采購名稱

數量

主要參數要求參數

web應用安全漏洞掃描工具）

1套

1.★支持第三方套件漏洞檢測，包含但不限于Angular 2.0/3.0、AngularJS、Apache Web Server、ASP.NET、Axios、Backbone、Bootstrap、Chart.js、CKEditor、Cloudflare、d3.js、Dojo、Drupal、IBM WebSphere、IIS、Java JDK、Java JRE、Joomla、jQuery、LiteSpeed、Moment、Nginx、Node.js、Oracle WebLogic、PHP、Python、React、Ruby、Tomcat、Underscore、WordPress各種主流Web技術的漏洞檢測功能，覆蓋web1.0，web2.0，web3.0等各技術棧的應用安全掃描，例如Angular 2.0/3.0、Node.js、React等。（交付軟件時，漏洞庫必須為交付時期最新的庫，需要在投標文件中提供功能截圖）
2.★支持提供Python腳本來完成模糊測試，并提供模糊測試框架文檔。（需要在投標文件中提供功能截圖）
3.★支持Burpsuite封包導入，重新自動化檢視手動結果。（需要在投標文件中提供功能截圖）

平臺具備多種行業(yè)標準及合規(guī)性報告，包含但不限于OWASP Top ** [****]、OWASP API Security Top ** [****]、WASC 威脅分類2.0、國際標準-ISO 系列、CWE Top **、GDPR、HIPPA。

1.平臺具有對Web Service的掃描能力，包含SOAP1.2、及REST等協議；具備以代理的方式收集Web流量進行應用安全測試；具備基于AJAX的Web應用的安全漏洞掃描能力。
2.平臺具有增量掃描與模糊測試能力，掃描策略庫規(guī)則≥****條，并提供CVE/CWE編號映射關系表，且能將掃描結果導出進行存儲成獨立檔案并能存在外部儲存裝置，掃描結果文件要能重復使用并提供兩次不同掃描結果差異性比較。
3.平臺支持定制化Web掃描策略模板，支持自定義規(guī)則，建立全局模板對同一類系統(tǒng)進行定制化掃描，支持配置掃描深度及廣度。
4.支持將漏洞以高危、中危、低危等危害程度的分類，并可根據用戶需要自定義漏洞等級。
5.平臺具備特權用戶及行為越權檢查功能，通過對不同權限用戶的縱向的檢查比較，尋找對Web應用中的越權行為檢查。
6.平臺支持掃描流量線程控制機制，支持動態(tài)線程及固定線程控制功能，產品的使用不會對內網環(huán)境和服務器造成過量的負載，不影響內網其他服務器使用性能
7.平臺具備自定義word模板報告設計和生產（含封面、頁眉、logo）；測試結果全面中文化。
8.平臺在Web應用安全掃描任務過程中，可進行動態(tài)實時日志分析。

1.平臺具備多因子認證處理能力，例如一次密碼失效認證，人機檢測認證和CAPTCHA認證的web應用漏洞掃描能力；
2.平臺具備完整中文化操作接口、技術文件、修補建議、報告文檔，可根據漏洞類型、風險分類等不同重點導出漏洞檢測報告，報告格式包含但不限于Word、PDF、Excel、CSV、XML、HTML等。

1.平臺支持不同的登入方法，包括登錄記錄、自動登錄、通過瀏覽器插件錄制并導入及多種驗證協議，包括HTTP身份驗證（例如Basic、Digest、NTLM、Negotiate 或 Kerberos HTTP 認證），客戶端憑證及其他多因子校驗認證等。
2.平臺支持對用戶會話有效期進行設置。

1.平臺能夠掃描Web服務的Open API、Graph QL協議，能透過代理收集流量進行安全測試，支持Postman及SoapUI等外部工具進行集成進行配置與掃描。

1.平臺分析報告具有預覽功能，可以方便進行報告定制，并能將結果以Word、PDF、、Excel、CSV、XML、HTML等格式導出；

1.軟件支持軟件版本在維保期內，自動或手動操作升級，重大漏洞需在CVE發(fā)布后**小時內提供熱補丁。

性能測試工具

1套

1.許可證和授權:授權模式為永久授權。通過模擬成千上萬虛擬用戶實時并發(fā)負載及實時性能監(jiān)測的方式來驗證應用的性能，具備查找和定位性能瓶頸問題等功能，平臺支持一年免費升級維護。支持Web協議（同時支持DevWeb、Web-HTTP/HTML）不低于**0并發(fā)虛擬用戶的性能測試。（需要在投標文件中提供功能截圖）

1.軟件可提供完整的性能測試工具集，具有測試腳本生成、測試場景設計與執(zhí)行、測試過程資源監(jiān)控、測試結果報告分析等功能模塊。
2.軟件在操作應用時可以通過錄制的方式快速生成測試腳本。支持錄制交互報文方式生成腳本，支持錄制瀏覽器界面操作生成腳本，支持錄制客戶端操作生成腳本。
3.軟件具備通過IP欺詐的方式在同一臺壓力發(fā)生機上模擬多個IP地址的功能。
4.軟件可提供易用的測試腳本開發(fā)工具，使用C語言、Java語言等作為測試腳本的編程語言
5.軟件自動錄制生成腳本后，支持腳本自由轉化，例如支持HTML-base 和 URL-base 的腳本自由轉化，無須重新錄制。

★1.軟件具有腳本關聯功能，內置的關聯規(guī)則，可進行定制關聯規(guī)則。能自動掃描腳本或報文，智能化的主動做腳本關聯（需要在投標文件中提供功能截圖）

1.軟件腳本參數化需具備多樣的測試數據來源，參數化字段所需的測試數據可以從文本、excel 表格直接導入。
2.軟件具有測試腳本擴展能力，腳本支持調用外部 DLL 庫或Jar包等第三方組件，除了錄制方式生成腳本外，還可以完全支持手工編寫腳本，工具中需自帶腳本的編譯器和調試功能。
軟件可提供靈活的場景設計方式，用戶可創(chuàng)建手工測試場景，配置基于用戶數的測試，也可創(chuàng)建面向目標的場景，通過指定性能目標（例如每分鐘交易數、交易響應時間、每秒鐘點擊率等）自動配置場景，提供場景模板庫。
3.軟件具備個性化虛擬用戶行為，能夠模擬包括IE, Edge, Chrome，Firefox和Mobile等瀏覽器類型和緩存。軟件具備集合點智能調度算法，支持集合點的動態(tài)調整和優(yōu)化。
4.軟件具備設置同步點的功能，對測試腳本中的某一特定請求有針對性地讓所有用戶同步加壓，并能夠定義虛擬用戶釋放策略。

1.軟件可提供交互式圖形工具自定義多種測試場景，提供定時自動測試、遞增式加壓、隨時間任意變化加壓模式、多個腳本組合加壓等，提供性能測試場景典型模板庫。
2.軟件內置資源監(jiān)控功能，而非借助額外工具實現監(jiān)控，確保監(jiān)控數據的同步性。監(jiān)控功能必須以無代理方式進行，不得在所需監(jiān)控的資源服務器上安裝任何代理，提供算力資源使用熱力圖。
軟件內置監(jiān)控器覆蓋面廣，具有對 Windows，Linux，Network， Oracle，SQL Server，Apache，IIS 等的實時監(jiān)控。
3.軟件具備測試報告格式多樣性，自動生成基于Word、HTML、PDF等多種格式的中文測試報告，具備報告自動化分析功能，可根據預設規(guī)則自動生成性能瓶頸診斷報告。
4.軟件內置自動關聯分析工具，自動計算分析應用性能參數（如應用響應時間， 應用并發(fā)用戶數）和系統(tǒng)性能參數（如網絡性能指標，操作系統(tǒng)性能指標，數據庫性能指標等）之間的擬合匹配程度，支持多維度數據關聯展示。
5.軟件支持與Android、iOS手機設備通過產品安裝所在計算機設備USB接口連接，導入數字證書，錄制APP等移動應用性能測試腳本。

軟件支持軟件版本在維保期內，自動或手動操作升級。

源代碼掃描工具

1套

★1.覆蓋實驗室常見主流測試語言，須支持以下編程語言,包括ASP.NET,C,C++,C#, Flex/ActionScript, Java, JavaScript/AJAX,JSP,ObjectiveC,PL/SQL,PHP,T-SQL,VB.NET,VBScript,VB6,XML/HTML，Python, ColdFusion, COBOL, ABAP, Ruby, Swift, Scala、Go、Kotlin等語言。（需要在投標文件中提供功能截圖）
2.支持對代碼質量問題、代碼安全問題進行掃描。

★1.必須支持工具的IDE集成，如：Visual Studio、 VS Code、 IntelliJ、Android Studio、PyCharm、WebStorm、Eclipse等開發(fā)工具。（需要在投標文件中提供功能截圖）
2.工具需支持部署在多種操作系統(tǒng)，即可以安裝在所有主流操作系統(tǒng)中，如：Windows、Linux、MacOS等
★3.工具的技術達到國際領先水平和領導者地位，需位于魔力象限的第一象限業(yè)界前列或為Forrester和IDC全球研究咨詢權威機構的推薦工具廠商。

★1.安全漏洞分析需擁有目前業(yè)界主要的權威和代碼漏洞規(guī)則庫。支持檢測業(yè)界主流平臺的代碼安全漏洞，工具能夠支持檢測的漏洞必須依從于最新的國際標準和規(guī)范，如OWASP Top ** ****、 PCI DSS、PCI SSF、GDPR、MISRA、DISA、FISMA、CWE、SANS**等多項國際安全規(guī)范。（交付軟件時，漏洞庫必須為交付時期最新的庫，需要在投標文件中提供功能截圖）
★2.工具支持自定義規(guī)則功能，可按語義自定義規(guī)則，提供友好的圖形化的自定義向導和編輯器等，支持xml、yaml等格式導入規(guī)則。（需要在投標文件中提供功能截圖）

1.需支持和主流的質量管理系統(tǒng)集成。使安全測試、功能測試和性能測試發(fā)現的問題統(tǒng)一管理，與開發(fā)團隊現有的流程相融合。支持和主流的黑盒Web應用安全測試產品進行黑白盒關聯分析，具有強大的可擴展性，提高應用安全測試結果的準確性，并且得到精準的定位和修復。
2.支持和主流的CI/CD工具集成，通過插件或者腳本方式發(fā)起檢測。

1.軟件支持軟件版本在維保期內免費進行版本升級，可選擇自動或手動操作升級。

1.為保證實驗室測試效果不隨著規(guī)則庫滯后而下降，工具支持自動檢測版本更新，漏洞規(guī)則庫支持在線定期自動更新，可以在線和離線兩種方式進行升級更新。
2.支持IDE插件掃描，命令行掃描，圖形化界面掃描方式等主流工作場景。
3.支持選擇文件提交方式，包含Git、SVN等上傳方式。

1.支持儀表板功能，對代碼掃描結果進行統(tǒng)一匯總和關聯分析，能夠按照不同嚴重程度進行分級分類管理，如嚴重，高，中，低四個級別。

1.支持漏洞代碼行定位與鏈路溯源，提供可視化交互式分析能力?？焖俣ㄎ荒骋惶囟ò踩┒此诘脑创a行。
2.工具支持文件目錄結構的方式組織和展示漏洞，提供每個安全漏洞的中文詳細描述和較明確和詳盡的推薦修復建議。
3.能夠提供多種格式的檢測報告，如：HTML、PDF、Xml，Word、Excel、CVS等

主機漏洞掃描工具

1套

1.支持統(tǒng)一管理、統(tǒng)一調度多個掃描引擎，并內建掃描負載均衡功能以節(jié)省掃描時間；當某個掃描引擎故障后，管理中心可自動調度其余掃描引擎接替后續(xù)未完成目標的掃描任務，在不需要人工介入的情況下完成當前掃描任務中所有目標的掃描。
2.支持由掃描結果產生動態(tài)資產識別功能，并可以基于操作系統(tǒng)、軟件類別及廠商類型作為過濾條件進行訂制的資產報告。

1.支持生成資產儀表盤，直觀展示資產信息、風險趨勢、風險分布，支持導出報表。

1.支持按管理員角色及權限分級，制定不同的掃描權限、安全數據可見范圍；
2.支持掃描結束后可以自動將結果發(fā)給指定安全管理人員；不同的管理員，可收到不同內容的漏洞報告。

1.漏洞評分支持CVSS V2/V3/V4通用漏洞評分系統(tǒng)，和EPSS漏洞預測評分系統(tǒng)評分

★1.支持漏洞情報功能，情報數據每天更新，支持按照不同風險類別進行情報劃分，如勒索軟件利用漏洞、CISA 已知可被利用、新興威脅漏洞等，輔助用戶對漏洞進行精準洞察和處置。（交付軟件時，漏洞庫必須為交付時期最新的庫，需要在投標文件中提供功能截圖，且必須支持EN****1標準檢測）
漏洞庫應有專業(yè)漏洞挖掘團隊維護，漏洞挖掘團隊須有對系統(tǒng)漏洞進行發(fā)現、驗證、以及提供應急服務的技術能力。

1.無限制地開通北向API可編程接口授權，可被第三方系統(tǒng)或應用通過遠程調用API實現用例。

掃描器必須同時支持IPv4和IPv6地址的網絡掃描，允許最大并發(fā)掃描主機數≥**個，允許最大并發(fā)任務≥**個任務。開啟所有規(guī)則漏洞掃描、弱口令探測和登錄掃描后掃描速度不低于**** ip/h。

1.漏洞插件數量≥**萬，覆蓋CVE-ID數量≥8萬，兼容CVE主流漏洞安全標準，需提供官網描述鏈接備查；提供中文漏洞插件。

1.支持檢測Windows及l(fā)inux中運行的惡意軟件、后門及木馬程序。

★1.本期授權必須支持并已激活支持下列對象的配置合規(guī)檢查功能，并且提供相對應的配置知識庫（即配置參數范本），實現開箱即用；
? Linux操作系統(tǒng)（至少支持Redhat、CentOS、SUSE版本）
? Windows操作系統(tǒng)
? Cisco ASA防火墻、Cisco路由交換、Juniper網絡設備
? MySQL、OracleDB、MS SQL、MongoDB數據庫
? Apache及IIS Web Server
? Tomcat、Weblogic等Web中間件
? 基于CIS Benchmark的Docker Hosts及Kubernetes
? CIS基線覆蓋支持率需達**%以及上
? 支持自定義修改基線審計模版
? 支持中興ROSNG路由系統(tǒng)，華為VRP路由系統(tǒng)的開箱即用基線檢查。
上述知識庫必須提供配套的升級、更新服務。

（需要在投標文件中提供功能截圖）

1.支持互聯網資產發(fā)現功能，通過組織互聯網域名發(fā)現組織面向互聯網的資產信息。

★1.提供豐富的開箱即用掃描模版，內置不同的漏洞模板針對操作系統(tǒng)、網絡設備和防火墻等對象,無需過多配置，即可執(zhí)行專項掃描（比如log4j、Zerologon等）、PCI內部掃描、AD域十大風險掃描、勒索病毒常用漏洞掃描等各類掃描任務，支持用戶自定義掃描范圍和掃描策略。（需要在投標文件中提供功能截圖）

1.支持基于各類網絡設備的離線配置文件實施配置合規(guī)檢查

1.為保證實驗室工具的完整性和可用性，需提供備份恢復機制，能夠對掃描結果、掃描模板、參數集等配置文件進行導出備份和導入操作；確保在工具宕機或數據損壞時能快速恢復。

1.為保證實驗室在復雜場景下的掃描能力，工具需支持單獨口令猜測掃描任務，支持多種口令猜測方式，包括利用SMB、Telnet、FTP、SSH、POP3等協議進行口令猜測；支持自主添加用戶名字典、密碼字典和用戶名密碼組合字典。

機架式服務器

2臺

★1、處理器2個，每個處理器的性能要求不低于：
1.1 制作工藝：** nm
1.2 核心數量：** 線程數量：**
1.3 CPU主頻：3.1GHz 動態(tài)加速頻率：3.6GHz
1.4 封裝大小：**.5 × **.5 mm
2、外形為2U機架式；
3、獨立顯卡1個，性能要求不低于：
3.1 顯存容量：**GB
3.2 顯存類型：GDDR6
3.3 顯存位寬：**4bit
3.4 核心計算數量：****2個
3.5 最大分辨率：**** × ****
4、內存條4個，每個內存條的性能要求不低于：
4.1 容量：**GB
4.2 內存頻率：****MHz
5、硬盤1個，要求要求不低于
5.1 硬盤容量：3.**T
5.2 傳輸速率：**0MB/s
5.3 硬盤結構：機架式
6、需包含恒溫機柜
6.1 恒溫機柜的核心標準圍繞溫度控制、散熱效率、結構安全及兼容性展開，并結合實際需求選擇適配的尺寸與功能模塊

工作站

5臺

★1、處理器（CPU）?
推薦型號?：Intel Xeon、Intel Core i7/i9系列或AMD Ryzen Threadripper系列?
2、內存（RAM）?
3、推薦容量?：至少**GB，對于大型項目或需要運行多個虛擬機的場景，建議**GB或更大?
4、存儲（硬盤/固態(tài)硬盤）?
推薦類型：高速SSD作為系統(tǒng)盤和應用程序盤，至少**2GB容量，根據需求可添加額外的存儲空間
5、顯卡
推薦類型：對于一般的軟件開發(fā)工作，集成顯卡足夠使用；若涉及圖形處理或游戲開發(fā)，推薦NVIDIA Quadro或GeForce RTX系列顯卡??
6、顯示器
推薦規(guī)格：高分辨率（至少****p），色彩準確，尺寸適中（**-**英寸），支持多屏顯示
7、操作系統(tǒng)
推薦操作系統(tǒng)?：Windows **或更高版本（正版）

筆記本

5臺

★處理器
1、應選擇高性能處理器，如Intel Core i7、i9系列或AMD Ryzen 7、9系列，
處理器核心數量至少為四核心，
2、內存 內存容量至少為**GB，建議配置**GB或更高
3、存儲
應裝備固態(tài)硬盤（SSD）作為主硬盤，容量至少為**2GB或更高，以提供更快的數據讀寫速度，顯著提升程序編譯和啟動速度?
4、顯示屏
屏幕尺寸建議**.6英寸以上，分辨率至少為****P或2K以上，IPS面板被推薦用于編程，因為它們提供廣闊的視角和準確的顏色表現?
5、擴展性
筆記本應具備多種端口，如USB 3.0、HDMI、雷電3等，以便于連接外部設備和提高連接性?。