PDF格式
Excel格式
Word格式
(略) 2016年基 (略)
(略) 20 (略) 人为 (略) ,招标代理机 (略) 。 (略) 人自筹, (略) 条件, (略) ,特邀请有意向的潜在投标人(以下简称申请人)提出资格预审申请。
1. (略) 范围
本次工程 (略) 八层80 (略) 络安全防护 (略) 安全 (略) 升级扩容,以提高在相关领域的研究及评估评测水平,更好地为 (略) 的业务安全服务。
本工程招标范围如下:
|
序号 |
产品名称 |
规格型号 |
数量 |
|
标包一 |
基线配置核查系统 |
详见技术指标要求 |
2套 |
|
标包二 |
Web安全漏洞扫描工具 |
详见技术指标要求 |
2套 |
2.1申请人基本资格要求
2.1.1 申请人应为中华人民共和国境内(不含 (略) 、 (略) 、 (略) 地区)法律上和财务上独立的法人或依法登记注册的组织, (略) 代理机构。申请人应具 (略) 资信和商业信誉。注册资本或开办资金应不低于500万元(含)人民币(如注册资本或开办资金为其他外币的,按照资格预审文件递交截止之日 (略) (略) (略) 人民币汇率中间价折算为等值人民币)。
2.1.2 申请人的法定代表人或负责人为同一人或者存在控股、管理关系的不同申请人, (略) 项目投标。
2.1.3 申请人可以就上述标包中1个或者2个标包提出资格预审申请。
2.1.4 本次资格预审不接受联合体资格预审申请。
2.1.5 本次资格预审不接受代理商资格预审申请。
2.1.6申请人应具备足够的信息安全服务支撑保障能力, (略) 络安全应急服务支撑单位证书(国家级)资质。
2.1.7申请人应具备足够的信息安全服务技术实力及安全服务保障能力,获得中国信 (略) 颁发的信息安全服务安全工程类资质证书。
申请人应具备中国信 (略) 颁布的《中国国家信息安全漏洞库(CNNVD)技术支撑单位一级》资质证书。
2.1.9 申请人应具有质量管理体系(ISO9000系列)认证证书,且认证范围包含投标产品。
2.2申请人不得存在下列情形之一
(1) 申请人被责令停业或破产状态的;
(2) 申请人被暂停或取消投标资格的;
(3) 申请人财产被重组、接管、查封、扣押或冻结的;
(4) 申请人在最近三年内严重违反合同约定的;
(5) 申请人在最近三年内有弄虚作假、串通投标、骗取中标情形的;
(6) 申请人在与 (略) 或其他电信运营商 (略) 过程中出现过重大问题且尚未妥善解决的;
(7) 相关产品在 (略) 或其他电 (略) 使用过程中出现过重大质量问题且未妥善解决的。
2.3投标产品资格要求
2.3.1 投标产品应是来自中华人民共和国或是与中华人民共和国有正常贸易与往来的国家或地区的产品。
2.3.2 投标产品应符合 (略) 相关技术要求,并满足以 (略) 键技术指标:
标包一 基线配置核查系统关键技术指标:
|
关键技术指标 |
具体要求 |
|
|
一、 (略) 分 |
||
|
基线配置核查系统 |
配置核查方式和策略 |
支持远程检查(IP可达),可以远程通过Telnet、SSH、SMB、RDP等协议登录方式对 (略) 安全检查。 (略) 络或 (略) 络,支持离线检查, (略) 操作系统、数据库、应用程序、网络设备、安全设备的离线检查工具。离线检查不安装任何软件。 支持本地检查,可以利用ActiveX控件对windo (略) 本地检查,仅需要IE访问配置核查 (略) 本机配置核查。 支持通过SSH或TELNET登录到跳板机,然后再跳转到远程 (略) 配置检查,跳转次数不限制。 (略) 、 (略) 、 (略) 配置核查任务功能,能够自 (略) 策略,可涵盖用 (略) 景包括:每*天*点*分、每*周星期*的*点*分、每*月*日*点*分、每*月第*个星期*的*点*分。 支持时间段设置,只在指定 (略) 任务,未完成任务在下一时间段 (略) 。 支持认证信息管理,可将系统登录信息、配置 (略) 统一管理和配置,提供登录信息导入功能,无须每次 (略) 配置。 支 (略) 过的任务的配置用于新任务。 |
|
资产和风险管理 |
可以通过仪表盘直观展示资产风险值、主机风险等级分布、资产风险趋势、资产风险分布趋势等内容,可配置风险分析的数据来源和分析周期,并可钻取查看详细信息。 提供通过资产 (略) 分级管理,支持设备权重设置和可信设备登记,支持将资产信息批量导入到资产树,可在资产树上直接指定主机开展配置核查任务,可通过资产树查看整体资产风险、各节点风险、各主机风险且可过滤风险等级、不合规配置、设备风险详情、风险对比和历史任务信息。 支持按设备名称、IP范围、设备管理员、风险等级等在线查找资产和在线查看资产风险详情。 支持风险告警 (略) 理,可在集中告警平台灵活配置告警内容、告警方式、告警资产范围等,支持邮件和页面告警,支持单个或批量修改风险状态。 支持自定义风险值计算标准配置,可对主机风险等级 (略) 络风险等级 (略) 自定义。 |
|
|
报表功能 |
可按IP范围、起止时间、任务名称、任务状态、配置模板、用户账号筛选任务并汇总,并在线查看风险详情和输出离线汇总报表。 报表能提供针对不同角色的默认模板,允许用户选择离线报告的格式,输出HTML、EXCEL、WORD、PDF等格式文件。 支持对检查 (略) 实时在线报表分析;支持高级数据分析, (略) 历史数据查询、汇总查看、对比分析等, (略) 多个检查任务或多个IP风险对比。 支持扫描任务完成后自动生成报表和发送到指定邮箱或上传到FTP服务器。 提供综述报表和主机报表,综述报表包含资产的分布,风险在资产中的分布,分别细致陈述了配置合规、状态的合规情况,两次扫描结果的对比。主机报表需含配置合规和状态合规信息。 支持报表自定义,可定制报表标题、封面logo、报表页眉和页脚、报表各章节显示内容 |
|
|
产品升级、 (略) 署 |
提供备份恢复机制,能够对扫描结果、扫描模板、参数集等 (略) 导出和导入操作;能够对系统创建还原 (略) 备份和还原。 提供系统快照功能,当系统出现问题时,可以通过恢复快照,一次性将系统恢复到快照时的版本,并将用户数据一同恢复。 支持系统定时升级,可在指定时间点定期自动安装、提醒升级包,用户也可关闭自动更新。支持手动升级。支持一键式更新检查和更新。 提供常用诊断工具,包括ping、traceroute、Dig、Nmap、Telnet、SSH、RouteInfo等。 支持系统时间同步设置、磁盘状态告警配置、登录失败次数配置、密码策略配置、SNMP trap配置、系统自动退出配置等。 |
|
|
用户管理 |
支持不同用户角色权限管理,区分系统管理员、普通用户、审计管理员等角色,不同管理员拥有不同的管理权限,支持灵活创建用户角色和权限配置。 多级多用户分权使用,支持多个管理员共用同一个配置核查系统,可为每个用户角色分配账号、权限、允许登录的IP范围和允许扫描的IP范围等 |
|
|
机密性要求 |
检查过程中不能对目标系 (略) 任何修改,检查结果在存储和传输过程中,必须保证其机密性。 |
|
|
对外接口 |
具备对外接口,支持安全运营平台或其它安全产品通过该接口下发扫描任务以及获取检查结果。 |
|
|
二、 (略) 分 |
||
|
基线配置核查系统 |
具备对外接口,支持安全运营平台或其它安全产品通过该接口下发扫描任务以及获取检查结果。 |
|
|
三、 (略) 分 |
||
|
基线配置核查系统 |
产品性能 |
最大并发扫描≥60个IP地址,允许最大并发任务≥10个任务,单个任务允许扫描的扫描范围不小于一个C类IP地址。 最大存储任务数为2000个。 支持无限IP授权。 扫描速度可达到800 ip/h。 |
|
配置核查能力 |
支持45种以上常见设备和应用的配置检查,包括操作系统、网络设备(路由器和交换机)、防火墙、应用中间件、WLAN设备、虚拟化设备。 支持主流操作系统配置核查,包括Windows、Linux、AIX、HP-UX、Solaris等。 支持主流数据库配置核查,包括DB2、Informix、MySQL、SQL server、Sybase等。 支持应用中间件配置核查,包括Apache、BIND、Jboss、Tomcat、TongWeb、Weblogic、Websphere、Nginx、Resin等。 (略) 络设备配置核查,包括华三路由器和交换机、思科路由器和交换机、Juniper路由器、华为路由器和交换机、中兴路由器和交换机等 支持主流防火墙设备配置核查,包括思科ASA防火墙、思科PIX防火墙、CheckPoint防火墙、山石防火墙、Fortigate防火墙、华三防火墙、Juniper NetScreen防火墙、Juniper SRX防火墙、华为防火墙等. 支持主流WLAN设备配置核查,包括邦讯WLAN、思科WLAN、大唐WLAN、国人WLAN、华三WLAN、华为WLAN、中兴WLAN等. 支持虚拟化设备配置彻查,包括Hyper-V、VMWare ESXi、VMWare vCenter、XEN、XenServer配置核查. 系统默 (略) 业配置核查规范,依据 (略) [ * 号《 (略) 络设备等安全配置要求及2011版规范修订表的通知》和[ * 号《关于印发操作系统等安全配置要求的通知》进行配置核查。 支持自定义安全配置检查项和自定义模板,满足用户环境中的特定安全配置要求。 支持在IP (略) 署。 |
|
标包二 Web安全漏洞扫描工具关键技术指标
|
关键技术指标 |
具体要求 |
|
|
一、 (略) 分 |
||
|
Web安全漏洞扫描 |
界面要求 |
支持图形化用户界面,远程登录和操作,中文界面和中文环境,所有操作基于菜单方 (略) 方式 |
|
WEB漏扫功能 |
支持系统软件环境:windows xp /windows 2003 /windows 7 32 位系统;windows 2003 /windows 7 /windows 2008 64 位系统。 支持常见的WEB应用弱点检测,支持OWASP TOP 10等主流安全漏洞,如:SQL注入、Cookie注入、Base64注入、 (略) 脚本、框架注入、链接注入、隐藏字段、 (略) 伪造请求、命令注入、 (略) 、代码注入、遍历目录、弱口令、表单绕过、文件包含、管理后台、敏感信息泄漏、第三方组件、其他各类CGI漏洞等各种类型; 提供对各种 (略) (略) 全自动、高性能、智能化分析, (略) 页木马传播的病毒类型做出 (略) 页木马宿主做出精确定位; 支持脚本木马检测:支持指纹识别和暴力猜解定位出是否存在脚本木马(WebShel 支持扫描各种隐藏连接的暗链,并且定位到哪个页面被挂暗链 支持渗透测试: (略) 发现的应用漏洞,模拟黑客使用的漏洞攻击手段,对 (略) 深入安全分析,利用沙盒技术实施无害攻击,包括后台数据库中的数据提取、执行控制台命令、获取注册表数据、获取目录树、数据库操作、备份数据库、远程文件下载、文件上传等,取得系统安全威胁的直接证据。 Web系统存在用户登录框时,支持通过 (略) 扫描任务: (略) 扫描、录制 (略) 扫描、基于此前扫描保存的登录记录信息(如:Cookie)进行扫描等; 能够对发现的URL以一定结构(包括但不限于树型结构)呈现,并能够导出符合要求的URL列表,如:导出到excel、txt等文件中。 (略) 页系统中的各种URL,包括:1、网页文件包括的URL;2、解析Javascript等脚本获得的URL;3、执行Javascript等脚本获得的URL; 支持灰盒扫描:支持对黑盒漏洞检测的补充,解决传统的黑盒模式存在 (略) 、页面无变化的Sql注入( update, insert 等)等漏洞无法检测的问题,做到对检测对象的真正的百分百覆盖。 对所有的可扫描对象都有对应的默认扫描策略(如:域名限制、扫描深度配置和扫描规则选择等),并可以根据需要添加自定义扫描策略,并支持在默认扫描策略基础上生成自定义策略; (略) 需要以插件形式自定义添加策略提高扫描结果,以满足更高级用户的需求 支持主动扫描、被动扫描两种模式的深度扫描; 支持扫描深度优先配置,即WEB应用弱点扫描产品需能够对扫描 (略) 配置 支持http、https、wap协议; 支持web2.0解析、Flash解析; 提供“当前域、整个域、当前页、子路径、全部页”五种不同的选择;可设定强制检测的URL地址; |
|
|
管理功能 |
用户管理:提供管理员、操作员、审计员三种不同的角色,分配给不同使用需要的用户,合理管理系统的使用权限,防止系统的滥用和误用. |
|
|
安全设置功能 |
用户锁定:在登录过程中,当用户连续输错密码3次,程序自动锁定用户(输错次数和锁定时间可配置) 屏幕锁定:在扫描过程中,用户离开停止操作20分钟,程序将自动锁定屏幕(锁屏时间可配置) (略) 锁屏 |
|
|
报告分析功能 |
支持漏洞分析:提供直观的风险危害等级图表和风险类型统计图表、漏洞的描述、漏洞的风险级别、加固建议; 支持趋势分析: (略) 的多次扫描提供横纵向的趋势分析报告 支持输出格式:PDF、WORD、XLS、XML等 支持自定义报表:报告内容可以自定义(如:报表的标题、描述、页眉、页脚、等相关信息); 支持报表样式:支持目录; 报告导出: (略) 可批 (略) 站报告 (略) 理: 可针对 (略) 删除、漏报信息可添加操作 |
|
|
二、 (略) 分 |
||
|
Web安全漏洞扫描 |
扫描任务的创建接口,支持扫描任务创建,扫描模板定制等功能。 扫描任务模板操作接口,支持扫描任务模板获取,创建,更新,删除等操作。 扫描任务操作接口,支持任务的启动,暂停,停止等操作。 扫描进度查询,支持返回当前扫描进度百分比状态等。 扫描结果获取,能够返回完整的扫描结果,包括漏洞名称、级别、漏洞描述、解决方案等。 扫描任务完成通知,支持扫描任务完成后通过第三 (略) 回调通知。 扫描任务列表获取,支持返回当前任务列表,包括完成、 (略) 、尚未开始的任。 WEB 漏洞库获取接口,支持漏洞库信息获取接口。 WEB扫描报告接口,支持WEB扫描任务报告输出,扫描报告支持XML,JSON等格式;提供WEB扫描报告获取接口。 支持提供WEB扫描设备性能获取接口,性能包括:CPU,内存,磁盘空间,网卡进出流量等信息。 |
|
自2014年至今,投标产品在中华人民共和国境内 (略) 络中具备正式商用案例。
2.4法律法规规定的其他要求。
本次资格预审采用合格制,资格审查标准和内容详见资格预审文件,凡通过本项目资格预审的申请人均可参加本项目的投标。
4.资格预审文件的获取
4.1 资格预审文件获取时间: * 日至 * 日,每日上午09时00分至11时00分,下午14时00分至17时00分( (略) 时间,下同)。
4.2 资格预审文件获取地点: (略) 区西直门外大街 (略) T1-909。
4.3 资格预审文件获取方式: (略) 人/招标代理机构了解有关信息并购买资格预审文件:
(1) 单位介绍信和营业执照副本、组织机构代码证书副本复印件并加盖公章;
(2) 经办人身份证原件;
(3) 税务信息表并加盖财务专用章,格式如下:
|
序号 |
类别 |
信息 |
|
1 |
申请人名称 |
|
|
2 |
申请人注册地址 |
|
|
3 |
申请人联系电话 |
|
|
4 |
纳税人识别号 |
|
|
5 |
(略) |
|
|
6 |
户名 |
|
|
7 |
银行账号 |
|
|
8 |
组织机构代码证号 |
|
|
9 |
开票类型 |
增值税专用发票/增值税普通发票 |
|
注:由于申请人提供税务信息错 (略) 损失由申请人承担。 |
||
(4) 增值税一般纳税人证明文件(增值税一般纳税人须提供)。
4.4 资格预审文件每套售价 * 百元人民币(¥300.00),售后不退。
5.1 资格预审申请文件递交截止时间: * 日10时00分。
5.2 资格预审申请文件递交地点: (略) 区西直门 (略) (略) T1-909。
5.3 逾期送达或者未送达指定地点的资格预审申请文件, (略) 代理机构不予受理。
5.4 资格预审申请文件的语言:中文。
6.申请人注册
6.1 资格预审申请人须在购买申请文件后10日内,通过 (略) (略) 完成供应商注册。
6.2 (略) 址:https:/ *** ,注册过程可查询“经验分享”模块中的“外部门户供应商注册操作演示(视频)”。
招标代理机构: (略)
地 址: (略) 区西直门外大街 (略) T1-909
邮 政 编 码: ***
联 系 人:尹航
电 话: ***
电 子 邮 件: * 89.cn
开 户 银 行: (略) (略) (略)
账 号:3602 0010 1920 0328 213
招标代理机构: (略)
* 日
京公网安备 11010802042560号