漏洞扫描设备采购需求及参数
漏洞扫描系统及网络与系统安全设备采购项目招投标书范本
大连大学漏洞扫描系统及网络与系统安全设备采购项目招标文件(项目编号:ZZCG-)招标人:大连大学招标代理人:大连中招招投标代理有限公司日期:二○一八年十一月大连大学漏洞扫描系统及网络与系统安全设备采购项目招标文件项目负责人:关慧丽编制人:关慧丽审核人:王胜彬编制日期:年月目录投标邀请函…………………………………………………………第一章投标人须知及前附表……………………………………第二章合同条款及合同格式……………………………………第三章项目需求及技术要求……………………………………第四章投标文件格式……………………………………………附件开标一览表………………………………………………附件评标方法…………………………………………………大连大学漏洞扫描系统及网络与系统安全设备采购项目投标邀请函大连中招招投标代理有限公司受大连大学的委托,对其漏洞扫描系统及网络与系统安全设备采购项目进行国内公开招标,欢迎符合资格条件的投标人报名参加投标。
一、项目编号:ZZCG-二、招标内容:漏洞扫描系统及网络与系统安全设备(详细内容见招标文件第三章)A包:漏洞扫描系统B包:网络与系统安全设备注:.投标人不能只对本项目个别品目进行投标,否则将被视为非响应性投标而被拒绝;.招标文件中要求投标人须提供非进口产品,否则视为无效投标文件(进口产品是指通过中国海关报关验放入中国境内且产自关境外的产品).本项目采购以标段为基本单位,两个标段可兼投兼中(详见附件“评分方法”)。
投标人投多个标段时,应按招标文件要求分别提交投标文件及投标保证金,否则视为无效报价。
三、投标人的资格要求:A包、B包:(一)投标人须为在中国境内注册的独立企业法人;(二)外地投标人须具有在大连地区工商行政管理部门注册的售后服务机构(售后服务机构为外地投标人分支机构的须提供营业执照,非外地投标人分支机构的须提供外地投标人与其售后服务机构的委托协议)。
注:.本项目不接受联合体参与;.为采购项目提供整体设计、规范编制或者项目管理、监理、检测等服务的投标人,不得参加本采购项目的其他活动;. 经查询信用信息存在不良信用记录的不得参加本采购项目(具体要求如下)。
1附表1+网页安全漏洞扫描系统配置标
可靠性与 扩展性
可靠性与 扩展性
升级
其他要求
附表1 网页安全漏洞扫描系统配置标准
项目 运行环境:能运行在主流的Windows操作系统平台上(UNIX/Linux操作系统可选支持),如 Windows XP、Windows Vista、Windows Server2003、Windows7等及其各版本(包括32位和64位 版本),需要数据库时能采用主流数据库(如SQL Server、Oracle、Sybase、Informix、DB2等及 其各版本)存储相关数据。 扫描对象包括应用ASP、JSP、PHP、HTML等技术开发的静态页面、动态页面、页面目录等, 支持扫描运行在各类主流WEB服务器(包括但不限于IIS、WebLogic、WebSphere、Apache、 Tomcat等)的WEB系统。 支持对WAP网站的漏洞扫描 须能够发现网页系统中的各种URL,包括: 1、网页文件包括的URL; 2、解析Javascript等脚本获得的URL; 3、执行Javascript等脚本获得的URL; 支持对网页中的flash文件的搜索,并能发现flash文件中的URL和参数 网页安全漏洞扫描系统须能够对发现的URL以一定结构(包括但不限于树型结构)呈现。 能检测出WEB系统常见安全漏洞,包括但不限于: 1、 SQL注入 2、 Cookie注入 3、 跨站攻击 4、 CSRF 5、 目录遍历 6、 网站信息泄漏 7、 管理后台泄漏 8、 认证方式不健壮 9、 隐藏字段操控 1、须提供网页安全漏洞验证的功能,并支持手工配置验证参数 2、能调用其他浏览器或通过自带浏览器验证跨站攻击漏洞、目录遍历、管理后台泄漏等安全漏 洞 3、能够可配置地自动通过SQL注入点获取后台数据库的相关信息
√
√
√
漏洞扫描参数
漏洞扫描参数漏洞扫描参数设备参数数量价格【设备要求】:国内知名品牌,自主研发,标准机架式硬件,1台含交流单电源模块,1个RJ45串口,1个GE管理口,6个10M/100M/1000M自适应以太网电口扫描口,1个接口扩展槽位(4GE/4SFP/8GE/8SFP),并发扫描数≥120个IP地址,支持多路扫描,满足在复杂环境中部署的要求,支持不同网段同时检测的需求。
要求可扫描IP数无限.配备WEB扫描模块. Web扫描结果和安全配置核查结果进行综合分析、综合评分,并输出包含漏洞扫描、Web扫描和配置核查内容的报表。
【功能要求】:★1.提供漏洞知识库中包含的主流操作系统、数据库、网络设备的列表信息。
为保证能够提供了实时可靠的主机探测信息,要求提供主机探测系统和方法的专利证明,要求提供专利截图。
2.能够扫描主流虚拟机软件的安全漏洞,如:VMWare ESX/ESXi;★3.厂商漏洞知识库大于17000条可提供查询地址;4.产品内置漏洞知识库漏洞信息大于15000 条,提供详细的漏洞描述和对应的解决方案描述;漏洞知识库与CVE、CNCVE、CNNVD、CNVD标准同时兼容,并提供截图证明及CVE Compatible证书。
;★5.可以通过资产仪表盘直观展示资产的风险值、主机风险等级分布、资产风险趋势、资产风险分布等内容;可提供资产树功能,通过资产树直观呈现网络资产的安全风险;★6.支持高级数据分析,能够进行历史数据查询、汇总查看,方便进行多个扫描任务或多个IP风险对比,能够在多个历史任务中,很快的检索到需要关注的资产IP点。
★7.产品支持对漏洞扫描结果、Web扫描结果和安全配置核查结果进行综合分析、综合评分,并输出包含漏洞扫描、Web扫描和配置核查内容的报表。
8.可以智能发现非默认端口启动的服务,并调用相应扫描插件进行扫描具备单独口令猜测扫描任务,支持多种口令猜测方式;9.支持Web应用扫描能力,可提供多种Web应用漏洞的安全检测,如SQL注入、跨站脚本、网站挂马、网页木马、CGI漏洞等;★10.同一台产品同时支持漏洞扫描和安全配置核查功能,能够对主流操作系统、网络设备、数据库、中间件、等进行安全配置项目进行检查,能够综合系统安全漏洞和配置隐患检查结果分析系统安全风险;11.支持采用SMB、RDP、SSH、Telnet等协议对Windows、Linux系统进行登录扫描,支持Telnet、SSH协议跳转;12.支持多路扫描,满足在复杂环境中部署的要求,支持不同网段同时检测的需求;产品应支持通过多种维度对漏洞进行检索,包括:CVE ID、BUGTRAQ ID、CNCVE ID、CNVD ID、CNNVD ID、MS 编号、风险等级、漏洞描述、是否为危险插件、漏洞发布日期等信息;★13.具有备份恢复机制,能够对系统创建还原点对系统进行备份和还原;★14.同类产品支持虚拟化VM平台部署,能够直接以虚拟机镜像方式部署在虚拟化HYPERVER层平台上。
漏洞扫描系统需求说明
12.应具备中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》。
售后服务
13.原厂五年售后服务,包括安装调试、硬件质保、软件升级、漏洞库升级等。
6.具备单独口令猜测扫描任务,支持多种口令猜测方式,包括利用SMB、TELNET、FTP、SSH、POP3、TOMCAT、SQL SERVER、MYSQL、ORACLE、SYBASE、DB2、SNMP等协议进行口令猜测,允许外挂用户提供的用户名Hale Waihona Puke 典、密码字典和用户名密码组合字典;
7.支持对主流数据库的识别与扫描,包括:Oracle、Sybase、SQL Server、DB2、MySQL等,能够扫描的数据库漏洞扫描方法不小于500种;
附件:
漏洞扫描系统需求说明
产品要求
详细说明
功能、性能及配置要求
1.硬件设备,1*RJ45串口,1*GE管理口,不少于4个10M/100M/1000M自适应以太网电口扫描口,不少于4个千兆SFP插槽,可扫描无限制128 IP地址;
2.允许最大并发任务数≥5个,最大并发扫描主机数≥30;
3.能够采用多种不同的方式自动发现网络资产,能够把资产管理和组织结构或者网络拓扑结构紧密结合,支持资产树等多种资产管理方式,支持通过资产树对指定主机展开漏洞扫描和配置核查任务,查看主机风险;
4.漏洞知识库漏洞信息大于10000条,提供详细的漏洞描述和对应的解决方案描述;漏洞知识库与CVE、CNCVE、CNNVD、CNVD、Bugtraq等主流标准兼容,并提供CVE Compatible证书;
5.支持对多个扫描任务并发执行,支持多任务自动调度。支持定期扫描与周期扫描(周期扫描可细化到隔天、隔周、隔月);
8.可以通过资产仪表盘直观展示资产的风险值、主机风险等级分布、资产风险趋势、资产风险分布等内容;
漏洞扫描系统详细招标参数
★获得中国人民解放军信息安全测评中心颁发的《军用信息安全产品认证证书》,并出具加盖厂商公章的复印件
应急能力
★设备生产厂商具备CNCERT颁发《网络安全应急服务支撑单位证书》,并出具加盖厂商公章的复印件
厂商实力
★设备生产厂商应具有漏洞发现能力,具备《中国国家信息安全漏洞库(CNNVD)技术支撑单位资质》,至少曾经获得中国信息安全测评中心颁发《中国国家漏洞库-信息安全漏洞提交证明》,不低于5份,并出具加盖厂商公章的复印件
并发任务数量
≥20个任务并发,单次任务扫描IP数量不限,不限用户数,无限IP授权(设备中需提供证明截图并加盖公章)
网络构架
扫描方式
支持直接扫描,
★支持对多个扫描任务并发执行,支持多任务自动调度;单个任务允许扫描的最大扫描范围不小于一个B类网段。
★支持设备内置VPN拨号扫描(需提供截图证明,加盖原厂公章)
支持MSSQL/MySQL/Oracle/DB2等数据库漏洞检测
支持FTP/EMAIL/DNS/网络设备漏洞检测
支持虚拟化漏洞、常用应用软件漏洞检测
操作系统指纹识别
自动判断被扫描主机的操作系统类型及版本
CVE/CNNVD编号显示
支持显示CVE/CNNVD漏洞编号
★可利用漏洞提示
★支持可利用漏洞提示,将能够获取服务器权限的漏洞专门提示,并支持显示漏洞可利用性,便于管理员立刻锁定资产脆弱点(需提供截图证明,加盖原厂公章)
★必须支持对统一登陆(SSO)环境下WEB站点的登录扫描,统一登陆环境的HTTP或者HTTPS方式的跳转认证等不影响设备的登录扫描功能;(需提供截图证明,加盖原厂公章)
弱密码检测能力
协议类型
★支持检查3389(RDP远程桌面)弱密码(需提供截图证明,加盖原厂公章)
漏洞扫描设备采购需求及参数
漏洞扫描设备采购需求及参数背景介绍随着互联网的发展,网络攻击和数据泄漏等安全风险也愈发凸显。
因此,企业对网络安全的要求越来越高,其中漏洞扫描是比较重要的一个部分。
漏洞扫描设备可以通过对网络漏洞的探测和扫描,识别出系统中的安全弱点和漏洞,并提供相应的修复建议,保证网络的安全。
本文旨在介绍漏洞扫描设备采购的需求和参数。
采购需求安全性能好的漏洞扫描设备一定要具备良好的安全性能,越高越好。
建议采购的漏洞扫描设备应该提供高级别的漏洞识别、分类、管理与修补,能够对各种类型的漏洞进行准确快捷的识别,以及合理的修复方法。
网络兼容性配置全网端口扫描、协议认证、Web应用、数据库等针对性测试模块与技术支持能力。
同时,能够针对各种网络环境进行兼容性调整,保障漏洞扫描的全面性和精准性。
用户界面一个良好的用户界面可以提高工作效率,降低人工操作疏漏的几率。
操作简单、直观、易于理解的界面设计和使用流程,更适合于没有技术专业背景的用户更好地使用漏洞扫描设备。
数据库分类管理提供完整、可扩展性较高的漏洞数据库,并具有自动分类管理功能,让用户便于了解漏洞信息和追踪应对任务的进度。
性能稳定性漏洞扫描设备是一项长期工作的设备。
因此,在采购时一定要选择性能稳定的设备,否则一旦漏洞扫描故障,会对企业的安全带来重大的隐患。
采购参数除了采购需求的要求之外,还需要关注漏洞扫描设备的采购参数。
设备设置在采购时应该注意设备设置是否简便,同时需要咨询现有用户群体对设备的使用反馈,了解该产品是否能够应用到公司现有的设备系统中。
数据管理这关乎到漏洞扫描设备内部的存储,取消,更新等问题。
建议在选择设备时,选择支持备份与恢复数据的机型,这样能在已有的数据基础上,进行更新和存储,以确保重要数据不会被丢失。
操作系统兼容性在选择漏洞扫描设备时,一定要关注操作系统的兼容性,以保证采购的设备能够完美地运行和应用。
扫描报告在采购时应该了解扫描后生成的报告格式、生成的速度、报告编辑和发布。
漏洞扫描系统技术参数
评估管理 系 统 管 理 增强功能
操作系统等特征增加新的资产信息 应支持批量自动获取资产的系统信息 应允许自定义评估参数 应具备日志管理功能 应具备数据库备份功能 应支持图形化实时显示当前 cpu 和内存的使用状况
应支持统计当前在线人数
应支持 internet 在线自动升级
升级管理
应支持通过设置代理升级 应支持本地手动升级
应允许自定义并发扫描的主机数、线程数等
应支持手动指定 http、ftp、smb、snmp、pop3
参数配置 等常见协议的登录口令
应允许自定义扫描所采用的扫描方式
应允许自定义端口扫描的类型、范围等参数
漏 遵循标准 洞
漏洞数量 知 识 漏洞分类 库 升级频率
查询方式
应支持国际 cve 标准 应支持 bugtraq id ≧3100条 应细分漏洞测试脚本,类别≧20种 每周应至少升级一次 支持对漏洞知识库的综合查询
扫
应支持保存扫描任务
描 任务管理 应支持合并扫描任务
功
应支持导入扫描任务
能
应具有能对 windows、linux 等系统进行针对性扫描的预定义策略
策略管理 应允许用户根据需要定制、编辑策略
应支持默认策略库与漏洞库同步更新
拓展功能
应支持与其它安全产品(防火墙、入侵检测系统)联动 应集成一些常用的网络工具,包括端口扫描、主机检测、网络流量查看等等
应具备“中止扫描”功能 扫描执行过程中如果关闭扫描页面,扫描进程应仍在后台执行
应支持随时查看后台扫描进程的进度
应具备“定时扫 描”功能, 并且在扫描结 束后将完整的 扫描结果或者差 异报告 自动发送至管理员邮箱
主流的操作系统(windows/ linux/unix…) 主流的数据库(sql server/oracle/mysql…)
漏洞扫描远程安全评估系统技术参数
产品具备公安部颁发的《计算机信息系统安全专用产品销售许可证》(增强级)。
产品具备国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》。
产品具备中国信息安全测评中心颁发的《国家信息安全漏洞库兼容性资质证书》。
产品具备IPv6ReadyLogo认证证书
产品具备网络关键设备和安全专用产品安全认证中国国家信息安全产品认证证书
支持WindoWS系列操作系统,支持Linux主流操作系统(Cenlos、Redhat、DebianλFedOra、Ubuntu^SUSe等),支持UniX主流操作系统(AIX%HPUX、SOlariS等);
支持对Web、FTP、电子邮件等应用系统、APaChe等Web中间件服务器以及Office等常用软件进行漏洞扫描;
Hale Waihona Puke 漏洞扫描远程安全评估系统技术参数技术指标
指标要求
产品要求
采用安全的LinUX操作系统
产品规格
软件形态,建议安装环境至少满足:CPU:17、内存:32G,硬盘:500G
产品性能
可扫描总数量不少于XXX个无限制范围TP地址
扫描对象
WCb漏洞扫描、数据库漏洞扫描、主机软件漏洞扫描、基线配置核查
部署方式
支持旁路部署,无需改变原有的网络架构分布式部署
可以自定义扫描端口范围、端口扫描策略
提供采用SMB、SSH、SNMP、TELNET等协议对WindOWs、LinUX系统进行登录授权扫描。
具备弱口令扫描功能,提供多种弱口令扫描协议,包括SMB、RDP、SSH>TELNET.FTP、SMTP、IMAP、PoP3、MySQL、MSSQL、REDIS、RTSP等协议进行弱口令扫描,允许用户自定义用户、密码字典。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
附件1:
广西北部湾银行WAF设备、漏扫设备采购需求及参数
说明:
▲本项目需求表中,凡在“参考品牌”中列出了三个或三个以上参考品牌的货物,若竞标人的竞标产品品牌非列出的参考品牌之一,其竞标无效。
▲带“★”的项为实质性要求和条件,不满足的竞标无效。
安全设备采购需求:
2
-中国人民解放军信息安全产品测评认证中心的《军用信息安全产品
认证证书(军B+级)》,
-国家保密科技测评中心颁发的《涉密信息系统产品检测证书》
并提供上述产品有效证书的复印件。
4.★厂商应具备十年以上漏洞研究经验和独立漏洞发掘能力,自主发
现的CVE漏洞数量不少于60个,须在厂商网站公开且CVE网站可
查证,且获得漏洞厂商在安全公告致谢不少于40次,请提供证明。
5.★请提供与漏洞扫描相关的公开专利,要求数量不少于5个,请提
供证明
二、产品性能
1.产品需使用专门的硬件,有自主知识产权的安全操作系统,采用B/S
设计架构,并采用SSL加密通信方式,无须安装客户端,用户可通
过浏览器远程方便的对产品进行管理。
2.1U机架式设备,1*RJ45串口,1*GE管理口,6个
10M/100M/1000M自适应以太网电口扫描口,1个接口扩展槽位(支持4电、4光、8电、8光)、IP地址扫描数≥1000。
3.★产品应提供三年原厂商售后维护服务,含软硬件维护和系统软件、
规则库升级服务,请详细说明售后服务的内容
4.支持IPv4和IPv6环境的部署和扫描。
5.允许最大并发扫描≥90个IP地址,允许最大并发任务≥15个任务,
支持无限IP授权扫描。
6.开启全插件漏洞扫描、弱口令探测和登陆扫描后扫描速度不低于
1000ip/h。
(不同型号性能参数详见规格功能表)
7.产品应支持多路扫描功能,可以同时对多个隔离业务子网进行扫描。
三、漏洞管理和分析
1.★支持检测的漏洞数大于17000条,兼容
CVE、CNCVE、CNNVD、CNVD、Bugtraq等主流标准,并提供
CVE Compatible证书。
2.产品支持对系统漏洞扫描、web漏洞、配置合规进行检查和综合分
析,可输出同时包含漏洞扫描和配置核查结果的报表,请提供功能
截图。
3.同时支持远程扫描和采用SMB、SSH、RDP、Telnet等协议对
Windows、Linux等系统进行登录扫描。
4.产品应支持通过多种维度对漏洞进行检索,包括:CVE
ID、BUGTRAQ ID、CNCVE ID、CNVD ID、CNNVD ID、MS编号、风险等级、漏洞名称、是否使用危险插件、漏洞发布日期等信息。
5.★提供高级漏洞模板过滤器,支持将符合筛选条件的漏洞自动加入
到自定义漏洞模板中,及后续插件升级包中的漏洞也可以自动加入
到模板中。
6.★内置不同的漏洞模板针对Unix、Windows操作系统、网络设备和
防火墙等模板,同时支持用户自定义扫描范围和扫描策略;支持自
动模板匹配技术,请提供功能截图。
7.支持扫描国产操作系统、应用及软件的安全漏洞,如红旗、麒麟、
起点操作系统,提供详细漏洞列表。
8.支持针对大数据组件框架的漏洞检测,请提供功能截图。
9.★支持扫描主流虚拟机管理系统的安全漏洞,如:
VMWareESX/ESXi,要求能够扫描大于300条相关漏洞,并提供功
能截图和支持的漏洞列表。
10.支持专门针对DNS服务的安全漏洞检测,包括DNS投毒等漏洞检
测能力;支持“幽灵木马”检测;
11.支持专门针对已有攻击利用代码的漏洞检测,检测用户资产是否存
在可利用的漏洞。
12.支持Oracle、MySQL、MS SQL、DB2、Sybase数据库漏洞检查。
13.支持智能端口挖掘,可以智能发现非默认端口启动的服务。
14.具备单独口令猜测扫描任务,支持多种口令猜测方式,包括利用
SMB、TELNET、FTP、SSH、POP3、TOMCA T、SQL
SERVER、MYSQL、ORACLE、SYBASE、DB2、SNMP等协议进
行口令猜测,允许外挂用户提供的用户名字典、密码字典和用户名
密码组合字典。
15.支持立即执行、定时执行、周期执行扫描任务,自定义的周期时间
可精确至每*月第*个星期*的*点*分。
16.★支持断点续扫,可对已完成的扫描任务中没有被覆盖到的目标重
新下发扫描任务,请提供功能截图
17.支持扫描时间段控制,只在指定时间段内执行任务,未完成任务在
下一时间段自动继续执行。
18.支持复用已有任务配置用于新的扫描任务。
19.支持认证信息管理,可将系统登录信息、配置检查模板进行统一管
理和配置,提供登录信息导入功能,无须每次下任务时进行配置。
20.支持和微软WSUS补丁系统的联动,能够在发给主机管理员的邮件
中附带自动配置WSUS的注册表文件,方便进行自动化的补丁修补。
21.提供通过资产树对资产进行分级管理,支持设备权重设置和可信设
备登记,支持将资产信息批量导入到资产树,可在资产树上直接指
定主机开展扫描任务。
22.可以通过多种维度搜索定位资产和查看资产风险,包括并不限于:
节点或设备名称、资产IP范围、资产管理员、资产操作系统类型、资产风险等级、漏洞名称、开放的端口、资产banner信息等。
23.★支持风险告警和风险闭环处理,可在集中告警平台灵活配置告警
内容、告警方式、告警资产范围等,支持邮件和页面告警,支持单
个或批量修改风险状态,请提供功能截图。
24.支持自定义风险值计算标准配置,可对主机风险等级评定标准和网
络风险等级评定标准进行自定义。
四、风险展示和报表
1.支持通过仪表盘直观展示资产风险值、主机风险等级分布、资产风
险趋势、资产风险分布趋势等内容,并可查看详情。
2.支持在线报表,在线查看展示各节点和主机资产风险分布、漏洞分
布、配置合规和脆弱账号信息,在线查看设备风险详情。
5。