梅州市数字化城市管理信息系统项目“安全测评和等级保护测评”“第三方检测”项目更正公告
广东千易商务咨询代理有限公司 于2016年12月30日 在广东省政府采购网上提交的 采购项目名称(梅州市数字化城市管理信息系统项目“安全测评和等级保护测评”“第三方检测”项目)(竞争性谈判)采购公告, 因谈判文件修改的原因,现将原公告部分内容作如下更正/变更:
一、 更正事项、内容 (一)更正前内容: 1、获取谈判文件的时间、地点、方式及谈判文件售价:本公告期限(五个工作日)自2016年12月31日至2017年 1月9日止。符合资格的报价人应当在2016年12月31日8:30起至2017年 1月9日17:30止(法定节假日除外)到广东千易商务咨询代理有限公司购买谈判文件,谈判文件每套售价200元(人民币),售后不退。获取谈判文件的方式:自行前往购买。 2、报价截止时间:2017年1月10日下午15:00(北京时间)(注14:30开始受理报价文件)。 3、谈判时间:2017年1月10日下午15:00(北京时间)。 4、谈判保证金:10.2谈判保证金交纳形式和时间(2)谈判保证金必须在2017年1月9日下午18时前到达采购代理机构账户。开标现场不接受任何形式的谈判保证金。 5、谈判文件第二部分《采购项目内容》P10页: 8.3.1安全评估系统(安全脆弱性扫描)工具指标要求: 指标 要求 厂商 要求 漏洞研究 产品源厂商应具备多年的漏洞研究经验和专业的攻防技术研究团队,具备独立漏洞发掘的能力。请提供自主发现的CVE安全漏洞列表,要求数量不少于110个。请提供自主发现的CNNVD安全漏洞列表及证书,要求数量不少于10个(含)。 产品源厂商应具备丰富的漏洞检测及系统脆弱性评估经验。请提供与系统漏洞扫描、服务识别以及系统风险评估相关的公开专利,要求数量不少于3个(含)。 功能 要求 扫描能力 须支持对各种网络主机、操作系统、网络设备(如交换机、路由器、防火墙等)、vmware等虚拟化平台以及应用系统的识别和漏洞扫描。 须支持对无线网络环境的安全检测,支持展示无线设备节点分布情况,支持无线风险统计及展示,支持导出FISMA、BASEL II、萨班斯、HIPAA以及PCIDSS等报告; 须支持对各种Web应用系统的扫描,支持检测SQL注入漏洞、XSS攻击漏洞、CGI漏洞、网页挂马、关键字检测、网站备案信息、敏感信息泄露等。 须支持对扫描对象的脆弱性进行全面检查,识别内容应包括操作系统和应用系统安全补丁的缺失、弱口令、常见木马后门、不安全的服务配置等。 须支持多种协议口令猜测,包括Telnet、Pop3、SSH、Ftp、SQL Server、DB2、MySQL、Oracle等;允许外挂用户提供的字典档。 须支持智能推荐扫描参数,根据宿主机的实时性能动态提供线程数和并发IP数等参数设置建议。 须支持扫描任务预计所需剩余时间显示; 须支持对主流数据库的识别与扫描,包括:Oracle、Sybase、SQL Server、DB2、MySQL等,能够扫描的数据库漏洞扫描方法不小于830种(含)。 须具备Windows域环境下的深度扫描能力,即能够利用域管理员的权限,在域内进行效果相当于基于主机的漏洞扫描和检测。 须支持断点续扫功能,以应对突发网络状况和设备故障,并能够对已经完成的扫描结果进行实时保存。 须支持的最大并发扫描IP应不少于100个(含); 单个IP的最大并发扫描线程应不少于100个(含); 须支持实时显示扫描进度以及阶段性扫描结果,包括主机名、开放端口、操作系统、服务、用户、BANNER信息、漏洞信息等。 须支持灵活的扫描任务制定功能,可设定任务优先级,安排自动计划任务,进行任务导入导出操作,并能够根据网络环境调整并发扫描、网络延迟等任务参数,提高扫描效率。 须支持与WSUS的联动,支持邮件发送自动配置WSUS的注册表文件,方便进行自动化的补丁修补。 资产管理 部门和资产编辑,支持对部门和资产的添加、删除、编辑等操作,以及对资产的属性自定义功能。 须支持以txt、csv、dat等格式进行资产列表的导入。 须支持对已有的资产和部门直接扫描; 须支持显示资产和部门的历史扫描结果,须支持显示资产和部门的风险评估值; 须支持每个资产历史扫描的风险趋势图显示,缺省显示最后24次扫描结果的趋势显示; 报表功能 报告应包含漏洞详述和修补方案,对于常见补丁类漏洞能够提供相关的补丁下载链接。 产品升级、维护 须支持在线升级方式,可按计划执行自动升级;产品同时应支持手动升级方式,可利用已经下载的升级包实现升级。 用户管理 须支持三权分立。产品具备独立用户管理功能,能够分管理员、操作员、分析员、审计员等角色对用户进行管理;产品还应能够为不同的用户设定其可以扫描的IP地址。 能够对登录日志、操作日志(定制和下发任务、生成报告、自动发送报告)进行记录和查询。 须支持在未更改缺省用户的原始密码的情况下禁止通过其他网段进行登录。 部署 产品应支持在Windows 2000、XP、2003、Windows 7、2008、8系列操作系统中安装使用,可部署于主流PC、笔记本电脑以及服务器之上。 资质 要求 销售许可 产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》,要求为增强型。 型号证书 产品具有中国信息安全测评中心颁发的《信息技术产品安全测评证书》,级别EAL3。 CVE证书 CVE(Common Vulnerabilities and Exposures)组织正式的兼容认证 (Certificate of CVE Compatibility) 保密局检测证书 产品具有中国国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》 版权证书 产品具有国家版权局颁发的《计算机软件著作权登记证书》 强制认证 中国信息安全认证中心的《中国国家信息安全产品认证证书》,要求为增强级。 8.3.2等级保护基线核查工具指标要求: 指标 要求 扫描能力 在建立核查任务时支持从“资产库获取、IP段添加、Excel导入”方式添加核查设备。 提供任务的复制功能,在不影响原有任务的情况下,对复制的任务进行修改和裁剪。 核查方式 对于管理较好的不可达网络或者物理隔离网络,提供分布式采集器,可实现批量核查,批量上报,并根据实际情况实现在线及离线两种方式。 在线:从安全基线配置检查服务器获取批量任务,点击执行后讲结果批量上报 离线:从安全基线配置检查服务器获取批量任务,将获得的任务的移动设备接入不可达网络中自动执行批量检查任务,任务完成后将离线采集移动设备接回安全基线检查服务器将任务结果导入安全基线检查服务器完成离线批量核查。 离线核查支持: 1)提供所有设备按照策略及自定义策略的VBS离线脚本下载功能,在目标设备上执行完成后将结果导入基线系统。 2)网络设备支持:支持将离线命令在目标设备上运行后,通过提供执行命令集Session Log方式检查; 对于不希望提供管理员账号和密码的个人主机系统,支持提供代理检查的方式,代理检查结果自动上传到检查服务器,并支持代理设备中的中间件及数据库核查。 支持对数据库和中间件设备安装路径自动探测功能。 对扫描失败的设备和检查项有非常准确的失败信息反馈。 资产管理 可通过选中资产立即下发核查任务(提供产品截图证明) 可通过选中资产查看该资产的核查历史,并能够选中两个任务进行对比分析,展示两次核查的对比信息,包括核查时间及核查结果(提供产品截图证明) 帐号获取与传输安全 须支持被核查设备帐号信息的密码文件读取的获取方式:系统提供密码文件模版下载功能,在建立核查任务时提供导入功能,系统读取设备信息后保存在内存中,在任务执行完毕后销毁,做到一次性使用。 策略管理 须支持核查脚本的自定义功能,并能按顺序清晰展示脚本使用的命令集合,例如:[netstat, echo] 部署 须支持上下级级联和管理,并能监控下级节点的性能信息 6、谈判文件第四部分《合同书格式》P41页: 8.3.1安全评估系统(安全脆弱性扫描)工具指标要求: 指标 要求 厂商 要求 漏洞研究 产品源厂商应具备多年的漏洞研究经验和专业的攻防技术研究团队,具备独立漏洞发掘的能力。请提供自主发现的CVE安全漏洞列表,要求数量不少于110个。请提供自主发现的CNNVD安全漏洞列表及证书,要求数量不少于10个(含)。 产品源厂商应具备丰富的漏洞检测及系统脆弱性评估经验。请提供与系统漏洞扫描、服务识别以及系统风险评估相关的公开专利,要求数量不少于3个(含)。 功能 要求 扫描能力 须支持对各种网络主机、操作系统、网络设备(如交换机、路由器、防火墙等)、vmware等虚拟化平台以及应用系统的识别和漏洞扫描。 须支持对无线网络环境的安全检测,支持展示无线设备节点分布情况,支持无线风险统计及展示,支持导出FISMA、BASEL II、萨班斯、HIPAA以及PCIDSS等报告; 须支持对各种Web应用系统的扫描,支持检测SQL注入漏洞、XSS攻击漏洞、CGI漏洞、网页挂马、关键字检测、网站备案信息、敏感信息泄露等。 须支持对扫描对象的脆弱性进行全面检查,识别内容应包括操作系统和应用系统安全补丁的缺失、弱口令、常见木马后门、不安全的服务配置等。 须支持多种协议口令猜测,包括Telnet、Pop3、SSH、Ftp、SQL Server、DB2、MySQL、Oracle等;允许外挂用户提供的字典档。 须支持智能推荐扫描参数,根据宿主机的实时性能动态提供线程数和并发IP数等参数设置建议。 须支持扫描任务预计所需剩余时间显示; 须支持对主流数据库的识别与扫描,包括:Oracle、Sybase、SQL Server、DB2、MySQL等,能够扫描的数据库漏洞扫描方法不小于830种(含)。 须具备Windows域环境下的深度扫描能力,即能够利用域管理员的权限,在域内进行效果相当于基于主机的漏洞扫描和检测。 须支持断点续扫功能,以应对突发网络状况和设备故障,并能够对已经完成的扫描结果进行实时保存。 须支持的最大并发扫描IP应不少于100个(含); 单个IP的最大并发扫描线程应不少于100个(含); 须支持实时显示扫描进度以及阶段性扫描结果,包括主机名、开放端口、操作系统、服务、用户、BANNER信息、漏洞信息等。 须支持灵活的扫描任务制定功能,可设定任务优先级,安排自动计划任务,进行任务导入导出操作,并能够根据网络环境调整并发扫描、网络延迟等任务参数,提高扫描效率。 须支持与WSUS的联动,支持邮件发送自动配置WSUS的注册表文件,方便进行自动化的补丁修补。 资产管理 部门和资产编辑,支持对部门和资产的添加、删除、编辑等操作,以及对资产的属性自定义功能。 须支持以txt、csv、dat等格式进行资产列表的导入。 须支持对已有的资产和部门直接扫描; 须支持显示资产和部门的历史扫描结果,须支持显示资产和部门的风险评估值; 须支持每个资产历史扫描的风险趋势图显示,缺省显示最后24次扫描结果的趋势显示; 报表功能 报告应包含漏洞详述和修补方案,对于常见补丁类漏洞能够提供相关的补丁下载链接。 产品升级、维护 须支持在线升级方式,可按计划执行自动升级;产品同时应支持手动升级方式,可利用已经下载的升级包实现升级。 用户管理 须支持三权分立。产品具备独立用户管理功能,能够分管理员、操作员、分析员、审计员等角色对用户进行管理;产品还应能够为不同的用户设定其可以扫描的IP地址。 能够对登录日志、操作日志(定制和下发任务、生成报告、自动发送报告)进行记录和查询。 须支持在未更改缺省用户的原始密码的情况下禁止通过其他网段进行登录。 部署 产品应支持在Windows 2000、XP、2003、Windows 7、2008、8系列操作系统中安装使用,可部署于主流PC、笔记本电脑以及服务器之上。 资质 要求 销售许可 产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》,要求为增强型。 型号证书 产品具有中国信息安全测评中心颁发的《信息技术产品安全测评证书》,级别EAL3。 CVE证书 CVE(Common Vulnerabilities and Exposures)组织正式的兼容认证 (Certificate of CVE Compatibility) 保密局检测证书 产品具有中国国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》 版权证书 产品具有国家版权局颁发的《计算机软件著作权登记证书》 强制认证 中国信息安全认证中心的《中国国家信息安全产品认证证书》,要求为增强级。 8.3.2等级保护基线核查工具指标要求: 指标 要求 扫描能力 在建立核查任务时支持从“资产库获取、IP段添加、Excel导入”方式添加核查设备。 提供任务的复制功能,在不影响原有任务的情况下,对复制的任务进行修改和裁剪。 核查方式 对于管理较好的不可达网络或者物理隔离网络,提供分布式采集器,可实现批量核查,批量上报,并根据实际情况实现在线及离线两种方式。 在线:从安全基线配置检查服务器获取批量任务,点击执行后讲结果批量上报 离线:从安全基线配置检查服务器获取批量任务,将获得的任务的移动设备接入不可达网络中自动执行批量检查任务,任务完成后将离线采集移动设备接回安全基线检查服务器将任务结果导入安全基线检查服务器完成离线批量核查。 离线核查支持: 1)提供所有设备按照策略及自定义策略的VBS离线脚本下载功能,在目标设备上执行完成后将结果导入基线系统。 2)网络设备支持:支持将离线命令在目标设备上运行后,通过提供执行命令集Session Log方式检查; 对于不希望提供管理员账号和密码的个人主机系统,支持提供代理检查的方式,代理检查结果自动上传到检查服务器,并支持代理设备中的中间件及数据库核查。 支持对数据库和中间件设备安装路径自动探测功能。 对扫描失败的设备和检查项有非常准确的失败信息反馈。 资产管理 可通过选中资产立即下发核查任务(提供产品截图证明) 可通过选中资产查看该资产的核查历史,并能够选中两个任务进行对比分析,展示两次核查的对比信息,包括核查时间及核查结果(提供产品截图证明) 帐号获取与传输安全 须支持被核查设备帐号信息的密码文件读取的获取方式:系统提供密码文件模版下载功能,在建立核查任务时提供导入功能,系统读取设备信息后保存在内存中,在任务执行完毕后销毁,做到一次性使用。 策略管理 须支持核查脚本的自定义功能,并能按顺序清晰展示脚本使用的命令集合,例如:[netstat, echo] 部署 须支持上下级级联和管理,并能监控下级节点的性能信息 (二)更正后内容: 1、获取谈判文件的时间、地点、方式及谈判文件售价:本公告期限自2016年12月31日至2017年 1月12日止。符合资格的报价人应当在2016年12月31日8:30起至2017年 1月12日17:30止(法定节假日除外)到广东千易商务咨询代理有限公司购买谈判文件,谈判文件每套售价200元(人民币),售后不退。 获取谈判文件的方式:自行前往购买。 2、报价截止时间:2017年1月13日上午09:30(北京时间)(注09:00开始受理报价文件)。 3、谈判时间:2017年1月13日上午09:30(北京时间)。 4、谈判保证金:10.2谈判保证金交纳形式和时间(2)谈判保证金必须在2017年1月12日下午18时前到达采购代理机构账户。开标现场不接受任何形式的谈判保证金。 5、谈判文件第二部分《采购项目内容》P10页: 8.3.1安全评估系统(安全脆弱性扫描)工具指标要求: 指标 要求 厂商 要求 漏洞研究 产品源厂商应具备多年的漏洞研究经验和专业的攻防技术研究团队,具备独立漏洞发掘的能力。请提供自主发现的CVE安全漏洞列表,要求数量不少于110个。请提供自主发现的CNNVD安全漏洞列表及证书,要求数量不少于10个(含)。 产品源厂商应具备丰富的漏洞检测及系统脆弱性评估经验。请提供与系统漏洞扫描、服务识别以及系统风险评估相关的公开专利,要求数量不少于3个(含)。 功能 要求 扫描能力 须支持对各种网络主机、操作系统、网络设备(如交换机、路由器、防火墙等)、vmware等虚拟化平台以及应用系统的识别和漏洞扫描。 须支持对无线网络环境的安全检测,支持展示无线设备节点分布情况,支持无线风险统计及展示,支持导出FISMA、BASEL II、萨班斯、HIPAA以及PCIDSS等报告; 须支持对各种Web应用系统的扫描,支持检测SQL注入漏洞、XSS攻击漏洞、CGI漏洞、网页挂马、关键字检测、网站备案信息、敏感信息泄露等。 须支持对扫描对象的脆弱性进行全面检查,识别内容应包括操作系统和应用系统安全补丁的缺失、弱口令、常见木马后门、不安全的服务配置等。 须支持多种协议口令猜测,包括Telnet、Pop3、SSH、Ftp、SQL Server、DB2、MySQL、Oracle等;允许外挂用户提供的字典档。 须支持智能推荐扫描参数,根据宿主机的实时性能动态提供线程数和并发IP数等参数设置建议。 须支持扫描任务预计所需剩余时间显示; 须支持对主流数据库的识别与扫描,包括:Oracle、Sybase、SQL Server、DB2、MySQL等,能够扫描的数据库漏洞扫描方法不小于830种(含)。 须具备Windows域环境下的深度扫描能力,即能够利用域管理员的权限,在域内进行效果相当于基于主机的漏洞扫描和检测。 须支持断点续扫功能,以应对突发网络状况和设备故障,并能够对已经完成的扫描结果进行实时保存。 须支持的最大并发扫描IP应不少于100个(含); 单个IP的最大并发扫描线程应不少于100个(含); 须支持实时显示扫描进度以及阶段性扫描结果,包括主机名、开放端口、操作系统、服务、用户、BANNER信息、漏洞信息等。 须支持灵活的扫描任务制定功能,可设定任务优先级,安排自动计划任务,进行任务导入导出操作,并能够根据网络环境调整并发扫描、网络延迟等任务参数,提高扫描效率。 须支持与WSUS的联动,支持邮件发送自动配置WSUS的注册表文件,方便进行自动化的补丁修补。 资产管理 部门和资产编辑,支持对部门和资产的添加、删除、编辑等操作,以及对资产的属性自定义功能。 须支持以txt、csv、dat等格式进行资产列表的导入。 须支持对已有的资产和部门直接扫描; 须支持显示资产和部门的历史扫描结果,须支持显示资产和部门的风险评估值; 须支持每个资产历史扫描的风险趋势图显示,缺省显示最后24次扫描结果的趋势显示; 报表功能 报告应包含漏洞详述和修补方案,对于常见补丁类漏洞能够提供相关的补丁下载链接。 产品升级、维护 须支持在线升级方式,可按计划执行自动升级;产品同时应支持手动升级方式,可利用已经下载的升级包实现升级。 用户管理 须支持三权分立。产品具备独立用户管理功能,能够分管理员、操作员、分析员、审计员等角色对用户进行管理;产品还应能够为不同的用户设定其可以扫描的IP地址。 能够对登录日志、操作日志(定制和下发任务、生成报告、自动发送报告)进行记录和查询。 须支持在未更改缺省用户的原始密码的情况下禁止通过其他网段进行登录。 部署 产品应支持在Windows 2000、XP、2003、Windows 7、2008、8系列操作系统中安装使用,可部署于主流PC、笔记本电脑以及服务器之上。 资质 要求 销售许可 产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》,要求为增强型。 型号证书 产品具有中国信息安全测评中心颁发的《信息技术产品安全测评证书》,级别EAL3。 CVE证书 CVE(Common Vulnerabilities and Exposures)组织正式的兼容认证 (Certificate of CVE Compatibility) 保密局检测证书 产品具有中国国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》 版权证书 产品具有国家版权局颁发的《计算机软件著作权登记证书》 强制认证 中国信息安全认证中心的《中国国家信息安全产品认证证书》,要求为增强级。 授权证明 提供制造商(产品源厂商)授权书(原件),原件须附入报价文件正本内。 8.3.2等级保护基线核查工具指标要求: 指标 要求 扫描能力 在建立核查任务时支持从“资产库获取、IP段添加、Excel导入”方式添加核查设备。 提供任务的复制功能,在不影响原有任务的情况下,对复制的任务进行修改和裁剪。 核查方式 对于管理较好的不可达网络或者物理隔离网络,提供分布式采集器,可实现批量核查,批量上报,并根据实际情况实现在线及离线两种方式。 在线:从安全基线配置检查服务器获取批量任务,点击执行后讲结果批量上报 离线:从安全基线配置检查服务器获取批量任务,将获得的任务的移动设备接入不可达网络中自动执行批量检查任务,任务完成后将离线采集移动设备接回安全基线检查服务器将任务结果导入安全基线检查服务器完成离线批量核查。 离线核查支持: 1)提供所有设备按照策略及自定义策略的VBS离线脚本下载功能,在目标设备上执行完成后将结果导入基线系统。 2)网络设备支持:支持将离线命令在目标设备上运行后,通过提供执行命令集Session Log方式检查; 对于不希望提供管理员账号和密码的个人主机系统,支持提供代理检查的方式,代理检查结果自动上传到检查服务器,并支持代理设备中的中间件及数据库核查。 支持对数据库和中间件设备安装路径自动探测功能。 对扫描失败的设备和检查项有非常准确的失败信息反馈。 资产管理 可通过选中资产立即下发核查任务(提供产品截图证明并加盖制造商公章) 可通过选中资产查看该资产的核查历史,并能够选中两个任务进行对比分析,展示两次核查的对比信息,包括核查时间及核查结果(提供产品截图证明并加盖制造商公章) 帐号获取与传输安全 须支持被核查设备帐号信息的密码文件读取的获取方式:系统提供密码文件模版下载功能,在建立核查任务时提供导入功能,系统读取设备信息后保存在内存中,在任务执行完毕后销毁,做到一次性使用。 策略管理 须支持核查脚本的自定义功能,并能按顺序清晰展示脚本使用的命令集合,例如:[netstat, echo] 部署 须支持上下级级联和管理,并能监控下级节点的性能信息 厂商要求 提供制造商(产品源厂商)授权书(原件),原件须附入报价文件正本内。 6、谈判文件第四部分《合同书格式》P41页: 8.3.1安全评估系统(安全脆弱性扫描)工具指标要求: 指标 要求 厂商 要求 漏洞研究 产品源厂商应具备多年的漏洞研究经验和专业的攻防技术研究团队,具备独立漏洞发掘的能力。请提供自主发现的CVE安全漏洞列表,要求数量不少于110个。请提供自主发现的CNNVD安全漏洞列表及证书,要求数量不少于10个(含)。 产品源厂商应具备丰富的漏洞检测及系统脆弱性评估经验。请提供与系统漏洞扫描、服务识别以及系统风险评估相关的公开专利,要求数量不少于3个(含)。 功能 要求 扫描能力 须支持对各种网络主机、操作系统、网络设备(如交换机、路由器、防火墙等)、vmware等虚拟化平台以及应用系统的识别和漏洞扫描。 须支持对无线网络环境的安全检测,支持展示无线设备节点分布情况,支持无线风险统计及展示,支持导出FISMA、BASEL II、萨班斯、HIPAA以及PCIDSS等报告; 须支持对各种Web应用系统的扫描,支持检测SQL注入漏洞、XSS攻击漏洞、CGI漏洞、网页挂马、关键字检测、网站备案信息、敏感信息泄露等。 须支持对扫描对象的脆弱性进行全面检查,识别内容应包括操作系统和应用系统安全补丁的缺失、弱口令、常见木马后门、不安全的服务配置等。 须支持多种协议口令猜测,包括Telnet、Pop3、SSH、Ftp、SQL Server、DB2、MySQL、Oracle等;允许外挂用户提供的字典档。 须支持智能推荐扫描参数,根据宿主机的实时性能动态提供线程数和并发IP数等参数设置建议。 须支持扫描任务预计所需剩余时间显示; 须支持对主流数据库的识别与扫描,包括:Oracle、Sybase、SQL Server、DB2、MySQL等,能够扫描的数据库漏洞扫描方法不小于830种(含)。 须具备Windows域环境下的深度扫描能力,即能够利用域管理员的权限,在域内进行效果相当于基于主机的漏洞扫描和检测。 须支持断点续扫功能,以应对突发网络状况和设备故障,并能够对已经完成的扫描结果进行实时保存。 须支持的最大并发扫描IP应不少于100个(含); 单个IP的最大并发扫描线程应不少于100个(含); 须支持实时显示扫描进度以及阶段性扫描结果,包括主机名、开放端口、操作系统、服务、用户、BANNER信息、漏洞信息等。 须支持灵活的扫描任务制定功能,可设定任务优先级,安排自动计划任务,进行任务导入导出操作,并能够根据网络环境调整并发扫描、网络延迟等任务参数,提高扫描效率。 须支持与WSUS的联动,支持邮件发送自动配置WSUS的注册表文件,方便进行自动化的补丁修补。 资产管理 部门和资产编辑,支持对部门和资产的添加、删除、编辑等操作,以及对资产的属性自定义功能。 须支持以txt、csv、dat等格式进行资产列表的导入。 须支持对已有的资产和部门直接扫描; 须支持显示资产和部门的历史扫描结果,须支持显示资产和部门的风险评估值; 须支持每个资产历史扫描的风险趋势图显示,缺省显示最后24次扫描结果的趋势显示; 报表功能 报告应包含漏洞详述和修补方案,对于常见补丁类漏洞能够提供相关的补丁下载链接。 产品升级、维护 须支持在线升级方式,可按计划执行自动升级;产品同时应支持手动升级方式,可利用已经下载的升级包实现升级。 用户管理 须支持三权分立。产品具备独立用户管理功能,能够分管理员、操作员、分析员、审计员等角色对用户进行管理;产品还应能够为不同的用户设定其可以扫描的IP地址。 能够对登录日志、操作日志(定制和下发任务、生成报告、自动发送报告)进行记录和查询。 须支持在未更改缺省用户的原始密码的情况下禁止通过其他网段进行登录。 部署 产品应支持在Windows 2000、XP、2003、Windows 7、2008、8系列操作系统中安装使用,可部署于主流PC、笔记本电脑以及服务器之上。 资质 要求 销售许可 产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》,要求为增强型。 型号证书 产品具有中国信息安全测评中心颁发的《信息技术产品安全测评证书》,级别EAL3。 CVE证书 CVE(Common Vulnerabilities and Exposures)组织正式的兼容认证 (Certificate of CVE Compatibility) 保密局检测证书 产品具有中国国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》 版权证书 产品具有国家版权局颁发的《计算机软件著作权登记证书》 强制认证 中国信息安全认证中心的《中国国家信息安全产品认证证书》,要求为增强级。 授权证明 提供制造商(产品源厂商)授权书(原件),原件须附入报价文件正本内。 8.3.2等级保护基线核查工具指标要求: 指标 要求 扫描能力 在建立核查任务时支持从“资产库获取、IP段添加、Excel导入”方式添加核查设备。 提供任务的复制功能,在不影响原有任务的情况下,对复制的任务进行修改和裁剪。 核查方式 对于管理较好的不可达网络或者物理隔离网络,提供分布式采集器,可实现批量核查,批量上报,并根据实际情况实现在线及离线两种方式。 在线:从安全基线配置检查服务器获取批量任务,点击执行后讲结果批量上报 离线:从安全基线配置检查服务器获取批量任务,将获得的任务的移动设备接入不可达网络中自动执行批量检查任务,任务完成后将离线采集移动设备接回安全基线检查服务器将任务结果导入安全基线检查服务器完成离线批量核查。 离线核查支持: 1)提供所有设备按照策略及自定义策略的VBS离线脚本下载功能,在目标设备上执行完成后将结果导入基线系统。 2)网络设备支持:支持将离线命令在目标设备上运行后,通过提供执行命令集Session Log方式检查; 对于不希望提供管理员账号和密码的个人主机系统,支持提供代理检查的方式,代理检查结果自动上传到检查服务器,并支持代理设备中的中间件及数据库核查。 支持对数据库和中间件设备安装路径自动探测功能。 对扫描失败的设备和检查项有非常准确的失败信息反馈。 资产管理 可通过选中资产立即下发核查任务(提供产品截图证明并加盖制造商公章) 可通过选中资产查看该资产的核查历史,并能够选中两个任务进行对比分析,展示两次核查的对比信息,包括核查时间及核查结果(提供产品截图证明并加盖制造商公章) 帐号获取与传输安全 须支持被核查设备帐号信息的密码文件读取的获取方式:系统提供密码文件模版下载功能,在建立核查任务时提供导入功能,系统读取设备信息后保存在内存中,在任务执行完毕后销毁,做到一次性使用。 策略管理 须支持核查脚本的自定义功能,并能按顺序清晰展示脚本使用的命令集合,例如:[netstat, echo] 部署 须支持上下级级联和管理,并能监控下级节点的性能信息 厂商要求 提供制造商(产品源厂商)授权书(原件),原件须附入报价文件正本内。
其他内容不变。
二、投标(响应)截止时间:2017年01月13日09时30分
三、联系事项
| (一)采购单位:梅州市城市综合管理局 | 地址:梅州市梅江区江南裕安路18号 |
| 联系人:陈先生 | 联系电话:0753-8668630 |
| 传真:0753-8668630 | 邮编:514000 |
| (二)采购代理机构 :广东千易商务咨询代理有限公司 | 地址:梅州市梅龙东路梅州工会大厦11楼 |
| 联系人:罗爱娇 | 联系电话:0753-2223126 |
| 传真:2323126 | 邮编:514000 |
| (三)采购项目联系人(采购单位):陈先生 | 联系电话:0753-8668630 |
| 采购项目联系人(代理机构):吴小姐 | 联系电话:0753-2223126 |
特此公告。
发布人:广东千易商务咨询代理有限公司
发布时间:2017年01月05日
版权声明:
本网发布内容凡注明来源为政府采购信息网/政府采购信息报的,表明“政府采购信息网/政府采购信息报”拥有其版权或已获得授权,内容形式包括但不限于文字、图片、音频、视频等。如需转载请注明来源于政府采购信息网/政府采购信息报,标注作者,并保持文章的完整性。否则,将追究法律责任。
其他来源稿件,本网已标明出处及作者,转载仅为信息分享,如涉及版权等问题,请相关权益人及时与我们联系。
- 承德护理职业学院校园网络升级服务项目竞争性谈判采购公告
- 日照市中级人民法院数据网络安全系统公开招标公告
- 工业PON等网络技术在制造型企业的示范应用采购项目招标公告
- 册亨县123个行政村村级公共基础设施(信息网络建设)采购采购公告
- 桐梓县教育系统光纤网络租赁服务二次招标采购公告
- 天长市农村物流三级网络节点体系规划项目招标公告
- 重庆西恒工程咨询有限公司路口网络租赁(GGZC2020-G3-00319-CQXH)招标公告
- 国家税务总局吉林省税务局人民广场办公区无线办公网络建设项目第二次公开招标公告
- 北京市公安局石景山分局基础网络系统升级改造项目公开招标公告
- 河南省市场监督管理局(原省工商局)网络租赁项目招标公告
