1

信息科

信息网络漏洞扫描

3.0

/

/

具体要求

详见附件

系统要求

采用有自主知识产权的安全操作系统，采用B/S设计架构，并采用SSL加密通信方式，无须安装客户端，用户可通过浏览器远程方便的对产品进行管理。

系统要求

▲授权：全网扫描，不限授权数量；系统漏扫最大并发IP数>=150

风险统计

★支持全局风险统计功能，通过扇形图、条状图、标签、表格等形式直观展示资产风险分布、漏洞风险等级分布、紧急漏洞、风险资产清单等信息，并可查看详情。（需提供产品功能截图证明）

支持从“高危”、“中危”、“低危”、“安全”四个安全级别展示资产的风险分布情况。

任务类型

★支持全面扫描、资产发现、系统漏洞扫描、弱口令扫描、WEB漏洞扫描、基线配置核查六种任务类型，其中全面扫描支持系统漏洞扫描、WEB漏洞扫描、弱口令扫描同时执行。（需提供产品功能截图证明）

资产发现

支持资产发现功能，可基于IP地址、IP网段、IP范围、URL等方式进行资产发现扫描，支持EXCEL格式批量导入。

资产发现支持存活探测、服务和端口探测、操作系统识别、数据库识别、中间件识别等功能，其中服务和端口探测支持常用端口、全局端口和自定义端口三种探测方式。

资产发现支持任务立即执行、指定时间执行和周期执行三种执行方式，周期执行可精确到每日、每周、每月和自定义周期等。

系统漏洞扫描

支持检测的漏洞数大于230000条，兼容CVE、CNNVD、CNVD、Bugtraq等主流标准。

支持操作系统、网络设备、数据库、中间件等漏洞扫描。

支持多种系统漏洞检测技术，如：基于漏洞原理的原理扫描技术、基于banner信息的漏洞扫描技术等。

WEB漏洞扫描

支持行业通用标准OWASP，支持通用WEB漏洞检测，如：SQL注入、XSS、目录遍历、本地/远程文件包含漏洞、安全配置错误、命令执行、敏感信息泄露等。

支持信息泄漏类漏洞检测，如：mail地址、敏感目录暴露、内部ip地址、会话令牌、源码、数据库备份文件、SVN文件、系统重要配置、日志文件向外网泄漏等。

支持选择紧急漏洞进行单独评估，支持对新爆发的0day漏洞检测，如：Apache Solr Velocity模板 远程代码执行漏洞、phpstudy 后门发现漏洞、Jenkins Git client插件命令执行漏洞、致远 OA A8 无需认证 Getshell 漏洞、Jenkins Java反序列化远程代码执行漏洞、Weblogic反序列化专项漏洞检测、Apache Struts2远程代码执行系列漏洞、JBoss反序列化漏洞等。

弱口令扫描

支持对多种服务协议的弱口令猜解，包括FTP、IMAP、Microsoft SQL、MySQL、PcAnywhere、POP3、SMB、Telnet、VNC、SSH、RDP、ORACLE、Rsync、SMTP、VMware等。

产品内置常用字典和精简字典两种弱口令扫描模板，常用字典包含常见的用户名及TOP160密码，精简密码适用于爆破速度快的密码猜解场景，支持自定义新增密码字典功能。

基线配置核查

支持对Windows、Linux等操作系统按照等保二级、等保三级要求实施基线配置核查。

支持对Oracel、MySQL、DB2、SQL Server、MySQL等数据库按照等保二级、等保三级要求实施基线配置核查。

合规自检平台

支持等保资产登记功能，包括但不限于物理机房、网络设备、安全设备、服务器或存储设备、终端、系统管理软件或平台、业务应用系统或平台、关键数据类型、大数据数据类别、安全相关人员、管理文档、安全文档等12类资产进行资产登记

支持业务系统登记功能，保护等级支持第二级和第三级，可根据不同域类别添加资产到业务系统中。

★提供检测结果综述分析，按照等保2.0的检测项要求，统计客户业务系统存在的不符合、部分符合、符合、待确认、不适用检测项，直观了解自身业务系统合规情况。

★按“一个中心、三重防护”的架构展示检测结果，每个检测结果呈现具体问题及整改建议，系统支持手动核查确认、整改后重新检测、以及手动导入全局分析和人工核查报告来对测评报告中的结果进行核查确认，其中手动核查确认支持单项核查确认和批量核查确认。

报告管理

★产品支持对系统漏洞、WEB漏洞、基线配置、弱口令进行扫描和分析，可同时输出包含系统漏洞扫描、WEB漏洞扫描、基线配置核查、弱口令扫描结果的报表。

产品及厂商资质

为保障设备安全性，所投产品应具有中国网络安全审查技术与认证中心颁发的《网络关键设备和网络安全专用产品安全认证证书》

为保障保证突发事件下的应急服务，所投产品厂商应为国家互联网应急中心CNCERT国家级网络安全应急服务支撑单位，提供有效证书复印件；