支持如何扫描网站漏洞

漏洞扫描、数据库审计安全设备招标公告采购人:松江区档案局2018年5月项目基本情况本项目购买漏洞扫描2台、数据库审计2台,中标人须在合同签订后20个工作日内完成设备到货、安装、调试工作.
投标人在投标时必须提供原厂商针对该项目的三年免费售后服务和特征库升级服务承诺.
产品性能参数要求(1)漏洞扫描序号指标项技术规格参数性能参数并发IP数:至少10单任务IP数:不少于1个B类(7万IP)扫描速度:至少20IP/60分钟授权任务存储数:至少100IP授权数:至少100个B类IP数网络设施评估(主机)网络设施评估(主机)漏洞资源库≥48000资源库全面覆盖从1988至今的主流操作系统、应用软件、服务器等漏洞,包括Unix/Windows/Mac/IIS/Apache/Nginx/等支持对各种主流操作系统、应用、服务、网络设备、数据库、虚拟化平台的智能识别,并对识别对象的脆弱性进行全面检查,包括系统安全补丁的缺失、弱口令、常见木马与后门等支持多维度对漏洞资源库进行检索查询,包括CVEID、CNVDID、CNNVDID、BUGTRAQID、SEEBUG、MS编号、风险等级、漏洞名称、漏洞发布日期等信息,可支持模糊语义检索支持资源库中包括主流操作系统、应用、服务、网络设备、数据库、虚拟化平台的详细信息与解决方案,并以列表形式呈现支持主流虚拟化平台漏洞检测,漏洞资源库≥380,包括Vmware/VirtualBox/KVM/OpenStack等支持多种专门针对DNS服务的安全漏洞检测,包括DNS缓存中毒、C-AresDNS库远程缓存破坏、KnotDNS拒绝服务漏洞等支持多种木马类型的安全漏洞检测,包括VMwareUSB服务特洛伊木马权限获取漏洞、JS.
Scob木马或者Download.
Ject木马、Trojan木马等支持多种主流操作系统的漏洞检测,包括类Unix/Windows/IOS/Android/AppleMac/GNU/Slackware/Mandriva/FreeBSD/Solaris/SUSE/Fedora/Debian/Gentoo等支持多种主流服务器的安全漏洞检测,包括IIS/Apache/Nginx/DNS/NFS/FTP/RPC/SSH/SNMP等支持多种主流数据库的安全漏洞检测,包括MSSQL/MySQL/Oracle/DB2/PostgreSQL/Sybase/solidDB/Firebird/SAPMaxDB等支持多种主流网络设备的安全漏洞检测,包括Cisco/Juniper/Citrix/3COM/DD-WRT/D-Link/NetGea/F5/Websense/EMC/Fortinet/ZyXEL/CheckPoint/BlueCoat/SonicWall/北电网络/趋势科技/华为等支持多种应用软件的安全漏洞检测,包括Adobe/Skype/FlashPlayer/NetscapeEnterprise/Teamviewer/Landesk/RealNetworks/RealPlayer/Google/Yahoo/Safari/Mozilla/Winamp/QuickTime/IBM/HP/Windows/Linux等,并支持对Tor(TheOnionRouter)第二代洋葱路由的漏洞检测支持多种快速精准的漏洞扫描策略,包括针对Unix、Windows操作系统、网络设备、数据库、服务和虚拟化平台等扫描策略,同时支持用户自定义扫描端口范围;支持目标自动发现,自动识别,扫描策略自动匹配资源库兼容CVE/CNVD/CNNVD/BUGTRAQ等多种国际、国家标准厂商具有独立研究和挖掘安全漏洞的科研能力,拥有受国家信息安全漏洞共享平台CNVD颁发的原创漏洞证明WEB网站扫描WEB网站扫描漏洞资源库≥5000支持多种命令和代码执行类型的安全漏洞检测,包括系统命令执行、SQL注入、代码远程执行、远程文件包含、HTTP参数污染、LDAP注入等支持多种客户端攻击类型的安全漏洞检测,包括跨站脚本攻击、内容欺骗、文件上传等支持多种信息泄露的安全漏洞检测,包括信息泄露、目录遍历、日志文件扫描、软件服务检测、任意文件读取、数据库发现、后门发现等支持拒绝服务等逻辑攻击类型安全漏洞检测支持验证绕过等认证授权类型的安全漏洞检测支持其他配置不当类型的安全漏洞检测支持IPV6协议的安全漏洞检测支持HTTP/HTTPS协议的安全漏洞检测弱口令分析支持多种弱密码口令协议的猜测与分析,包括FTP/SSH/TELNET/MSSQL/MYSQL/ORACLE/SMB/VNC等支持对3389(RDP远程桌面)进行弱口令分析支持弱口令分析字典自定义,包括自定义用户名、密码字典和多种用户名密码组合,并可对字典进行上传、下载等操作扫描功能支持系统自动发现新增的网络设施,并识别目标主机的系统、服务、端口类型等网络指纹,并自动推荐最优扫描策略支持系统对扫描目标进行远程登录扫描,包括telnet/ssh/smb等多种登录协议,并兼容如SSHV1,SSHV2等主流协议版本支持自定义扫描端口范围、端口扫描策略支持系统智能推荐扫描参数,包括扫描线程数、并发IP数、扫描等待时间、扫描端口、扫描策略等参数设置建议支持系统的安全优化扫描,并可对资源库的信息进行依赖关联,对端口智能识别、多重服务检测、扫描断点恢复等支持扫描进程实时监控,包括以进度条、百分比、危险程度、漏洞信息的形式进行直观显示支持实时显示扫描进度以及阶段性扫描结果,包括主机名、开放的端口号、操作系统、开启的服务、BANNER信息、设备类型、网络跃点数、漏洞信息、危险等级等支持扫描目标风险趋势分析,可视化展示内容包括历史时间、风险等级等多种对比信息,可对信息进行导入导出操作支持单任务跨网段扫描支持单任务大网络扫描,并且不小于一个B类的IP数支持扫描任务多种执行方式,包括立即执行、定时执行、周期执行,扫描周期精确至每月、每周、每日、每时支持灵活的自定义扫描策略功能,包括快速的漏洞查询与批量编辑功能支持多种方式检验网络设备在离状态,包括TCP/IP协议、ARP/RARP、ICMP、端口扫描等支持提供常用的网络诊断工具,包括ping、arp、traceroute、nslookup等资产管理支持对网络资产进行精确详细的实体属性标记,自定义资产重要程度,明确资产的使用及其负责人,快速定位资产价值、类型、标示、部门、责任人,并可自定义列支持分布资产以聚合树形态组织,实现资产集中管理,自动发现、手工添加、Excel导入导出、资产查询、移动,删除及修改等多种功能支持对网络资产进行风险管理及漏洞跟踪,包括网络资产的快速定位,系统风险等级以及针对资产制定相关的安全解决方案等支持系统对新接入的网络设施自动发现,并对全网资产状态进行连通排查,智能识别资产的操作系统、MAC、跃点数、端口服务类型、版本号等资产信息支持资产聚合树可自定义扩展,包括新增、删除、编辑、查询资产支持资产以逻辑拓扑图方式展示,并可通过联动部门属性进行网络搜索支持逻辑拓扑图进行矢量指向调节,包括放大、缩小,组织结构形变,并可调整节点叶子数、网段总数,清晰展示主机的跃点数,在离状态,安全等级、路由、交换机的连通状态支持逻辑拓扑图一键载出支持通过逻辑拓扑图下发扫描任务,包括可单点或群组添加至扫描任务报告功能支持报告对风险类别、扫描类型、和漏洞类型进行定量、占比统计分析并展示支持报告以饼状图、柱状图等多种形式进行汇总,并高亮显示Top10的漏洞信息支持对漏洞分布、风险等级信息做出全面详细的漏洞描述与解决建议支持误报修正功能支持自定义报告,包括对单点IP、聚合IP进行输出支持报告可根据不同的阅读对象生成自定义报告,并提供多样模板支持用户定制报告的内容、格式,包括标题抬头、结论、漏洞样式等支持报告在线浏览与离线打印功能支持多种通用格式的报告,包括HTML、WORD、PDF等支持报告快速下载阅读支持报告自动生成,并以多种方式同步发送至指定对象,包括FTP,邮件等支持报告提供精准合理的安全解决方案,包括手工步骤,网址链接、安全补丁等支持报告多维度的快速查询,包括CVEID、CNVDID、CNNVDID、BUGTRAQID、CVE发布时间、风险等级、漏洞名称等系统管理支持多用户分级权限管理:涉密版用户为三员分立权限;普通版用户为单员完全权限系统管理员:负责系统的配置和维护工作,历史操作精确记录至审计日志安全保密管理员:负责制定扫描策略、建立扫描任务进行扫描、导出扫描结果等安全审计员:负责对系统管理员和安全保密管理员的操作日志进行查看和管理支持系统设置登录的IP范围支持系统设置扫描的IP范围支持多用户多IP同步操作支持保密安全标准,可对登录密码进行安全策略配置,包括密码长度、修改周期,密码复杂度,可选字母和数字组合等支持系统操作全面审计,包括操作者、登录时间、操作时间、操作结果等支持对系统审计日志信息进行容灾备份,包括syslog、FTP等多种形式支持系统静态锁闭,并可自定义设定静态锁闭时间支持设备状态实时监测,包括CPU、内存、硬盘利用率和网络使用情况等部署方式支持直接部署进行漏洞检测,无需改变原有的网络系统架构支持全面的IP可达漏洞检测,并拥有VPN网络穿透功能支持采用移动便携设备进行扫描支持通过厂商提供的在线云服务快速扩展漏洞检测需求(2)数据库审计序号指标项技术规格参数硬件规格数据采集、管理、存储为一体化设备入库处理能力:至少5000条/秒日志存储容量:2TB以上最大吞吐量:至少200Mbps最大可存储日志数量:20亿条以上网络接口:4个百兆/千兆自适应电口工作模式独立完成审计数据采集,不依赖于数据库自身的日志系统审计工作不影响数据库的性能、稳定性或日常管理流程审计结果存储于独立存储空间支持端口镜像、分光器、TAP等采集数据支持分布式部署、集中式管理模式支持云环境、虚拟环境部署协议支持主流数据库:oracle、SQLserver、Mysql、DB2、infomix、Sybase、CACHE、PostgreSQL、MongoDB、MariaDB数据仓库:teradata国产数据库:达梦、人大金仓、Oscar(神通)、南大通用其他数据库运维防护协议:HTTP、Telnet、SMTP、POP3、FTP、DCOM数据库操作精确还原能够基于TNS、TDS等数据库协议精确还原数据库操作语句数据库操作实时动态审计支持数据库操作请求、数据库操作响应实时动态审计,包括对原始SQL语句、包长度、请求时间、客户端IP地址、MAC地址、操作系统用户名、主机名、端口、使用工具、数据库用户名、终端名等数据库操作请求信息审计;支持对SQL语句执行结果、SQL语句执行时间、影响行数、SQL语句执行异常等数据库操作响应信息的审计双向审计不仅支持对数据请求的报文进行审计,同时支持返回结果审计,以帮助审计人员判断敏感信息泄漏情况,包括执行状态、返回行数、执行时长等内容,并能够根据返回结果设置审计策略数据库绑定变量审计能够支持对调用绑定变量的数据库操作和赋值过程,还可以进行关联分析超长SQL语句审计支持对超长SQL语句完整解析角色自定义支持角色自定义功能,可基于所属角色自定义用户权限范围,对角色权限进行细粒度划分,权限可控制到菜单级;数据库弱点静态检测支持oracle、SQLserver、Mysql等数据库漏洞检测识别,能够扫描的数据库漏洞不少于1000种数据库安全配置检测数据库潜在弱点检测数据库用户弱口令检测数据库所在主机漏洞检测数据库攻击实时动态检测针对数据库所在主机、数据库本身的网络攻击行为进行实时检测,支持对SQL注入、跨站脚本攻击、远程命令执行等攻击方式,对任何尝试的攻击操作都会产生告警预置telnet、FTP高危指令检测规则,当数据库所在服务器的运维发生高危指令时立即告警数据库动态建模异常行为分析数据库访问基线自动建模,可根据访问端IP、数据库用户名等对数据库的访问规律(如:访问流量、增删改查操作量、访问的数据库、表、字段等属性)进行动态学习,建立数据库正常访问的使用基线,从而可进行违规异常行为的判断该模型锁定后,可以根据设定的阀值进行动态更新,减少管理员的手工维护工作B/S三层审计支持客户端、WEB应用服务器、数据库服务器(应用层、中间层、数据库层)三层架构环境全方位的三层访问审计,通过三层审计可实现数据操作原始访问者的精确定位支持HTTP请求审计,提取URL、POST/GET值、原始客户端IP、MAC地址等三层关联支持B/S三层审计中应用层操作与数据库层操作的自动关联,形成客户端信息、客户端访问URL、WEB服务器信息、访问sql语句、数据库服务器信息一条完整链路,实现前端用户与数据库操作的关联,精确定位原始操作者支持通过审计探针部署方式实现三层B/S系统100%准确关联,支持Java、PHP、.
NET等探针类型三层关联同时支持手动和自动关联,以提升关联准确度和审计人员追踪索源准确度加密数据审计支持通过加密方式访问数据库的审计,包括用户名、源地址、对象(数据库服务器、库、表、存储过程、函数、包等)、目的地址、日期、时间、操作类型、操作内容和返回结果审计,支持对加密数据内容检测,及时发现敏感信息并产生后台告警审计规则支持对触发高危操作、攻击行为等所定义策略或规则进行阻断规则支持导入导出功能,方便规则的迁移和配置规则支持分组,且可以根据规则组进行导出规则必须支持优先级的调整,以防止误报、漏报等发生支持规则的批量加载、卸载功能精细到表、字段、具体报文内容的细粒度审计规则,实现对敏感信息的精细监控基于IP地址、MAC地址设置规则提供可定义作用数量动作门限,如SQL操作返回的记录数或受影响的行数大于等于10000行时触发策略提供可设定关联表数目动作门限,如SQL操作涉及表的个数大于等于4时触发策略设定可根据SQL执行的时间长短设定规则;如命令执行时长超过30秒进行告警可根据SQL执行的结果设定规则数据查询支持审计数据查询,包括基本事件查询、SQL查询、HTTP查询支持操作日志查询和操作回放支持风险数据查询,包括风险策略日志查询、文件传输检测日志、电子邮件检测日志、TELNET检测日志、异常行为检测日志、阻断日志安全分析对数据库进行全面安全风险扫描,然后对对存在的失败数据、违规风险、数据外泄、攻击行为、漏洞扫描等风险进行全面的分析业务翻译提供SQL语句的语义分析,将复杂的SQL操作语句翻译成通俗的业务操作行为,直观理解操作内容安全测评定期自动对数据库系统进行全面多维度的安全扫描和模型分析,并进行测定评分,对测评结果进行对比分析,展示数据库的安全趋势拓扑展现通过网络拓扑真实展现客户各业务系统的逻辑架构,动态展示业务系统中应用系统、网络、数据库的性能、状态和安全告警事件审计数据脱敏对敏感数信息进行模糊变形处理,避免敏感信息在非授权人员操作或在运维阶段二次泄密运维关联通过与堡垒机关联解决通过运维协议访问数据库导致漏审的问题,实现全面审计违规告警支持风险日志设置危险级别,风险日志信息包括用户名、源地址、对象(数据库服务器、库、表、存储过程、函数、包等)、目的地址、日期、时间、事件描述、危险级别支持邮件、短信、SYSLOG、SNMP、FTP、屏幕告警方式、声音提醒支持告警信息重新发送、告警信息发送测试、告警信息发送情况统计等支持告警信息同时发送到多个管理对象白名单支持用户名、操作类型、IP地址、客户端工具、操作系统用户名、主机名、MAC地址、SQL语句等条件设置白名单白名单可以应用到单条规则、单个主机或者主机群组可以从风险日志列表中对各种级别的告警进行一键白名单操作,迅速将误告警进行处理报表系统支持通过数据库操作的访问量统计、日志量对比分析、操作对象统计、访问用户数和访问IP数的统计进行数据库服务器的性能分析,方便审计人员实时了解数据库服务器的性能情况,为管理员优化数据库服务器提供依据支持通过数据库操作登入登出的统计进行数据库访问源的分析;使审计人员迅速掌握数据库访问者的定位和操作情况支持通过数据库访问查询量、客户端访问工具的统计进行分析,让管理人员及时掌握数各种访问方式访问数据库的情况支持通过对数据库DCL操作、DDL操作、DML操作等进行数据库特权操作分析,管理人员可以掌握特权操作是否有越权和滥用情况支持通过对数据库登陆失败、语句出错的情况的统计进行数据库异常分析,帮助审计人员了解数据库的异常情况支持严格按照塞班斯(SOX)法案、等级保护标准要求生成综合报告,通过一个报告即可满足相关法案检测要求,而不是简单TOP10排行的零散报表支持按照时间曲线统计每台数据库服务器的流量、在线用户数、并发会话、在线源IP地址、DDL操作数、DML操作数、执行量最多的SQL语句等报表,为数据库管理员(DBA)优化数据库提供依据报表能够支持Word、Excel、PDF等各种格式导出支持点线图、柱状图、饼图等图文并茂式报表展现智能发现自动识别流量中存在的数据库,也可通过扫描发现网络中的数据库,一键添加管理功能登陆源限制系统支持登陆源限制功能,WEB可以限制登陆的IP/IP段和登陆时间,控制台可以限制登陆的IP和登陆账号配置导航支持通过一键配置向导进行初始配置,快速完成系统的安装和部署数据外送接口支持审计数据外送与第三方日志分析平台联动,支持syslog全量外送或通过规则控制部分外送,支持syslog、snmp、ftp、trap方式性能监控支持对数据库用户活动、业务系统及数据库服务器CPU、内存、文件系统、中间件性能、响应能力的监控,帮助运维人员进行性能诊断(提供界面截图并盖厂商公章)用户管理根据三权分立的原则和要求进行职、权分离,对系统本身进行分角色定义,如管理员只负责完成设备的初始配置,规则配置员只负责审计规则的建立,审计员只负责查看相关的审计结果及告警内容;日志员只负责完成对系统本身的用户操作日志管理事件回放与追溯根据事件发生的时间、用户、访问方式(客户端、TELNET、FTP)、用户IP、服务器等组合查询,并对过程进行回放和追溯IPv6环境支持支持IPV6环境下数据库的审计备份管理支持手动备份以及基于时间参数的自动备份支持将备份数据通过FTP等方式自动外送到其他备份设备数据安全性很高,要打开审计文件,原则上必须将原文件导入生成该文件的设备中,而且审计的内容不允许随便删除、修改支持备份查看,以及自定义备份风险审计策略配置当磁盘空间达到一定的阀值,支持自动清理最早的数据释放空间自身排错支持系统内置故障排错系统,帮助管理人员快速排查故障,支持对服务异常、许可证异常、审计异常、配置项异常、数据库表异常等大部分常见故障的检测,并可提供快速的解决办法维护要求:中标供应商负责调试所供设备,并在保修期内提供不低于6次的所供设备的巡检服务并提供巡检报告.
该项目产品需要提供计算机信息系统安全专用产品销售许可证(公安部)及涉密信息系统产品检测证书(保密局)6、经费预算:本项目招标最高金额17万元.
超过最高金额投标按无效投标处理.
7、本项目合同不得转让和分包.
8、同一法定代表人的不同供应商,不得同时参与本项目招标.
二、投标要求投标人应根据公告的项目基本情况、以及自身情况编制投标文件,主要应包括下列内容:1、投标人基本情况:投标人营业执照复印件;法定代表人授权委托书(原件);投标人情况简介(包括企业简介、内部管理机制等);投标人与采购项目相关的资质证书(如果有);投标人质量管理和质量保证体系等方面的认证证书(如果有);投标人认为可以证明其能力、业绩、信誉和信用的其他材料.

投标人应符合的基本条件:符合《中华人民共和国政府采购法》第二十二条规定的供应商.
根据《上海市政府采购供应商登记及诚信管理办法》已登记入库的供应商.
3)在上海有固定经营场所和服务人员;投标项目内容:投标人对采购项目的功能需求要有充分理解,投标设备的功能必须满足基本的产品性能要求.
4、投标方式:本项目采用书面投标方式.
投标文件一式二份(正本、副本各一套),密封在文件袋内、并盖章确认.
投标文件须在2018年5月30日16:00投标截止时间前,由投标人或法定代表人授权委托人直接递交至上海市松江区中山中路38号4号楼207室(松江区档案局信息科技科).

5、评标方式:在投标截止日起一周内,松江区档案局将根据《松江区档案局(馆)政府采购管理办法(试行)》要求,组织相关人员对投标截止时间前收到的投标文件进行评判,以综合评分最高的为中标人.
并将在5个工作日内,电话、并书面通知中标人.