中认英泰检测技术有限公司关于软件测试工具（包含硬件设备）的更正公告（六）

采购名称

数量

主要参数要求参数

web应用安全漏洞扫描工具）

1套

1.★支持第三方套件漏洞检测，包含但不限于Angular 2.0/3.0、AngularJS、Apache Web Server、ASP.NET、Axios、Backbone、Bootstrap、Chart.js、CKEditor、Cloudflare、d3.js、Dojo、Drupal、IBM WebSphere、IIS、Java JDK、Java JRE、Joomla、jQuery、LiteSpeed、Moment、Nginx、Node.js、Oracle WebLogic、PHP、Python、React、Ruby、Tomcat、Underscore、WordPress各种主流Web技术的漏洞检测功能，覆盖web1.0，web2.0，web3.0等各技术栈的应用安全扫描，例如Angular 2.0/3.0、Node.js、React等。（交付软件时，漏洞库必须为交付时期最新的库，需要在投标文件中提供功能截图）
2.★支持提供Python脚本来完成模糊测试，并提供模糊测试框架文档。（需要在投标文件中提供功能截图）
3.★支持Burpsuite封包导入，重新自动化检视手动结果。（需要在投标文件中提供功能截图）

平台具备多种行业标准及合规性报告，包含但不限于OWASP Top 10 [2021]、OWASP API Security Top 10 [2023]、WASC 威胁分类2.0、国际标准-ISO 系列、CWE Top 25、GDPR、HIPPA。

1.平台具有对Web Service的扫描能力，包含SOAP1.2、及REST等协议；具备以代理的方式收集Web流量进行应用安全测试；具备基于AJAX的Web应用的安全漏洞扫描能力。
2.平台具有增量扫描与模糊测试能力，扫描策略库规则≥8000条，并提供CVE/CWE编号映射关系表，且能将扫描结果导出进行存储成独立档案并能存在外部储存装置，扫描结果文件要能重复使用并提供两次不同扫描结果差异性比较。
3.平台支持定制化Web扫描策略模板，支持自定义规则，建立全局模板对同一类系统进行定制化扫描，支持配置扫描深度及广度。
4.支持将漏洞以高危、中危、低危等危害程度的分类，并可根据用户需要自定义漏洞等级。
5.平台具备特权用户及行为越权检查功能，通过对不同权限用户的纵向的检查比较，寻找对Web应用中的越权行为检查。
6.平台支持扫描流量线程控制机制，支持动态线程及固定线程控制功能，产品的使用不会对内网环境和服务器造成过量的负载，不影响内网其他服务器使用性能
7.平台具备自定义word模板报告设计和生产（含封面、页眉、logo）；测试结果全面中文化。
8.平台在Web应用安全扫描任务过程中，可进行动态实时日志分析。

1.平台具备多因子认证处理能力，例如一次密码失效认证，人机检测认证和CAPTCHA认证的web应用漏洞扫描能力；
2.平台具备完整中文化操作接口、技术文件、修补建议、报告文档，可根据漏洞类型、风险分类等不同重点导出漏洞检测报告，报告格式包含但不限于Word、PDF、Excel、CSV、XML、HTML等。

1.平台支持不同的登入方法，包括登录记录、自动登录、通过浏览器插件录制并导入及多种验证协议，包括HTTP身份验证（例如Basic、Digest、NTLM、Negotiate 或 Kerberos HTTP 认证），客户端凭证及其他多因子校验认证等。
2.平台支持对用户会话有效期进行设置。

1.平台能够扫描Web服务的Open API、Graph QL协议，能透过代理收集流量进行安全测试，支持Postman及SoapUI等外部工具进行集成进行配置与扫描。

1.平台分析报告具有预览功能，可以方便进行报告定制，并能将结果以Word、PDF、、Excel、CSV、XML、HTML等格式导出；

1.软件支持软件版本在维保期内，自动或手动操作升级，重大漏洞需在CVE发布后72小时内提供热补丁。

性能测试工具

1套

1.许可证和授权:授权模式为永久授权。通过模拟成千上万虚拟用户实时并发负载及实时性能监测的方式来验证应用的性能，具备查找和定位性能瓶颈问题等功能，平台支持一年免费升级维护。支持Web协议（同时支持DevWeb、Web-HTTP/HTML）不低于500并发虚拟用户的性能测试。（需要在投标文件中提供功能截图）

1.软件可提供完整的性能测试工具集，具有测试脚本生成、测试场景设计与执行、测试过程**监控、测试结果报告分析等功能模块。
2.软件在操作应用时可以通过录制的方式快速生成测试脚本。支持录制交互报文方式生成脚本，支持录制浏览器界面操作生成脚本，支持录制客户端操作生成脚本。
3.软件具备通过IP欺诈的方式在同一台压力发生机上模拟多个IP地址的功能。
4.软件可提供易用的测试脚本开发工具，使用C语言、Java语言等作为测试脚本的编程语言
5.软件自动录制生成脚本后，支持脚本自由转化，例如支持HTML-base 和 URL-base 的脚本自由转化，无须重新录制。

★1.软件具有脚本关联功能，内置的关联规则，可进行定制关联规则。能自动扫描脚本或报文，智能化的主动做脚本关联（需要在投标文件中提供功能截图）

1.软件脚本参数化需具备多样的测试数据来源，参数化字段所需的测试数据可以从文本、excel 表格直接导入。
2.软件具有测试脚本扩展能力，脚本支持调用外部 DLL 库或Jar包等第三方组件，除了录制方式生成脚本外，还可以完全支持手工编写脚本，工具中需自带脚本的编译器和调试功能。
软件可提供灵活的场景设计方式，用户可创建手工测试场景，配置基于用户数的测试，也可创建面向目标的场景，通过指定性能目标（例如每分钟交易数、交易响应时间、每秒钟点击率等）自动配置场景，提供场景模板库。
3.软件具备个性化虚拟用户行为，能够模拟包括IE, Edge, Chrome，Firefox和Mobile等浏览器类型和缓存。软件具备集合点智能调度算法，支持集合点的动态调整和优化。
4.软件具备设置同步点的功能，对测试脚本中的某一特定请求有针对性地让所有用户同步加压，并能够定义虚拟用户释放策略。

1.软件可提供交互式图形工具自定义多种测试场景，提供定时自动测试、递增式加压、随时间任意变化加压模式、多个脚本组合加压等，提供性能测试场景典型模板库。
2.软件内置**监控功能，而非借助额外工具实现监控，确保监控数据的同步性。监控功能必须以无代理方式进行，不得在所需监控的**服务器上安装任何代理，提供算力**使用热力图。
软件内置监控器覆盖面广，具有对 Windows，Linux，Network， Oracle，SQL Server，Apache，IIS 等的实时监控。
3.软件具备测试报告格式多样性，自动生成基于Word、HTML、PDF等多种格式的中文测试报告，具备报告自动化分析功能，可根据预设规则自动生成性能瓶颈诊断报告。
4.软件内置自动关联分析工具，自动计算分析应用性能参数（如应用响应时间， 应用并发用户数）和系统性能参数（如网络性能指标，操作系统性能指标，数据库性能指标等）之间的拟合匹配程度，支持多维度数据关联展示。
5.软件支持与Android、iOS手机设备通过产品安装所在计算机设备USB接口连接，导入数字证书，录制APP等移动应用性能测试脚本。

软件支持软件版本在维保期内，自动或手动操作升级。

源代码扫描工具

1套

★1.覆盖实验室常见主流测试语言，须支持以下编程语言,包括ASP.NET,C,C++,C#, Flex/ActionScript, Java, JavaScript/AJAX,JSP,ObjectiveC,PL/SQL,PHP,T-SQL,VB.NET,VBScript,VB6,XML/HTML，Python, ColdFusion, COBOL, ABAP, Ruby, Swift, Scala、Go、Kotlin等语言。（需要在投标文件中提供功能截图）
2.支持对代码质量问题、代码安全问题进行扫描。

★1.必须支持工具的IDE集成，如：Visual Studio、 VS Code、 IntelliJ、Android Studio、PyCharm、WebStorm、Eclipse等开发工具。（需要在投标文件中提供功能截图）
2.工具需支持部署在多种操作系统，即可以安装在所有主流操作系统中，如：Windows、Linux、MacOS等
★3.工具的技术达到国际领先水**领导者地位，需位于魔力象限的第一象限业界前列或为Forrester和IDC全球研究咨****工具厂商。

★1.安全漏洞分析需拥有目前业界主要的权威和代码漏洞规则库。支持检测业界主流平台的代码安全漏洞，工具能够支持检测的漏洞必须依从于最新的国际标准和规范，如OWASP Top 10 2017、 PCI DSS、PCI SSF、GDPR、MISRA、DISA、FISMA、CWE、SANS25等多项国际安全规范。（交付软件时，漏洞库必须为交付时期最新的库，需要在投标文件中提供功能截图）
★2.工具支持自定义规则功能，可按语义自定义规则，提供**的图形化的自定义向导和编辑器等，支持xml、yaml等格式导入规则。（需要在投标文件中提供功能截图）

1.需支持和主流的质量管理系统集成。使安全测试、功能测试和性能测试发现的问题统一管理，与开发团队现有的流程相融合。支持和主流的黑盒Web应用安全测试产品进行黑白盒关联分析，具有强大的可扩展性，提高应用安全测试结果的准确性，并且得到精准的定位和修复。
2.支持和主流的CI/CD工具集成，通过插件或者脚本方式发起检测。

1.软件支持软件版本在维保期内免费进行版本升级，可选择自动或手动操作升级。

1.****实验室测试效果不随着规则库滞后而下降，工具支持自动检测版本更新，漏洞规则库支持在线定期自动更新，可以在线和离线两种方式进行升级更新。
2.支持IDE插件扫描，命令行扫描，图形化界面扫描方式等主流工作场景。
3.支持选择文件提交方式，包含Git、SVN等上传方式。标书代写

1.支持仪表板功能，对代码扫描结果进行统一汇总和关联分析，能够按照不同严重程度进行分级分类管理，如严重，高，中，低四个级别。

1.支持漏洞代码行定位与链路溯源，提供可视化交互式分析能力。快速定位某一特**全漏洞所在的源代码行。
2.工具支持文件目录结构的方式组织和展示漏洞，提供每个安全漏洞的中文详细描述和较明确和详尽的推荐修复建议。
3.能够提供多种格式的检测报告，如：HTML、PDF、Xml，Word、Excel、CVS等

主机漏洞扫描工具

1套

1.支持统一管理、统一调度多个扫描引擎，并内建扫描负载均衡功能以节省扫描时间；当某个扫描引擎故障后，管理中心可自动调度其余扫描引擎接替后续未完成目标的扫描任务，在不需要人工介入的情况下完成当前扫描任务中所有目标的扫描。
2.支持由扫描结果产生动态资产识别功能，并可以基于操作系统、软件类别及厂商类型作为过滤条件进行订制的资产报告。

1.支持生成资产仪表盘，直观展示资产信息、风险趋势、风险分布，支持导出报表。

1.支持按管理员角色及权限分级，制定不同的扫描权限、安全数据可见范围；
2.支持扫描结束后可以自动将结果发给指**全管理人员；不同的管理员，可收到不同内容的漏洞报告。

1.漏洞评分支持CVSS V2/V3/V4通用漏洞评分系统，和EPSS漏洞预测评分系统评分

★1.支持漏洞情报功能，情报数据每天更新，支持按照不同风险类别进行情报划分，如勒索软件利用漏洞、CISA 已知可被利用、**威胁漏洞等，辅助用户对漏洞进行精准洞察和处置。（交付软件时，漏洞库必须为交付时期最新的库，需要在投标文件中提供功能截图，且必须支持EN18031标准检测）
漏洞库应有专业漏洞挖掘团队维护，漏洞挖掘团队须有对系统漏洞进行发现、验证、以及提供应急服务的技术能力。

1.无限制地开通北向API可编程接口授权，可被第三方系统或应用通过远程调用API实现用例。

扫描器必须同时支持IPv4和IPv6地址的网络扫描，允许最大并发扫描主机数≥60个，允许最大并发任务≥10个任务。开启所有规则漏洞扫描、弱口令探测和登录扫描后扫描速度不低于1000 ip/h。

1.漏洞插件数量≥20万，覆盖CVE-ID数量≥8万，兼容CVE主流漏洞安全标准，需提供官网描述链接备查；提供中文漏洞插件。

1.支持检测Windows及linux中运行的恶意软件、后门及木马程序。

★1.本期授权必须支持并已激活支持下列对象的配置合规检查功能，并且提供相对应的配置知识库（即配置参数范本），实现开箱即用；
● Linux操作系统（至少支持Redhat、CentOS、SUSE版本）
● Windows操作系统
● Cisco ASA防火墙、Cisco路由交换、Juniper网络设备
● MySQL、OracleDB、MS SQL、MongoDB数据库
● Apache及IIS Web Server
● Tomcat、Weblogic等Web中间件
● 基于CIS Benchmark的Docker Hosts及Kubernetes
● CIS基线覆盖支持率需达85%以及上
● 支持自定义修改基线审计模版
● 支持中兴ROSNG路由系统，华为VRP路由系统的开箱即用基线检查。
上述知识库必须提供配套的升级、更新服务。

（需要在投标文件中提供功能截图）

1.支持互联网资产发现功能，通过组织互联网域名发现组织面向互联网的资产信息。

★1.提供丰富的开箱即用扫描模版，内置不同的漏洞模板针对操作系统、网络设备和防火墙等对象,无需过多配置，即可执行专项扫描（**log4j、Zerologon等）、PCI内部扫描、AD域十大风险扫描、勒索病毒常用漏洞扫描等各类扫描任务，支持用户自定义扫描范围和扫描策略。（需要在投标文件中提供功能截图）

1.支持基于各类网络设备的离线配置文件实施配置合规检查

1.****实验室工具的完整性和可用性，需提供备份恢复机制，能够对扫描结果、扫描模板、参数集等配置文件进行导出备份和导入操作；确保在工具宕机或数据损坏时能快速恢复。

1.****实验室在复杂场景下的扫描能力，工具需支持单独口令猜测扫描任务，支持多种口令猜测方式，包括利用SMB、Telnet、FTP、SSH、POP3等协议进行口令猜测；支持自主添加用户名字典、密码字典和用户名密码组合字典。

机架式服务器

2台

★1、处理器2个，每个处理器的性能要求不低于：
1.1 制作工艺：10 nm
1.2 核心数量：16 线程数量：32
1.3 CPU主频：3.1GHz 动态加速频率：3.6GHz
1.4 封装大小：77.5 × 56.5 mm
2、外形为2U机架式；
3、独立显卡1个，性能要求不低于：
3.1 显存容量：48GB
3.2 显存类型：GDDR6
3.3 显存位宽：384bit
3.4 核心计算数量：10752个
3.5 最大分辨率：7680 × 4320
4、内存条4个，每个内存条的性能要求不低于：
4.1 容量：64GB
4.2 内存频率：4800MHz
5、硬盘1个，要求要求不低于
5.1 硬盘容量：3.84T
5.2 传输速率：550MB/s
5.3 硬盘结构：机架式
6、需包含恒温机柜
6.1 恒温机柜的核心标准围绕温度控制、散热效率、结构安全及兼容性展开，并结合实际需求选择适配的尺寸与功能模块

工作站

5台

★1、处理器（CPU）
推荐型号：Intel Xeon、Intel Core i7/i9系列或AMD Ryzen Threadripper系列
2、内存（RAM）
3、推荐容量：至少32GB，对于大型项目或需要运行多个虚拟机的场景，建议64GB或更大
4、存储（硬盘/固态硬盘）
推荐类型：高速SSD作为系统盘和应用程序盘，至少512GB容量，根据需求可添加额外的存储空间
5、显卡
推荐类型：对于一般的软件开发工作，集成显卡足够使用；若涉及图形处理或游戏开发，推荐NVIDIA Quadro或GeForce RTX系列显卡
6、显示器
推荐规格：高分辨率（至少1080p），色彩准确，尺寸适中（24-32英寸），支持多屏显示
7、操作系统
推荐操作系统：Windows 10或更高版本（正版）

笔记本

5台

★处理器
1、应选择高性能处理器，如Intel Core i7、i9系列或AMD Ryzen 7、9系列，
处理器核心数量至少为四核心，
2、内存 内存容量至少为16GB，建议配置32GB或更高
3、存储
应装备固态硬盘（SSD）作为主硬盘，容量至少为512GB或更高，以提供更快的数据读写速度，显著提升程序编译和启动速度
4、显示屏
屏幕尺寸建议15.6英寸以上，分辨率至少为1080P或2K以上，IPS面板被推荐用于编程，因为它们提供广阔的视角和准确的颜色表现
5、扩展性
笔记本应具备多种端口，如USB 3.0、HDMI、雷电3等，以便于连接外部设备和提高连接性。