| 公告時間: | 2016-12-15 09:22:33 | |||||||||
| 項目名稱: | 中國互聯網絡信息中心網絡安全設備自動滲透測試工具及配件采購項目 | |||||||||
| 項目編號: | GDC-20161208111963479 | |||||||||
| 中央國家機關政府采購中心受采購單位 中國互聯網絡信息中心 委托, 對下列貨物及服務進行網上電子政府采購,現邀請合格投標人進行網上競價。 | ||||||||||
| 采購項目信息 | ||||||||||
| 采購單位: | 中國互聯網絡信息中心 | 報價截止時間: | 2016-12-20 09:22:33 | |||||||
| 聯系人: | 張新躍 | 送貨地點: | 海淀區中關村南四街4號1號樓 | |||||||
| 聯系電話: | 13370166118 | 到貨時間: | 合同簽訂后2個日歷日到貨 | |||||||
| 聯系郵件: | zhangxinyue@cnnic.cn | 項目預算: | 200000.0 (注:此預算在采購人可支付的情況下可增加金額) | |||||||
| 剩余時間: | 簽約時間: | 成交公告發布后3個工作日內簽署合同 | ||||||||
| 資質要求 | ||||||||||
| 售后服務網點: | 要求當地有售后服務網點 | 銷售資質需求: | 協議供貨商 | |||||||
| 售后上門服務要求: | 上門服務年限:3年
上門服務時限:接到報修后12小時 |
電話技術支持服務響應要求: | 7X24小時 | |||||||
| 免費維保質保期: | 3年 | |||||||||
| 踏勘需求 | ||||||||||
| 踏勘地點: | 無 | 踏勘時間: | 無 | |||||||
| 聯系人: | 無 | 聯系電話: | 無 | |||||||
| 采購商品信息 | ||||||||||
| 商品分類 | 商品名稱 | 參考品牌 | 規格型號 | 單位 | 數量 | 產地要求 | 是否要求有現貨 | 是否要求承諾原廠全新未拆封正品 | 技術指標 | |
| 網絡安全設備及配件 | 自動化滲透測試工具 | 杭州安恒明鑒 | DAS-APENTEST | 套 | 1 | 中國 | 是 | 是 | 一、基本功能要求: 1、自動分析網絡服務,自動加載對應的掃描模塊(識別到HTTP協議加載Web掃描器)。 2、自動分析漏洞,自動滲透,獲取控制會話,包括基于TCP的控制會話、WebShell、遠程管理協議賬戶口令的獲取。 3、信息采集功能 1)Ping檢查:檢查網絡是否連通,進行路由跟蹤 2)主機探測:如主機名、操作系統名稱、操作系統版本等 2)端口探測:如端口號、服務名、協議、版本、狀態等 3)網站指紋識別:如web框架、版本號等 4)域名信息查詢:如域名所有人、域名注冊商、注冊日期等 4、漏洞發現功能 1)網站漏洞掃描 a、安全掃描策略支持:支持策略自定義及策略分類;支持常見的Web漏洞、OWASP TOP 10等主流安全漏洞,如SQL注入、Cookite注入、XSS跨站腳本、CSRF跨站偽造請求、命令注入、代碼注入等。 b、掃描過程:支持實時顯示詳細的掃描和檢測見過統計數據,并展示相應的統計圖表 2)系統漏洞功能 a、安全掃描策略支持:支持自定義選擇策略模板,支持各種主機主流操作系統如windows、linux、unix、hp及tomcat等中間件的漏洞掃描 b、掃描過程:支持查看漏洞詳情、修復建議、CVE編號等 3)數據庫漏洞功能 a、支持掃描方式:支持支持授權掃描、非授權掃描 b、支持掃描策略:支持緩沖區溢出漏洞、訪問控制漏洞、提前漏洞、執行權限過大漏洞、訪問權限繞過漏洞、弱口令等 5、支持對掃描的漏洞進行驗證 1)、SQL注入漏洞自動化滲透測試,支持自動識別注入點,支持對數據庫配置進行審計,支持后臺數據庫的數據提取、執行控制臺命令、讀取 注冊表、獲取目錄樹、數據庫備份、遠程文件下載、文件上傳等。 2)、SQL注入半自動化滲透測試 1)滲透內容:支持http或https協議的測試;支持常見的數據庫,包括mssql,oracle,mysql,db2,access等數據庫;支持任意注入點的注入( 包括url注入、偽靜態注入、cookie注入、referrer注入、GET參數注入、POST參數注入、xml格式請求注入、json格式請求注入等);支持盲注、錯誤注入、union注入方式;獲取數據庫各種環境變量、列舉數據庫名、表名,獲取表結構,并能導出相關數據;支持擴展功能,各種滲 透功能,包括執行系統命令、啟動組件、遠程桌面開啟關閉、獲取系統信息、文件讀取、注冊表讀取。 2)滲透功能:支持提交注入URL自動獲取HTTP頭功能;具有手工數據包重放測試功能,重放數據包應包括測試類型、時間、響應碼和響應長 度、SQL驗證語句;支持多線程快速測試;支持參數處理,可對注入語句進行base64編碼、url編碼、字符串替換、字符串編碼等操作;支持 forward狀態跟蹤;支持WAP網站、webservice、偽靜態站點等特殊站點的測試;能夠進行數據包跟蹤,進行注入調試,快速判斷問題點;支 持配置文件的導入導出;支持表結構的導入導出;支持表內數據的導出;支持狀態保存,下次啟動保存前一次的狀態。 3)報告 可支持注入點配置設置導入導出; 4)、Struts2遠程命令執行:支持S2-005、S2-013、S2-016、S2-019及其他版本漏洞滲透測試 5)、IIS文件上傳滲透測試:支持文件上傳、文件重命名滲透測試 6)、ElasticSearch Groovy遠程命令執行:支持遠程命令執行、文件上傳測試 7)、MogoDB PhpMoAdmin 遠程代碼執行:支持遠程命令執行測試 6、支持滲透測試對象 1)支持掃描對象:包括IIS、Websphere、Appache、Weblogic等web服務器,支持Asp、Jsp、Php等編程語言;支持Microsoft Windows XP/2003/Vista/2008/7、Sun Solaris、HP Unix、IBM AIX、IRIX、Linux、BSD等操作系統,以及常用軟件,網絡設備,Oracle、MS SQLserver、Mysql、Infomix、DB2、Sybase等主流數據庫。 2)滲透測試支持對象:包括支持IIS、Websphere、Weblogic、Apache等所有的應用服務器;Asp、Jsp、.Net、J2EE、Php,perl等所有的WEB應用編程語言; 7、輔助工具功能: 1)工具自帶HTTP請求編輯器、谷歌黑客工具,編碼/解碼工具,MD5暴力破解工具以及Openssl漏洞批量檢測工具; 2)工具支持根據自己的需要自定義添加分組及輔助工具。 8、滲透測試報告功能 1)可導出掃描、滲透報告; 2)支持截圖功能和及時取證。 二、滲透測試技術支持服務要求 1、滲透測試工具具有較強的專業性和自身安全要求,要求供應商提供工具原始廠商為期三年的質保服務,同時提供為期三年的滲透測試技術服務支持。 2、現場技術支持,要求供應商具有本地化技術支持能力,提供本地技術支持服務,需提供本地化服務證明,接到報修電話2小時內響應,12小時內上門; 3、提供不少于三年的原始廠商7*24小時服務支持; 4、不少于5名原始廠商工程師到現場實施及提供滲透測試相關的培訓,指導工具的正確使用; 5、采購人將對中標到貨設備進行性能測試和功能驗證,與投標承諾不符將作為無效投標處理,由此引發的所有損失由該投標人承擔; 6、產品部署完成需用戶、代理商、廠商三方共同參與技術驗收。 7、提供正式授權的正版系統,要求提供來源證明文件。 | |
