| 公告时间: | 2016-12-15 09:22:33 | |||||||||
| 项目名称: | 中国互联网络信息中心网络安全设备自动渗透测试工具及配件采购项目 | |||||||||
| 项目编号: | GDC-20161208111963479 | |||||||||
| 中央国家机关政府采购中心受采购单位 中国互联网络信息中心 委托, 对下列货物及服务进行网上电子政府采购,现邀请合格投标人进行网上竞价。 | ||||||||||
| 采购项目信息 | ||||||||||
| 采购单位: | 中国互联网络信息中心 | 报价截止时间: | 2016-12-20 09:22:33 | |||||||
| 联系人: | 张新跃 | 送货地点: | 海淀区中关村南四街4号1号楼 | |||||||
| 联系电话: | 13370166118 | 到货时间: | 合同签订后2个日历日到货 | |||||||
| 联系邮件: | zhangxinyue@cnnic.cn | 项目预算: | 200000.0 (注:此预算在采购人可支付的情况下可增加金额) | |||||||
| 剩余时间: | 签约时间: | 成交公告发布后3个工作日内签署合同 | ||||||||
| 资质要求 | ||||||||||
| 售后服务网点: | 要求当地有售后服务网点 | 销售资质需求: | 协议供货商 | |||||||
| 售后上门服务要求: | 上门服务年限:3年
上门服务时限:接到报修后12小时 |
电话技术支持服务响应要求: | 7X24小时 | |||||||
| 免费维保质保期: | 3年 | |||||||||
| 踏勘需求 | ||||||||||
| 踏勘地点: | 无 | 踏勘时间: | 无 | |||||||
| 联系人: | 无 | 联系电话: | 无 | |||||||
| 采购商品信息 | ||||||||||
| 商品分类 | 商品名称 | 参考品牌 | 规格型号 | 单位 | 数量 | 产地要求 | 是否要求有现货 | 是否要求承诺原厂全新未拆封正品 | 技术指标 | |
| 网络安全设备及配件 | 自动化渗透测试工具 | 杭州安恒明鉴 | DAS-APENTEST | 套 | 1 | 中国 | 是 | 是 | 一、基本功能要求: 1、自动分析网络服务,自动加载对应的扫描模块(识别到HTTP协议加载Web扫描器)。 2、自动分析漏洞,自动渗透,获取控制会话,包括基于TCP的控制会话、WebShell、远程管理协议账户口令的获取。 3、信息采集功能 1)Ping检查:检查网络是否连通,进行路由跟踪 2)主机探测:如主机名、操作系统名称、操作系统版本等 2)端口探测:如端口号、服务名、协议、版本、状态等 3)网站指纹识别:如web框架、版本号等 4)域名信息查询:如域名所有人、域名注册商、注册日期等 4、漏洞发现功能 1)网站漏洞扫描 a、安全扫描策略支持:支持策略自定义及策略分类;支持常见的Web漏洞、OWASP TOP 10等主流安全漏洞,如SQL注入、Cookite注入、XSS跨站脚本、CSRF跨站伪造请求、命令注入、代码注入等。 b、扫描过程:支持实时显示详细的扫描和检测见过统计数据,并展示相应的统计图表 2)系统漏洞功能 a、安全扫描策略支持:支持自定义选择策略模板,支持各种主机主流操作系统如windows、linux、unix、hp及tomcat等中间件的漏洞扫描 b、扫描过程:支持查看漏洞详情、修复建议、CVE编号等 3)数据库漏洞功能 a、支持扫描方式:支持支持授权扫描、非授权扫描 b、支持扫描策略:支持缓冲区溢出漏洞、访问控制漏洞、提前漏洞、执行权限过大漏洞、访问权限绕过漏洞、弱口令等 5、支持对扫描的漏洞进行验证 1)、SQL注入漏洞自动化渗透测试,支持自动识别注入点,支持对数据库配置进行审计,支持后台数据库的数据提取、执行控制台命令、读取 注册表、获取目录树、数据库备份、远程文件下载、文件上传等。 2)、SQL注入半自动化渗透测试 1)渗透内容:支持http或https协议的测试;支持常见的数据库,包括mssql,oracle,mysql,db2,access等数据库;支持任意注入点的注入( 包括url注入、伪静态注入、cookie注入、referrer注入、GET参数注入、POST参数注入、xml格式请求注入、json格式请求注入等);支持盲注、错误注入、union注入方式;获取数据库各种环境变量、列举数据库名、表名,获取表结构,并能导出相关数据;支持扩展功能,各种渗 透功能,包括执行系统命令、启动组件、远程桌面开启关闭、获取系统信息、文件读取、注册表读取。 2)渗透功能:支持提交注入URL自动获取HTTP头功能;具有手工数据包重放测试功能,重放数据包应包括测试类型、时间、响应码和响应长 度、SQL验证语句;支持多线程快速测试;支持参数处理,可对注入语句进行base64编码、url编码、字符串替换、字符串编码等操作;支持 forward状态跟踪;支持WAP网站、webservice、伪静态站点等特殊站点的测试;能够进行数据包跟踪,进行注入调试,快速判断问题点;支 持配置文件的导入导出;支持表结构的导入导出;支持表内数据的导出;支持状态保存,下次启动保存前一次的状态。 3)报告 可支持注入点配置设置导入导出; 4)、Struts2远程命令执行:支持S2-005、S2-013、S2-016、S2-019及其他版本漏洞渗透测试 5)、IIS文件上传渗透测试:支持文件上传、文件重命名渗透测试 6)、ElasticSearch Groovy远程命令执行:支持远程命令执行、文件上传测试 7)、MogoDB PhpMoAdmin 远程代码执行:支持远程命令执行测试 6、支持渗透测试对象 1)支持扫描对象:包括IIS、Websphere、Appache、Weblogic等web服务器,支持Asp、Jsp、Php等编程语言;支持Microsoft Windows XP/2003/Vista/2008/7、Sun Solaris、HP Unix、IBM AIX、IRIX、Linux、BSD等操作系统,以及常用软件,网络设备,Oracle、MS SQLserver、Mysql、Infomix、DB2、Sybase等主流数据库。 2)渗透测试支持对象:包括支持IIS、Websphere、Weblogic、Apache等所有的应用服务器;Asp、Jsp、.Net、J2EE、Php,perl等所有的WEB应用编程语言; 7、辅助工具功能: 1)工具自带HTTP请求编辑器、谷歌黑客工具,编码/解码工具,MD5暴力破解工具以及Openssl漏洞批量检测工具; 2)工具支持根据自己的需要自定义添加分组及辅助工具。 8、渗透测试报告功能 1)可导出扫描、渗透报告; 2)支持截图功能和及时取证。 二、渗透测试技术支持服务要求 1、渗透测试工具具有较强的专业性和自身安全要求,要求供应商提供工具原始厂商为期三年的质保服务,同时提供为期三年的渗透测试技术服务支持。 2、现场技术支持,要求供应商具有本地化技术支持能力,提供本地技术支持服务,需提供本地化服务证明,接到报修电话2小时内响应,12小时内上门; 3、提供不少于三年的原始厂商7*24小时服务支持; 4、不少于5名原始厂商工程师到现场实施及提供渗透测试相关的培训,指导工具的正确使用; 5、采购人将对中标到货设备进行性能测试和功能验证,与投标承诺不符将作为无效投标处理,由此引发的所有损失由该投标人承担; 6、产品部署完成需用户、代理商、厂商三方共同参与技术验收。 7、提供正式授权的正版系统,要求提供来源证明文件。 | |
