一、经费预算:80万元
二、项目概况
漏洞挖掘与利用**库为“智能网络攻防”子项目智能化漏洞挖掘实验平台建设内容之一。本次采购的漏洞挖掘与利用**库主要内容为2019年1月至今不少于90个真实漏洞分析利用案例,每个漏洞分析利用案例包含漏洞目标程序、漏洞利用代码、漏洞分析利用报告、漏洞验证环境虚拟机及相应的漏洞调试、分析利用工具。
三、提交产品
应提交产品清单如表1所示。
表1 提交产品清单表
| 序号 | 主要产品 | 单位 | 数量 | 形式 | 备注 |
| 一 | 漏洞挖掘与利用**库 | 套 | 1 | 同一类案例中每件案例的目标软件不相同。每件案例含有漏洞分析报告、真实漏洞目标程序、漏洞验证环境虚拟机、漏洞利用代码 | |
| 1 | 虚拟机逃逸漏洞分析利用案例 | 件 | 5 | 文档+软件+虚拟机 | |
| 2 | 浏览器漏洞分析利用案例 | 件 | 10 | 文档+软件+虚拟机 | |
| 3 | Windows系统提权漏洞分析利用案例 | 件 | 10 | 文档+软件+虚拟机 | |
| 4 | web安全漏洞分析利用案例 | 件 | 15 | 文档+软件+虚拟机 | |
| 5 | 网络设备漏洞分析利用案例 | 件 | 10 | 文档+软件+虚拟机 | |
| 6 | Mac OS提权漏洞分析利用案例 | 件 | 5 | 文档+软件+虚拟机 | |
| 7 | Linux提权漏洞分析利用案例 | 件 | 5 | 文档+软件+虚拟机 | |
| 8 | Linux系统网络服务类与文件处理类漏洞分析利用案例 | 件 | 30 | 文档+软件+虚拟机 |
四、供应商资格条件
(一)具有企(事)业法人资格(****银行、保险、电力、电信等法人分支机构,会计师、律师等非法人组织,行业协会等社会团体法人除外)。
(二)国有企业;事业单位;军队单位;成立三年以上的非外资(含港澳台)独资或控股企业。
(三)具有良好的商业信誉和健全的财务会计制度。
(四)具有履行合同所必需的设施设备、专业技术能力、质量保证体系和固定的生产经营、服务场地。
(五)有依法缴纳税收和社会保障资金的良好记录。
(六)参加军队采购活动前3年内,在经营活动中没有受到刑事处罚或者责令停产停业、吊销许可证或者执照、较大数额罚款(200万元以上)等重大违法记录。
****政府采购网(www.****.cn****政府采购严重违法失信行为记录名单,未在军队采购网(www.****.cn)军队采购暂停名单处罚范围内或军队采购失信名单禁入处罚期和处罚范围内,以及未被“信用中国”(www.****.cn)列入严重失信主体名单或国家企业信用信息公示系统(www.****.cn)列入严重违法失信名单(处罚期内)。
(八)投标企业应当具备服务履约的能力。
(九)本项目特定资格:具有武器装备科研生产单位保密二级(含)以上或涉密信息系统集成乙级(含)以上资质。
★五、商务要求
(一)交货时间、地点与方式
1.合同生效后,成交供应商在6个月内完成交付内容的设计与研制,达到验收条件。
2.成交供应商提供的产品的各项技术性能指标必须达到合同、招标文件和投标文件规定的要求。
3.交货地点:**省**市。
(二)售后服务
1.技术支持
(1)成交供应商应提供全方位、多层次的技术支持队伍,按照采购方要求将采购的案例部署到采购方指定的在线学习平台,并按照采购方提供的漏洞分析案例模板对提交的漏洞分析案例技术文档进行修改、细化。
(2)产品免费质保期为至少12个月,自通过验收之日起计算。质保期内,成交供应商必须向用户提供技术支持及售后服务,提供7*24小时人工热线技术服务解答技术问题并及时提出解决方案。
2.培训要求
(1)成交供应商必须提供满足用户要求的培训服务,使得需求方能够完全发挥出本次采购案例的效益。
(2)成交供应商提供该行业领域不少于10课时的专业培训,必须为所有受训人员提供文字说明和讲义等相关培训材料,具体授课形式和授课时长由采购方根据实际情况确定。培训材料一般用中文书写,可以是纸质版或电子版。
(3)培训时间与日期必须在产品验收合格之后一个月内安排,培训地点和培训人数由用户指定。
3.培训内容
解析漏洞案例中的漏洞原理、漏洞挖掘方法和漏洞利用方法。
(三)保密要求
1.成交供应商应保证使用方在使用该货物或其任何一部分时,不受第三方侵权指控。同时,投标供应商不得向第三方泄露采购机构提供的技术文件等资料。
2.成交供应商在软件安装调试和维护过程中严格遵守采购单位保密相关规定。
(四)实施人员要求
1.本项目需设置项目经理1名,全面负责整体协调管理、质量把关、进度管控。
2.根据项目进度需要,成交供应商需派驻不少于两名专业技术人员实施系统安装与需求方系统集成,采购单位有权要求在进度出现滞后(滞后于项目时间计划)情况下要求成交供应商加派足额专业技术力量,否则按违约处理。
(五)付款及结算方式
完成合同签订并通过合同验收后,30个工作日内支付至合同金额的95%,剩余5%作为质量保证金。自合同验收合格之日起算,质保期满后,无任何质量问题,30个工作日内一次性无息退还成交供应商质量保证金。
(六)限价要求
1.漏洞挖掘与利用**库,最高限价80万元(人民币,含税)。
2.投标供应商报价均以人民币为单位,包括但不限于完成采购单位所提需求的一切相关费用,包括漏洞案例在线部署、案例分析报告撰写、调试、培训、管理费、税金、利润等各方面。
(七)成果交付
为保证案例库能满足用户定制化需求,需求方的技术人员全程监督项目的实施工作,包括总体规划、方案设计、产品验收等过程。成交供应商必须给予全面的支持和配合。
1.系统测试
(1)成交供应商应在平台交付时提供用户认可的测试大纲、测试细则并配合用户进行系统测试。
(2)成交供应商应按照本招标要求,协助用户或用户指定的系统集成与运维服务厂商对提交的案例库能进行测试,对使用要求和通用指标符合度进行测试或检查,并形成测试报告。
2.采****小组,依据合同、招标文件和投标文件等,采取汇报演示、现场测试以及采购方指定的其他方式开展验收。
3.根据系统功能、性能指标逐条进行测试,根据测试结果进行验收;资料审查,主要按照资料文档的内容、格式等要求,查阅资料是否完整、规范。
六、技术要求
(一)功能指标
1.每个漏洞案例至少包含漏洞简介、漏洞利用代码、漏洞验证环境和详细的漏洞分析利用报告、漏洞验证环境虚拟机及相应的分析工具。
2.漏洞简介至少包含漏洞编号、漏洞时间、漏洞描述、危害评分、适用范围。
★3.漏洞利用代码能够在漏洞验证环境中运行,能够实现但不限于getshell、命令执行、权限提升等漏洞利用效果中的任意一种。
4.漏洞验证环境虚拟机能够导入docker或esxi中,漏洞验证环境虚拟机至少包含漏洞目标程序,漏洞调试、漏洞验证、漏洞利用所需的所有软件和开发运行库。
5.漏洞分析利用报告内容至少包括漏洞概述、漏洞原理、漏洞利用方法、安全保护机制绕过方法、修补措施等,漏洞分析利用报告内容需详细准确,报告需按照模板格式进行编排。
(二)性能指标
★1.漏洞挖掘与利用**库至少包含90个漏洞利用案例。
2.虚拟机逃逸漏洞不少于5个。
3.浏览器漏洞不少于10个。
4.Windows系统提权漏洞不少于10个。
5.Web安全漏洞不少于15个。
6.网络设备漏洞不少于10个。
7.Mac OS提权漏洞不少于5个。
8.Linux系统提权漏洞不少于5个。
9.Linux系统网络服务类与文件处理类漏洞不少于30个,其中Linux系统网络服务类与文件处理类漏洞类型至少包含3种,Linux用户态下堆漏洞数量不少于20个。
(三)其他要求
★漏洞分析利用案例中漏洞公布的时间不早于2019年1月1日。
联系人:李老师 联系方式:187****8516
换一批