web安全测试工具和性能测试工具采购项目公开询价(FNII-XJ-2023001-3)

发布时间:2023-06-01 浏览次数:1,725次 作者:江苏省未来网络创新研究院

江苏省未来网络创新研究院因软件测试CMA资质评定需要,计划采购web安全测试工具和性能测试工具,项目总预算人民币36万元。

按照江苏省政府采购要求,结合研究院内部管理制度,本次采购采用询价的方式,欢迎符合要求的供应商提交报价文件。

本次采购具体要求如下:

 

一、本次采购报价文件应满足、包含以下内容:

1. 报价单位针对标的物的报价不得高于最高限价,高于限价的报价将被否决。

2. 报价单位应完全响应技术规格及配置要求,所有条款必须满足或正偏离,需提供证明材料的应提供相应材料。

3. 报价单位需承诺,取得交易资格后提供原厂质保函。

4. 请详细描述原厂质保内容及技术支持方案。

5. 本次采购标的物安装实施地点在南京市。

6. 报价单位应于6月6日上午10:00前将报价文件密封送至江宁区秣周东路7号未来网络大厦1702室。

联系人:徐经理   联系电话:025-57926635

 

二、报价文件每一页都应加盖报价单位公章,报价文件密封包装袋封口也应加盖公章。

 

三、本次采购标的如下:

序号

名称

数量(套)

最高限价(万元)

1

web安全扫描工具(核心产品

1

36

2

性能测试工具

1

 

四、款项的支付方式及进度安排

1. 全部软件安装部署完成30日后,中标单位开具合同总额 80 %的增值税专用发票、提交付款通知书后30日内,采购人支付等同发票金额给中标单位;

2. 验收完成30日后,中标单位开具合同金额 20 %的增值税专用发票、提交付款通知书后30日内,采购人支付等同发票金额给中标单位。

3. 总价款包括增值税税金、设备设计、制造、包装、仓储、运输、装卸、保险、安装以及验收合格前和保修期内设备及其备品备件更换及维修发生的费用等所有费用。

 

五、本次采购标的物技术规格及配置要求详见下表:

 

工具

指标项

技术规格及配置要求

Web安全测试工具

设备形态及性能要求

产品支持虚拟化平台部署,具备灵活的多平台部署能力,能够直接以虚拟机镜像方式部署在虚拟化平台上。

并发扫描数≥60个主机,最大并发任务数≥10,授权可扫描总数为无限的IP地址或域名。

漏洞扫描与分析能力

 

支持对系统漏洞扫描、web漏洞进行检查和综合分析,支持远程扫描和采用SMB、SSH、RDP、Telnet等协议对Windows、Linux等系统进行登录扫描。

支持检测的漏洞数大于240000条,兼容CVE、CNCVE、CNNVD、CNVD、Bugtraq等主流标准,其中漏洞库中CVSS≥9的漏洞数不少于25000条,须提供截图证明。

支持通过多种维度对漏洞进行检索,包括:CVE ID、BUGTRAQ ID、CNCVE ID、CNVD ID、CNNVD ID、MS 编号、风险等级、漏洞名称、是否使用危险插件、漏洞发布日期等信息,须提供截图证明。

支持内置不同的漏洞模板针对Unix、Windows操作系统、网络设备和防火墙等模板,同时支持用户自定义扫描范围和扫描策略。

支持Oracle、MySQL、MS SQL、DB2、Sybase、MongoDB数据库漏洞检查,须提供截图证明。

同时支持远程扫描和采用SMB、SSH、RDP、Telnet等协议对Windows、Linux等系统进行登录扫描。

具备单独口令猜测扫描任务,支持多种口令猜测方式,包括利用SMB、RDP、SSH、Telnet、SQL SERVER、MySQL 、Oracle、Sybase、DB2、MongoDB、Memcached、Redis 、PostgreSQL 、HighGo 、UXDB 、Kingbase 、STDB 、FTP、SFTP、ActiveMQ、POP3、Tomcat、SMTP、IMAP、Onvif、RTSP、 SNMP、SIP、Vmware ESXi、HTTP Digest、Weblogic、Elasticsearch、Websphere等协议进行口令猜测,允许外挂用户提供的用户名字典、密码字典和用户名密码组合字典,须提供截图证明。

支持智能端口挖掘,可以智能发现非默认端口启动的服务,须提供截图证明。

支持扫描任务立即执行、定时执行、周期执行,自定义的周期时间可精确至每*月第*个星期*的*点*分,须提供截图证明。

产品提供Web应用扫描能力,提供多种Web应用漏洞的安全检测,如SQL注入、跨站脚本、网站挂马、网页木马、CGI漏洞等。

支持基于basic、NTLM、Cookie等认证方式的Web应用系统安全扫描,且支持自定义Cookie进行深入检测。

支持登录预录制功能,能够根据用户操作录制并指定Web扫描url,使产品能够扫描和分析一些常规页面爬取程序检测不到的url。

风险展示及报表能力

 

支持在线报表,在线查看展示各节点和主机资产风险分布、漏洞分布、配置合规和脆弱账号信息,在线查看设备风险详情。

支持通过多种维度搜索定位资产和查看资产风险,包括并不限于:节点或设备名称、资产IP范围、资产管理员、资产操作系统类型、资产风险等级、漏洞名称、开放的端口、资产banner信息等,须提供截图证明。

支持高级数据分析功能,可对同一IP的两次扫描结果进行风险对比分析,并可在线查看同一IP的多次历史扫描结果,须提供截图证明。

报表支持提供针对不同角色的默认模板,离线报告支持HTML、WORD、EXCEL、PDF、XML等格式,报告可以直接下载或自动通过邮件直接发送给相应管理人员,须提供截图证明。

用户权限管理能力

 

支持创建不同用户角色权限管理,区分系统管理员、普通用户、审计管理员等角色,不同管理员拥有不同的管理权限。

支持多用户分级权限管理,可为每个用户分配账号、任务级的权限分配、支持自定义登录产品的IP范围及允许扫描对象的IP范围等,须提供截图证明。

系统管理及接口能力

具备对外接口,支持安全运营平台或其它安全产品通过该接口下发扫描任务以及获取检查结果。

提供备份恢复机制,能够对扫描结果、扫描模板、参数集等配置文件进行导出和导入操作;能够对系统创建还原点对系统进行备份和还原,须提供截图证明。

产品资质

 

产品具备中国网络安全审查技术与认证中心颁发的《网络关键设备和网络安全专用产品安全认证》和《中国国家信息安全产品认证》(增强级)证书(CCRC证书),提供有效证书的复印件。

产品具备中国信息安全测评中心颁发的《国家信息安全漏洞库兼容性资质证书》

升级维护

永久授权,包含三年的免费技术支持和升级。

性能测试工具

功能要求

提供易用的界面,支持标准C语言脚本,方便快速学习及掌握。

支持生成测试脚本,脚本主要通过录制自动生成。需具备自动完成脚本的上下文关联,且无须编程即可通过。

图形化方式完成检查点添加、集合点和参数化等工作。

支持多种录制方式,除了支持有界面应用的录制外,还需支持无界面应用进行脚本录制及性能测试。

支持多样的测试数据来源,参数化字段所需的测试数据可以从文本、excel表格导入,并支持从数据库中直接获取,支持自动生成。须提供截图证明。

支持测试脚本扩展能力,脚本支持调用外部DLL库,除了录制方式生成脚本外,还可以完全支持手工编写脚本,工具中需自带脚本的编译器和调试功能。须提供截图证明。

测试场景定义

支持多种压力产生方式,针对不同系统,需提供灵活的加压方式,需提供基于用户数的加压测试,基于目标的加压,容量测试等。

支持个性化虚拟用户行为,支持模拟浏览器类型和缓存等。支持设置同步点,对测试脚本中的某一特定请求有针对性地让所有用户同步加压。

支持测试场景的定义,支持用户自定义各种测试场景,提供定时自动测试、递增式加压、随时间任意变化加压、多个脚本组合加压等。支持任意组合来实现实际需要的复杂方式。

支持测试压力分散在多台机器上发起,且支持各类主流Windows及Linux操作系统。支持每台压力生成器上可以同时运行多种应用的不同脚本。

支持模拟不同网络状况。可以在同一压力生成器上模拟不同IP地址,以及模拟不同的网路带宽接入环境。须提供截图证明。

测试过程资源监控。

 

支持加压时同步完成无代理监控被测服务器。必须支持加压工具内置资源监控功能,而非借助额外工具实现监控,确保监控数据的同步性。监控功能必须以无代理方式进行,不得在所需监控的资源服务器上安装任何代理。

监控覆盖面广,监控环境包括Unix,Windows,Linux,Network,WebShpere,WebLogic,Oracle,Sybase,DB2,SQL Server,Apache,SAP,Citrix,Tuxedo,MQ,Real Server,Media Server等。须提供截图证明。

测试结果报告分析

 

支持完善的测试结果报告分析,压力测试后,支持自动对测试及监控结果进行分析。提供数据筛选、指标合并、指标细分、多次结果交叉合并分析等工具。

支持自动关联的技术,自动拟合应用性能参数(如应用响应时间,应用并发用户数)和系统性能参数(如网络性能指标,操作系统性能指标,数据库性能指标等),得出应用系统性能的瓶颈。

支持测试报告格式多样性,支持自动生成基于HTML、PDF、PPT、Excel、CSV、XML、BMP和JPEG等多种格式的测试报告。

应用协议支持

支持广泛的应用协议。能够提供对传统协议及新兴协议的支持,支持目前市场上的各类应用环境。协议支持必须包括:

支持模拟HTTP 或HTML 级别的浏览器和Web 服务器之间的通信协议。

支持移动应用程序-HTTP/HTML,需支持移动本机应用程序的录制。

支持录制基于浏览器的移动应用程序。

应用协议扩展

协议支持需具有以下扩展能力,包括:Web,MediaPlayer(MMS),RealPlayer,ODBC,Oracle,Terminal Emulator,Winsocket,IMAP,MAPI,POP3,LDAP,FTP,SMTP,DNS,RMI,SAP, Oracle Apps,移动应用,RDP等远程调用协议,AJAX,.NET、Flex等。

支持100+并发数。

支持Web协议包(包括HTTP/HTML、JMeter、Gatling、DevWeb等协议)须提供截图证明。

升级维护

永久授权,包含一年免费的技术支持和升级维保。

 

六、报价

(一)投标一览表

品名

应答报价

(元,含税)

增值税率

备注

 

 

     %

 

 

 

     %

 

合计

      (元,含税)

填写说明:

1、报价表必须加盖报价单位公章,于报价截止时间前与报价文件一起递交。

2、报价超过最高限价将否决其报价。报价保留小数点后两位。

3、须按照报价表格式进行报价,不接受0报价。

 

(二)分项报价表

品名

规格型号

配置参数

生产厂家

预估数量

单价

税率

总价

备注

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

合计

大写(小写)

                   

 

       法定代表人(授权代表)签字:              

日期:            

 

注:

1. 单价和总价均应包括但不限于所投产品全部费用、安装调试费、安装中的相关费用运行维护费用、全部税金、培训、售后服务、进口产品因汇率波动产生的汇总损益、及其他有关的为完成本项目发生的所有费用,文件中另有规定的除外;

2. 如果单价和总价不符时,以单价为准;

3. 请提供本采购文件要求设备详细的配置清单及分项报价,包括标准件及选购件;

4. 定型产品须在表中标明所提供的设备品牌、规格型号及原产地;加工定制产品需在表中标明主要部件的名称、型号及原产地。

5. 本项目为货物类采购,报价人所填写的税率应当按照国家标准的货物税率进行填写。