中国电信2014年移动互联网应用与系统安全国家工程实验室建设工程项目(第三方软件)资格预审公告 中国电信2014年移动互联网应用与系统安全国家工程实验室建设工程项目,招标人为中国电信股份有限公司,招标代理机构为中捷通信有限公司。项目资金由招标人使用财政资金,项目已具备招标条件,现进行公开招标,特邀请有意向的潜在投标人(以下简称申请人)提出资格预审申请。 1. 项目概况和招标范围 项目概况:本工程在中国电信上海研究院建设国家工程实验室的移动互联网系统与应用安全仿真测试平台、移动互联网安全关键技术研发支撑平台、重点行业系统安全解决方案服务平台。 本次招标范围具体如下: 序号 | 标包名称 | 数量 | 1 | 软件源代码安全审计工具套件 | 1套 | 2 | 网络抓包分析工具软件 | 1套 | 3 | 移动应用安全审计工具套件 | 1套 | 4 | WEB应用漏洞扫描和监控工具套件 | 1套 | 5 | 业务系统安全配置基线检查工具套件 | 1套 | 6 | DLP网关分析过滤智能终端保护系统套件 | 1套 | 7 | VPN网关 | 1台 | 8 | 移动恶意代码检测引擎软件 | 1套 | 9 | 系统漏洞扫描工具套件 | 1套 | 10 | 安全攻防仿真工具集套件 | 1套 | 11 | 可信身份网络接入系统套件 | 1套 |
2. 申请人资格要求 2.1 申请人基本资格要求 2.1.1 本条款适用于第1、2、3、4、5、6、7、8、9、10包 申请人应为中华人民共和国境内(不含香港、澳门、台湾地区)法律上和财务上独立的法人或依法登记注册的组织,合法运作并独立于招标人和招标代理机构。申请人应具有良好的银行资信和商业信誉。注册资本或开办资金应不低于300万元(含)人民币(如注册资本或开办资金为其他外币的,按照资格预审文件递交截止之日中国人民银行公布的银行间外汇市场人民币汇率中间价折算为等值人民币)。 2.1.2 本条款适用于第11包 申请人应为中华人民共和国境内(不含香港、澳门、台湾地区)法律上和财务上独立的法人或依法登记注册的组织,合法运作并独立于招标人和招标代理机构。申请人应具有良好的银行资信和商业信誉。注册资本或开办资金应不低于500万元(含)人民币(如注册资本或开办资金为其他外币的,按照资格预审文件递交截止之日中国人民银行公布的银行间外汇市场人民币汇率中间价折算为等值人民币)。 2.1.3 申请人的法定代表人或负责人为同一人或者存在控股、管理关系的不同申请人,不得参加同一标包投标或者未划分标包的同一招标项目投标。 2.1.4 申请人应提供近两年(2013年、2014年)经会计师事务所或审计机构审计的财务会计报表。(如尚未完成或公布经会计师事务所或审计机构审计的2014年度财务报表的,则提供经会计师事务所或审计机构审计的2012年、2013年的财务会计报表)。 中国采招网([bidcenter .com.cn)2.1.5 申请人可以就上述1至11标包中的任意标包提出资格预审申请。 2.1.6 本次资格预审不接受联合体资格预审申请。 2.1.7 本次资格预审原则上不接受代理商资格预审申请,以下特殊情况除外:投标产品制造商注册地在中华人民共和国境外(与中华人民共和国有正常贸易与往来的国家或地区)及香港、澳门、台湾地区且必须使用代理商投标和签订销售合同的,或投标产品制造商注册地在中华人民共和国境内的外资或台港澳资企业且必须使用代理商投标和签订销售合同的。上述情况应由投标产品制造商出具使用代理商投标理由的说明文件并承诺对代理商投标承担连带责任。代理商申请资格预审的,应满足下列要求: 同一标包仅允许代理唯一制造商申请资格预审,且该制造商不得再委托其它申请人申请资格预审。 2.1.8 申请人应能够开具增值税专用发票,并承诺中标后向招标人开具符合招标人要求的增值税专用发票。 2.2 申请人不得存在下列情形之一 (1) 申请人被责令停业或破产状态的; (2) 申请人被暂停或取消投标资格的; (3) 申请人财产被重组、接管、查封、扣押或冻结的; (4) 申请人在最近三年内严重违反合同约定的; (5) 申请人在最近三年内有骗取中标的; (6) 申请人在与中国电信或其他电信运营商合作过程中出现过重大问题且尚未妥善解决的; (7) 投标产品在中国电信或其他电信运营商现网使用过程中出现过重大质量问题且未妥善解决的。 申请人是代理商的,本条所指的申请人也包括其所代理的制造商。 2.3 投标产品资格要求 2.3.1 投标产品应是来自中华人民共和国或是与中华人民共和国有正常贸易与往来的国家或地区的产品。 2.3.2 投标产品应符合中国电信相关技术要求,并满足以下关键技术指标: (1)软件源代码安全审计工具套件 | 技术指标 | 具体要求 | 软件源代码安全审计工具套件技术指标 | 1、支持对常见第三方插件危险函数进行扩展定义,如Hibernate,Spring等。
2、报告内容提供漏洞原理、反编译的源码、攻击模拟路径、修改建议、以及按照类包、按漏洞类型、按函数类型等多种方式分类统计。
3、需支持代码反编译功能
4、需支持数据流分析模块功能
5、需支持控制流分析模块功能
6、需支持SQL注入漏洞分析模块功能
7、需支持跨站脚本漏洞分析模块功能
8、需支持路径遍历漏洞分析模块功能
9、需支持命令注入漏洞分析模块功能
10、需支持代码注入漏洞分析模块功能
11、需支持反射注入漏洞分析模块功能
12、需支持日志注入漏洞分析模块功能
13、需支持多线程安全漏洞分析模块功能
14、需支持资源安全未释放漏洞分析模块功能
15、在拥有全部源代码的情况下,审查结果中安全漏洞需要精确定位至源代码文件的相应行;如果源代码缺失,则漏洞定位至反编译后的代码文件的相应行。 | (2) 网络抓包分析工具软件 | 技术指标 | 具体要求 | 网络抓包分析工具软件技术指标 | 1、能支持基本的故障状态分析功能,支持网络管制分析与测试功能,支持交互式节点图示、响应时间分析、监控和RMON分布式分析功能,并且可以产生详细的报告。
2、支持交互式节点图示、响应时间分析、监控和RMON分布式分析功能。
3、可以产生详细的报告。
4、可实现深度包检测。
5、支持以太网(例如十兆、百兆、千兆、万兆等)接口,802.11a/b/g/n无线接口。 | (3) 移动应用安全审计工具套件 | 技术指标 | 具体要求 | 移动应用安全审计工具套件技术指标 | 1、移动应用安全审计工具套件需实现Android平台上的APP安全审计,包括应用静态检测模块、应用动态检测模块、测试结果报表系统等。
2、需支持组件信息分析,包括Activity组件、Service组件、Content Provider组件、Broadcast Receiver组件。
3、需支持文件操作记录分析。
4、需支持网络访问记录分析。
5、需支持加载动态so操作记录分析。
6、需支持文件权限安全性检测分析。
7、敏感信息收集:位置信息、联系人、短信、通话记录、浏览器浏览历史、设备信息(SIM/IMEI/IMSI)、第三方应用的用户数据、照片、SD卡上的文件信息。
8、后门类/C&C:自身释放代码进行动态加载并且能够绕过大部分特征检测
9、下载者:通过远程通信下载应用,并进行安装可疑信息中报出来
10、Native层敏感操作:底层绑定端口、读写文件、网络通信、数据库相关操作。
11、系统敏感行为:开机自启动、静默安装程序、卸载程序、获取安装包列表行为、获取正在运行任务列表。
需支持已知安全漏洞审计(包括Android组件数据泄露漏洞、组件12、权限绕过漏洞、WebView相关漏洞、HTTPS相关漏洞、组件拒绝服务漏洞等)。
13、需支持WebService接口(基于XML或JSON格式)或文件交换接口提供检测结果报告。
14、需支持每天可以处理3000个APP样本。
15、需支持恶意样本检测率为80%。
16、需支持最新及主流Android版本。 | (4) WEB应用漏洞扫描和监控工具套件 | 技术指标 | 具体要求 | WEB应用漏洞扫描和监控工具套件技术指标 | 1、产品运行环境需要专有操作系统。
2、可以扫描任何遵循HTTP/HTTPS规则的Web站点和Web服务,无域名限制,含3年漏洞升级和漏洞订阅服务,支持WebService接口(基于XML或JSON格式)或数据库接口(ODBC、JDBC等)或文件交换接口,能够自动地检查的漏洞和内容。
3、需实现参数操纵功能:包括跨站脚本攻击(XSS)、SQL注入攻击、代码执行、目录遍历攻击、文件入侵、脚本源代码泄漏、CRLF注入、PHP代码注入、XPath注入、Cookie操纵、URL重定向、应用程序错误消息等。
4、需实现多请求参数操纵功能:Blind SQL / XPath注入攻击。
5、需实现Web服务功能:参数处理,其中包括SQL注入/Blind SQL注入(即盲注攻击)、代码执行、XPath注入、应用程序错误消息等。
6、产品的漏洞知识库需CVE、CNCVE、CNNVD、CNVD、CVSS等主流标准兼容。
7、支持SQL注入检测,支持Cookie安全问题检测,支持跨站脚本攻击检测,支持伪造跨站点请求检测,支持网页挂马检测,支持隐藏字段检测,支持Web服务(如IIS、Tomcat、Apache等)漏洞的检测。
8、支持基于Basic、NTLM、Cookie等认证方式的Web应用系统安全扫描,支持预设Cookie和登录预录制检测,支持HTTP和SOCKS代理扫描,支持自定义User-Agent设置,同时提供支持深度优先及广度优先爬行顺序的能力,支持大小写敏感或不敏感(case-sensitive/insensitive)的网页爬行方式,支持自定义扫描连接与自定义排除连接,支持通过解析flash来获得Web应用的链接,支持通过JavaScript执行获取链接。 | (5) 业务系统安全配置基线检查工具套件 | 技术指标 | 具体要求 | 业务系统安全配置基线检查工具套件技术指标 | 1、无限IP授权。
2、实现自动化系统配置检查功能。
3、能提供完善的安全配置知识库,涵盖Windows/Linux操作系统、网络设备、数据库、中间件、虚拟化平台等近50类设备及系统的安全配置加固建议,可全面的指导信息系统的安全配置及加固工作。
4、能支持符合移动、电信等多个行业性质规范的配置检查模板,满足等级保护要求的配置检查模板,实现对用户信息系统合规性检查;能够结合等级保护工作过程,对业务系统资产进行等保定级跟踪,根据资产定级自动进行对应级别的安全配置检查,对合规情况进行等保符合性报告。
5、软件至少支持WebService接口(基于XML或JSON格式)或数据库接口(ODBC、JDBC等)或文件交换接口。
6、需有专有硬件设备(而非笔记本、平板电脑、手持终端),产品须支持单模和多模光纤接口。
7、运行环境需为专有操作系统(而非Windows平台下的虚拟化环境)。
8、知识库需涵盖各主流的操作系统、数据库、中间件、应用服务器、虚拟化环境、应用软件、网络设备等。
9、支持操作系统包括Windows、Linux、AIX、Solaris、HP-UX等。
10、支持数据库包括Oracle、SQL Server、DB2、Sybase、Informix、MySQL等。
11、支持虚拟化环境包括VMware、Xen、XenServer、Hyper-V等。
12、支持离线检查,可以提供操作系统、数据库、中间件、应用服务器、虚拟化环境、应用软件、网络设备等的离线检查工具。离线检查不应该安装任何软件。 | (6) DLP网关分析过滤、智能终端保护系统套件 | 技术指标 | 具体要求 | DLP网关分析过滤、智能终端保护系统套件技术指标 | 1、需实现应用解析功能
2、HTTP解析与阻断: 解析HTTP数据包中的敏感信息,并可根据配置进行阻断。
3、语言支持: 支持中、英文文件检测。
4、支持查看多种格式的加密文件: 可支持查看 Word, Excel, PPT、PDF 等格式的加密文件。
5、可支持多种移动终端操作系统: 支持Android、iOS。
6、软件至少支持WebService接口(基于XML或JSON格式)或数据库接口(ODBC、JDBC等)或文件交换接口。 | (7) VPN网关 | 技术指标 | 具体要求 | VPN网关技术指标 | 1、远程访问的主机可以在不安装任何插件的前提下,支持基于WEB的B/S应用,要求对Web页面的重写和显示提供丰富的支持,支持HTML5。
2、通过轻量级的基于Java或Windows的工具下载,可只使用Web浏览器接入客户端/服务器应用。同时允许本机接入终端服务器应用,无需预安装客户端。
3、可通过自动设置的跨平台下载来提供完整的网络层连接。用户只需Web浏览器即可。
4、客户端应该能够支持建立七层应用层通道,客户端应该能够支持Windows、Linux、OS X等主流桌面操场系统,以及支持主流厂商的移动终端,安卓操作系统、苹果操作系统(iPhone/iPad等)、Windows Phone等。
5、实现URL、服务器或文件级别的极细粒度的接入控制,可为特定资源定制安全策略。 | (8) 移动恶意代码检测引擎软件 | 技术指标 | 具体要求 | 移动恶意代码检测引擎软件技术指标 | 1、引擎模块能现移动恶意代码扫描与检测,可以支持Android/Symbian/Windows Phone/iphoneOS/J2ME各类文件的检测和扫描。
2、特征库能实现病毒文件的特征保存、维护和管理。
3、检测引擎的查杀范围可以包含CCSA《移动互联网恶意程序描述格式》(YD/T 2439-2012)标准定义的移动互联网恶意程序但可不限于该定义要求。
4、检测引擎应支持如下文件类型的检测: 系统 | 文件 | Android | APK、二进制Android Manifest、DEX、ODEX、ELF、IM 或ZIP格式的刷机包 | Symbian | SISV9、EPOC | WindowsPhone | CAB、XAP、PE(.net) | iphoneOS | IPA、Mach-O | J2ME | JAR、Class |
5、病毒命名要求应符合CCSA《移动互联网恶意程序描述格式》(YD/T 2439-2012)标准要求。每个病毒应提供详尽的病毒信息描述,并可配套提供病毒百科全书。
6、检测引擎应支持智能启发的检测方式。
移动恶意代码检测引擎应支持提供静动态库调用的方式对外提供集成接口。
7、移动恶意代码检测引擎应支持WebService接口(基于XML或JSON格式)、数据库接口(ODBC、JDBC等)或文件交换接口提供检测结果报告。
8、引擎检测速度需达到约为15个文件/秒。 | (9) 系统漏洞扫描工具套件 | 技术指标 | 具体要求 | 系统漏洞扫描工具套件技术指标 | 1、无限IP授权。
2、配置专有硬件设备,产品支持单模和多模光纤接口。
3、运行环境具备专有安全操作系统。
4、需包括移动系统漏洞扫描模块、测试结果报表系统,支持20个并发扫描会话,软件至少支持WebService接口(基于XML或JSON格式)或数据库接口(ODBC、JDBC等)或文件交换接口。
5、漏洞知识库需与CVE、CNCVE、CNNVD、CNVD、Bugtraq等主流标准兼容。
6、漏洞知识库需涵盖各主流的操作系统、数据库、中间件、应用服务器、虚拟化环境、应用软件、网络设备等。
7、需同时支持IPv4和IPv6网络环境。
8、需提供审计功能,能够对登录日志、操作日志和异常报告进行记录和查询。
9、需通过权威机构(例如公安部、中国信息安全认证中心、中国信息安全测评中心等)的测试认证。 | (10) 安全攻防仿真工具集套件 | 技术指标 | 具体要求 | 设计使用要求 | 基于B/S架构设计,用户无需安装任何客户端软件,支持PC、平板电脑等多终端接入,采用虚拟化技术实现。 | 需支持竞赛组织及管理功能 | 1、支持网选赛、分组对抗、夺旗争霸等多种不同赛制;其中网选赛实现安全知识线上答题,分组对抗为攻防对战模式,夺旗争霸以优先攻击靶机夺取Flag为胜。
2、支持渗透机与攻防靶机分级管理,渗透机支持四个不同级别的攻击能力,攻防靶机分为金、银、铜三个不同的靶机级别,用户可也可自定义不同难度的渗透机与靶机。 | 需支持虚拟化操作系统及其管理 | 1、虚拟化系统支持Windows Server 2003、Windows Server 2008、Windows XP、Windows 7、及Ubuntu、Redhat、BT5多种Linux系统等各类操作系统。
2、支持用户通过浏览器或远程桌面登录虚拟机。 | 需实现演练场景资源管理功能 | 1、实现对演练竞技场景及考题等资源的管理,包括攻防场景、攻防工具等的集中管理。
2、包括演练竞技所需要的攻击工具,至少包含以下内容:扫描工具、木马病毒工具、DoS攻击工具、协议分析工具、缓冲区溢出工具等各种攻击工具。 | (11) 可信身份网络接入系统套件 | 技术指标 | 具体要求 | 安全接入网关套件技术指标 | 1、具有用户身份校验、可信身份标识分配、数据报文封装和解封装、报文的路由转发等功能。
2、运营商级硬件架构
3、电源系统:-48直流系统,支持1+1冗余备份
4、端口容量:不小于400Gbps
5、主控板:支持1+1冗余备份
6、交换网板:支持1+1冗余备份
7、数据封装处理板:处理数据报文,完成报文封装和解除封装,路由转发
8、接口:支持10GE光接口,GE/FE光接口 | 互通网关ISR套件 | 1、实现可信身份网络与传统网络的互通,实现可信标识空间的转换和不同报文格式的转换。
2、电信级硬件架构
3、电源系统:-48直流系统,支持1+1冗余备份
4、端口容量:不小于400Gbps
5、主控板:支持1+1冗余备份
6、交换网板:支持1+1冗余备份
7、接口:支持10GE光接口,GE/FE光接口 | 可信身份网络接入系统应用软件 | 1、可存储和管理可信身份的位置映射关系
2、支持安全接入网关、互通网关设备对用户位置映射关系的登记和查询
3、运行环境为刀片服务器或通用服务器 |
2.3.3 投标产品还应具备以下条件: 2013年1月1日至2015年5月31日,投标产品具有在国内移动互联网应用或系统安全领域第三方软件的至少1个成功案例。 2.4 法律法规规定的其他要求。 3. 资格预审方法 本次资格预审采用合格制,资格审查标准和内容详见资格预审文件,凡通过本项目申请标包资格预审的申请人均可参加本项目相应标包的投标。 4. 资格预审文件的获取 4.1 资格预审文件获取时间: 2015年6月24日至2015年6月30日,每日上午9时00分至11时00分,下午14时00分至16时00分(北京时间,下同)。 4.2 资格预审文件获取地点:北京市西城区西直门外大街1号院西环广场T1-909中捷通信有限公司。 4.3 资格预审文件获取方式:申请人应委托经办人携带下述文件向招标人/招标代理机构了解有关信息并购买资格预审文件: (1) 单位介绍信、营业执照副本复印件和组织机构代码证的复印件并加盖公章; (2) 经办人身份证原件; (3) 税务信息表并加盖财务专用章,格式如下: 序号 | 类别 | 信息 | 1 | 申请人名称 | 2 | 申请人注册地址 | 3 | 申请人联系电话 | 4 | 纳税人识别号 | 5 | 开户银行 | 6 | 户名 | 7 | 银行账号 | 8 | 开票类型 | 增值税专用发票/增值税普通发票 | 9 | 组织机构代码证号 | 注:由于申请人提供税务信息错误导致的全部损失由申请人承担。 |
(4) 增值税一般纳税人证明文件(增值税一般纳税人须提供)。 4.4 资格预审文件每标包售价300元人民币,售后不退。 5. 资格预审申请文件的递交 5.1 资格预审申请文件递交截止时间:2015年7月6日10时00分。 5.2 资格预审申请文件递交地点:北京市西城区西直门外大街1号院西环广场T1-909中捷通信有限公司会议室。 5.3 逾期送达或者未送达指定地点的资格预审申请文件,招标人或招标代理机构不予受理。 5.4 资格预审申请文件的语言:中文。 7. 联系方式 招标代理机构:中捷通信有限公司 地址:北京市西城区西直门外大街1号院西环广场T1-909 邮编:100044 购买 联系人:林娟、马欣 电话:189*****517、189*****765 项 目 联系人:苏京 电话:180*****821 电 子 邮 件:180*****821@189.cn 开 户 银 行:中国工商银行广州庙前直街支行 账号:3602 0010 1920 0328 213 招标代理机构:中捷通信有限公司 2015年6月23日 | 
