重要信息系统等保检查工具箱项目采购需求公示招投标书范本

千里马招标网中国招投标行业门户网站供应商资格条件本项目供应商资格条件要求如下：（一）符合政府采购法第二十二条规定，提供政府采购法实施条例第十七条规定资料。.具有独立承担民事责任的能力：提供法人或其他组织的营业执照等证明文件，或自然人身份证明；.具有良好的商业信誉和健全的财务会计制度：具体要求：供应商是法人的，应提供年或年经审计的财务报告或基本开户银行出具的资信证明。部分其他组织和自然人，没有经审计的财务报告，可以提供银行出具的资信证明。.具有履行合同所必须的设备和专业技术能力：具体要求：提供具备履行合同所必需的设备和专业技术能力的证明材料。.具有依法缴纳税收和社会保障资金的良好记录：具体要求：提供近年任意三个月依法缴纳税收和社会保障资金的相关材料。.参加本次政府采购活动前三年内，在经营活动中没有违法违规记录：提供参加政府采购活动前年内在经营活动中没有重大违法记录的书面声明（格式文件详见投标文件范本）；.法律、行政法规规定的其他条件：未列入“信用中国”网站（）及中国政府采购网（/cr/list）失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单，提供购买标书当日至开标前一天任意时间的查询截图。（二）本项目所需特殊行业资质或要求无（三）本项目不接受联合体投标采购清单及技术参数序号名称设备参数及描述数量重要信息系统等保检查工具箱）加固式三防笔记本电脑支持防溅水、防尘、防撞、耐摔，英特尔®酷睿I系列，内存GB，SSD固态硬盘GB，外置蓝光光驱，英寸）便携式打印机分辨率：不低于xdpi支持彩色打印黑白打印速度: 不低于页/分钟彩色打印速度：不低于页/分钟接口类型：支持USB.）数码相机总像素：不低于万操作模式：全自动变焦方式：光学变焦变焦倍数：倍对焦方式：自动对焦数据接口：支持USB.存储容量：不低于GB）录音笔录音格式：Mp、wav等格式录音时间：Mp录音格式不低于小时，wav录音格式不低于小时麦克风：内置高灵敏度麦克风扬声器：内置扬声器显示屏：中文数码显示屏录音距离：不低于米容量：不低于GB）扫描仪分辨率：不低于dpi支持彩色/黑白操作系统：支持Windows/XP扫描介质：文件、图片扫描最大幅面 A输出格式：JPG、BMP接口类型：支持USB.存储容量：不低于GB）执法记录仪焦距：cm无穷远摄像时间：连续摄像不小于小时接口类型：支持USB.操作系统：Windows/待机时间：小时存储容量：不低于GB技术要求：符合《GA/T-单警执法视音频记录仪》中的技术要求）防护箱耐温范围：箱体应在-℃至+℃之间保持正常形态耐用性：正常使用（负重在Kg以内）的情况下，箱体可以使用年以上防水性：箱体应在完全侵入水面cm以下，保持小时不发生渗漏复用性：箱体侵入睡下小时后取出，箱盖应能自由开关次以上防雨性：箱体应在雨量每小时cm的环境下，个面分别可以经受分钟雨淋防尘性：箱体应具有IP级的防尘能力，防止灰尘进入防冲击性： 箱体应能防直径.cm，顶端为半球形，重Kg的中午从mm高自由落下冲击承重性：箱体内装载KG负重情况下，应能悬挂小时以上防摔性：箱体内装载Kg负重情况下，应能从mm高处角棱面全方位自由跌落次防震性：箱体应能承受赫兹到个轴向，每轴向分钟，总计分钟的震动锁具：防护箱配备锁具易用性：箱体应配备拉杆和滑轮，以便于移动便携使用在线检查工具集Linux主机安全配置检查工具： 支持检查主机系统配置信息，包括：计算机名、用户名、操作系统、版本、内存等 支持检查系统安全补丁升级情况 支持检查不必要的服务和端口（如TELNET、SSH、SNMP、HTTP等） 支持检查账户安全策略信息，包含口令长度、复杂度、定期更换、登录失败、锁定次数等 SNMP、SSH服务、版本信息 支持检查安全审计配置情况、包含事件类型 支持检查屏幕保护恢复时间 支持RedHat、Ubuntu、Debian、Fedora、Suse、Centos中标麒麟、红旗操作系统类型 支持在线更新、离线升级网络及安全设备配置检查工具 支持对华三、思科、华为、中兴、锐捷路由器、交换机通用系列网络设备安全分析检查 支持对天融信、网神、启明星辰、网御星云、Juniper、三石网科、深信服防火墙通用系列设置安全分析检查 支持检查账户安全策略信息，包含口令长度、复杂度、定期更换、登录失败、锁定次数等 支持检查安全审计策略，包含事件类型、SYSLOG服务器 支持检查不必要的服务和端口（如TELNET、FTP、SNMP、HTTP、Sendmail） 支持SNMP、SSH服务、版本信息检查 运行环境支持WindowsXP、Windows、WindowsServer、WindowsServer等操作系统类型 支持在线更新、离线升级弱口令检查工具：应用服务支持类型：SSH、SMB、TELNET、FTP、RDP、SQLServer、Oracle、MySQL、POP、HTTP、VNC、Sybase等协议应用程序弱口令检查 支持自定义账户、口令字典 支持自定义应用协议TCP端口 内置常见弱口令字典（如口令为：、、等） 支持本地、远程主机及多协议同时检查 运行环境支持WindowsXP、Windows、WindowsServer、WindowsServer等操作系统类型 支持在线更新、离线更新数据库安全检查工具： 支持IPV地址检查 支持对数据库弱点、不安全配置、安全策略、补丁升级、弱口令安全检查 支持主流Oracle、SQLServer、DB、Informix、MySQL、Sybase、postgresql数据库类型，支持达梦、金仓国产数据库 支持授权扫描，使用具有DBA权限的数据库用户，执行选定的安全策略实现对目标数据库检查 非授权扫描,用户在没有授权的情况下（即：不需要数据库用户名、密码），根据选定的安全策略对目标数据库进行的检测 策略自定义,提供扫描策略可自定义模式，操作者可以灵活选择默认策略的同时也可以自定义添加策略 支持自动搜索功能，可以自动搜索出某一网段或指定IP范围内（端口号可默认或指定范围）的活动数据库，获得数据库的基本信息（包括IP、数据库类型、服务名、端口号、数据库版本、操作系统类型、主机名等） 支持按时、按日、按周定制扫描计划，到时间自动进行扫描 支持数据库检查任务以文件形式导出备份 支持以文件形式导入检查任务 支持自定义报表：报告内容可以自定义(如：报表的标题、描述、页眉、页脚、等相关信息满足不同场景报表输出需要 支持针对数据库每张表每个字段的内容进行敏感数据探测 支持在线更新、离线升级网站安全检查工具： 支持WEB.，支持各类JavaScript脚本解析 支持WAP站点扫描 支持FLASH解析 支持基于HTTPS应用系统的扫描 支持实时存储扫描项目文件、断点续扫 支持ERP等复杂的Web应用系统扫描 支持易通、织梦、DEDECMS、Discuz、Ecshop、易思、方欣、大汉、科讯、通达OA、PHPCMS、PHP、PHPCMS、phpcmsv、SHOPEX、SiteServercms、TRS、Nginx代码执行、Spring代码执行、亿邮邮件系统命令执行等国内、国外知名WEB应用程序漏洞扫描 支持JSP、CGI、ASP、.NET等类型动态页面 支持IP地址、域名地址、批量网站扫描 支持无人值守模式下的全自动扫描 支持HTTP.和.标准的Web应用系统 支持Oracle、SQLServer、DB、Informix、Sybase、MySQL、PostgreSQL、Access、Ingres等后台数据库类型 支持对SQL注入、XSS跨站脚本、伪造跨站点请求、网页木马、隐藏字段、表单绕过、AJAX注入、弱配置、敏感信息泄漏、HI－JACK攻击、弱口令、Xpath注入、LDAP注入、框架注入、操作系统命令注入、Flash源代码泄漏、Flash跨域攻击、Cookies注入、敏感文件、第三方软件、其他各类CGI等漏洞进行扫描支持主动扫描、被动扫描两种模式的深度扫描；支持多域名批量扫描支持定制扫描：用户可根据目标扫描网站的特点以及所在网络环境，对扫描过程进行定制，如爬行、检测、过滤、网络环境等支持多种网站认证方式：支持包括Basic、Digest、NTLM在内的认证方式，支持HTTP和SOCKS代理，并支持各种代理的认证方式对目标网站进行完整深度扫描，获取网站文件列表，在扫描过程中区分目录、文件等大小写设定；提供“当前域、整个域、当前页、子路径、全部页”五种不同的选择；可设定强制检测的URL地址支持带验证码的应用系统，并可进行登录录制功能，录制功能包括IE录制、webkit录制、插件录制支持扫描模板的设定，不同网站进行同类安全检测可直接选择已配置完成的扫描模板支持扫描原始数据、测试数据的查看与浏览器回放显示支持对扫描用时、扫描页面数、发包数、页面请求时间等扫描过程数据进行统计支持按时、按日、按周定制扫描计划，到时间自动进行扫描支持在线更新、离线升级系统漏洞检查工具：支持对MicrosoftWindowsXP//Vista//、SunSolaris、HPUnix、IBMAIX、IRIX、Linux、BSD等操作系统进行漏洞扫描支持对Web、FTP、电子邮件等应用系统以及Office、Apache等常用软件进行漏洞扫描 支持对网络设备进行漏洞扫描 支持多种扫描策略，包括常规完全扫描、高强度完全扫描、高强度扫描、中强度扫描、低强度扫描、Windows主机扫描、类Unix主机扫描等扫描策略，方便用户快速选择 支持自动统计总体漏洞数量、统计不同操作系统类型的主机数量、统计所有开发端口、可用帐户、列出每一个漏洞所存在的主机、详细描述与修补建议。漏洞详细描述包括：漏洞名称、详述、修补方案、CVE/Bugtraq/CNCVE/CNNVD编号、CVSS评分等 支持设置跳过主机发现进行扫描 支持设置主机发现方式进行扫描 支持UDP端口扫描及端口对应服务探测，并支持端口扫描范围设置 支持资产管理并从资产管理中导入资产记录进行扫描 支持在线、离线更新 支持导出Word、PDF常见格式报表邮件漏洞检测工具 支持检测是否可以免认证发送邮件 支持检测是否必须SMTP认证 支持检测发送的邮件内容是否必须加密 支持检测发件人、收件人欺骗是否拦截 支持检测邮件头、邮件内容、附件头含跨站脚本是否拦截内置U口工具集(软件)Windows主机安全配置检查工具:支持检查主机系统配置信息，包括：计算机名、用户名、操作系统、版本、内存大小、磁盘大小、系统路径、共享目录支持检查USB接入设备信息支持检查InternetExplorer、Chrome、Firefox等浏览器上网记录、Cookie记录支持检查主机硬件信息，包括：CPU信息、主板信息、内存信息、显卡信息、硬盘信息、网卡信息。支持检查主机开机自启动项程序查看主机上已经启动的可能有风险的服务程序，包括：如TaskScheduler、PrintSpooler、RemoteRegistry等服务支持检查账户安全策略信息，包含口令长度、复杂度、定期更换、登录失败、锁定次数等对系统账户进行检查，可智能识别系统影子账户（隐藏账户）查看系统是否开启系统审核系统登录事件、审核账户登录事件等安全审计策略运行环境支持WindowsXP、Windows、WindowsServer、WindowsServer等操作系统类型支持在线更新、离线升级主机病毒检查工具： 支持对操作系统的关键机制，如系统服务、内存、注册表、启动进程；检测操作系统的安全模型，包括访问控制、特权和审计；反馈系统安全配置、文件访问，驱动、引导等系统深度进行检查。检查流氓软件、蠕虫病毒、其它恶意程序等。支持快速扫描、全盘扫描、自定义目录扫描运行环境支持WindowsXP、Windows、WindowsServer、WindowsServer等操作系统类型支持在线更新、离线升级主机木马检查工具:支持检查系统中的木马程序、Rootkit、间谍程序等提取操作系统的关键机制，如系统服务、内存、注册表、启动进程；检测操作系统的安全模型，包括访问控制、特权和审计；反馈系统安全配置、文件访问，驱动、引导等系统深度信息。支持快速扫描、全盘扫描、自定义目录扫描运行环境支持WindowsXP、Windows、WindowsServer、WindowsServer等操作系统类型支持在线更新、离线升级网站恶意代码检查工具:支持asp、asa、cer、jsp、jspx、php等文件格式检查支持自定义文件后缀格式支持异性、变异WEBSHELL后门代码检查支持关键恶意特征码定位支持快速扫描、全盘扫描、自定义路径扫描支持自定义扫描策略、可扩充恶意特征码支持自定义文件大小扫描运行环境支持WindowsXP、Windows、WindowsServer、WindowsServer等操作系统类型支持对机密文档内的黑客工具攻击后留下的系统后面进行检测支持在线更新、离线升级服务支持（年）、安排经过网络安全培训认证和信息安全等级保护检查工具箱培训的专业人员提供每年不低于天的现场上门协助检查服务。、在遇到一些黑客级别的技术人员进行渗透、验证等情况下，提供专业的安全技术服务人员（渗透工程师）到现场上门服务。、根据网安部门人员的情况及网络安全形势的需要，定期安排厂家专业的讲师现场上门进行相关的网络安全新形势，新技术以及相关应对措施的培训。、每月至少推送两次网络安全国际、国内、市内情报，每月提供一次专业的网络安全资讯（当前一些重大的网络安全事件，技术文章等）、提供一年两次的现场上门针对网安民警的信息安全攻防演练培训。、产品升级及服务要求现场上门服务的，厂家在贵阳本地要有三个以上的技术工程师及投标商在本地三个及以上的CISP技术人员（合同签署时需提供厂商技术在本地社保证明及投标商技术人员本地社保证明）。、中标以后提供产品测试，测试完全满足投标要求后再签署合同。、如发现中标单位虚假应标则取消中标资格并把中标单位及其授权厂商列入本单位采购黑名单。备注：包含所有设备的清洁、包装、运输、费用如下服务必须是工具箱厂商提供：服务名称服务内容时间要求（为了确保服务的质量）网络安全执法检查服务由专业的网络安全厂商派出对网络安全建设，整改以及网络安全检查等具有丰富经验的技术人员协助网安支队的人员每月对网安支队确定的重要单位进行网络安全执法检查，针对被检查单位的实际情况，针对性的出具网络安全检查报告和专业的整改建议。具体服务内容如下：针对被检查单位做如下检查并出具相应的检查报告：物理安全检查并出具《物理安全检查报告》、网络安全检查并出具《网络安全检查报告》、主机安全检查并出具《主机安全检查报告》、应用安全检查并出具《应用安全检查报告》、数据安全检查并出具《数据安全检查报告》、针对管理制度调研并出具《管理问卷检查报告》、网站安全检查并出具《网站安全检查报告》、系统漏洞扫描并出具《系统漏洞扫描报告》、邮件漏洞检测并出具《邮件漏洞检测报告》、弱口令检查并出具《弱口令检查报告》、主机安全配置核查并出具《主机安全配置核查报告》、网站安全漏洞扫描并出具《网站安全漏洞扫描报告》《咨询响应报告》、《网络安全整改建议书》每年次专业的网络安全厂商技术人员，对网络安全要有实践经验，具有丰富的等保建设和整改项目经验，并且在贵州本地要有过帮助客户进行网络安全建设及等保建设项目经验。等级保护抽查服务由专业的网络安全厂商派出具有大量的等保建设和整改经验的技术人员，协助网安支队的人员对网安支队确定需要进行等保建设情况抽查的单位进行网络安全执法检查，并针对性的出具与等保标准对比报告。具体服务内容如下：针对被检查单位做如下检查并出具相应的检查报告：物理安全检查并出具《物理安全检查报告》、网络安全检查并出具《网络安全检查报告》、主机安全检查并出具《主机安全检查报告》、应用安全检查并出具《应用安全检查报告》、数据安全检查并出具《数据安全检查报告》、针对管理制度调研并出具《管理问卷检查报告》、网站安全检查并出具《网站安全检查报告》、系统漏洞扫描并出具《系统漏洞扫描报告》、邮件漏洞检测并出具《邮件漏洞检测报告》、弱口令检查并出具《弱口令检查报告》、主机安全配置核查并出具《主机安全配置核查报告》、网站安全漏洞扫描并出具《网站安全漏洞扫描报告》《咨询响应报告》、《等级保护检查报告》、《等级保护整改建议书》每年次专业的网络安全厂商技术人员，对等级保护建设要有实践经验，具有丰富的等保建设和整改项目经验，并且在贵州本地要有过帮助客户进行网络安全建设及等保建设项目经验。重大高危漏洞人工验证服务专业的安全服务人员（渗透工程师）协助网络部门对一些重大的高危漏洞进行人工验证。具体服务内容如下：结合对漏洞的理解与经验，手工或者利用burpsuite、Sqlmap、F-NAScan、nmap、wireshark等工具，对提示的漏洞进行攻击重现，并做好相应的说明以证明问题是否存在。每年次人员必须是渗透工程师重大活动期间的重要信息系统（网站）人工渗透服务专业的安全服务人员（渗透工程师）协助网络部门对一些重要的信息系统进行人工渗透服务，确保在重大活动开展之前，排除这些重要的信息系统存在的隐患。具体服务内容如下：一、信息收集

信息收集是指渗透实施前尽可能多地获取目标信息系统相关信息，例如网站注册信息、共享资源、系统版本信息、已知漏洞及弱口令等等。通过对以上信息的收集，发现可利用的安全漏洞，为进一步对目标信息系统进行渗透入侵提供基础。

二、弱点分析

对收集到的目标信息系统可能存在的可利用安全漏洞或弱点进行分析，并确定渗透方式和步骤实施渗透测试。

三、获取权限

对目标信息系统渗透成功，获取目标信息系统普通权限。

四、权限提升

当获取目标信息系统普通管理权限后，利用已知提权类漏洞或特殊渗透方式进行本地提权，获取目标系统远程控制权限。每年次人员必须是渗透工程师网络安全知识培训服务由具有实践经验的专业的网络安全技术人员对网安民警进行网络安全知识的培训，提高网安民警的网络安全知识水平和业务能力。具体内容如下：网络安全基础知识培训（具备基本的