技术参数-中国国际招标网

　 采购人需求一、采购范围1．按照学校设备资产管理系统中的采购项目名称、编号以及采购计划的预算金额等信息进行申请。序号采购项目编号采购项目名称数量计量单位预算金额备注12013-333应用软件安全测试平台1批69.5万元2．供应商需完成的其他事项。二、商务需求1．质量及知识产权要求供应商提供完好、全新的原包装产品（包括零配件），随机技术资料齐全。产品符合国家质量检测标准，必须具有生产日期、厂名、厂址、产品合格证等。深圳职业技术学院（以下简称深职院）在中国使用该货物或货物的任何一部分时，免受第三方提出的侵犯其专利权、商标权或工业设计权等知识产权的起诉或司法干预。如果发生上述起诉或干预，则其法律责任均由供应商负责。 2．交货地点深圳市南山区西丽湖深职院（校内具体地点由深职院指定）。 3．交货期限合同签订后 30 个日历日内交货，产品的附件、备品备件及专用工具、技术文件和资料等应随产品一同交付。 4．运输及包装方式的要求供应商负责产品正式验收合格前的一切费用（包括运输、包装、仓储、安装、保险等费用）。包装方式按照原厂出厂原标准，供应商承担由于其包装或其防护措施不妥而引起货物锈蚀、损坏和丢失等任何损失。5．安装、调试、验收及相关技术文件、资料供应商将产品运输并卸至深职院指定地点。深职院、供应商在到货后 15 个日历日内共同进行开箱检验。供应商负责免费安装、调试。安装、调试完成后，由深职院、供应商组成验收小组共同进行技术验收和商务验收，验收合格后签署《验收报告》。?产品质量和安装调试检验标准遵照国家相关规定和最新标准执行。验收中如发现有质量不合格或型号规格、数量等与送货清单不符、提交的技术文件和资料不完整等情形，供应商应免费更换或补齐，并承担因此发生的违约责任。供应商应向深职院提供但不限于如下技术文件和资料：A．产品安装、操作和维修保养手册；B．产品使用说明书；C．产品出厂检验合格证；D．产品到货清单；E．产品保修证明。6．技术培训供应商提供详细技术资料并免费对深职院 2 人进行 1 天技术培训。培训的内容及方案应由双方协商制定。供应商前来进行技术培训的人员的费用包括在合同总价中。7．售后服务产品全部验收合格后（以技术验收合格签字为标准），产品质保期为 3 年，保修期为 _3__年,免费升级服务（免费升级服务适用于软件产品） 3 年。质保期内，如因质量问题而引起产品损坏，供应商应对产品予以维修或更换，全部服务费和更换产品或零配件的费用由供应商承担；供应商如不能修理或不能调换，按产品原价赔偿处理。供应商将向深职院提供优质的售后技术支持服务，开通 24 小时热线电话接受深职院的电话技术咨询；如故障不能排除，供应商应在 4 小时内提供现场服务，待产品运行正常后撤离现场。保修期内，供应商应对产品进行免费维护保养、维修或更换零配件。保修期满后，供应商必须继续支持维修，并按成本价标准收取维修及零配件费用。在整个产品运行过程中，供应商帮助深职院解决在应用过程中遇到的各种技术问题。8．付款方式和时间安排验收合格后，供应商提供全额含税发票给深职院，并支付合同总价 5% 的质量保证金给深职院后，深职院负责办理相关付款资料，经深职院审批后交由市财政委统一支付合同总价的 100% 货款。质保期内的第一年后，产品无质量问题情况下由深职院退还供应商合同总价 5% 的质量保证金。10．违约责任中标并合同生效后，供应商逾期交付产品，应向深职院每日支付合同总价千分之三的违约金。验收合格后，深职院逾期付款，应向供应商每日支付合同总价千分之三的违约金。供应商所交付的产品品种、型号、规格、质量不符合同规定标准的，深职院有权拒绝收货。供应商不能交货或不能依约提供技术服务或单方终止合同，则供应商向深职院支付合同总价百分之三十的违约金。供应商交付的产品存在深职院验收人员在验收时无法肉眼现场发现的质量问题，包括但不限于产品技术质量问题、使用后才能发现的问题、专业仪器检测才能发现的问题、假冒产品经原厂或专业部门检测后发现的问题等，深职院有权在质保期内向供应商主张退货或换货，并可主张供应商向深职院支付合同总价百分之三十的违约金。11．争议的解决凡因执行本合同所发生的或与本合同有关的一切争议，双方应通过友好协商解决。如果协商还不能解决，应提交深圳仲裁委员会，按其仲裁规则和程序在深圳进行仲裁。仲裁裁决应为最终裁决，对双方均具有约束力。

　三、技术需求1．采购货物配置功能要求，各设备的主要技术参数、性能规格，货物清单中所有设备均不得指定品牌及生产厂家，所提技术参数不可具有偏向性。序号货物名称技术指标（包括技术标准、技术规格等）数量单位备注1黑盒FUZZ安全测试系统一、基本要求1.产品要求为国内开发。

　★2.用黑盒FUZZ技术，支持对WINDOWS下内核驱动接口、文档类应用，网络类应用，实施安全模糊测试，以发现潜在的安全漏洞。二、功能要求3．环境构造简单，无需特殊的攻击性测试数据，让QA开发人员都可以做安全测试。4.自动化值守和记录，很少人工干预，支持断点续测。5.支持策略编辑器。6.支持发现安全问题同源归并，减少安全分析成本。7.可针对WINDOWS网络服务器端实施安全测试。7.1)可以给定的CAP报文文件作为数据来源模糊生成样本。7.2)自动完成网络报文模糊生成、发送、监控异常、记录崩溃现场、并进行异常现场恢复和续测。7.3)可自动化分析网络应用崩溃并获取并保存导致网络应用崩溃的CAP包文件，用于后续分析。8.支持WINDOWS常见文件应用测试8.1)可快速配置、控制和启动应用。8.2)可以给定的初始文件样本作为数据来源模糊生成样本。8.3)自动完成数据文件模糊生成、打开、监控异常、记录崩溃现场、并进行异常现场恢复和续测。8.4)可自动化分析文件应用崩溃并获取并保存导致文件应用崩溃的样本文件，用于后续分析。★8.5)支持pdf文件智能fuzzing.8.6)支持微软复杂文件格式智能fuzzing9.支持windows 内核驱动的fuzzing9.1)可快速配置、控制和启动虚拟机。9.2)可并自动抓取内核IO交互数据，作为测试数据来源。9.3)自动完成数据模糊生成、发送、监控异常、记录崩溃现场、并进行异常现场恢复和续测。★9.4）可自动化分析内核崩溃并获取并保存导致内核崩溃的测试数据以及DUMP文件，用于后续分析。2ACTIVEX安全测试工具一、基本要求1.产品要求为国内开发。

　★2.用黑盒FUZZ技术，支持对WINDOWS下内核驱动接口实施安全模糊测试，以发现潜在的安全漏洞二、功能要求3.环境构造简单，无需特殊的攻击性测试数据，让QA开发人员都可以做安全测试。★4.自动化值守和记录，很少人工干预，支持断点续测。5.支持策略编辑器。6.支持发现安全问题同源归并，减少安全分析成本。7.支持IE ActiveX的fuzzing★7.1)可快速获取本机已经安装的ACTIVEX控件和接口作为数据来源。7.2)可针对具体指定的一个或多个ACTIVEX控件发起测试。7.3)自动根据ACTIVEX接口和属性，生成测试数据。7.4)自动完成ACTIVEX相关的HTML文件和脚本生成、启动浏览器打开、监控异常、记录崩溃现场、并进行异常现场恢复和续测。7.5)可自动化分析IE崩溃并获取并保存导致IE崩溃的测试数据以及HTML文件，用于后续分析。3远程安全评估系统一、基本要求a)产品使用专门的封闭式硬件，基于嵌入式专用安全操作系统，大大提高系统的工作效率和自身安全性。系统稳定可靠，无需额外存储设备即可运行，需提供盖章的产品印刷彩页。b)系统采用B/S设计架构，并采用SSL加密通信方式，用户可以通过浏览器远程方便的对产品进行管理，需提供截图证明。c)产品要求界面友好，并有详尽的技术文档；所有的图形界面与文档资料要求均为中文。二、产品功能2.1资产风险管理a)能够采用多种不同的方式自动发现网络资产，具体说明资产发现方式。b)能够把资产管理和组织结构或者网络拓扑结构紧密结合；支持IP地址、域名和资产树等多种资产管理方式；支持通过Excel文件将地址导入到资产树功能。c)资产管理能够将资产的重要性量化，并且通过形象的图示将资产的风险值和的风险等级直观地展现出来，并且能够将节点、风险及对应责任人相关联。

　2.2漏洞扫描a)漏洞知识库从操作系统、服务、应用程序和漏洞严重程度多个视角进行分类，需要给出具体的分类信息。b)支持对漏洞信息的检索功能，可以从其中快速检索到指定类别或者名称的漏洞信息，并具体说明支持的检索方式。c)提供漏洞知识库中包含的主流操作系统、数据库、网络设备的列表信息。★d)提供专用的安全检测模块对常见的Web应用进行深度内容分析，精确识别SQL注入漏洞和跨站脚本漏洞，实现Web应用的安全扫描。e)能够扫描常见的网络安全客户端软件（网络防病毒Symantec、TrendMicro、McAfee）的安全漏洞f)能够扫描常见的应用软件漏洞（如IE浏览器、MSN、Mozilla Firefox、Yahoo Messenger、MS Office、多媒体播放器、VMware虚拟机和各种P2P下载软件）的安全漏洞。★g)漏洞知识库漏洞信息大于2800条，提供详细的漏洞描述和对应的解决方案描述；漏洞知识库与国际CVE标准兼容，并提供CVE Compatible证书。h)漏洞知识库和漏洞检测规则支持手动升级和自动升级，支持本地升级和在线升级，在线升级支持代理方式升级；至少每两周进行一次定期升级，重大安全漏洞紧急响应时间，请给出公开定期发布升级包列表详细说明。g)支持对多个扫描任务并发执行，支持多任务自动调度；单个任务允许扫描的最大扫描范围不小于一个B类网段。f)系统内置不同的策略模板如针对Unix、Windows操作系统等模板，同时允许用户定制扫描策略；用户可定义扫描范围、扫描使用的参数集、扫描并发主机数等具体扫描选项。g)可以在扫描过程中人工指定包括SNMP、SMB等常见协议的登陆口令，登陆到相应的系统中对特定应用进行深入扫描。h)可定义扫描端口范围、端口扫描策略。i)具备单独口令猜测扫描任务，支持多种口令猜测方式，包括利用Telnet、Pop3、 Ftp、 Windows SMB、SQL Server、MySQL、Oracle、Sybase等协议进行口令猜测，允许外挂用户提供的字典档。j)允许管理员配置扫描通知，在扫描任务运行开始时向被扫描的资产发送扫描通知；具体说明针对不同操作系统（如Windows、Linux、Unix等）具体的实现方式。k)提供扫描占用网络带宽控制措施，请描述具体实现技术和带宽占用指标。★l)被扫描IP地址采用可以扫描任何IP地址，无任何限制IP地址的授权方式。2.3漏洞分析a)能够对扫描结果数据进行在线分析，能够根据端口、漏洞、BANNER信息、IP地址等关键字对主机信息进行查询并能将查询结果保存。b)支持高级数据分析，能够进行历史数据查询、汇总查看、对比分析等，方便进行多个扫描任务或多个IP风险对比，能够在多个历史任务中，很快的检索到需要关注的资产IP点。c)漏洞分析报告应提供在线浏览报告和离线打印报告；离线报表提供针对不同角色的默认模板，允许用户定制报告的内容、报告的格式等。d)离线报告可以输出到HTML、WORD、EXCEL（XML）等文件，报告可以直接下载或通过邮件直接发送给相应管理人员，并且输出报表美观可直接打印。e)报表中对综述、主机、漏洞、脆弱帐号等信息进行分类显示；综述中应对风险类别和操作系统分布进行定量统计分析并展示；主机中应提供单主机的漏洞分布、风险值和风险等级信息，并能列出单主机的详细漏洞描述和解决建议，同时提供详细的安装软件信息、端口信息等，方便统一查看，了解资产信息；漏洞中应提供漏洞详细信息并可进行误报修正。2.4漏洞管理a)提供XML和HTTP等二次开发接口给其他的安全产品或者安全管理平台调用，并且提供具体接口的说明文档。b)对扫描出来的资产的安全漏洞能够发送邮件给对应的资产管理员，通知其限期内修复漏洞并自动对修复进行验证，实现对漏洞的有效跟踪和验证。c)提供对资产风险的多次分析能力，能够有效地分析网络整体和主机的漏洞分布和风险的趋势。d)支持和微软WSUS补丁系统的联动，能够在发给主机管理员的邮件中附带自动配置WSUS的注册表文件，方便进行自动化的补丁修补。2.5管理功能a)安装、配置和管理维护较为简便；系统无须人工干预能够自动、周期运行，系统升级、扫描、结果分析和结果邮件自动发送等能够自动执行。b)支持分布式部署，上级管理设备能够统一管理和控制下级设备，下级设备能够自动将扫描结果上传到上级管理设备；需要说明分布式部署使用的通信端口和是否加密传输数据。c)支持多用户分级权限管理；支持多管理员使用扫描器，对每个使用者能够设定其允许登陆的范围和允许扫描的范围。d)提供审计功能，能够对登录日志、操作日志和异常报告进行记录和查询。f)提供备份恢复机制，能够对扫描结果、日志、扫描模板、参数集等配置文件进行导出和导入操作；能够对系统创建还原点对系统进行备份和还原。2．产品质量和安装调试检验标准。供应商提供的相关产品质量应符合商务需求和国家有关标准要求。如果没有相关国家标准的，供应商提供的产品应符合生产厂商制订的企业标准，供货产品保证为原厂直接提供的正品。四、服务需求1．售后服务机构： 供应商须具有可靠的售后服务能力和保障，在国内有固定的售后服务机构和热线服务电话，能提供正常的技术、备品备件服务。须提供负责维修、保养的售后服务机构名称、人员情况、办公地址、联系电话等详细资料。2．其他服务需求。

　备注：采购需求不得包含下列内容1．与项目等级不相适应的资质要求，含有倾向、限制或者排斥潜在投标供应商等有违公平竞争的规格标准或者技术条款；2．标明特定的供应商或者产品，指定品牌或者原产地，要求制造商对某个项目特定授权；3．根据某个企业或者品牌的产品说明书或者技术指标编制采购需求参数；4．将注册资本、资产总额、营业收入、从业人员、利润、纳税额、业绩经验、经营网点、现场踏勘等条件作为合格供应商资质条款；5．其他歧视性、排他性等不合理条款。