产品厂商的漏洞研究能力

产品原厂商应具备多年的漏洞研究经验和专业的攻防技术研究团队，具备独立漏洞发掘的能力。

▲请提供自主发现的获得CNNVD编号的安全漏洞列表及描述，要求数量不少于30个。

★请提供CNVD国家信息安全漏洞共享平台成员单位2016年度的工作贡献排名前三的证明文件。

▲产品原厂商应具备丰富的漏洞检测及系统脆弱性评估经验。请提供与系统漏洞扫描、服务识别以及系统风险评估相关的公开专利，要求数量不少于8个。

安全基线配置核查能力

安全基线检查脚本库与安全检查功能和配置规范要求兼容。

支持对多种操作系统、网络设备（如交换机、路由器、防火墙等）、中间件以及数据库的检查。

支持对安全对象的配置脆弱性进行全面检查，识别内容应包括操作系统和网络设备、数据库和中间件等的账号、口令、授权、日志安全要求、不必要的服务、启动项、注册表、会话设置等配置。

支持TELNET、SSH、SMB、RDP、WinRM协议的安全基线配置检查方式。

支持对主机设备的安全配置核查，包括：Windows、Linux、HP-UX、AIX、Solaris

支持对主流数据库的安全配置检查，包括：Oracle、Mysql、SQL   Server、sybase、DB2、informix。

支持对主流网络设备的安全配置核查，包括：cisco交换机、华为交换机、H3C交换机、力腾交换机 、锐捷交换机、cisco路由器、华为路由器、H3C路由器、juniper路由器

支持对主流防火墙的安全配置核查，cisco防火墙 、华为防火墙、Fortigate、火墙、netscreen防火墙、启明星辰（网御powerV系列）防火墙、juniper防火墙、山石防火墙

支持对主流中间件的安全配置核查，包括：Apache、Bind、Domino、IIS、Jboss、Nginx、Resin、Tomcat、TongWeb、Weblogic、Websphere

支持Wlan设备安全配置核查，包括：邦讯、H3C、中兴、国人、、思科、傲天、华为、大唐

检查结果报告中至少包含如下检查信息：判定依据、检查点、标准值、实际值、原始结果、加固方案

安全配置核查时，程序占用的资源应尽量的少，扫描主机的CPU平均占用率小于10％，内存占用小于50M；被扫描主机的CPU占用率小于1％，内存占用小于3M；网络带宽的占用率均不大于2％（以百兆网络为基准）。

支持灵活的检查任务制定功能，可以设定手动、定时和离线任务的配置任务检查方式。

支持实时显示检查任务进度和检查任务状态。

支持检查策略的脚本导出，通过离线方式将脚本拷贝到目标设备上支持对于的脚本文件，将生产的结果导入到基线核查服务器完成离线方式的核查。

▲在建立核查任务时支持从“资产库获取、IP段添加、Excel导入”方式添加核查设备。（提供截图证明）

对于部分检查项无法立即得出是否合规的标准时，应提供人工参与判定的机制，并把判断结果作为下次检查的标准。

▲提供任务的复制功能，在不影响原有任务的情况下，对复制的任务进行修改和裁剪（提供截图证明）

提供对不合规核查项对外通过syslog方式发送功能，并具备发送按级别过滤功能

▲漏洞库与CVE、CNCVE、CNNVD和BUGTRAQ等国际、国内标准兼容。（提供截图证明）

▲支持扫描IPv6环境中的设备、系统。（提供截图证明）

支持对各种网络主机、操作系统、网络设备（如交换机、路由器、防火墙等）、常用软件以及应用系统的识别和漏洞扫描。

▲支持云平台扫描，漏洞覆盖OpenStack 、KVM、Vmware、Xen等主流的云计算平台（提供截图证明）；

▲网站开源架构类扫描：支持phpmyadmin、WordPress 等的扫描（提供截图证明）；

▲支持python的多个模块的漏洞扫描，如audioop模块 、audioop模块 、rgbimg模块的漏洞（提供截图证明）。

核查方式

对于管理较好的不可达网络或者物理隔离网络，提供分布式采集器，可实现批量核查，批量上报，并根据实际情况实现在线及离线两种方式。

在线：从安全基线配置检查服务器获取批量任务，点击执行后讲结果批量上报

离线：从安全基线配置检查服务器获取批量任务，将获得的任务的移动设备接入不可达网络中自动执行批量检查任务，任务完成后将离线采集移动设备接回安全基线检查服务器将任务结果导入安全基线检查服务器完成离线批量核查。

离线核查支持：

1）提供所有设备按照策略及自定义策略的VBS离线脚本下载功能，在目标设备上执行完成后将结果导入基线系统。

2） 网络设备支持：支持将离线命令在目标设备上运行后，通过提供执行命令集Session Log方式检查；

▲对于不希望提供管理员账号和密码的个人主机系统，支持提供代理检查的方式，代理检查结果自动上传到检查服务器，并支持代理设备中的中间件及数据库核查。（提供截图证明）

▲支持对数据库和中间件设备安装路径自动探测功能。（提供截图证明）

▲对扫描失败的设备和检查项有非常准确的失败信息反馈。（提供截图证明）

资产管理

▲对核查对象集中管理，实现手工添加、Excel文档方式的导入及导出，资产移动，删除及修改功能，并可对选中资产的提供连通性测试，对测试不通过的资产提供可参考的信息（提供截图证明）

提供按照资产组和资产类型两个管理维度，并可自定义资产组

▲可通过选中资产立即下发核查任务（提供截图证明）

可通过选中资产查看该资产的核查历史，并能够选中两个任务进行对比分析，展示两次核查的对比信息，包括核查时间及核查结果

帐号获取与

传输安全

支持被核查设备帐号信息的多种获取方式：

1、 数据库获取：支持系统保存帐号信息，采用AES高级加密标准，密钥不少于128位。

2、 ▲密码文件读取：系统提供密码文件模版下载功能，在建立核查任务时提供导入功能，系统读取设备信息后保存在内存中，在任务执行完毕后销毁，做到一次性使用。（提供截图证明）

3、 接口获取：系统提供与第三方系统的接口，在登录设备时获取并一次性使用

4、管理中心与代理服务器之间保证数据传输安全，防止脚本被恶意篆改，传输采用ssl方式，认证请求使用RSA加密。

策略

管理

支持安全基线检查项自定义功能，并支持自定义检查项导入导出功能

支持检查项按设备类型管理，并实现设备类型的自定义功能，支持新增类型绑定已有的检查项

支持策略的导入导出功能

支持安全基线检查点的权重设定功能。

支持内置已有的安全基线检查脚本库，并不少于1000个，并实现检查项与脚本一对多的引用关系

▲支持核查脚本的自定义功能，并能按顺序清晰展示脚本使用的命令集合，例如：[netstat, echo] （提供截图证明）

支持灵活的检查策略管理功能，实现跨设备类型的检查项组合并实现检查项的参数实例化，提供必要的核查项查询过滤功能，对于展示的核查项可点击查询详细的说明信息，并实现多维度的检查策略维护。

扩展需求

★要求产品可以与漏洞扫描系统、WEB应用检测系统进行安全联动，无缝兼容。

安全培训能力

★要求产品厂商具备《国家信息安全测评授权培训机构资质证书》，请提供资质证书复印件。可以为用户免费提供CISA证书的人员培训，加强用户网络管理人员的安全技术能力。

资质证书要求（提供证书复印件）

▲产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》，要求认证级别为增强型。

产品具有中国信息安全测评中心颁发的《信息技术产品安全测评证书》，认证级别EAL3+。

CVE（Common Vulnerabilities and Exposures）组织正式的兼容认证   （Certificate of CVE Compatibility）

产品具有中国国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》

▲中国信息安全认证中心的《中国国家信息安全产品认证证书》，要求为增强级。

★为保证产品的成熟度和稳定性，要求所投产品品牌必须在最近三年（16、15、14年）连续在IDC报告中该类产品市场占有率排名中为前三名

产品原厂商具有CNCERT网络安全应急服务支撑单位(国家级) 证书

▲产品原厂商具有中国国家信息安全漏洞库（CNNVD）技术支撑单位一级证书

▲产品原厂商具有信息安全服务资质（一级风险评估服务）

售后服务要求

提供2年硬件质保和漏洞库升级授权，必须提供厂商授权书和服务承诺函