中国信息安全认证中心漏洞扫描产品采购项目(GDC-********查看详情********查看详情1)网上竞价公告
公告日期: 2010-09-09 00:00:00
项目名称: 中国信息安全认证中心漏洞扫描产品采购项目
项目编号: GDC-********查看详情********查看详情1
中央国家机关政府采购中心受采购单位 中国信息安全认证中心 委托,
对下列货物及服务进行网上电子政府采购,现邀请合格投标人进行网上投标。
采购项目信息
开始日期: 2010-08-30 10:48:57 采购单位: 中国信息安全认证中心
截止日期: 2010-09-09 00:00:00 联系人: 刘全胜
送货地点: 北京市朝阳区朝外大街甲10号10层 联系电话: ********查看详情
到货时间:
采购结果公告后 3 天内 联系邮件: liuqs@isccc.gov.cn
剩余时间: 停止投标
备注信息:
资质要求: 应是注册的中央政府采购协议供应商.
需求附件: 漏洞扫描系统指标-0906.doc
采购商品列表
商品分类 参考品牌 规格型号 单位 数量 基本描述
千兆漏洞扫描产品 绿盟 RSAS M Series (Mobile)V5.0 台 1
商品名称: 千兆漏洞扫描产品
参考品牌: 绿盟
参考模型: RSAS M Series (Mobile)V5.0
商品产地: 中国
数量: 1
单位: 台
服务: 应是注册的中央政府采购协议供应商。
备注: 基本要求 产品要求界面友好,并有详尽的技术文档;所有的图形界面与文档资料要求均为中文。资产风险管理 能够采用多种不同的方式自动发现网络资产,具体说明资产发现方式。 能够把资产管理和组织结构或者网络拓扑结构紧密结合;支持IP地址、域名和资产树等多种资产管理方式;支持通过Excel文件将地址导入到资产树功能。 资产管理能够将资产的重要性量化,并且通过形象的图示将资产的风险值和的风险等级直观地展现出来,并且能够将节点、风险及对应责任人相关联。漏洞扫描 漏洞知识库从操作系统、服务、应用程序和漏洞严重程度多个视角进行分类,需要给出具体的分类信息。 支持对漏洞信息的检索功能,可以从其中快速检索到指定类别或者名称的漏洞信息,并具体说明支持的检索方式。 提供漏洞知识库中包含的主流操作系统、数据库、网络设备的列表信息。 产品提供Web应用扫描能力,提供多种Web应用漏洞的安全检测,如SQL注入、跨站脚本、网站挂马、网页木马、CGI漏洞等。 可在界面中列出被检测网站的目录结构,点击相应的结构可以直接呈现当前页面的扫描结果。 Javascript解析引擎的支持,能从Javascript代码中分析出url。 产品支持自定义Cookie进行深入检测。 支持基于basic、NTLM、Cookie等认证方式的Web应用系统安全扫描。 能够扫描常见的网络安全客户端软件(网络防病毒Symantec、TrendMicro、McAfee)的安全漏洞 能够扫描常见的应用软件漏洞(如IE浏览器、MSN、Mozilla Firefox、Yahoo Messenger、MS Office、多媒体播放器、VMware虚拟机和各种P2P下载软件)的安全漏洞。 漏洞知识库漏洞信息不小于2800条,提供详细的漏洞描述和对应的解决方案描述;漏洞知识库与国际CVE标准兼容,并提供CVE Compatible证书。 漏洞知识库和漏洞检测规则支持手动升级和自动升级,支持本地升级和在线升级,在线升级支持代理方式升级;至少每两周进行一次定期升级,重大安全漏洞紧急响应时间,请给出公开定期发布升级包列表详细说明。 支持对多个扫描任务并发执行,支持多任务自动调度;单个任务允许扫描的最大扫描范围不小于一个B类网段。 系统内置不同的策略模板如针对Unix、Windows操作系统等模板,同时允许用户定制扫描策略;用户可定义扫描范围、扫描使用的参数集、扫描并发主机数等具体扫描选项。 可以在扫描过程中人工指定包括SNMP、SMB等常见协议的登录口令,登陆到相应的系统中对特定应用进行深入扫描。 可定义扫描端口范围、端口扫描策略。 是否具备单独口令猜测扫描任务,支持多种口令猜测方式,包括利用Telnet、Pop3、 Ftp、 Windows SMB、SQL Server、MySQL、Oracle、Sybase等协议进行口令猜测,允许外挂用户提供的字典档。 允许管理员配置扫描通知,在扫描任务运行开始时向被扫描的资产发送扫描通知;具体说明针对不同操作系统(如Windows、Linux、Unix等)具体的实现方式。 请描述被扫描IP地址采用的授权方式。 提供扫描占用网络带宽控制措施,请描述具体实现技术和带宽占用指标。 请描述在提高扫描准确性和扫描速度两方面采用的具体实现技术。漏洞分析 能够对扫描结果数据进行在线分析,能够根据端口、漏洞、BANNER信息、IP地址等关键字对主机信息进行查询并能将查询结果保存。 支持高级数据分析,能够进行历史数据查询、汇总查看、对比分析等,方便进行多个扫描任务或多个IP风险对比,能够在多个历史任务中,很快的检索到需要关注的资产IP点。 漏洞分析报告应提供在线浏览报告和离线打印报告;离线报表提供针对不同角色的默认模板,允许用户定制报告的内容、报告的格式等。 离线报告可以输出到HTML、WORD、EXCEL(XML)等文件,报告可以直接下载或通过邮件直接发送给相应管理人员,并且输出报表美观可直接打印。 报表中对综述、主机、漏洞、脆弱帐号等信息进行分类显示;综述中应对风险类别和操作系统分布进行定量统计分析并展示;主机中应提供单主机的漏洞分布、风险值和风险等级信息,并能列出单主机的详细漏洞描述和解决建议,同时提供详细的安装软件信息、端口信息等,方便统一查看,了解资产信息;漏洞中应提供漏洞详细信息并可进行误报修正。漏洞管理 提供XML和HTTP等二次开发接口给其他的安全产品或者安全管理平台调用,并且提供具体接口的说明文档。 对扫描出来的资产的安全漏洞能够发送邮件给对应的资产管理员,通知其限期内修复漏洞并自动对修复进行验证,实现对漏洞的有效跟踪和验证,实现对安全漏洞的有效跟踪和验证。 提供对资产风险的多次分析能力,能够有效地分析网络整体和主机的漏洞分布和风险的趋势。 支持和微软WSUS补丁系统的联动,能够在发给主机管理员的邮件中附带自动配置WSUS的注册表文件,方便进行自动化的补丁修补。管理功能 安装、配置和管理维护较为简便;系统无须人工干预能够自动、周期运行,系统升级、扫描、结果分析和结果邮件自动发送等能够自动执行。 支持分布式部署,上级管理设备能够统一管理和控制下级设备,下级设备能够自动将扫描结果上传到上级管理设备;需要说明分布式部署使用的通信端口和是否加密传输数据。 支持多用户分级权限管理;支持多管理员使用扫描器,对每个使用者能够设定其允许登陆的范围和允许扫描的范围。 提供审计功能,能够对登录日志、操作日志和异常报告进行记录和查询。 提供备份恢复机制,能够对扫描结果、日志、扫描模板、参数集等配置文件进行导出和导入操作;能够对系统创建还原点对系统进行备份和还原。性能指标 最大允许并发扫描不小于30个IP地址 ,最大支持无限IP扫描。 扫描速率不低于3 IP/分钟。资质要求 产品要求取得中国人民共和国公安部的《计算机信息系统安全专用产品销售许可证》,中国国家信息安全产品测评认证中心的《国家信息安全测评中心信息技术产品安全测评证书—EAL3》,中国人民解放军信息安全产品测评认证中心的《军用信息安全产品认证证书》,国家保密局涉密信息系统安全保密测评中心《涉密信息系统产品检测证书》,《计算机软件著作权登记证书》,并提供上述产品有效证书的复印件。 产品要求为国内开发,具备自主知识产权。 厂商需在信息安全领域有丰富的经验与先进的技术,须有对系统漏洞进行发现、验证、以及提供应急服务的技术能力;如满足上述条件,需提供自主发现的安全漏洞列表。 产品需要通过英国西海岸实验室Checkmark认证,并提供认证证书复印件。服务要求 应是注册的中央政府采购协议供应商。 ********查看详情*******查看详情 中国采招网(bidcenter.com.cn)+.doc">附件
