兴业银行攻防实训平台采购项目供应商征集公告
· 2024-03-04
兴业银行攻防实训平台采购项目 供应商征集公告
根据我行 信息安全 工作需要,我行开展 攻防实训平台采购 项目,现公开对 攻防实训平台采购 项目进行 供应商征集 ,有关事宜公告如下:
一、 采购需求及资格要求
1.1. 采购需求:
本项目拟引入一套攻防实训平台软件,包含课程学习中心、实战训练中心、资源中心、管理中心四大基础模块:其中课程学习中心支持课程学习、职业体系、实战演练、能力考核等功能;实战训练中心支持 CTF专项训练、AWD专项训练、仿真场景训练、漏洞专项训练等功能;资源中心包含攻防武器库、课程资源、题目资源、镜像资源、靶标资源、场景资源;管理中心可进行账号管理、统计分析、个人中心、系统管理等。
(一) 功能要求
1. 课程学习中心
(1) 课程中心
学员学习课程,课程内分为图文课件和视频教学录屏两种模式,视频教学课程支持查看相关课件。
(2) 职业体系
支持分学员水平、分目标岗位的职业规划体系,如渗透测试工程师、安全运维工程师、软件逆向工程师等,同时辅以配套练习,检验学习成果,课程体系应符合网络安全人员能力成长规划,每个体系应至少分为初级、中级、高级三个水平,分阶段提供课程,通过前一阶段考核后方可进行下一阶段的学习;同时支持管理员根据需要自行编排职业规划体系。
(3) 实战演练
支持对课程中讲述的知识点进行实战 演练 ,需要有配套的靶机实验环境,可以直接进入靶机对课程内容进行复现操作,并且有配套的操作指导教材。
(4) 能力考核
支持对学员的能力水平进行综合考评,可在题库中灵活选题组卷,题库中包括选择题、判断题、主观题、客观题、 CTF题、AWD题等。
(5) 课程评价
支持学员对每门课程进行评分、评价及留言讨论,其中对单一课程的评分评价功能需在学员学习完该课程后开放。
2. 实战训练中心
(1) CTF专项训练
支持攻防夺旗赛( Capture The Flag,CTF)功能,内置各类CTF典型赛题(Web(网络安全)、RE(逆向工程)、Pwn(二进制漏洞利用)、Crypto(密码攻击)、Mobile(移动安全)、Misc(杂项)等),每道题目均支持学员自由进行实操训练;上述每个题目具体考点不应重复,后期发现应标方提供重复题目或题目差异过小的,招标方可要求应标方重新提供符合要求的对应类型的题目。
(2) AWD专项训练
支持攻防对抗赛( Attack With Defense,AWD)功能,内置多道典型漏洞的利用和修复题目, 每道题目均支持学员自由进行实操训练;上述每个题目具体考点不应重复,后期发现应标方提供重复题目或题目差异过小的,招标方可要求应标方重新提供符合要求的对应类型的题目。
(3) 仿真场景专项训练
支持模拟城市、特定行业内网或者某些特殊场景下的靶场环境,这种模式会由多台靶机联合构成,且分为不同的网络区域,学员需结合使用不同的渗透测试技能通过不同的网络区域限制,最终获取到目标主机相关权限,学员可以自由进行场景仿真专项训练。
仿真场景类题目应至少含 3个及以上网络区域,场景主机总数不少于10台,应标方在提供仿真场景类题目证明材料时应提供场景对应的网络拓扑。
(4) 漏洞专项训练
支持对典型 OWASP Top10、热门漏洞如log4j2、weblogic、struts2等、特定靶标等利用方式进行专项训练;并支持使用空白靶标或镜像部署特定应用进行漏洞挖掘。
(5) 实战训练中心附加能力
AWDPlus训练:学员以团队为单位参加训练,每支队伍拥有相同配置的虚拟靶机,队员需对平台中的模拟主机发起攻击,并向平台提交正确的flag(证明自己具备对该题的攻击能力);在此期间,由平台以轮次制的方式向每支队伍的靶机发起攻击,检查其他队伍的漏洞是否修补成功,若修补成功则认为该队伍具备该漏洞的防御能力。
赛题指引:平台能够依据管理员设置的任务生成 赛题指引,以此指引参训学员对web客户端、题目环境进行访问;最大避免耗费人工引导干预。赛题指引的主要内容可以包括环境拓扑图、环境IP列表、环境说明、答案提交形式说明、VPN访问信息说明、反弹IP对照表以及注意事项等内容。
动态 Flag:平台支持开启动态Flag功能,本功能开启后每个Flag仅能提交一次,重复提交无效,有效避免学员作弊直接提交Flag得分。
可疑操作告警:平台支持可疑操作告警功能,告警内容包括学员名称、异常活动、涉嫌违规内容、级别等内容,并支持对可疑操作进行扣分、封禁等操作。
3. 资源中心
(1) 攻防武器库
内置不少于 100个高质量攻防渗透工具,包括但不限于信息收集类、漏洞扫描类、指纹识别类、暴力破解类、漏洞利用类、CTF类、远程控制类、逆向破解类、 编码解码 类,要求每个工具均涵盖功能介绍、应用场景、使用方法,并可部署至测试环境进行实际使用;支持学员自行提交添加攻防渗透工具,并添加工具描述,由管理员审核通过后可供全员使用;支持管理员更新、修改、删除攻防渗透工具。
(2) 课程资源
支持管理员对平台内置的课程、职业体系进行增加、修改和删除;支持按照平台支持的格式自行导入课程;支持对课程进行自由编排,形成新的课程体系。
(3) 题目资源
支持管理员对平台内置的题目、考试试卷进行增加、修改和删除;支持按照平台支持的格式自行导入题目;支持对题目进行自由编排,形成新的考试试卷。
(4) 镜像资源
支持对虚拟机镜像及 docker容器镜像进行管理;支持虚拟镜像常规管理,包括镜像上传、镜像注册、镜像删除、镜像查看、镜像格式转换、镜像压缩等;支持虚拟机镜像生成,包括基于系统已有虚拟机模板,快速生成新的虚拟机镜像或是将已关机的虚拟机转换为虚拟机镜像模板,基于该镜像模板创建新的虚拟机。
(5) 靶标资源
提供不少于 100套典型漏洞靶标,包括但不限于文档类漏洞、浏览器类漏洞、数据库类漏洞、网络设备类漏洞、web类漏洞等;提供靶机总数及应用服务靶标不少于500套;支持多种原始靶标操作系统,包括但不限于Windows XP、Windows 7、Windows 8、Windows server 2003、Windows server 2008、Windows server 2012、Windows server 2016、Windows server 2019、RedHat、CentOS、Ubuntu、Debian、openSUSE等。
(6) 场景资源
提供不少于 5套初始场景资源,每套场景包括场景环境、操作手册等;支持管理员自行构建场景,除标准的操作系统外,可 提供场景构建所需的虚拟网络设备如 DNS、路由器、交换机等,虚拟安全设备如防火墙、WAF、IDS/IPS等。
4. 管理中心
(1) 账号管理
支持管理员管理账号,并分配相关权限,如学员、教员、资源管理员等。
(2) 统计分析
支持教员统计学员的学习进度、学习时长、考试成绩、训练情况等。
(3) 个人中心
学员可以在个人中心看到自己的课程学习进度、专项训练完成情况、考试成绩等信息。
(4) 系统管理
提供系统管理功能,管理员可通过界面查看平台中服务及资源使用列表,并通过日志查看用户在平台中的各类操作,例如创建靶标、创建拓扑等,便于进行日志查看以及汇总管理。能够对登录日志进行记录和管理,记录信息包含用户名称、角色权限、登录 IP地址、登录是否成功、登录时间等内容。
(二) 技术要求
1. 系统支持国产化平台及操作系统。
2. 兼容性:软件客户端支持 Windows、Mac、Linux平台。
3. 系统支持 Chrome、Firefox、IE浏览器访问。
4. 易用性: B/S架构,良好的UI界面。
5. 产品须支持中文界面。
6. 可靠性:具备硬件性能监控和告警机制,当 CPU、内存、硬盘不足或者故障时进行告警。
7. 安全性:数据加密传输、敏感数据加密存储。
8. 可维护性:提供 7*24小时应急服务,并提供故障应急手册。
(三) 数量要求
一套完整的攻防实训平台,可供 50人同时使用,课程中心内置网络安全课程不少于500课时(实验课程折合课时30分钟),实训中心内置CTF题目不少于1 5 0道、AWD题目不少于1 5 道、仿真场景题目不少于 2道,攻防武器库内置高质量 攻防渗透工具不少于 100个,内置典型漏洞靶标不少于100套 。
(四) 服务要求
本次项目中标方需提供本项目内容的集成和安全技术服务,必须按照招标人的要求提供系统安装部署手册,并在手册通过审核后提供专业的现场安装部署、相关安全技术服务。
从项目验收之日起,提供为期 叁 年的免费维保和服务支持,具体要求包括:
1. 提供系统新版本的更新与升级,日常使用维护中遇到的疑问技术支持。
2. 提供产品使用培训及服务。
3. 提供的初始课程中应包含下列课程内容:《常见 web漏洞原理及利用》、《渗透测试常用工具使用和要求》、《溯源反制技巧》、《常见中间件、框架类等漏洞原理及利用》、《常见操作系统、应用平台漏洞与安全防御》、《流量日志分析-常见安全事件》、《常见金融业务漏洞及防御》、《基于流量日志的追踪溯源》、《基于IPV6下的安全防御体系》。
4. 提供合计 60课时的定制课程。
5. 提供至少 2名安全专业领域证书培训名额(含培训+考证,包含但不限于cisp-pts、cisp-pte、oscp、cisa等,由我行进行指定)。
6. 提供 7*24小时的应急响应服务,提供灵活、多样的通信联系手段。
7. 如出现系统问题或故障,且招标人认为有必要技术人员到现场支持时,投标人应及时进行免费现场支持。投标人应指定有经验的技术人员在 12小时内赶到现场,紧急情况应在4小时内赶到现场,除特殊情况外不能超过24小时。
8. 系统试运行期间,投标人应提供技术人员的现场 /非现场技术支持服务,保障系统的正常运行。
9. 其它特殊要求:
项目的实施和运行不能对正常生产运营产生任何负面影响,不能对我行日常办公产生任何负面影响。
1.2. 资格要求:
1.2.1 企业成立3年以上,财务稳健,可稳定提供服务。
1.2.2 具备银行业 攻防实训、网络安全靶场 项目经验,具有 2021-2023年期间与银行合作开展 相关 项目的成功案例。
1.2.3 具备ISO 9001质量管理体系认证、ISO 27001信息安全管理体系认证等证书。
二、 报名要求
2.1在兴业银行开立对公账户,若中标本项目,则通过兴业银行对公账户结算该项目相关费用。
2.2充分理解我行 采购 需求并能够根据需求提供相应的 产品和 服务。
2.3应具有良好的商业 信誉 和健全的财务会计制度。
2.4未被 信用 中国 网列入重大税收违法案件当事人名单、未被中国执行信息公开网列入 失信 被执行人名单 、未被中国政府采购网列入政府采购严重违法失信行为信息记录名单、未被国家企业信用信息公示系统列入网站严重违法失信企业名单、在参加本次采购活动前3年内未出现重大违法违规行为,近三年在我行无不良行为记录,不在兴业银行供应商禁用/退出期内。
三、 征集时间
本次供应商征集自即日起至 202 4 年 3 月 9 日 23 : 59止。
四、报名方式
采购部门联系人:黄先生,联系电话: 0591-86313373,联系时间:工作日8:30-12:00,14:30-18:00(其他时间请勿打扰)。 若有意向请将供应商资料于征集截止时间前提交至gysxyfwt@cib.com.cn邮箱。
报名注意事项:
1. 提交的供应商资料内容包括如下三项:
材料 1: 《兴业银行攻防实训平台采购项目》供应商征集反馈材料 -公司名称(全称)
材料 2:兴业银行攻防实训平台采购项目信息收集表
材料 3:供应商准人信息导入模板
以上三项材料填报模板详见附件,提交材料无需加盖公司盖章。
2.提交资料所发送的邮件名称如下:《兴业银行攻防实训平台采购项目》供应 商征集反馈材料 -公司名称(全称)。请仅发送一封邮件,拆分发送多封邮件视为无效应答。
3.提交供应商资料大小不超过10M。(提交的邮件附件总大小超过10M自动拦截视为无效应答,附件请勿通过第三方邮箱转存附件)
五、注意事项
1.能够完全满足我行采购需求、有合作意向、无不良行为记录的供应商均可报名。
2.本次市场调研不代表采购邀请或意向,仅为调研市场情况发起。 经审查符合条件者,我行将会主动联系报名者 ;不符合条件者,将不会联系报名者, 材料予以保密。
3.本次市场调研不收取供应商的任何费用。
4.供应商须对报名信息和资料的真实性负责。如提供虚假材料,将取消报名资格并列入我行供应商黑名单。
5.对于上述事项存在疑问的,请及时与我行联系。
文章推荐:
深圳市青少年足球训练基地项目2标段苗木迁移劳务分包工程直接采购邀请函
更多商机查看,下载保标APP
扫码关注小程序,获取商机更容易
