张家港市公共资源交易服务中心关于WEB应用漏洞扫描系统的采购公告项目编号：ZZC****-J***张家港市公共资源交易服务中心受张家港市公安局委托，就申请采购的WEB应用漏洞扫描系统进行竞争性谈判方式采购，现欢迎符合相关条件的供应商参加采购。一、采购项目名称：WEB应用漏洞扫描系统二、采购项目简要说明：编号：ZZC****-J***，预算**.*万元，WEB应用漏洞扫描系统*套，具体要求如下：分类特性/功能详细描述设备基本要求硬件架构使用专门的硬件，基于嵌入式安全操作系统，保证系统的工作效率和自身安全性。系统稳定可靠，无需额外存储设备即可运行，无需在被检测网站上安装任何软件和代理，系统采用B/S设计架构，并采用SSL加密通信方式，用户可以通过浏览器远程方便的对产品进行管理，产品无需安装任何控制台和第三方数据库。网络接口产品提*个GE管理口，*个***M/****M自适应以太网电口,可扩展*个千兆光口，可以将产品管理网口与检测口进行分开。以做到外网检测和内网管理相分离。操作系统产品要求为国内开发，自主研发具备自主知识产权, 不能采用OEM方式，产品获得《计算机软件著作权登记证》。多路扫描支持多路扫描，满足在复杂环境中部署的要求，支持不同网段网站同时检测的需求。性能可检测域名范围无限个；漏洞扫描能力**万页面/天；部署功能　部署方式　单路扫描部署；多路扫描部署，支持多路扫描，满足在复杂环境中部署的要求，支持不同网段网站同时检测的需求。分布式部署，支持多台设备的集群管理，支持多任务负载均衡，单任务URL级别的负载均衡方式检测功能检测范围产品支持HTTP *.*和*.*标准的Web应用系统。支持Web *.*（Ajax、Flash、JS） 应用。支持基于HTTPS应用系统的检测。支持所有类型的动态及静态页面。漏洞知识库漏洞信息大于****条，提供详细的漏洞描述和对应的解决方案描述；漏洞知识库与CVE、CNCVE、CNNVD、CNVD、CVSS等主流标准兼容。SQL注入（SQL Injection）：产品支持的SQL注入涵盖“字符型、数字型、搜索型” 等在内的及其变形的SQL注入方式；并且支持基于POST、GET、Cookie方式来提交数据；可以绕过普通过滤强度的注入过滤代码。Cookie安全问题检测，包含Cookie注入、XSS检测、Cookie有效性检测。跨站脚本攻击（Cross Site Scripting）：产品能够检测出不低于**种基于GET请求、POST请求的跨站攻击方法及变种（variants）。针对此类攻击支持对攻击结果进行重现。伪造跨站点请求（Cross Site Request Forgery）：产品能够检测出是否可以冒充一个合法用户的身份在Web应用系统上执行操作。网页木马（WebShell）：产品需要能支持多种目前流行的网页木马检测，例如“haiyangtop、一句话木马、PHPSHELL”等，并可以自定义新的网页木马特征标志。检测隐藏字段（Hidden Field Manipulation）：产品能够检测出是否可能对隐藏字段进行恶意操纵，造成伪造提交数据。支持常见CGI Scan，涵盖主要web应用，如论坛、blog、新闻发布等。支持复杂应用环境下的页面链接获取能力，比如网页中出现的菜单等。支持网站无效链接发现。产品能够支持Web路径下敏感文件检测，例如页面文件的备份文件、数据库文件、密码文件等。支持网站外部链接发现。分析器支持常见的字符编码标准，如ISO-****-*、UTF-*、UTF-*、UTF-**产品支持Web服务（如IIS、Tomcat、Apache等）漏洞的检查。检测能力支持基于basic、NTLM、Cookie等认证方式的Web应用系统安全扫描。产品支持自定义Cookie进行深入检测。支持登录预录制功能，能够根据用户操作，录制并指定Web扫描url，使产品能够扫描和分析一些常规页面爬取程序检测不到的url。支持HTTP和SOCKS代理扫描。支持扫描线程数设置，控制扫描速率。支持超时限制设置，控制一个页面最长时间限制。支持自动检测网页编码方式。支持自定义User-Agent设置。产品同时提供支持深度优先及广度优先爬行顺序的能力。可控制是否扫描子域名以及自定义扫描子域名的功能。支持选择页面消重时，自定义每个目录下被扫描的文件个数。支持扫描中爬虫追溯的目录层次深度。支持限制扫描链接总个数。产品支持大小写敏感或不敏感（case-sensitive/insensitive）的网页爬行方式。支持自定义链接和排除链接设置。支持通过解析flash来获得Web应用的链接。支持通过JavaScript执行获取链接。能自动过滤重复页面。支持扫描类型设置，如完整扫描、扫描当前目录及子目录、只扫描任务目标url等。支持爬取范围的排除链接设置支持表单类型的发现并相应漏洞的检测。支持Web路径下的目录访问遍历和跨越检测。支持重定向的爬虫机制支持Web路径下的目录扫描，并支持自动学习扩展敏感目录的名称和类型，同时支持自定义设置。基线配置核查功能扫描核查支持远程检查（IP可达），可以远程通过Telnet、SSH等协议登录方式对待查设备进行安全检查，对应Windows系统，除SSH方式外，还要能支持通过SMB、RDP协议登录方式检查。支持以业务平台和业务系统为视角的操作模式定义操作系统、数据库、WEB服务，基于业务平台和业务系统进行统一安全配置检查，而不需要分别对业务底层系统单独操作。支持自定义业务系统和业务平台，能够对业务平台中开放的端口和运行的进程进行检查，报告不符合用户实际业务的端口和进程。支持本地检查，对于一些不能远程检查的目标系统，提供配套的可执行程序，可执行程序可以通过IE从设备中下载，在本地执行检查后，能导入到配置安全检查系统中进行汇总分析。在进行远程检查时能支持指定登录用户名和口令并进行批量扫描，需要提供用户名和口令存储选项。支持策略模板自定义功能，能够定义策略检查点，和每个检查点相对应的分值。支持对检查结果数据进行实时在线分析；支持高级数据分析，能够进行历史数据查询、汇总查看、对比分析等，能够进行多个检查任务或多个IP风险对比。能够自动判断目标主机上的检查项目达标与否，支持百分制对目标系统的达标情况进行打分。报表能提供针对不同角色的默认模板，允许用户选择离线报告的格式，离线报告可以输出到HTML、EXCEL、WORD、PDF等格式文件。支持定时任务功能，能够自定义自动配置检查的时间点，到设置的时间点以后，设备能够自动进行安全配置检查。支持分布式部署功能，通过上级节点可以管理下级节点设备，上级节点可以对下级节点下发检查任务，同时可以对数据进行汇总分析。通过上级节点将指定评估模板和升级包可下发或分发给下级节点。支持检查过程的行为审计：对于主机、网络设备，产品可以通过每个任务报表的形式向用户展示该任务所执行的指令，用以进行行为审计。支持邮件发送报表功能，在扫描结束后，设备可以自动的给管理员发送结果报表邮件。支持规范下载的功能，对于对应规范，提供可从设备中下载配置规范pdf文档，以指导检查工作。可在配置检查完后，通过配置检查工具收集和导出网络设备配置文件。系统兼容SCAP协议，支持使用SCAP模板进行安全配置核查。支持常用诊断工具，如端口扫描，Ping命令、Traceroute命令等功能。系统管理功能任务管理支持单个任务同时扫描多个站点的能力。支持定时任务和周期任务的能力。支持“一键式”快速下达扫描任务功能，简化操作流程。支持任务暂停、继续扫描、停止、重新扫描、断点续扫、删除等操作。支持多个任务同时暂停、继续扫描、停止、重新扫描、断点续扫、删除等操作。产品支持任务的复制、修改、导入和导出，以将不同设备的任务在多台设备上共享。有多种高级参数可供编辑、选择。应包含不限于如下参数：扫描线程数；超时限制；网页编码方式；自定义User-Agent；目录猜测范围；目录猜测深度；页面是否消重爬取；是否区分URL、目录的大小写；是否进行表单扫描等参数。支持自定义扫描的策略库和漏洞库，针对不同的扫描目标，可提供多种策略选择。最大存储任务数为****个。漏洞分析与管理仪表盘功能，直观展示最近**天整体风险等级、最近**天扫描站点列表、最近**天危险站点TOP**等内容。漏洞插件库支持按照国际权威安全组织OWASP TOP **-****、OWASP TOP **-****、WASC分类标准分类支持按照国际安全组织OWASP TOP **-****、OWASP TOP **-****、WASC分类输出报表支持在线报表和离线报表两种报表形式。离线报表提供针对不同角色的默认模板，允许用户定制报告的内容、报告的格式等。支持扫描过程生成中途报表报表输出支持WORD、HTML、PDF、XML等格式。报表生成进度直观展现。可在界面中列出被检测网站的目录结构，点击相应的结构可以直接呈现当前页面的扫描结果。报表中需要提供详细的安全加固建议。在界面中展现风险值最高的页面Top**。产品生成的检测报告必须支持自定义模板，可以根据需要自定义模板布局。产品生成的检测报告样式可定制。产品报告必须支持中文输出。提供最近**条导出报表的列表，通过该列表可以直接下载最近导出的报表。产品提供把报表至少分成两种不同报表的能力：一个报表用于显示基础架构存在的问题（针对管理员需要），另一个报表显示与应用相关的问题（针对开发人员需要）。支持对多个站点进行横向对比分析并输出报表支持对优化前后的单个站点，输出趋势分析统计报表产品提供漏洞验证功能，直观展示漏洞验证过程信息，验证漏洞真实存在。支持与WAF产品联动，生成报表可供WAF生成安全防护策略，通过漏洞检测和威胁防护的循环式管理，无缝保护站点安全。提供标准的Web Service接口支持，方便与第三方安全产品或管理平台进行数据采集和调用升级能力提供在线升级和离线升级模式，升级内容包括检测功能更新以及产品功能更新。产品升级周期至少两周升级一次，需提供以往升级列表。系统部署采用B/S方式管理，同时可利用串口进行设备参数配置。支持IPv*网络环境部署。系统安装安装、配置和管理维护较为简便；系统无须人工干预能够自动、周期运行，系统升级、扫描、结果分析和结果邮件自动发送等能够自动执行。用户管理支持多用户分级权限管理；支持多管理员使用扫描器，对每个使用者能够设定其允许登陆的IP范围和允许管理系统的权限。最大用户数为**个。日志管理提供审计功能，能够对登录日志、操作日志和异常报告进行记录和查询。产品提供日志阀值设置，日志到达阀值后会进行报警。系统备份提供备份恢复机制，能够对扫描结果、日志、扫描模板、参数集等配置文件进行导出和导入操作；能够对系统创建还原点对系统进行备份和还原。产品要求供货时提供产品资质证明复印件产品获得《计算机软件著作权登记证》；产品获得《计算机信息系统安全专用产品销售许可证》；产品获得《涉密信息系统产品检测证书》；质保原厂*年供货时提供生产厂商*年质保函原件或随机附带满足质保年限的质保卡。三、供应商资质要求：*、通过张家港市政府采购管理办公室资格登记的供应商。四、采购文件领取信息：采购文件领取截至时间：****年**月*日下午*：**时（节假日除外）。只有领取采购文件的供应商才可参加本次采购活动。五、本次采购有关信息：谈判时间：****年**月**日下午**：**谈判地点：张家港市公共资源交易服务中心开标室六、本次采购联系事项：联系人：许霞慈、陶宏联系电话：****-********七、其他应说明事项：张家港市公共资源交易服务中心