至少曾经获得中国信息安全测评中心颁发《中国国家漏洞库-信息安全漏洞提交证明》,不低于5份,并出具加盖厂商公章的复印件
并发任务数量
≥20个任务并发,单次任务扫描IP数量不限,不限用户数,无限IP授权(设备中需提供证明截图并加盖公章)
网络构架
扫描方式
支持直接扫描,
★支持对多个扫描任务并发执行,支持多任务自动调度;单个任务允许扫描的最大扫描范围不小于一个B类网段。
★支持设备内置VPN拨号扫描(需提供截图证明,加盖原厂公章)
支持MSSQL/MySQL/Oracle/DB2等数据库漏洞检测
支持FTP/EMAIL/DNS/网络设备漏洞检测
支持虚拟化漏洞、常用应用软件漏洞检测
操作系统指纹识别
自动判断被扫描主机的操作系统类型及版本
CVE/CNNVD编号显示
支持显示CVE/CNNVD漏洞编号
★可利用漏洞提示
★支持可利用漏洞提示,将能够获取服务器权限的漏洞专门提示,并支持显示漏洞可利用性,便于管理员立刻锁定资产脆弱点(需提供截图证明,加盖原厂公章)
★必须支持对统一登陆(SSO)环境下WEB站点的登录扫描,统一登陆环境的HTTP或者HTTPS方式的跳转认证等不影响设备的登录扫描功能;(需提供截图证明,加盖原厂公章)
弱密码检测能力
协议类型
★支持检查3389(RDP远程桌面)弱密码(需提供截图证明,加盖原厂公章)
漏洞扫描设备采购需求及参数
漏洞扫描设备采购需求及参数背景介绍随着互联网的发展,网络攻击和数据泄漏等安全风险也愈发凸显。
因此,企业对网络安全的要求越来越高,其中漏洞扫描是比较重要的一个部分。
漏洞扫描设备可以通过对网络漏洞的探测和扫描,识别出系统中的安全弱点和漏洞,并提供相应的修复建议,保证网络的安全。
本文旨在介绍漏洞扫描设备采购的需求和参数。
采购需求安全性能好的漏洞扫描设备一定要具备良好的安全性能,越高越好。
建议采购的漏洞扫描设备应该提供高级别的漏洞识别、分类、管理与修补,能够对各种类型的漏洞进行准确快捷的识别,以及合理的修复方法。
网络兼容性配置全网端口扫描、协议认证、Web应用、数据库等针对性测试模块与技术支持能力。
同时,能够针对各种网络环境进行兼容性调整,保障漏洞扫描的全面性和精准性。
用户界面一个良好的用户界面可以提高工作效率,降低人工操作疏漏的几率。
操作简单、直观、易于理解的界面设计和使用流程,更适合于没有技术专业背景的用户更好地使用漏洞扫描设备。
数据库分类管理提供完整、可扩展性较高的漏洞数据库,并具有自动分类管理功能,让用户便于了解漏洞信息和追踪应对任务的进度。
性能稳定性漏洞扫描设备是一项长期工作的设备。
因此,在采购时一定要选择性能稳定的设备,否则一旦漏洞扫描故障,会对企业的安全带来重大的隐患。
采购参数除了采购需求的要求之外,还需要关注漏洞扫描设备的采购参数。
设备设置在采购时应该注意设备设置是否简便,同时需要咨询现有用户群体对设备的使用反馈,了解该产品是否能够应用到公司现有的设备系统中。
数据管理这关乎到漏洞扫描设备内部的存储,取消,更新等问题。
建议在选择设备时,选择支持备份与恢复数据的机型,这样能在已有的数据基础上,进行更新和存储,以确保重要数据不会被丢失。
操作系统兼容性在选择漏洞扫描设备时,一定要关注操作系统的兼容性,以保证采购的设备能够完美地运行和应用。
扫描报告在采购时应该了解扫描后生成的报告格式、生成的速度、报告编辑和发布。
漏洞扫描系统技术参数
评估管理 系 统 管 理 增强功能
操作系统等特征增加新的资产信息 应支持批量自动获取资产的系统信息 应允许自定义评估参数 应具备日志管理功能 应具备数据库备份功能 应支持图形化实时显示当前 cpu 和内存的使用状况
应支持统计当前在线人数
应支持 internet 在线自动升级
升级管理
应支持通过设置代理升级 应支持本地手动升级
应允许自定义并发扫描的主机数、线程数等
应支持手动指定 http、ftp、smb、snmp、pop3
参数配置 等常见协议的登录口令
应允许自定义扫描所采用的扫描方式
应允许自定义端口扫描的类型、范围等参数
漏 遵循标准 洞
漏洞数量 知 识 漏洞分类 库 升级频率
查询方式
应支持国际 cve 标准 应支持 bugtraq id ≧3100条 应细分漏洞测试脚本,类别≧20种 每周应至少升级一次 支持对漏洞知识库的综合查询
扫
应支持保存扫描任务
描 任务管理 应支持合并扫描任务
功
应支持导入扫描任务
能
应具有能对 windows、linux 等系统进行针对性扫描的预定义策略
策略管理 应允许用户根据需要定制、编辑策略
应支持默认策略库与漏洞库同步更新
拓展功能
应支持与其它安全产品(防火墙、入侵检测系统)联动 应集成一些常用的网络工具,包括端口扫描、主机检测、网络流量查看等等
应具备“中止扫描”功能 扫描执行过程中如果关闭扫描页面,扫描进程应仍在后台执行
应支持随时查看后台扫描进程的进度
应具备“定时扫 描”功能, 并且在扫描结 束后将完整的 扫描结果或者差 异报告 自动发送至管理员邮箱
主流的操作系统(windows/ linux/unix…) 主流的数据库(sql server/oracle/mysql…)
漏洞扫描系统技术参数
易用性
系统构架
基于b/s模式。
帮助系统
应附带使用手册
应具有联机帮助系统
应具有当前页面帮助功能
系统界面
操作界面的语言应为简体中文
菜单布局清晰,功能划分合理
功能执行过程中应有必要的信息提示
扫描性能
扫描速度
不低于如下标准(100m局域网环境)
1~10台< 5分钟
11~20台< 8分钟
漏洞扫描系统
漏洞扫描系统
技术参数
指标
硬件指标
配置状况
cpu≥2.4gpentium处理器
内存≥2g
网口类型
10/100/1000mbase-tx
网口数量
≧4
安全性
平台安全性
应采用定制抗攻击能力强的linux系统平台
应加密扫描测试脚本
操作安全性
加密控制台和扫描器之间的传输数据
可以限制可扫描的ip地址范围
应支持在扫描结束后以邮件或者windows message的方式通知管理员
应支持在扫描结束后将扫描结果通过snmp发
送到网管系统
应具备“暂停扫描”功能
应具备“中止扫描”功能
扫描执行过程中如果关闭扫描页面,扫描进程应仍在后台执行
应支持随时查看后台扫描进程的进度
应具备“定时扫描”功能,并且在扫描结束后将完整的扫描结果或者差异报告自动发送至管理员邮箱
21~40台< 18分钟
1个通常c类网(60%以上主机存活)< 90分钟
核心技术
能够识别出运行在非默认端口的服务(智能端口识别)
应能够对运行在不同端口的相同服务都能分别进行扫描检测(多重服务检测)
应能够根据获取的系统端口状态、运行服务等信息以及前期扫描结果调度后续的针对性扫描脚本(知识依赖检测)
信息安全产品招标参数示例
内嵌移动、电信的IP地址表,可根据目的地址智能优选运营商链路
支持主备接口配置以及按比例分配的负载分担方式
可靠性
支持双机热备,可配置主主、主备方式,双机会话同步
支持BFD链路检测,并与VRRP进行联动实现双机快速切换
日志审计
提供对流量日志、威胁日志、会话日志、策略命中日志等的审计功能
★产品资质
2
日志审计
设备要求
日志收集、存储、查询、统计分析、关联分析、事件管理、多级管理等功能。
软件
独立软件版产品审计
★接收日志性能
每秒接收20000条日志以上,处
理能力至少10000条/秒
存储日志能力
20000条/M(每M空间存储20000条以上日志,压缩存储,压缩比10:1)
3
万兆防火墙
★硬件平台架构
采用64位多核硬件架构,每核心主频不得低于3Ghz(提供CPU型号信息)
攻击防范
支持基于应用层协议的攻击防范包括:HTTP、HTTPS、DNS、SIP 等Flood攻击,支持流量自学习功能,可设置流量自学习时间,并自动生成DDOS攻击防范策略。
流量控制
配置应用识别功能,可识别应用层协议数量≥4000种
虚拟防火墙
配置基于应用层协议设置流控策略,包括设置最大带宽、保证带宽、协议流量优先级等。
硬件
独立硬件设备
★特征库
至少含3年特征库升级服务
端口
至少4个千兆以上端口(至少两个支持Bypass)
资质要求
提供公安部销售许可证;
提供OWASP组织颁发《WEB应用防火墙认证证书》
Tomcat、SunOne、iPlanet、TongWeb、JBoss等
数据库系统
漏洞扫描系统招标技术要求
编号
项目
要求
备注
1
机种
基于专用硬件平台,百兆机架式设备;
*
2
网络接口/数量
10/100Base-TX,总数≥2;
3
语言支持要求
支持全中文的操作界面以及中文详细的解决方案报告
*
4
漏洞检测能力
能够扫描发现网络设备,服务器以及防火墙中的安全漏洞。对网络设备和操作系统网络层漏洞的扫描在不更改任何的配置和安装任何类似探针的软件,也不需要提供任何的访问权限的情况下正常工作;
产品的检测报告可以完全报告安全漏洞和这些安全漏洞的危险级别,同时针对安全漏洞提供安全解决建议;支持多任务报告分析;
8
必须满足的国家相关标准及规范
通过以下国家权威部门的认证:包括《公安部的销售许可证》、《国家信息安全测评认证中心认证》、《涉密信息系统产品检测证书》以及《军用信息安全产品认证》;
*
注:在设备的规格和技术要求中标注*号项为必须满足的要求,任何一项不满足即为废标。
支持多种端口扫描模式方法,如tcp connect,syn scan等;
支持自动模板匹配技术提高扫描速度和准确率;
5ቤተ መጻሕፍቲ ባይዱ
性能要求
单ip扫描速度在10分钟以内,10ip扫描速度在20分钟以内;
6、
管理能力
支持分布式部署,即多个扫描器之间可以区分上下级别关系,下级扫描器可以向上级扫描器发送扫描报告,并由上级扫描器汇总;
支持被扫描系统的资产管理,自动发现网络资产的信息,并能够结合资产管理的情况进行扫描和分析。能够对已有资产进行查阅和管理,可以手工增加新的资产信息;
通过B/S结构支持多级管理员使用扫描器,对每个使用者能够设定其允许登陆的范围和允许扫描的范围,支持基于安全HTTP(SSL)的远程管理;
WAF招标参数
防火墙
★性能参数:三层吞吐量≥5G,应用层吞吐量≥700M,最大并发连接数≥180W,千兆电口≥6个,支持BYPASS功能,单电源,标准1U设备;
支持路由,网桥,单臂,旁路,虚拟网线以及混合部署方式;
★支持Web漏洞扫描功能,可扫描检测网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞;(需提供相关功能截图证明)
★要求所投防火墙产品经过国际知名实验室NSS Labs测试,并获得WAF品类的recommended推荐级别;(提供NSS Labs相关测试报告并加盖厂商公章)
★产品具备电信设备进网许许可证;(提供证明材料)
★厂商软件研发实力需通过CMMI L5认证(提供证明材料)
要求厂商是微软安全响应中心MAPP(Microsoft Active Protection Program)计划成员,可在微软发布每月安全公告之前获得微软产品的详细漏洞信息,为用户提供更及时的安全防护。
支持安全日志进行分析,识别持续性攻击、黑链、高危僵尸病毒等高级威胁并通过微信进行预警;
★支持自动生成安全风险报表,报表内容体现被保护对象的整体安全等级,发现漏洞情况以及遭受到攻击的漏洞统计,具备有效攻击行为次数统计和攻击举证;(提供安全报表并加盖厂商公章)
安全监控平台可以查看到每台安全设备最近的有效安全事件及安全有效事件趋势图,支持根据每台安全设备的最近的安全趋势进行安全状况分级;
★支持抵御SQL注入、XSS攻击、网页木马、网站扫描、WEBSHELL、跨站请求伪造、系统命令注入、文件包含攻击、目录遍历攻击、信息泄露攻击、WEB整站系统漏洞等攻击;(需提供相关功能截图证明)
★支持高级威胁关联分析的能力,并展示热点事件详情,推送到运维管理员手机中进行快速处置;(需提供相关功能截图证明)
漏扫招标参数——网神和绿盟
1 1 漏洞扫描设备 1 143800 绿盟,设备参数:绿盟RSASNX3-X-C1、1U机架式硬件架构,含交流单电源,1*RJ45串口,1*GE管理口,4个10M/100M/1000M自适应以太网电口扫描口,4个千兆SFP插槽(不含SFP模块),配置提供1路授权扫描端口。
授权可扫描总数量为512个无限制范围的IP地址或域名。
2、允许并发扫描为60个IP地址,单个任务允许扫描的最大扫描范围为一个B类IP地址。
3、所投的绿盟RSASNX3-X-C界面友好,并有详尽的技术文档;所有的图形界面与文档资料均支持中英文;采用专门的硬件,使用基于嵌入式安全操作系统,保证系统的工作效率和自身安全性。
系统稳定可靠,无需额外存储设备即可运行,系统采用B/S设计架构,使用SSL加密通信方式,用户可以通过浏览器对产品进行远程管理。
4、提供并支持备份恢复,能够对扫描结果、日志、扫描模板、参数集等配置文件进行导出和导入操作;能够创建系统还原点进行备份和还原;支持扫描常见的网络安全客户端软件(网络防病毒Symantec、TrendMicro、McAfee)的安全漏洞。
支持扫描常见的应用软件漏洞(如IE浏览器、MSN、MozillaFirefox、YahooMessenger、MSOffice、多媒体播放器和各种P2P 下载软件)的安全漏洞;漏洞知识库具有漏洞信息15334条,并提供详细的漏洞描述和对应的解决方案;漏洞知识兼容CVE、CNCVE、CNNVD、CNVD、Bugtraq等主流标准,并提供CVECompatible证书,漏洞知识库和漏洞检测规则支持手动升级和自动升级,支持本地升级和在线升级,在线升级支持代理方式升级,提供每两周进行一次定期升级;支持Windows、Linux系统登录扫描,支持OVAL标准,进行精确漏洞扫描和新公布漏洞的快速扩展。
5、支持在扫描过程中手工指定包括SNMP、SMB等常见协议的登陆口令,登陆到相应的系统中对特定应用进行深入扫描。
漏洞扫描系统采购项目需求
5
服务要求
三年免费维保,每季度一次现场巡检服务,免费设备培。
6
是否在协议供货目录中
是
7
是否进口产品
否
8
数量
1
9
单位
台
漏洞扫描系统采购项目需求
序号
指标
说明
1
硬件类型
远程安全评估系统V5
2
厂商品牌
绿盟
3
型号规格
RSAS-RSS-ZC
4
配置及性能要求
标准配置:具有公安部销售许可证和国家信息安全认证中心认证资质。提供各类操作系统和数据库的扫描,具有安全漏洞、配置、重要信息三个方面的检测和评估功能,千兆,至少1电口,128个IP授权。
漏洞扫描参数
漏洞扫描参数设备参数数量价格【设备要求】:国内知名品牌,自主研发,标准机架式硬件,1台含交流单电源模块,1个RJ45串口,1个GE管理口,6个10M/100M/1000M自适应以太网电口扫描口,1个接口扩展槽位(4GE/4SFP/8GE/8SFP),并发扫描数≥120个IP地址,支持多路扫描,满足在复杂环境中部署的要求,支持不同网段同时检测的需求。
要求可扫描IP数无限.配备WEB扫描模块.Web扫描结果和安全配置核查结果进行综合分析、综合评分,并输出包含漏洞扫描、Web扫描和配置核查内容的报表。
【功能要求】:★1.提供漏洞知识库中包含的主流操作系统、数据库、网络设备的列表信息。
为保证能够提供了实时可靠的主机探测信息,要求提供主机探测系统和方法的专利证明,要求提供专利截图。
2.能够扫描主流虚拟机软件的安全漏洞,如:VMWare ESX/ESXi;★3.厂商漏洞知识库大于17000条可提供查询地址;4.产品内置漏洞知识库漏洞信息大于15000条,提供详细的漏洞描述和对应的解决方案描述;漏洞知识库与CVE、CNCVE、CNNVD、CNVD标准同时兼容,并提供截图证明及CVE Compatible证书。
;★5.可以通过资产仪表盘直观展示资产的风险值、主机风险等级分布、资产风险趋势、资产风险分布等内容;可提供资产树功能,通过资产树直观呈现网络资产的安全风险;★6.支持高级数据分析,能够进行历史数据查询、汇总查看,方便进行多个扫描任务或多个IP风险对比,能够在多个历史任务中,很快的检索到需要关注的资产IP点。
★7.产品支持对漏洞扫描结果、Web扫描结果和安全配置核查结果进行综合分析、综合评分,并输出包含漏洞扫描、Web扫描和配置核查内容的报表。
8.可以智能发现非默认端口启动的服务,并调用相应扫描插件进行扫描具备单独口令猜测扫描任务,支持多种口令猜测方式;9.支持Web应用扫描能力,可提供多种Web应用漏洞的安全检测,如SQL注入、跨站脚本、网站挂马、网页木马、CGI漏洞等;★10.同一台产品同时支持漏洞扫描和安全配置核查功能,能够对主流操作系统、网络设备、数据库、中间件、等进行安全配置项目进行检查,能够综合系统安全漏洞和配置隐患检查结果分析系统安全风险;11.支持采用SMB、RDP、SSH、Telnet等协议对Windows、Linux系统进行登录扫描,支持Telnet、SSH协议跳转;12.支持多路扫描,满足在复杂环境中部署的要求,支持不同网段同时检测的需求;产品应支持通过多种维度对漏洞进行检索,包括:CVE ID、BUGTRAQ ID、CNCVE ID、CNVD ID、CNNVD ID、MS 编号、风险等级、漏洞描述、是否为危险插件、漏洞发布日期等信息;★13.具有备份恢复机制,能够对系统创建还原点对系统进行备份和还原;★14.同类产品支持虚拟化VM平台部署,能够直接以虚拟机镜像方式部署在虚拟化HYPERVER层平台上。
107主机漏洞扫描系统标准技术标书-通用部分
通用部分2016年8月本标书对应的专用部分目录主机漏洞扫描系统标准技术标书使用说明1、本物资采购标准技术标书分为标准技术标书通用部分和标准技术标书专用部分。
2、项目单位根据需求选择所需设备的技术标书。
技术标书通用部分条款、专用部分标准技术参数表和使用条件表固化的参数原则上不能更改。
3、项目单位应按实际要求填写“项目需求部分”。
如确实需要改动以下部分,项目单位应填写专用部分“表7项目单位技术差异表”,并加盖该单位物资部门公章,与辅助说明文件随招标计划一起提交至招标文件审查会:①改动通用部分条款及专用部分固化的参数;②项目单位要求值超出标准技术参数值范围;③根据实际使用条件,需要变更污秽等级、海拔高度、耐受地震能力、压力释放能力、环境温度等要求。
经招标文件审查会同意后,对专用部分的修改形成“项目单位技术差异表”,放入专用部分表7中,随招标文件同时发出并视为有效,否则将视为无差异。
4投标人逐项响应技术标书专用部分总“1标准技术参数表”、“2项目需求部分”和“3 投标人响应部分”三部分相应内容。
填写投标人响应部分,应严格按招标文件标准技术标书专用部分的“招标人要求值” 一栏填写相应的投标人响应部分表格,投标人还应对项目需求部分的“项目单位技术差异表”中给出的参数进行响应。
“项目单位技术差异表”与“标准技术参数表”和“设备外部条件表”中参数不同时,以差异表给出的参数为准。
投标人填写技术参数和性能要求响应表时,如有偏差除填写“表8投标人技术偏差表”外,必要时应提供证明参数优于招标人要求的相关试验报告。
5、技术标书范本的页面、标题等均为统一格式,不得随意更改。
目次1、总则 (1)2、应遵循的主要标准 (2)3、使用条件 (2)4、技术要求 (2)5、功能要求 (3)6、试验 (4)7、包装、运输、贮存和质量保证 (6)1、总则Ll.本招标技术文件适用于广西电网主机漏洞扫描系统的功能、性能、安装等方面的技术要求。
系统漏扫
系统应支持自动、手动、本地等升级方式。升级内容应包括最新的漏洞库和系统自身的补丁程序;
支持http、ftp等方式进行升级;(★截图)
支持ping、wget诊断方式;
其他
支持自定义皮肤界面,支持对系统界面的主题风格、导航栏、页眉、页脚等选项进行配置;(★截图)
支持web界面查看系统的CPU、内存、硬盘使用率;(★截图)
支持web界面对设备进行关机、重启、注销、全屏切换等操作;(★截图)
支持被扫描网站组织架构的实时展示;
支持通过目录树形式显示漏洞分布(★截图)
历次漏洞结果支持列表展示,并可以查看某一次结果的详细内容;(★截图)
漏洞结果展示支持详细的HTTP请求头内容;
支持漏洞验证功能;(★截图)
支持会话录制功能,可对无法爬取的网站url进行手动爬取
口令猜解
口令猜解需支持安全域导入;
支持未知站点探测功能,通过添加目标环境IP段,自动识别其存在的网站,并支持一键转为扫描任务,进行漏洞风险等检测评估;(★截图)
管理员修改密码时支持验证码验证,确保系统的安全性。(★截图)
产品应支持对系统进行备份、恢复功能,保证产品系统数据的安全性;
★安全性
支持远程管理,自定义可访问设备的网段或IP;(★截图)
脆弱性扫描与管理系统(WEB扫描)系统招标参数
指标项
规格要求
总体要求
产品应界面友好,所有的图形界面、报警信息、报表与文档、技术资料要求均需要支持中文、英文版本;(★截图)
支持IPv4/IPv6双协议栈地址场景漏洞扫描;(★截图)
系统扫描结束后,支持短信、邮件、SNMP、syslog、FTP等告警方式,同时支持短信网关自定义;(★截图)
提供弱口令扫描功能;
漏洞扫描设备采购需求及参数
附件1:广西北部湾银行WAF设备、漏扫设备采购需求及参数说明:▲本项目需求表中,凡在“参考品牌”中列出了三个或三个以上参考品牌的货物,若竞标人的竞标产品品牌非列出的参考品牌之一,其竞标无效。
▲带“★”的项为实质性要求和条件,不满足的竞标无效。
安全设备采购需求:2-中国人民解放军信息安全产品测评认证中心的《军用信息安全产品认证证书(军B+级)》,-国家保密科技测评中心颁发的《涉密信息系统产品检测证书》并提供上述产品有效证书的复印件。
4.★厂商应具备十年以上漏洞研究经验和独立漏洞发掘能力,自主发现的CVE漏洞数量不少于60个,须在厂商网站公开且CVE网站可查证,且获得漏洞厂商在安全公告致谢不少于40次,请提供证明。
5.★请提供与漏洞扫描相关的公开专利,要求数量不少于5个,请提供证明二、产品性能1.产品需使用专门的硬件,有自主知识产权的安全操作系统,采用B/S设计架构,并采用SSL加密通信方式,无须安装客户端,用户可通过浏览器远程方便的对产品进行管理。
2.1U机架式设备,1*RJ45串口,1*GE管理口,6个10M/100M/1000M自适应以太网电口扫描口,1个接口扩展槽位(支持4电、4光、8电、8光)、IP地址扫描数≥1000。
3.★产品应提供三年原厂商售后维护服务,含软硬件维护和系统软件、规则库升级服务,请详细说明售后服务的内容4.支持IPv4和IPv6环境的部署和扫描。
5.允许最大并发扫描≥90个IP地址,允许最大并发任务≥15个任务,支持无限IP授权扫描。
6.开启全插件漏洞扫描、弱口令探测和登陆扫描后扫描速度不低于1000ip/h。
(不同型号性能参数详见规格功能表)7.产品应支持多路扫描功能,可以同时对多个隔离业务子网进行扫描。
三、漏洞管理和分析1.★支持检测的漏洞数大于17000条,兼容CVE、CNCVE、CNNVD、CNVD、Bugtraq等主流标准,并提供CVE Compatible证书。
漏扫招标参数——网神和绿盟
1 1 漏洞扫描设备 1 143800 绿盟,设备参数:绿盟RSASNX3-X-C1、1U机架式硬件架构,含交流单电源,1*RJ45串口,1*GE管理口,4个10M/100M/1000M自适应以太网电口扫描口,4个千兆SFP插槽(不含SFP模块),配置提供1路授权扫描端口。
授权可扫描总数量为512个无限制范围的IP地址或域名。
2、允许并发扫描为60个IP地址,单个任务允许扫描的最大扫描范围为一个B类IP地址。
3、所投的绿盟RSASNX3-X-C界面友好,并有详尽的技术文档;所有的图形界面与文档资料均支持中英文;采用专门的硬件,使用基于嵌入式安全操作系统,保证系统的工作效率和自身安全性。
系统稳定可靠,无需额外存储设备即可运行,系统采用B/S设计架构,使用SSL加密通信方式,用户可以通过浏览器对产品进行远程管理。
4、提供并支持备份恢复,能够对扫描结果、日志、扫描模板、参数集等配置文件进行导出和导入操作;能够创建系统还原点进行备份和还原;支持扫描常见的网络安全客户端软件(网络防病毒Symantec、TrendMicro、McAfee)的安全漏洞。
支持扫描常见的应用软件漏洞(如IE浏览器、MSN、MozillaFirefox、YahooMessenger、MSOffice、多媒体播放器和各种P2P 下载软件)的安全漏洞;漏洞知识库具有漏洞信息15334条,并提供详细的漏洞描述和对应的解决方案;漏洞知识兼容CVE、CNCVE、CNNVD、CNVD、Bugtraq等主流标准,并提供CVECompatible证书,漏洞知识库和漏洞检测规则支持手动升级和自动升级,支持本地升级和在线升级,在线升级支持代理方式升级,提供每两周进行一次定期升级;支持Windows、Linux系统登录扫描,支持OVAL标准,进行精确漏洞扫描和新公布漏洞的快速扩展。
5、支持在扫描过程中手工指定包括SNMP、SMB等常见协议的登陆口令,登陆到相应的系统中对特定应用进行深入扫描。
漏洞扫描参数
漏洞扫描参数漏洞扫描参数设备参数数量价格【设备要求】:国内知名品牌,自主研发,标准机架式硬件,1台含交流单电源模块,1个RJ45串口,1个GE管理口,6个10M/100M/1000M自适应以太网电口扫描口,1个接口扩展槽位(4GE/4SFP/8GE/8SFP),并发扫描数≥120个IP地址,支持多路扫描,满足在复杂环境中部署的要求,支持不同网段同时检测的需求。
要求可扫描IP数无限.配备WEB扫描模块. Web扫描结果和安全配置核查结果进行综合分析、综合评分,并输出包含漏洞扫描、Web扫描和配置核查内容的报表。
【功能要求】:★1.提供漏洞知识库中包含的主流操作系统、数据库、网络设备的列表信息。
为保证能够提供了实时可靠的主机探测信息,要求提供主机探测系统和方法的专利证明,要求提供专利截图。
2.能够扫描主流虚拟机软件的安全漏洞,如:VMWare ESX/ESXi;★3.厂商漏洞知识库大于17000条可提供查询地址;4.产品内置漏洞知识库漏洞信息大于15000 条,提供详细的漏洞描述和对应的解决方案描述;漏洞知识库与CVE、CNCVE、CNNVD、CNVD标准同时兼容,并提供截图证明及CVE Compatible证书。
;★5.可以通过资产仪表盘直观展示资产的风险值、主机风险等级分布、资产风险趋势、资产风险分布等内容;可提供资产树功能,通过资产树直观呈现网络资产的安全风险;★6.支持高级数据分析,能够进行历史数据查询、汇总查看,方便进行多个扫描任务或多个IP风险对比,能够在多个历史任务中,很快的检索到需要关注的资产IP点。
★7.产品支持对漏洞扫描结果、Web扫描结果和安全配置核查结果进行综合分析、综合评分,并输出包含漏洞扫描、Web扫描和配置核查内容的报表。
8.可以智能发现非默认端口启动的服务,并调用相应扫描插件进行扫描具备单独口令猜测扫描任务,支持多种口令猜测方式;9.支持Web应用扫描能力,可提供多种Web应用漏洞的安全检测,如SQL注入、跨站脚本、网站挂马、网页木马、CGI漏洞等;★10.同一台产品同时支持漏洞扫描和安全配置核查功能,能够对主流操作系统、网络设备、数据库、中间件、等进行安全配置项目进行检查,能够综合系统安全漏洞和配置隐患检查结果分析系统安全风险;11.支持采用SMB、RDP、SSH、Telnet等协议对Windows、Linux系统进行登录扫描,支持Telnet、SSH协议跳转;12.支持多路扫描,满足在复杂环境中部署的要求,支持不同网段同时检测的需求;产品应支持通过多种维度对漏洞进行检索,包括:CVE ID、BUGTRAQ ID、CNCVE ID、CNVD ID、CNNVD ID、MS 编号、风险等级、漏洞描述、是否为危险插件、漏洞发布日期等信息;★13.具有备份恢复机制,能够对系统创建还原点对系统进行备份和还原;★14.同类产品支持虚拟化VM平台部署,能够直接以虚拟机镜像方式部署在虚拟化HYPERVER层平台上。
Web使用防护系统详细招标参数WEB应用防护系统技术参数
附件 2:Web 应用防护系统详细招标参数WEB 应用防护系统技术参数〔指标项指标子项系统架构系统架构硬件架构根本网络接口★最大吞吐能力★最大 HTTP吞吐能力★性能要求★并发 TCP会话数★HTTP请求速率★网络延迟★可防护 IP 数量★部署模式部署能力检测引擎★智能阻断★URL自学习★IPv6HTTP RFC符合性HTTPS支持★真实来源IP 解析〔提供界面截图并加盖厂商公章〕★内置规那么〔提供界面截图并加盖厂商公章〕★ WEB 应用漏洞扫描平安特性★碎片组包编码复原★WEB 根底架构防护★防扫描★ 为必须满足的参数〕技术要求产品应采用 1U 专用机架式硬件设备,系统硬件为全内置封闭式结构 ,非 NGFW、NGAF等下一代防火墙或 UTM 平安网关产品电口 *4,光口*6,2对千兆电口Bypass≥4000Mbps≥2000Mbps≥140 万≥ 35000 次/ 秒≤ 0.05 毫秒不限★ 透明部署〔基于透明网桥〕,需即插即用,无需做任何配置即可防护。
支持旁路部署。
★ 策略路由〔支持流量牵引〕★ 支持反向代理部署★ 支持透明代理部署高性能攻击特征检测引擎基于智能用户行为识别的动态防护机制,识别并彻底阻断黑客的攻击行为★自动学习并构建网站的 URL 模型,禁止违反现有模型的尝试行为〔提供界面截图并加盖厂商公章并加盖厂商公章〕★支持更新、修正现有URL 模型〔提供界面截图并加盖厂商公章〕★IPv6 协议通过和防护〔提供界面截图并加盖厂商公章〕HTTP协议防护SSL加密会话分析支持解析通过代理效劳器访问用户的真实 IP 地址,默认支持 X-Real-IP 或 X-Forwarded-For 字段的值作为真实来源 IP 地址,同时支持用户自定义字段名称。
系统提供完善的内置规那么支持用户自定义防护策略集,针对不同的来源/ 目的 IP,目的 URL选择不用的策略集。
提供高度灵活的自定义规那么向导,适用于高级用户能够对 SQL注入、 CGI、跨站脚本〔 XSS〕进行应用层漏洞扫描支持任意碎片组包支持超长报文组包〔默认30M 〕〔提供界面截图并加盖厂商公章〕ASCII编码的复原Unicode 编码的复原各种混淆编码的复原★蠕虫、缓冲区溢出、CGI信息扫描、目录遍历等WEB 通用攻击防护支持对恶意扫描行为开启防扫描功能,用户可自定义防护等级。
漏洞扫描产品招标技术规范书(机架式)1.0
2.1、漏洞扫描产品技术要求(机架式)2.1.1、基本要求1)产品要求为国内开发,具备自主知识产权,并经过三年以上应用检验并提供产品用户使用报告的复印件。
2)产品要求必须取得中国人民共和国公安部的《计算机信息系统安全专用产品销售许可证》,中国国家信息安全产品测评认证中心的《EAL3级产品认证证书》,中华人民共和国国家版权局《计算机软件著作权登记证书》,国际权威英国西海岸实验室Checkmark认证,并提供有效证书的复印件。
3)厂商需在信息安全领域有丰富的经验与先进的技术,须有对系统漏洞进行发现、验证、以及提供应急服务的技术能力,获得由中国信息安全测评中心颁发的信息安全服务二级资质证书。
4)产品需采用1U硬件机架式结构,基于嵌入式Linux操作系统,系统稳定可靠,无需额外存储设备即可运行,系统采用B/S设计架构,并采用SSL加密通信方式,用户可以通过浏览器远程方便的对产品进行管理。
5)产品要求界面友好,并有详尽的技术文档,所有的图形界面与文档资料要求均为中文。
2.1.2、漏洞扫描技术要求1)产品要求支持对漏洞信息的检索功能,可以从其中快速检索到指定类别或者名称的漏洞信息;2)能够扫描常见的网络安全客户端软件的安全漏洞(如防病毒等);3)能够扫描常见的应用软件漏洞的安全漏洞(如Word、P2P等);4)产品漏洞知识库漏洞信息大于2400条,每条漏洞提供详细的漏洞描述和对应的解决方案描述;漏洞知识库与国际CVE标准兼容,并提供CVECompatible证书;5)产品漏洞知识库和漏洞检测规则支持手动升级和自动升级,同时支持本地升级和在线升级,要求漏洞库至少每两周进行一次定期升级,请给出公开定期发布升级包列表详细说明;6)支持对多个扫描任务并发执行,支持多任务自动调度;单个任务允许扫描的最大扫描范围不小于一个B类网段;7)系统内置不同的策略模板如针对Unix、Windows操作系统等模板,同时允许用户定制扫描策略;用户可定义扫描范围、扫描使用的参数集、扫描并发主机数等具体扫描选项;8)可以在扫描过程中人工指定包括SNMP、SMB等常见协议的登陆口令,登陆到相应的系统中对特定应用进行深入扫描;9)允许管理员配置扫描通知,在扫描任务运行开始时向被扫描的设备发送扫描通知,包括Windows、Linux、Unix等系统;10)产品提供Web应用扫描能力,提供多种Web应用漏洞的安全检测,如SQL注入、跨站脚本、网站挂马、网页木马、CGI漏洞等。
漏洞扫描_招标文件
一、招标公告根据我国《政府采购法》及相关法律法规的规定,我单位现对以下项目进行公开招标,欢迎符合资格的供应商参加投标。
项目名称:漏洞扫描服务采购项目招标编号:[招标编号]发布日期:[发布日期]截止日期:[截止日期]二、项目概况1. 项目名称:漏洞扫描服务采购项目2. 项目内容:为我国[具体单位名称]提供专业漏洞扫描服务,包括但不限于:(1)定期对[具体单位名称]的网络、系统、应用等进行漏洞扫描;(2)对发现的漏洞进行风险评估、分析及修复建议;(3)提供漏洞修复后的验证服务;(4)提供漏洞扫描相关技术支持及培训服务。
3. 项目周期:[具体项目周期,如:一年]4. 项目地点:[具体项目地点,如:我国[具体单位名称]所在地]三、投标人资格要求1. 具有独立法人资格,且注册资金不低于[注册资金要求]万元;2. 具有良好的商业信誉和健全的财务会计制度;3. 具有履行合同所必需的设备和专业技术能力;4. 具有信息安全相关资质证书,如:信息系统安全服务资质、信息安全管理体系认证等;5. 具有近三年内完成过类似项目的业绩,并提供相关证明材料;6. 无行贿犯罪记录,未被列入失信被执行人名单。
四、投标文件要求1. 投标人应按照招标文件要求编制投标文件,投标文件应包括以下内容:(1)投标函;(2)法定代表人身份证明或授权委托书;(3)营业执照副本复印件;(4)资质证书复印件;(5)类似项目业绩证明材料;(6)服务方案及报价;(7)其他相关证明材料。
2. 投标文件应密封,并在封口处加盖投标人公章。
五、评标办法1. 本项目采用综合评分法进行评标,评标委员会将根据投标文件的内容、服务方案、报价等因素进行综合评分。
2. 评标委员会将根据以下标准对投标文件进行评分:(1)投标人资格(30分):根据投标人资格要求,对投标人进行评分;(2)服务方案(40分):对服务方案的科学性、可行性、创新性等进行评分;(3)报价(30分):根据投标报价与招标文件要求进行评分。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
提供审计功能,能够对登录日志、操作日志和异常报告进行记录和查询。
备份机制
提供备份恢复机制,能够对扫描结果、日志、扫描模板、参数集等配置文件进行导出和导入操作;
日志系统
日志类型
系统日志、审计日志
syslog输出
扫描结果支持以syslog方式输出到外部服务器
★API接口
本次要求厂商提供二次开发接口模块,提供HTTP RPC接口支持,方便与第三方产品联动。能将任务的扫描结果(IP、主机漏洞、Web漏洞、弱密码漏洞)同步出来,便于调用和查看。
军用认证
★获得中国人民解放军信息安全测评中心颁发的《军用信息安全产品认证证书》,并出具加盖厂商公章的复印件
应急能力
★设备生产厂商具备CNCERT颁发《网络安全应急服务支撑单位证书》,并出具加盖厂商公章的复印件
厂商实力
★设备生产厂商应具有漏洞发现能力,具备《中国国家信息安全漏洞库(CNNVD)技术支撑单位资质》,至少曾经获得中国信息安全测评中心颁发《中国国家漏洞库-信息安全漏洞提交证明》,不低于5份,并出具加盖厂商公章的复印件
漏洞扫描系统详细招标参数
漏洞扫描系统技术参数(★为必须满足的参数,若不满足废标处理,要求提供功能截图处必须提供截图,如发现功能造假招标方有权取消资格并追究责任)
指标项
指标子项
技术要求
系统架构
系统架构
产品应采用1U专用机架式硬件设备,系统硬件为全内置封闭式结构
★硬件架构
基本网络接口
千兆电口≥6个
★性能要求
★设备生产厂商应具有符合GB/T 19001-2008/ISO 9001:2008标准的《质量管理体系认证证书》,并出具加盖厂商公章的复印件
销售许可证
★获得公安部颁发的《计算机信息系统安全专用产品销售许可证》,认证的产品类型/级别:网络脆弱性扫描(增强级),并出具加盖厂商公章的复印件
强制认证
★获得中国信息安全认证中心颁发的符合GB/T 20278-2006 《信息安全技术 网络脆弱性扫描产品技术要求》增强级认证《中国国家信息安全产品认证证书》,并出具加盖厂商公章的复印件
★验证性扫描
支持对SQL注入、XSS攻击、文件包含类等漏洞在扫描结果中有验证性,给予管理员漏洞存在性、可利用性以及漏洞利用方式的提醒(需提供截图证明,加盖原厂公章)
域名反查
★支持IP地址到域名的反查扫描(需提供截图证明,加盖原厂公章)
URL排除
★支持用户自定义不扫描的目标URL(需提供截图证明,加盖原厂公章)
支持MSSQL/MySQL/Oracle/DB2等数据库漏洞检测
支持FTP/EMAIL/DNS/网络设备漏洞检测
支持虚拟化漏洞、常用应用软件漏洞检测
操作系统指纹识别
自动判断被扫描主机的操作系统类型及版本
CVE/CNNVD编号显示
支持显示CVE/CNNVD漏洞编号
★可利用漏洞提示
★支持可利用漏洞提示,将能够获取服务器权限的漏洞专门提示,并支持显示漏洞可利用性,便于管理员立刻锁定资产脆弱点(需提供截图证明,加盖原厂公章)
★必须支持对统一登陆(SSO)环境下WEB站点的登录扫描,统一登陆环境的HTTP或者HTTPS方式的跳转认证等不影响设备的登录扫描功能;(需提供截图证明,加盖原厂公章)
弱密码检测能力
协议类型
★支持检查3389(RDP远程桌面)弱密码(需提供截图证明,加盖原厂公章)
支持检查FTP/SSH/TELNET/MSSQL/MYSQL/Oows、SSH、Kerbeors、明文协议的登陆扫描,登陆到相应的系统中进行(需提供截图证明,加盖原厂公章)
Web检测能力
★Web漏洞数量
★≥ 7000个(需提供截图证明,加盖原厂公章)
协议支持
★支持WEB 2.0扫描(需提供截图证明,加盖原厂公章)
支持HTTP/HTTPS协议
★支持SOCKS代理扫描(需提供截图证明,加盖原厂公章)
流量控制
★支持网卡限速,防止扫描消耗过多带宽(需提供截图证明,加盖原厂公章)
主机检测能力
主机漏洞数量
★≥ 9900个(需提供截图证明,加盖原厂公章)
检测漏洞类型
支持Windows/Linux等操作系统漏洞检测
支持IIS/Apache/Nginx等Web服务器漏洞检测
紧急漏洞扫描
★支持紧急漏洞扫描, 通过近期热门的高危漏洞库,对全网进行安全检查(需提供截图证明,加盖原厂公章)
Web漏洞检测能力
支持SQL注入/XSS跨站/命令执行/目录遍历/上传漏洞等检测
支持表单弱密码检测、CMS类型识别
Web登陆扫描
必须支持登录扫描功能,可自动通过内置的WEB代理来抓取用户登录信息,无需手工输入Cookies、Session等信息,即可实现登录扫描功能;
自定义字典
支持字典编辑与字典上传
报表功能
报表类型
★支持领导报表和详细报表:领导报表查看任务的总体数据情况;详细报表查看漏洞类型统计与详细信息、解决方案输出(需提供截图证明,加盖原厂公章)
输出格式
支持将生成的报表以HTML、Word、PDF等通用格式输出
系统管理功能
多用户
支持多用户配置,可以控制每个用户的扫描目的IP,扫描迸发,并且管理员可以对所有用户的扫描任务进行管理(提供截图并原厂盖章)
升级管理
★固件升级
★支持固件在线升级方式,可按计划执行自动升级;产品同时应支持手动升级方式,可利用已经下载的升级包实现升级。(需提供截图证明,加盖原厂公章)
规则升级
支持规则在线升级方式,可按计划执行自动升级;产品同时应支持手动升级方式,可利用已经下载的升级包实现升级。
资质要求
(提供相关资质复印件,生产厂商盖章)
著作权证书
★获得中华人民共和国国家版权局颁发的《计算机软件著作权登记证书》,并出具加盖厂商公章的复印件
涉密认证
★获得国家保密局涉密信息系统安全保密测评中心颁发的符合国家保密标准BMB12-2004《涉及国家秘密的计算机信息系统漏洞扫描产品技术要求》的《涉密信息系统产品检测证书》,并出具加盖厂商公章的复印件
并发任务数量
≥20个任务并发,单次任务扫描IP数量不限,不限用户数,无限IP授权(设备中需提供证明截图并加盖公章)
网络构架
扫描方式
支持直接扫描,
★支持对多个扫描任务并发执行,支持多任务自动调度;单个任务允许扫描的最大扫描范围不小于一个B类网段。
★支持设备内置VPN拨号扫描(需提供截图证明,加盖原厂公章)