PDF格式
Excel格式
Word格式
详情见附件
(注:以下内容为附件图片识别,个别文字可能不准确,请以附件为准)
中国电信天翼云2022年天翼视联资源池二期扩容工程-
动态安全一体机资格预审公告
招标编号:09-02-04A-2023-D-A00503
项目所在地区: (略)
一招标条件
本中国电信天翼云2022年天翼视联资源池二期扩容工程-
动态安全一体机已由项目审批/核准/备案机关批准,项目资金来源为自筹资金0
万元,招标人 (略) 。本项目已具备招标条件,现招标方式为
公开招标,特邀请有兴趣的潜在投标人提出资格预审申请。
二项目概况和招标范围
规模:采购内容 硬件配置 性能指标 预估数量 到货时间 到货地点
范围:本招标项目划分为1个标段,本次招标为其中的:
(001)中国电信天翼云2022年天翼视联资源池二期扩容工程-
动态安全一体机
三投标人资格要求
(001中国电信天翼云2022年天翼视联资源池二期扩容工程-
动态安全一体机)的投标人资格能力要求:3.1申请人基本资格要求
3.1.1申请人应为中华人民共和国境内法律上和财务上独立的法人或依法登记注
册的其他组织,合法运作并独立于招标人和招标代理机构。申请人应具有良好
的银行资信和商业信誉。法人下属不具备法人资格的分支机构参与项目的,应
具备法人针对本项目或覆盖本项目的经营事项的有效授权。
3.1.2申请人的法定代表人或负责人为同一人或者存在控股管理关系的不同申
请人,不得参加同一标包投标或者未划分标包的同一招标项目投标。
3.1.3申请人须提供2021年度经会计师事务所或审计机构审计的审计报告和财务
报表复印件必须包含会计师事务所或审计机构签章页资产负债表现金流
量表损益表/利润表2021年期末资产总额应达到500万元人民币如为其他
外币的,按照资格预审申请文件递交截止之日中国人民银行公布的汇率中间价
换算成人民币。
3.1.4申请人自2019年1月1日至本项目资格预审公告发布之日止以合同或订单
签订时间为准须具备至少1个合同含税金额不少于100万元含人民币的动
态安全防护类产品销售案例,并提供有效证明文件。
注:申请人须附相关合同关键页须包括合同标的内容合同签订时间合同
金额合同签章页,如果提供的是框架合同,需提供对应框架合同结算的订单
,框架协议及其项下所有订单均视为同一个合同的复印件或者其他相关证明
材料,合同标的内容应通过合同正文或附件中约定的服务内容或报价单或技术
规范书或技术方案等内容明确体现,证明材料不全无法确定为相关案例的,不
予认可。合同原件备查,如评审时需要核查,接到正式通知后,在规定时间内
送达评审现场,否则案例不予认可。
3.1.5申请人提供的投标产品须具备有效期内的公安部颁发的安全专用产品销售
许可证。
3.1.6本次资格预审不接受联合体资格预审申请。
3.1.7本次资格预审不接受代理商资格预审申请。
3.2设备测试
1本次资格预审将对报名成功的申请人的投标产品进行测试,测试结果作为
本次资格审查的条件之一。
2未按照招标人要求完成测试或测试未达到本公告测试规范测试规范详见
附件:天翼云动态安全一体机测试规范书要求的,不能通过资格审查。
3申请人参加投标产品测试发生的费用全部自理,检测内容时间及地点等
事宜将另行通知资格预审文件售卖时间截止后2日内通知。
4申请人本次参加测试的测试样品型号与最终投标产品型号须保持一致,否
则其投标将被否决。
5本项目测试 (略) 进行测试,并出具测试报告。
6测试通过标准:
通过:在规定时间内提出测试申请,经招标人测试后,标项均满足要求且非
标项至少通过9项
不通过:在规定时间内未提出测试申请,或经招标人测试后,标项任意一项
不满足要求或非标项通过少于9项。
3.3申请人不得存在下列情形之一
1为招标人不具有独立法人资格的附属机构单位
2被依法暂停或取消投标资格的
3被责令停产停业暂扣或者吊销许可证暂扣或者吊销执照
4进入清算程序,或被宣告破产,或其他丧失履约能力的情形
5在最近三年内投标截止时间前36个月被相关行业主管部门或司法机关
认定 有骗取中标严重违约重大工程质量或者安全问题的
6在最近五年内投标截止时间前60个月被判处单位行贿罪,且行贿行为
与采购活动相关的以中国裁判文书网的生效判决为准
7在最近五年内投标截止时间前60个月被判处合同诈骗罪的以中国
裁判文书网的生效判决为准
8被 (略) 认定为失信被执行人的(以信用中国网站www.credi
http://**或中国执行信息公开网http://**或
各级信用信息共享平台公布的失信被执行人名单为准),已执行完毕或不再执行
的除外。
3.4 投标产品资格要求
投标产品应是来自中华人民共和国或是与中华人民共和国有正常贸易与往来的
国家或地区的产品。
3.5 法律法规规定的其他要求。
本项目不允许联合体投标。
四资格预审文件的获取
获取时间:从2023年01月14日 08时30分到2023年01月20日 17时30分
获取方式:5.1资格预审文件获取时间:
2023年01月14日08时30分至2023年01月20日17时30分北京时间,下同。
五资格预审申请文件的递交
递交截止时间:2023年02月02日 09时30分
递交方式:电子上传文件递交电子上传文件递交
六资格预审开始时间及地点
资格预审开始时间:2023年02月02日 09时30分
资格预审地点:
评审办法:4.1本次资格预审采用合格制,资格审查标准和内容详见资格预
审文件。
4.2通过资格审查的申请人均可参加本次资格预审范围内本项目的投标。
4.3通过资格审查的申请人不足3个时,招标人重新组织资格预审或采用资格后
审进行重新招标。
七其他
中国电信天翼云2022年天翼视联资源池二期扩容工程-
动态安全一体机资格预审公告
1招标条件
中国电信天翼云2022年天翼视联资源池二期扩容工程-
动态安全一体机已批准,招标人 (略) ,建设资金来自招标人
自筹,项目已具备招标条件,现进行资格预审,特邀请有意向的潜在投标人
以下简称申请人提出资格预审申请。
2项目概况
2.1资格预审编号:09-02-04A-2023-D-A00503。
2.2项目概况:本项目采购中国电信天翼云2022年天翼视联资源池二期扩容工程
所需的动态安全一体机。
2.3项目性质:货物招标,资格预审。
2.4项目规模:具体详见下表。
采购内容 硬件配置 性能指标 预估数量 交货时间 交货地点
动态安全一体机 服务器:2U
CPU:16核
内存:32G
硬盘: 2TB2
4个千兆电口
2个万兆光口
1组光口Bypass
1个Console口
2个USB口
2个扩展插槽
冗余电源 万兆光口:
网络吞吐量5G
TCP并发会话数400万
每秒HTTP新建连接数18000 65台 供货通知发出之日起2周内设备到货 全国
2.5技术要求/产品规格:详见上述2.4条。
2.6标包划分情况:本项目不划分标包。
3申请人资格要求
3.1申请人基本资格要求
3.1.1申请人应为中华人民共和国境内法律上和财务上独立的法人或依法登记注
册的其他组织,合法运作并独立于招标人和招标代理机构。申请人应具有良好
的银行资信和商业信誉。法人下属不具备法人资格的分支机构参与项目的,应
具备法人针对本项目或覆盖本项目的经营事项的有效授权。
3.1.2申请人的法定代表人或负责人为同一人或者存在控股管理关系的不同申
请人,不得参加同一标包投标或者未划分标包的同一招标项目投标。
3.1.3申请人须提供2021年度经会计师事务所或审计机构审计的审计报告和财务
报表复印件必须包含会计师事务所或审计机构签章页资产负债表现金流
量表损益表/利润表2021年期末资产总额应达到500万元人民币如为其他
外币的,按照资格预审申请文件递交截止之日中国人民银行公布的汇率中间价
换算成人民币。
3.1.4申请人自2019年1月1日至本项目资格预审公告发布之日止以合同或订单
签订时间为准须具备至少1个合同含税金额不少于100万元含人民币的动
态安全防护类产品销售案例,并提供有效证明文件。
注:申请人须附相关合同关键页须包括合同标的内容合同签订时间合同
金额合同签章页,如果提供的是框架合同,需提供对应框架合同结算的订单
,框架协议及其项下所有订单均视为同一个合同的复印件或者其他相关证明
材料,合同标的内容应通过合同正文或附件中约定的服务内容或报价单或技术
规范书或技术方案等内容明确体现,证明材料不全无法确定为相关案例的,不
予认可。合同原件备查,如评审时需要核查,接到正式通知后,在规定时间内
送达评审现场,否则案例不予认可。
3.1.5申请人提供的投标产品须具备有效期内的公安部颁发的计算机信息系统
安全专用产品销售许可证。
3.1.6本次资格预审不接受联合体资格预审申请。
3.1.7本次资格预审不接受代理商资格预审申请。
3.2设备测试
1本次资格预审将对报名成功的申请人的投标产品进行测试,测试结果作为
本次资格审查的条件之一。
2未按照招标人要求完成测试或测试未达到本公告测试规范测试规范详见
附件:天翼云动态安全一体机测试规范书要求的,不能通过资格审查。
3申请人参加投标产品测试发生的费用全部自理,检查内容见附件:天翼云
动态安全一体机测试规范书,检测时间及地点等事宜将另行通知。
4申请人本次参加测试的测试样品型号与最终投标产品型号须保持一致,否
则其投标将被否决。
5本项目测试 (略) 进行测试,并出具测试报告
6测试通过标准:
通过:申请人在规定时间内提出测试申请,经招标人测试后,测试规范中标
项均满足要求且非标项至少通过9项
不通过:申请人在规定时间内未提出测试申请,或经招标人测试后,测试规范
中标项任意一项不满足要求或非标项通过少于9项。
3.3申请人不得存在下列情形之一
1为招标人不具有独立法人资格的附属机构单位
2被依法暂停或取消投标资格的
3被责令停产停业暂扣或者吊销许可证暂扣或者吊销执照
4进入清算程序,或被宣告破产,或其他丧失履约能力的情形
5在最近三年内投标截止时间前36个月被相关行业主管部门或司法机关
认定 有骗取中标严重违约重大工程质量或者安全问题的
6在最近五年内投标截止时间前60个月被判处单位行贿罪,且行贿行为
与采购活动相关的以中国裁判文书网的生效判决为准
7在最近五年内投标截止时间前60个月被判处合同诈骗罪的以中国
裁判文书网的生效判决为准
8被 (略) 认定为失信被执行人的(以信用中国网站www.credi
http://**或中国执行信息公开网http://**或
各级信用信息共享平台公布的失信被执行人名单为准),已执行完毕或不再执行
的除外。
3.4 投标产品资格要求
投标产品应是来自中华人民共和国或是与中华人民共和国有正常贸易与往来的
国家或地区的产品。
3.5 法律法规规定的其他要求。
4资格预审方法
4.1本次资格预审采用合格制,资格审查标准和内容详见资格预审文件。
4.2通过资格审查的申请人均可参加本次资格预审范围内本项目的投标。
4.3通过资格审查的申请人不足3个时,招标人重新组织资格预审或采用资格后
审进行重新招标。
5资格预审文件的获取
5.1资格预审文件获取时间:
2023年01月14日08时30分至2023年01月20日17时30分北京时间,下同。
5.2资格预审文件获取方式:凡有意参与投标的潜在投标人,请按以下步骤顺序
进行操作,获取资格预审文件:
5.2.1登记购买:在资格预审文件登记购买及申领期限内,登录诚E招电子采
购交易平台完成本项目的登记购买资格预审文件的费用支付。
1注册:输入网址http://**,点击新用户注册
注册步骤详见门户网站:投标人操作指南-
注册指引。登录账号后点击常用文件,下载投标人供应商操作手
册。
2购买:注册成功后登录平台,点击商机发现,检索本项目并直接支付
。
3支付:支付方式三选一,网上支付微信/支付宝扫码电汇须
上传汇款凭证钱包支付点击钱包管理,充值后即可支付。
4保存支付凭证:请务必在支付成功后保存支付凭证,支付凭证用于中国
电信电子采购系统进行资格预审文件的登记申领。
5疑问反馈:具体操作若有疑问,可致电客服热线:020-
*。服务时间8:30-17:30工作日。
6免责声明:诚E招电子采购交易平台网址:http://**
o.com/为本项目购买的唯一渠道,其他平台的购买及支付均属无效。
5.2.2登录中国电信阳光采购网http://**
c-portal/ctscPortal后在招投标办理-
我的项目模块跳转至中国电信电子采购系统进行本项目资格预审文件的登记
申领,未在系统注册的申请人须先进行注册,注册方法详见本公告6申请人注
册。
5.2.3资格预审文件下载:招标代理机构对申请人的申领信息确认后,申请人即
可登*中国电信电子采购系统下载资格预审文件。
5.2.4备注:
1申请人在诚E招电子采购交易平台完成项目资格预审文件登记购买及
费用支付后,请务必在资格预审文件登记购买及申领期限内,登*中国电信
电子采购系统登记申领资格预审文件,只有登记申领成功后,才可以下载资
格预审文件,下载后视为资格预审文件购买及获取完成。如申请人未按时按要
求登记申领资格预审文件的,后续将无法继续参与项目。在资格预审文件登记
购买及申领期限内,无法登记申领的,请及时与招标代理机构项目联系人联系
在资格预审文件登记购买及申领期限结束后,中国电信电子采购系统将
不再提供资格预审文件申领服务,未成功申领资格预审文件且无法继续参与项
目的,可联系招标代理机构申请退还已支付的标书费用。因逾期无法申领资格
预审文件,进而影响后续申请文件制作等活动的,由申请人自行承担相关损失
。
2资格预审文件以中国电信电子采购系统登记申领下载的为准。
3如申请人无办理CA证书记录的,可在中国电信电子采购系统完成注册后,
直接登*申领资格预审文件,同时应尽快完成CA证书办理,用于参选文件制作
及上传如申请人有办理CA证书记录的,则主账号或子账号均需使用对应的关
联CA证书登*平台并申领资格预审文件。
5.3纸质资格预审文件获取地点: (略) 西城区宣武门外大街6号庄胜广场办公
楼西翼1111室。
5.3.1申请人委托经办人应持下述文件向招标代理机构了解有关信息并购买纸质
资格预审文件。
1单位介绍信/授权委托书以及营业执照副本复印件并加盖公章
2经办人身份证原件。
5.4资格预审文件费用:资格预审文件每套售价300元,售后不退,如需邮寄资
格预审文件的,需要以书面形式通知招标代理机构。招标代理机构在收到资格
预审文件费用后2日内寄出,邮寄费用由申请人承担。
6资格预审申请文件的递交
6.1资格预审申请文件递交截止时间:2023年02月02日09时30分。
6.2电子资格预审申请文件的递交:登录中国电信阳光采购网https://caigou
.chhttp://**/ctsc-portal/ctscPortal后在招投标办理-
我的项目模块跳转至中国电信电子采购系统提交,申请人应在资格预审申请
文件递交截止时间之前通过电子采购系统完成加密电子资格预审申请文件的上
传。申请人未在电子采购系统进行资格预审文件申领登记或电子资格预审申请
文件未按照要求加密的,将无法通过电子采购系统提交电子资格预审申请文件
。
7申请人注册
7.1中国电信阳光采购网注册
未注册过的潜在投标人,须通过中国电信阳光采购网http://**
http://**/ctsc-
portal/ctscPortal首页立即注册模块完成注册后,方可申领本项目资格
预审文件。
7.2 CA证书办理
参与电子采购的潜在投标人须提前办理CA证书进行电子资格预审申请文件编制
和资格预审申请,并确保CA证书在使用时有效。CA证书办理流程详见中国电信
阳光采购网操作指引-CA办理
7.3技术支撑联系方式
电子采购系统技术支撑:服务热线*,服务邮箱zbsupportchinatel
ecom.cn。
CA证书办理技术支撑:服务热线010-*/020-*/020-
*,服务邮箱http://**。
8发布公告的媒介
本次资格预审公告同时且仅在中国招标投标公共服务平台http://**
service.com/通信工程建设项目招标投标管理信息平台https://txzbqy.
http://**/中国电信阳光采购网http://**
n/ctsc-portal/ctscPortal上发布,其他媒体转载无效。
9联系及异议接收方式
9.1联系方式
招标人: (略)
招标人地址: (略) 海淀区复兴路33号翠微大厦写字楼13层
联系人:于安安
电话:010-*
招标代理机构名称: (略)
招标代理机构地址: (略) 西城区宣武门外大街庄胜广场西翼1111号
联系人:李佳炜全文杰常玲由远剑
电话:*
电子邮件:*.com
开户银行:中信银行广州花园支行
账号: *0503
9.2异议接收方式
登录中国电信阳光采购网http://**-
portal/ctscPortal后,通过采购协同-异议处理-提出异议模块提出。
招标代理机构: (略)
2023年01月13日
八监督部门
本招标项目的监督部门为工业和信息化部。
九联系方式
招 标 人: (略)
地 址: (略) 海淀区复兴路33号翠微大厦写字楼13层
联 系 人:于安安
电 话:010-*
电子邮件:cgjd-yunchinatelecom.cn
招标代理机构: (略)
地 址: (略) 西城区宣武门外大街庄胜广场西翼1111号
联 系 人: 李佳炜全文杰常玲由远剑
电 话: *
电子邮件: *.com
招标人或其招标代理机构主要负责人项目负责人: 签名
招标人或其招标代理机构: 盖章
天翼云动态安全一体机
测试规范书
V1.0.0版本
2023年01月
一 一体机硬件要求
硬件 最低要求 备注
CPU 16核
内存 32G
网口
4个千兆电口
2个万兆光口
1组光口Bypass
1个Console口
万兆光口:
网络吞吐量5G
TCP并发会话数400万
每秒HTTP新建连接数18000
二 测试环境
1 测试组网
2 Bypass测试组网
三 测试场景
验证动态安全一体机能否通过测试用例标的测试用例为必过项
四 测试结果
序号 场景 测试结果 测试负责人 测试时间
1 网页代码混淆
2 网页注释隐藏
3 Cookie签名
4 Cookie加密
5 数据双向混淆
6 数据签名
7 用户端信息采集
8 用户行为拦截
9 可信令牌
10 网页反调试
11 代理工具检测
12 敏感数据动态脱敏
13 网页防篡改
14 智能一键断网
15 网站后台隐身
16 自定义规则防护
17 动态拦截
18 例外白名单
19 例外黑名单
20 API资产管理
21 API攻击防护
22 运维用户管理
23 系统状态监控
24 日志报表功能
25 防病毒
26 Bypass功能
27 网络防火墙
五 测试结论
全部测试用例总共27个,其中带必过项13个。
经测试评估,测试通过总共个,其中必过项测试通过个。
六 测试遗留问题
序号 问题类别 问题描述 解决情况
1
七 附录-测试用例
1 网页代码混淆
用例编号 1
权值 中
测试目的与范围 验证产品是否支持自动对应用服务响应网页HTML代码
和JS代码进行动态混淆,混淆后所有代码变为不可读的
密文,同一页面内的相同内容在每次请求混淆后呈现结
果应都不同。
预置条件 测试终端防护工具WEB靶机通信正常。
测试过程 1.访问未经保护的网站,查看网页源代码为明文
2.配置代码全部混淆,访问被保护的网站,查看网页源
代码,记录查看的结果
3.刷新界面,重新查看源代码,并记录查看的结果
4.对比防护前后的防护效果
5.对比防护后的两次查看结果
预期结果 1在开启混淆后,产品支持自动识别应用服务响应网
页中的所有代码信息并进行动态混淆封装HTML页面
内容全部混淆,同一页面内的相同内容在每次请求封
装后呈现结果都不同。
2混淆后页面显示效果与混淆前一致,混淆不影响页
面呈现。
测试结果与结论
备注
测试人员 测试日期
2 网页注释隐藏
用例编号 2
权值 中
测试目的与范围 验证产品是否支持自动删除网页HTML/JS代码中的注释
内容,防止攻击者通过注释获取敏感信息,从而发起攻
击。
预置条件 测试终端防护工具WEB靶机通信正常。
测试过程 1.访问未经保护的网站,查看网页源代码,记录结果
2.访问被保护的网站,查看网页源代码,记录结果
3.对比防护前后的防护效果
预期结果 1在开启网页代码注释隐藏后,产品支持自动识别应
用服务响应网页中的HTML代码和JS代码,并对这些内容
中的注释进行隐藏。
2代码注释后页面显示效果与注释前一致,注释不影
响页面呈现。
测试结果与结论
备注
测试人员 测试日期
3 Cookie签名
用例编号 3
权值 高
测试目的与范围 验证产品是否支持自动对WEB应用下发到用户端的Cooki
e进行签名,Cookie签名随附请求至动态应用防护设备进
行检验,无签名Cookie信息篡改的请求将无法访问应
用系统。
预置条件 测试终端防护工具WEB靶机通信正常。
测试过程 1.访问未经防护的网站,通过抓包等方式查看WEB应用
下发到用户端的Cookie及后续请求携带的Cookie,记录
参数的个数及状态信息
2.配置Cookie签名防篡改,访问被保护的网站,通过抓
包等方式查看WEB应用下发到用户端的Cookie及后续请
求携带的Cookie,记录参数的个数及状态信息
3.对Cookie字段中的参数字段进行篡改并提交请求,查
看响应
4.查看攻击日志。
预期结果 1配置Cookie签名后,Cookie中新增签名字段
2Cookie信息篡改行为被拦截并记录攻击日志。
测试结果与结论
备注
测试人员 测试日期
4 Cookie加密
用例编号 4
权值 中
测试目的与范围 验证产品是否支持自动加密Web应用下发到用户端的Co
okie,Cookie内容经保护后与保护前明显不同,避免信
息泄漏。
预置条件 测试终端防护工具WEB靶机通信正常。
测试过程 1.访问未经防护的网站,通过抓包等方式查看WEB应用
下发到用户端的Cookie及后续请求携带的Cookie,记录
格式和变化情况
2.配置Cookie加密,访问被防护的网站,通过抓包等方
式查看WEB应用下发到用户端的Cookie及后续请求携带
的Cookie,记录格式和变化情况
3.对比防护后的两次查看结果。
预期结果 1未保护时Cookie明文显示,被保护后Cookie信息密
文显示
2Cookie加密后业务请求正常交互不受影响。
测试结果与结论
备注
测试人员 测试日期
5 数据双向混淆
用例编号 5
权值 中
测试目的与范围 验证产品是否支持以动态的混淆算法与密钥自动对动态
请求提交的数据和应用服务器响应的内容进行保护,提
升中间人攻击的难度,防止中间人攻击请求伪造窃
听或篡改请求数据包等行为。提交或响应相同的内容经
混淆后呈现都应不相同,以提升黑客反编译和猜解的难
度。
预置条件 测试终端防护工具WEB靶机通信正常。
测试过程 1.访问未经防护的网站,提交POST请求,通过抓包等方
式查看请求参数信息和响应内容,记录格式和加密情况
2.配置数据双向混淆,访问被保护的网站,提交POST请
求,通过抓包等方式查看请求参数信息和响应内容,记
录格式和加密情况
3.再次提交相同的POST请求,通过抓包等方式查看请求
参数信息和响应内容,记录格式和加密情况
4.对比防护前后的防护效果
5.对比防护后的两次查看结果。
预期结果 1未保护时POST请求提交数据和响应内容均为明文
2被保护后POST请求提交数据和响应内容为密文显示
3提交相同的请求,每次加密混淆的结果均不同。
测试结果与结论
备注
测试人员 测试日期
6 数据签名
用例编号 6
权值 高
测试目的与范围 验证产品是否支持自动对终端用户提交的请求数据进行
签名保护,数据签名随附请求至动态应用防护设备进行
检验,无签名数据发生篡改的请求将无法访问应用系
统。提交相同的内容经签名结果应不相同。
预置条件 测试终端防护工具WEB靶机通信正常。
测试过程 1.访问未经防护的网站,提交POST请求,通过抓包等方
式查看请求参数信息
2.配置数据签名,访问被保护的网站,提交相同的POST
请求,通过抓包等方式查看请求参数信息
3.对比防护前后的请求参数信息
4.对POST请求参数内容进行篡改并重放,查看响应
5.删除数据签名并重放,查看响应
6.查看攻击日志。
预期结果 1配置数据签名后,POST请求新增数据签名
2对请求内容篡改和删除数据签名的行为均被识别并
拦截,攻击日志记录对应行为。
测试结果与结论
备注
测试人员 测试日期
7 用户端信息采集
用例编号 7
权值 中
测试目的与范围 验证产品是否支持在网页内自动插入对用户端环境的动
态检查代码,对用户端环境的浏览器指纹浏览器类型
操作系统类型自动化工具类型鼠标点击次数鼠
标移动次数键盘输入次数等进行随机采集,且每次均
随机选取检测项目与数量,以增加应用的不可预测性,
提升攻击者或自动化工具假冒正常用户环境的难度。
预置条件 测试终端防护工具WEB靶机通信正常。
测试过程 1.配置开启用户端信息采集,访问被保护的网站,查看
网页源代码是否嵌入信息采集JS,查看JS代码
2.刷新信息采集JS,查看JS代码,并与前次比较
3.在测试终端上使用不同浏览器不同操作系统自动
化工具如Webdriver访问被保护的网站,并模拟鼠
标点击鼠标移动和键盘输入操作
4.查看用户端信息采集统计报表。
预期结果 1配置用户端信息采集后,自动插入信息采集JS,JS
代码内容混淆不可读,每次响应内容均不相同。
2用户信息采集统计报表中可查看设备指纹排名浏
览器类型操作系统自动化工具类型鼠标点击次数
鼠标移动次数键盘输入次数等内容。
测试结果与结论
备注
测试人员 测试日期
8 用户行为拦截
用例编号 8
权值 中
测试目的与范围 验证产品是否基于用户侧的行为数据实现拦截,至少包
括:键盘输入的次数鼠标移动的次数鼠标点击的次
数触摸板开始触摸的次数触摸板滑动的次数,实现
针对性拦截。
预置条件 测试终端防护工具WEB靶机通信正常。
测试过程 1.访问被保护的网站,模拟键盘输入操作,超过设定阈值
,查看页面响应
2.访问被保护的网站,模拟鼠标移动操作,超过设定阈值
,查看页面响应
3.访问被保护的网站,模拟鼠标点击操作,超过设定阈值
,查看页面响应
4.访问被保护的网站,模拟触摸板触摸操作,超过设定阈
值,查看页面响应
5.访问被保护的网站,模拟触摸板滑动操作,超过设定阈
值,查看页面响应
6.查看攻击日志。
预期结果 1用户行为匹配拦截策略时,无法正常访问网站
2攻击日志中记录用户触发拦截策略的行为因素是何
种类型操作超过设定阈值触发。
测试结果与结论
备注
测试人员 测试日期
9 可信令牌
用例编号 9
权值 高
测试目的与范围 验证产品是否支持自动为应用请求生成令牌,令牌随附
请求至动态应用安全防护设备进行检验,无令牌令牌
已使用令牌已过期的请求将无法访问应用系统,每一
次请求提交的令牌都会变化。
预置条件 测试终端防护工具WEB靶机通信正常。
测试过程 1. 动态应用防护系统开启一次性动态令牌功能
2.
发起访问请求,抓包检查令牌的位置和令牌的信
息
3.
多次访问相同的应用系统页面,查看每次访问时
动态令牌情况并记录
4.
对动态令牌进行篡改操作后,重发数据包,记录
测试结果
5. 删除动态令牌后,重发数据包,记录测试结果
6. 令牌有效期内重发数据包,记录测试结果
7.
超过令牌有效期后再次重发数据包,记录测试结
果。
预期结果 1
系统自动为每次请求授权令牌无需进行参数配置
2
每次访问请求均携带网页令牌,且每次访问携带
的网页令牌均不相同
3
令牌篡改后,重发数据包,访问被拦截,告警日
志显示无效令牌
4 令牌删除后,访问返回412。
5
令牌有效期内重发数据包,访问被拦截,告警日
志显示令牌已使用
6
超过令牌有效期后重发数据包,访问被拦截,告
警日志显示令牌已过期。
测试结果与结论
备注
测试人员 测试日期
10 网页反调试
用例编号 10
权值 中
测试目的与范围 验证产品是否具备前端页面反调试能力,自动识别调试
行为,干扰攻击者通过浏览器开发者工具等方式分析网
页逻辑或对页面中的JS进行调试,从用户侧加强安全机
制,防止对业务发起攻击。
预置条件 测试终端防护工具WEB靶机通信正常。
测试过程 1.访问未经防护的网站,尝试打开开发者工具进行页面
调试,查看结果
2.配置禁用开发者工具策略,访问被保护的网站,尝试
通过F12,右击等方式打开开发者工具
3.配置调试卡死策略,访问被保护的网站,打开开发者
工具后进行页面调试
4.配置调试debug策略,访问被保护的网站,打开开发
者工具后进行页面调试
5.查看攻击日志。
预期结果 1)未经防护的网站可以任意进行网页调试
2配置禁用开发者工具后,被保护的网站无法通过F12
右击方式打开开发者工具
3配置调试卡死策略后,尝试打开开发者工具进行页
面调试,页面卡死
4配置调试debug策略,尝试打开开发者工具进行页面
调试,页面无限debug。
5查看攻击日志,能够记录F12/右击打开开发者工具行
为。
测试结果与结论
备注
测试人员 测试日期
11代理工具检测
用例编号 11
权值 中
测试目的与范围 验证设备是否支持识别通过代理功能拦截修改数据包的
行为,在代理工具拦截之后第一次请求就能够识别拦截
,防止数据篡改业务欺诈攻击。
预置条件 测试终端防护工具WEB靶机通信正常。
测试过程 1.访问未经防护的网站,通过BurpSuite拦截请求,不修
改任何参数,直接对请求进行重放
2.访问被保护的网站,通过BurpSuite拦截请求,不修改
任何参数,直接对请求进行重放
3.查看攻击日志。
预期结果 1未经防护时拦截请求再重放,网站可以正常访问
2被保护时拦截请求再重放,请求被拦截
3攻击日志中可查看代理工具检测拦截日志。
测试结果与结论
备注
测试人员 测试日期
12 敏感数据动态脱敏
用例编号 12
权值 高
测试目的与范围 验证设备是否支持能够对服务器响应中的敏感数据进行
动态脱敏变形,实现对敏感隐私信息的可靠保护。应提
供内置敏感数据类型,至少包括身份证号手机号银
行卡号邮箱号IP地址MAC地址IMEI号IMSI号
家庭住址电话号码等。支持自定义敏感数据类型的
脱敏,敏感数据类型可以设置敏感数据识别规则和遮盖
脱敏规则。支持配置场景化脱敏策略,已有脱敏策略下
,可对于不需要脱敏的部分页面配置例外,可对于需要
查看敏感资源的部分用户配置例外。
预置条件 测试终端防护工具WEB靶机通信正常。
测试过程 1.对关键页面配置IMEI号IMSI号内置敏感数据类型
敏感数据脱敏策略
2.访问未经防护的网站,查看具有敏感数据的页面响应
内容
3.访问被保护的网站,查看具有敏感数据的页面响应内
容
4.将测试终端IP配置为上述脱敏策略中的例外IP来源
5.再次访问被保护的网站,查看具有敏感数据的页面相
应内容。
预期结果 1)未经防护时,敏感数据信息明文展示
2被保护后,敏感数据信息脱敏展示
3测试终端IP被添加为脱敏策略例外后,敏感数据信息
明文展示。
测试结果与结论
备注
测试人员 测试日期
13 网页防篡改
用例编号 13
权值 高
测试目的与范围 验证设备是否支持提供网页缓存机制,缓存客户端请求
的静态资源,保证用户访问的是正确的页面应定期监
测比对源站资源和缓存内容,一旦发生篡改需立即告警
。
预置条件 测试终端防护工具WEB靶机通信正常。
测试过程 1.配置网页防篡改策略,在WEB服务器上模拟篡改网页
代码
2.访问未经防护的网站,查看被篡改页面内容
3.访问被保护的网站,查看被篡改页面内容
4.查看攻击日志。
预期结果 1未经防护时网页发生篡改,测试终端可直接访问被
篡改后的网页内容
2被保护后网页放生篡改,测试终端无法访问被篡改
后的网页内容,访问的仍是正确的原始页面
3攻击日志可以查看网页篡改记录。
测试结果与结论
备注
测试人员 测试日期
14 智能一键断网
用例编号 14
权值 高
测试目的与范围 验证产品是否支持在网站维护重保重防或受到黑客攻
击期间,一键关停或恢复站点服务。在网站关停期间,
能够提供友好的响应页面,支持自定义响应页面。可配
置断网策略,包括网页发生篡改立即断网等。
预置条件 测试终端防护工具WEB靶机通信正常。
测试过程 1.访问被保护的网站,查看页面返回信息
2.对该网站设置断网,再次访问被保护的网站,查看页
面响应
3.配置自定义断网响应页面,再次访问被保护网站,查
看页面响应
4.对该断网站点恢复访问,再次访问被保护网站,查看
页面响应
5.配置智能断网策略:在网页发生篡改时智能断网模
拟网页篡改操作,再次访问被保护网站,查看页面响应
。
预期结果 1未设置任何策略时,网页正常访问
2设置断网后,访问网页显示在维护中,无法访问原
网页
3设置自定义断网响应后,访问网页内容为自定义响
应内容
4断网恢复后,访问网页正常展示原网页内容
5网页发生篡改后能够自动断网,访问网页内容为内
置或自定义断网响应,无法访问原网页。
测试结果与结论
备注
测试人员 测试日期
15 网站后台隐身
用例编号 15
权值 高
测试目的与范围 验证产品是否支持重定向网站后台路径至随机虚拟路径
,保护后原始网站后台地址无法访问。使黑客无法通过
默认后台路径名猜解获取网站后台路径,然后通过其他
手段获取网站管理员的用户名密码登录管理界面,威
胁网站安全。
预置条件 测试终端防护工具WEB靶机通信正常。
测试过程 1.访问未经防护的网站后台页面admin.jsp/login.php等
2.配置网站后台隐身策略,自定义网站后台虚拟路径
3.通过自定义虚拟路径访问被保护后的网站后台页面,
查看响应
3.通过网站原始路径访问被保护后的网站后台页面,查
看响应
4.查看攻击日志。
预期结果 1未经防护时,网站后台页面正常访问,可被扫描
2配置防护后,网站后台页面只能通过虚拟路径访问
,无法通过原路径访问
3通过原路径访问被保护的网站后台页面,请求被拦
截并记录攻击日志,响应为404。
测试结果与结论
备注
测试人员 测试日期
16 自定义规则防护
用例编号 16
权值 中
测试目的与范围 验证设备是否具备基于丰富的字段和逻辑条件并结合业
务特点,灵活的自定义防护策略,精准拦截恶意流量或
者放行合法请求,对于匹配防护规则的疑似攻击及时告
警。
预置条件 测试终端防护工具WEB靶机通信正常。
测试过程 1.配置基于Cookie中某字段的匹配拦截策略,特定的字
段值特定时间访问,直接阻断
2.在指定时间使用被限制的Cookie字段键值对,访问被
保护的网站,查看响应
3.在指定时间使用未被限制的Cookie字段键值对,访问
被保护网站,查看响应
4.在非指定时间使用被限制的Cookie字段键值对,访问
被保护的网站,查看响应
5.查看攻击日志。
预期结果 1在指定时间使用被限制的Cookie字段键值对访问,
请求被拦截并记录攻击日志
2指定时间使用未被限制的Cookie字段键值对访问,
正常响应
3非指定时间使用被限制的Cookie字段键值对访问,
正常响应。
测试结果与结论
备注
测试人员 测试日期
17 动态拦截
用例编号 17
权值 中
测试目的与范围 验证数据签名功能的动态拦截能力,应可以设定多种拦
截策略,至少包括阻挡延时重定向等且可配置上
述拦截策略按百分比随机响应。
预置条件 测试终端防护工具WEB靶机通信正常。
测试过程 1.启用数据签名功能,配置随机动作为告警拦截延
时和重定向各25%
2.访问被保护的网站,通过抓包等方式获取POST请求数
据包
3.对POST请求参数信息进行篡改并多次重放,查看响应
4.查看攻击日志。
预期结果 1数据篡改请求多次命中策略,拦截方式和配置预期
相同,包括告警拦截延时和重定向随机出现
2攻击日志记录每次访问的响应情况及拦截动作。
测试结果与结论
备注
测试人员 测试日期
18 例外白名单
用例编号 18
权值 中
测试目的与范围 验证产品是否支持配置例外白名单URL,在拦截模式下
,配置的URL防护不生效。
预置条件 测试终端防护工具WEB靶机通信正常。
测试过程 1.防护模式为拦截模式,启用SQL注入和XSS检测
2.访问被保护的网站,模拟/eample/path的SQL注入攻击
,查看响应
3.添加URI为/example/path的SQL注入检测白名单
4.再次访问被保护的网站,模拟/eample/path的SQL注入
攻击,查看响应
5.再次访问被保护的网站,模拟/eample/path的XSS注入
攻击,查看响应。
预期结果 1未配置/eample/path的SQL注入例外白名单时,模拟
SQL注入攻击被拦截
2配置例外白名单后,模拟该路径的SQL注入攻击被放
行
3配置例外白名单后,模拟该路径的XSS注入攻击被拦
截。
测试结果与结论
备注
测试人员 测试日期
19 例外黑名单
用例编号 19
权值 高
测试目的与范围 验证数据签名功能是否支持配置例外黑名单URL,在观
察模式下配置的URL发现攻击事件时拦截请求,不在黑
名单中的URL发现攻击事件时仅告警不拦截。
预置条件 测试终端防护工具WEB靶机通信正常。
测试过程 1.防护模式为观察模式,配置某页面的数据签名保护功
能
2.访问防护后的网站,查看该页面下的多个POST请求UR
L和参数信息,如其中包括/example/path
3.通过BurpSuite等工具对/example/path请求抓包并进行
参数信息篡改和重放,查看响应
4.将/example/path配置为例外黑名单,再次篡改重放上
述请求,查看响应
5.抓取该页面下其他请求,进行参数信息篡改和重放,
查看响应
6.查看攻击日志。
预期结果 1未配置例外黑名单时,对/example/path的数据篡改
行为仅检测告警
2配置例外黑名单后,可以单独对/example/path的数
据篡改行为检测拦截,对保护页面下的其他请求仍仅检
测不拦截
3攻击日志记录对应访问行为和拦截动作。
测试结果与结论
备注
测试人员 测试日期
20 API资产管理
用例编号 20
权值 高
测试目的与范围 验证产品是否支持API的资产定义,可快速流程化定义A
PI的前端访问入口后端服务出口信息,支持自动识别A
PI导入和导出API。能够对API进行资产分组和上下线
管控,支持多环境发布API以满足不同场景需求。
预置条件 测试终端防护工具WEB靶机通信正常。
测试过程 1.流程化定义API前端访问入口和后端服务出口信息
2.将定义好的API资产分别发布至测试预发布和生产环
境
3.访问未经保护的API资产,查看响应
4.分别访问测试预发布和生产环境API,查看响应
5.下线测试环境API,再次访问测试环境API,查看响应
6.查看API详情和发布历史。
预期结果 1API资产定义:前端请求定义至少支持协议类型服
务端口请求域名请求路径请求Header请求方法
请求入参配置后端服务定义至少支持协议类型服
务地址服务路径请求方法超时时间请求参数等
配置
2在测试预发布生产环境发布后,不同环境入口
均能正确访问源站API资源
3API下线后,无法访问获取API响应
4在API详情中可切换查看各环境版本配置信息,并可
查看发布历史版本。
测试结果与结论
备注
测试人员 测试日期
21 API攻击防护
用例编号 21
权值 高
测试目的与范围 验证产品是否支持对API访问调用响应结果码进行成功率
控制,防止爬虫行为或大量异常调用导致的服务不可用
。
预置条件 测试终端防护工具WEB靶机通信正常。
测试过程 1.配置错误响应限制策略,限制响应码为404,基于来源
IP限制在每分钟内出现50%则进行拦截
2.访问未经防护站点的不存在的API路径,模拟404响应
次数超过设定上限比例,查看响应
3.访问被保护站点的不存在的API路径,模拟404响应次
数超过设定上限比例,查看响应
4.查看攻击日志。
预期结果 1未经防护时,访问正常被防护后,错误响应比例
超过设定阈值,请求被拦截
2攻击日志记录访问行为和拦截动作。
测试结果与结论
备注
测试人员 测试日期
22 运维用户管理
用例编号 22
权值 中
测试目的与范围 验证产品是否提供用户角色分权管理能力:默认应提供
超级管理员资产管理员审计管理员角色,支持自定
义角色设置管理权限。
预置条件 测试终端防护工具WEB靶机通信正常。
测试过程 1.查看默认角色,是否默认提供超级管理员资产管理
员审计管理员
2.新增资产管理员A与B,资产管理员A登录添加站点,
资产管理员B登录查看站点列表是否能够管理A接入的站
点
3.自定义添加系统管理员角色,角色要求仅能做系统
管理,新增系统管理员C,C登录后查看具备的权限。
预期结果 1系统默认提供超级管理员资产管理员审计管理
员
2资产管理员B无法查看和管理A接入的站点资产
3成功自定义系统管理员角色,C登录后仅有系统管理
的权限。
测试结果与结论
备注
测试人员 测试日期
23 系统状态监控
用例编号 23
权值 中
测试目的与范围 验证产品是否具备对CPU/内存/磁盘IO等系统状态的监
控功能,并在管理界面中进行展示。
预置条件 测试终端防护工具WEB靶机通信正常。
测试过程 1.查看状态监控报表是否包括CPU/内存/磁盘IO等系统运
行状态。
预期结果 1状态监控报表正确展示系统CPU/内存/磁盘IO等系统
运行状态。
测试结果与结论
备注
测试人员 测试日期
24 日志报表功能
用例编号 24
权值 高
测试目的与范围 查看报表功能。
预置条件 测试终端防护工具WEB靶机通信正常。
测试过程 1.查看安全统计报表
2.配置发送安全月报,分别发送格式为HTML/PDF/DOC
的报表,查看报表内容
3.对攻击事件标记攻击。
预期结果 1统计报表对业务请求和攻击数据进行统计分析,至
少包括总请求数合法请求数异常请求数机器人请
求数请求趋势图Web攻击Bot攻击Host排名U
ser-
Agent排名执行动作浏览器排名终端排名响应
码排名恶意IP排名浏览器指纹排名等
2统计报表基于来源IP进行统计分析,至少包括Top5
访问来源IP请求趋势Top5攻击来源IP请求趋势攻击
来源IP排名统计,可查看攻击来源I (略) 攻击
行为类型攻击UA攻击URL等信息
3成功发送格式为HTML/PDF/DOC的安全报表,报表
内容包括请求趋势Bot攻击类型分布Web攻击类型分
布来源IP统计攻击路径统计终端环境统计等
4能够对攻击事件标记攻击,标记后的攻击事件能够
在单独报表中展示提供查询。
测试结果与结论
备注
测试人员 测试日期
25 防病毒
用例编号 25
权值 高
测试目的与范围 验证产品是否支持实时检测支持提供隔离删除审
计等动作支持自定义病毒黑白名单支持设置扫描包
大小和压缩包文件解压层数支持勒索病毒增强检测,
设置诱饵文件,访问则终止勒索进程。
预置条件 测试终端防护工具通信正常,病毒样本准备。
测试过程 1.配置实时检测功能,病毒处理方式分别选择:隔离
删除审计准备eicar病毒样本,传入主机后,分别查
看查杀结果和攻击日志
2.配置监控压缩包文件,并可设置压缩包文件解压层数
和扫描文件大小限制将eicar病毒和其他正常文件压缩
成zip或其他压缩格式,传入主机中,查看查杀结果和攻
击日志,压缩包被修复
3.将eicar病毒配置全局白名单,并将eicar病毒写入或拷
贝入主机中,查看查杀结果和攻击日志,没有发现新日
志
4.将任意文件配置全局黑名单,并将此文件上传入主机
中,查看查杀结果和攻击日志,该文件被标记为病毒
5.勒索病毒检测,开启勒索病毒增强检测后,执行模拟
勒索病毒,然后查看查杀结果和攻击日志,模拟勒索病
毒被实时阻止。
预期结果 1)有隔离删除审计攻击日志
2)压缩包中病毒文件被修复
3)白名单病毒未被查杀
4)黑名单文件被查杀
5)勒索病毒被检测到,执行时被阻止
测试结果与结论
备注
测试人员 测试日期
26 Bypass功能
用例编号 26
权值 高
测试目的与范围 验证硬件Bypass卡是否支持多种Bypass模式,包括关机
断电上电过程中运行时的Bypass,可在Web管理
界面中配置生效,保障应用系统的稳定服务。
预置条件 测试终端防护工具WEB靶机通信正常。
测试过程 1.透明代理模式部署,设备正常运行,访问源站
2.操作设备关机,访问源站
3.操作设备开机上电,访问源站
4.配置启用Wacthdog功能,模拟设备挂死,访问源站
5.操作设备断电,访问源站。
预期结果 1设备正常运行,源站访问响应正常
2设备关机,源站访问响应正常
3设备开机,源站访问响应正常
4设备挂死,源站访问响应正常
5设备断电,源站访问响应正常。
测试结果与结论
备注
测试人员 测试日期
27 网络防火墙
用例编号 27
权值 中
测试目的与范围 验证产品是否支持对网络层和应用层的DDOS攻击进行
防护,可基于IP设置TCPUDPICMP的DDOS防护策略
。
预置条件 测试终端防护工具通信正常。
测试过程 1.新增一条TCP-
DDoS防护策略,设置每秒连接阈值为10,模拟TCP-
Flood请求超过阈值,查看请求连接状态
2.新增一条UDP-
DDoS防护策略,设置每秒连接阈值为10,模拟UDP-
Flood请求超过阈值,查看请求连接状态
3.新增一条ICMP-
DDoS防护策略,设置每秒连接阈值为10,模拟ICMP-
Flood请求超过阈值,查看请求连接状态
4.查看DDoS防护日志。
预期结果 1TCP-
DDoS:超过阈值后新建连接失败,记录DDoS日志
2UDP-
DDoS:超过阈值后新建连接失败,记录DDoS日志
3ICMP-
DDoS:超过阈值后新建连接失败,记录DDoS日志
测试结果与结论
备注
测试人员 测试日期
京公网安备 11010802042560号