(一)项目名称:漏洞扫描系统采购项目
(二)采购内容概述:
采购漏洞扫描系统软件一套,含3年原厂维保。
(三)采购方式:以采购文件为准。
二、供应商资格要求
(一)供应商必须是在中华人民共和国境内注册的独立法人或其他组织,具有独立承担民事责任的能力。
(二)具有良好的商业信誉和健全的财务会计制度,没有处于被责令停业及财产被接管、冻结或破产状态,财务状况良好;
(三)有依法缴纳税收和社会保障资金的良好记录。
(四)参加本次采购活动前三年内,在经营活动中没有重大违法记录。
(五)具备履行合同所需专业技术能力。
(六)供应商应提供所投品牌在有效期内的国家信息安全漏洞库(CNNVD)漏洞信息技术支持单位等级证书或共享合作单位证书。
(七)供应商所投产品必须满足GB42250-2022《信息安全技术网络安全专用产品安全技术要求》等相关国家标准的强制性要求的安全认证合格或者安全检测证书。
(八)供应商应提供有效期内的所投品牌产品的代理资质;
(九)单位负责人为同一人或者存在控股、管理关系的不同单位,不得同时参加本项目应答。
(十)成交后不允许分包、转包,能够直接和我司签署项目合同。
(十一)本项目不接受联合体应答。
(十二)供应商所投产品需通过POC测试,同一品牌仅开展一次POC测试,测试过程中存在不符合需求的立即终止测试。POC测试结果需签字确认。POC测试内容见“(十三)功能要求”。
(十三)功能要求
漏洞扫描系统需构建全面的资产安全评估与风险管理体系。
1.资产探测能力,需具备存活IP探测、服务端口识别、操作系统及应用指纹采集等功能。
2.资产管理能力,支持资产分类添加、文件导入、分区域管理等。
3.漏洞发现能力,需支持自定义扫描任务(包括资产选择、网段扫描、漏洞类型选择)、灵活设置扫描参数(并发数、白名单、定时扫描),并覆盖Web系统、主机设备、网络设备及常见数据库的漏洞检测。
4.漏洞管理能力,需记录扫描方式标签,集成涵盖CNVD/CVE中高危漏洞的知识库,支持漏洞状态跟踪、多轮扫描同步及周期性统计。
5.报告输出能力,支持多格式导出及按资产维度生成详细修复建议。
6.系统集成能力,需提供API或网络协议接口以实现任务下发、结果获取与日志外发。
7.通知与更新机制,支持邮件告警和漏洞库在线/离线更新。
8.部署灵活性,支持硬件/软件形态及分布式Agent架构。
9.功能清单如下:
|
分类 |
功能 |
功能描述 |
|
资产探测 |
★存活资产探测 |
支持存活IP探测。 |
|
★服务端口探测 |
支持针对指定端口或服务进行探测。 |
|
|
★资产指纹识别 |
支持识别操作系统类型、端口、服务及应用软件等资产指纹信息。 |
|
|
互联网存活资产探测 |
支持存活IP探测(可通过云服务提供该功能)。 |
|
|
互联网服务端口探测 |
支持针对指定端口或服务进行探测(可通过云服务提供该功能)。 |
|
|
互联网资产指纹识别 |
支持识别操作系统类型、端口、服务及应用软件等资产指纹信息(可通过云服务提供该功能)。 |
|
|
资产管理 |
★资产添加 |
支持将扫描发现的资产添加到对应资产分类。 |
|
★资产文件导入 |
支持通过文件形式导入资产。 |
|
|
★资产分网络区域管理 |
支持按网络区域对资产进行分类管理。 |
|
|
漏洞发现 |
★扫描任务设置 |
1、支持选择部分漏洞进行扫描; 2、支持从资产树中选择资产; 3、支持网段扫描; 4、支持子网掩码解析; |
|
★扫描参数设置 |
1、支持设置扫描并发数量、扫描速度; 2、支持白名单IP排除; 3、支持定时扫描; |
|
|
★扫描类型 |
1、支持Web系统漏洞扫描(含登录扫描及自定义HTTP请求头); 2、支持主机、安全设备、网络设备漏洞扫描; 3、支持常见数据库(如MySQL、Oracle、MongoDB等)扫描; |
|
|
漏洞管理 |
漏洞扫描方式标签记录 |
扫描结果包含漏洞扫描方式标签(如原理扫描、版本扫描等)。 |
|
★漏洞库及漏洞情报 |
1、漏洞库涵盖主机、Web、数据库漏洞,数量丰富; 2、包含CNVD、CVE中危及以上漏洞; 3、提供漏洞知识库,含编号、介绍、修复建议;4、漏洞库定期更新; |
|
|
★资产漏洞更新同步 |
支持多次扫描任务后资产漏洞信息的更新与同步。 |
|
|
★资产漏洞修复状态设置 |
支持对漏洞状态进行设置(如忽略、已修复、待修复等)。 |
|
|
资产漏洞周期性统计 |
支持查看指定资产在季度、年度内的漏洞变化情况。 |
|
|
报告输出 |
★漏洞扫描报告 |
1、支持导出Excel、PDF、XML、Word等多种格式; 2、报告内容完整,含漏洞详情与修复方案; 3、支持按资产维度导出漏洞情况及修复建议; |
|
系统对接 |
★API或网络协议对接 |
系统包含丰富的API接口或网络协议对接,至少包含以下内容: 1、支持通过API或网络协议下发扫描任务; 2、支持通过API获取漏洞扫描结果; 3、支持系统日志通过API接口或网络协议外发。 |
|
通知和更新 |
★邮件通知 |
支持通过邮件发送漏洞扫描报告、设备运行状态。 |
|
★漏洞库更新 |
支持在线更新与离线上传文件更新漏洞库。 |
|
|
部署和稳定运行 |
★部署方式 |
1、支持硬件与软件部署; 2、支持Agent扫描节点+总服务端分布式部署; |
|
★部署环境 |
支持CentOS操作系统以及国产操作系统部署,并提供免费迁移服务,保障跨平台兼容与平滑部署; |
|
|
★正版化 |
系统所有组件须使用正版授权,不应使用存在知识产权纠纷组件及产品; |
|
|
性能 |
1、系统需具备高并发扫描任务处理能力,支持同时对大规模资产执行高效漏洞检测,扫描过程应低延迟、低误报。 2、系统需支持水平扩展,可通过增加扫描节点适应更大规模网络环境; |
|
|
稳定性 |
系统应支持7×24小时不间断稳定运行,在持续高负载情况下无性能衰减。 |
三、征集报名时间及方式
(一)本公告征集截止时间为2025年10月13日24时00分(北京时间);
本招标项目仅供 正式会员查阅,您的权限不能浏览详细信息,请点击注册/登录,请联系工作人员办理入网升级。
联系人:王越
电话:010-68819835
手机:13661355191 (欢迎拨打手机/微信同号)
邮箱:wangyue@zbytb.com
