學(xué)院應(yīng)用軟件安全檢測與加固服務(wù)項目需求

學(xué)院應(yīng)用軟件安全檢測與加固服務(wù)項目需求一、項目概況為保障“科學(xué)研究數(shù)字化集成應(yīng)用場景”（以下簡稱科研集成應(yīng)用）在業(yè)務(wù)云上的網(wǎng)絡(luò)安全和應(yīng)用穩(wěn)定運行，擬通過本次安全服務(wù)項目采購，為科研集成應(yīng)用提供深度代碼及組件安全分析，并對風(fēng)險漏洞結(jié)果進行漏洞修復(fù)，實現(xiàn)安全閉環(huán)；安全服務(wù)內(nèi)容包括應(yīng)用代碼安全檢測、應(yīng)用組件安全檢測、滲透測試服務(wù)、風(fēng)險漏洞修復(fù)及安全加固服務(wù)，服務(wù)詳情如下：（一）應(yīng)用代碼安全檢測服務(wù)：通過“檢測平臺+檢測服務(wù)”模式提供應(yīng)用代碼安全檢測服務(wù)，為已有的自適應(yīng)應(yīng)用安全檢測防護系統(tǒng)（以下簡稱IAST平臺）提供一年延期授權(quán)許可及配套服務(wù)，通過動態(tài)代碼檢測和配套人工服務(wù)，為科研集成應(yīng)用提供代碼安全檢測服務(wù)工作；（二）應(yīng)用組件安全檢測服務(wù)：通過“檢測平臺+檢測服務(wù)”模式提供應(yīng)用組件安全檢測服務(wù)，提供開源軟件安全分析平臺（以下簡稱SCA平臺）一年授權(quán)服務(wù)，通過SCA平臺分析檢測和配套人工服務(wù)，為科研集成應(yīng)用提供組件檢測服務(wù)工作；（三）滲透測試服務(wù)：通過滲透測試服務(wù)人員對科研集成應(yīng)用開展?jié)B透測試服務(wù)，滲透測試過程中不能對應(yīng)用正常使用產(chǎn)生影響，在用戶修復(fù)完成須進行第二輪復(fù)測，實現(xiàn)滲透測試閉環(huán)；（四）漏洞修復(fù)及安全加固服務(wù)：針對上述服務(wù)檢測結(jié)果須提供漏洞修復(fù)及安全加固服務(wù)，保證所檢測出漏洞及安全風(fēng)險清零；（五）容災(zāi)備份；服務(wù)內(nèi)容及要求（一）應(yīng)用代碼安全檢測服務(wù)須提供IAST平臺一年延期授權(quán)許可及配套服務(wù)，同時提供最新IAST版本，對原有IAST平臺版本進行升級更新，對業(yè)務(wù)云上的科研集成應(yīng)用進行應(yīng)用代碼安全檢測，IAST平臺目前已在部署，目前平臺授權(quán)已到期，服務(wù)期內(nèi)提供不少于6次動態(tài)代碼安全檢測（每季度1次，重保期間不少于2次），輸出相關(guān)《應(yīng)用代碼安全檢測報告》，確?？蒲屑蓱?yīng)用代碼安全；（二）應(yīng)用組件安全檢測服務(wù)須提供SCA平臺1年授權(quán)及配套服務(wù)，對業(yè)務(wù)云上的科研集成應(yīng)用平臺進行應(yīng)用組件安全分析檢測，服務(wù)期內(nèi)提供不少于6次應(yīng)用組件安全檢測（每季度1次，重保期間不少于2次），輸出相關(guān)《應(yīng)用組件安全檢測報告》，確?？蒲屑蓱?yīng)用組件安全；（三）滲透測試服務(wù)須對科研集成應(yīng)用提供滲透測試服務(wù)，滲透測試過程中不能對應(yīng)用正常使用產(chǎn)生影響，修復(fù)完成后再進行第二輪復(fù)測，實現(xiàn)滲透測試閉環(huán)；服務(wù)期內(nèi)每季度開展?jié)B透測試服務(wù)工作，共計不少于6次，輸出《滲透測試報告》；（四）風(fēng)險漏洞修復(fù)及安全加固服務(wù)針對上述服務(wù)檢測結(jié)果由提供漏洞修復(fù)及安全加固服務(wù)，保證所檢測出漏洞及安全風(fēng)險清零，同步輸出《風(fēng)險漏洞修復(fù)及加固報告》；升級后的IAST平臺須滿足如下關(guān)鍵功能要求指標(biāo)項技術(shù)參數(shù)漏洞檢測支持檢測敏感數(shù)據(jù)未加密存儲、敏感數(shù)據(jù)未加密返回前端、敏感信息在響應(yīng)包中傳輸?shù)劝踩L(fēng)險，且支持規(guī)則自定義；漏洞狀態(tài)支持漏洞狀態(tài)自動變更，當(dāng)漏洞進行主動驗證、漏洞復(fù)測或者漏洞再次觸發(fā)時，會根據(jù)結(jié)果自動狀態(tài)判斷，并自動進行狀態(tài)變更；漏洞危害等級漏洞危害等級智能上報，根據(jù)漏洞利用難度以及可利用程度的不同，針對同一漏洞類型系統(tǒng)將上報不同的漏洞危害等級；系統(tǒng)自動對該部分智能上報漏洞等級漏洞打上過濾標(biāo)簽，漏洞詳情中展示漏洞詳細信息；支持在漏洞檢測時對漏洞狀態(tài)進行可利用性分析，并根據(jù)結(jié)果對漏洞的危害等級進行自動調(diào)整；漏洞驗證被動插樁模式下支持針對已檢測出的漏洞進行自動化無人為干預(yù)的主動驗證功能，同時展示漏洞驗證的過程信息、驗證方法與判斷依據(jù)等內(nèi)容，并對經(jīng)過主動驗證的漏洞進行標(biāo)記；自動復(fù)測時，支持手動選擇在線的Agent完成復(fù)測操作；漏洞修復(fù)判斷增加安全控制策略后，支持對使用標(biāo)準(zhǔn)修復(fù)方式的漏洞進行漏洞修復(fù)判斷，當(dāng)再次測試時可以自動判斷漏洞是否修復(fù)并自動進行狀態(tài)變更；漏洞匯聚支持針對跨應(yīng)用版本情況下的漏洞自動匯聚管理功能；版本管理支持自動版本管理功能，可通過環(huán)境變量、Java系統(tǒng)屬性、JavaManifest、配置文件、自定義實現(xiàn)類、Assembly等策略進行自動識別被檢測應(yīng)用的版本，并能夠依據(jù)識別的版本信息自動創(chuàng)建IAST數(shù)據(jù)版本，確保應(yīng)用服務(wù)的版本與漏洞、API、組件數(shù)據(jù)版本的一一對應(yīng)；事件告警當(dāng)檢測發(fā)現(xiàn)新漏洞時支持郵件告警、釘釘/飛書告警，靈活定義新漏洞的危害等級、檢測規(guī)則、漏洞驗證情況等告警策略內(nèi)容；應(yīng)用組件安全檢測（SCA）平臺要求指標(biāo)項技術(shù)參數(shù)部署方式支持軟件部署，支持docker和k8s平臺部署；語言支持支持不少于15種主流編程語言的源碼級檢測，包括但不限于Java、JavaScript、Python、C/C#、.NET、PHP、Swift/Objective-C、Go/Golang、Erlang、Scala、Ruby、Perl、R、Grovvy、Kotlin、RUST、dart等；檢測參數(shù)配置支持自定義啟停檢測模式，包括但不限于許可風(fēng)險檢測、基線策略檢測、IaC（基礎(chǔ)設(shè)施即代碼）風(fēng)險檢測、漏洞可達性檢測、敏感信息檢測等；支持識別開發(fā)、運行環(huán)境的依賴，如test、dev、provided等；組件嵌套調(diào)用分析支持組件深度依賴分析，能夠識別并標(biāo)明直接依賴、間接依賴的組件，并支持定位組件依賴路徑；組件完整性分析支持對開源組件的完整性進行檢測，檢查開源組件是否被篡改、支持jar包的完整性校驗；漏洞可達性驗證支持通過調(diào)用鏈路、行級以及函數(shù)級、風(fēng)險函數(shù)特征識別等檢測方式，驗證項目代碼是否實際調(diào)用漏洞觸發(fā)函數(shù)；可達性驗證細節(jié)支持根據(jù)漏洞可達性驗證結(jié)果，展示驗證細節(jié)，包括但不限于觸發(fā)漏洞可達原因、漏洞觸發(fā)所處文件路徑、漏洞精準(zhǔn)定位至代碼行、漏洞起始索引、漏洞終止索引等；規(guī)則自定義能力基于docker官方dockerfiles最佳實踐、CISKubernetesBenchmark等國際合規(guī)標(biāo)準(zhǔn)，提供IaC（InfrastructureasCode）檢測規(guī)則，并支持用戶自定義添加IaC策略、自定義規(guī)則等級等；IaC安全檢測能力支持對docker、kubernetes配置文件基于策略規(guī)則進行安全檢測，檢測結(jié)果包括但不限于：風(fēng)險等級、觸發(fā)風(fēng)險規(guī)則、規(guī)則描述、影響、理由、修復(fù)建議、受影響資源、資源類型、資源路徑、易受攻擊代碼片段展示等；依賴修復(fù)方案基于組件不同的引入模塊、嵌套依賴、潛在的斷供風(fēng)險等場景，支持提供多種依賴修復(fù)方案，包括升級直接依賴、升級間接依賴、最近安全版本、最新版本、替換組件方案等；修復(fù)鏈路中一個組件即可使組件全鏈路安全無漏洞，極大降低修復(fù)難度、減少修復(fù)后引入新依賴漏洞的風(fēng)險；并提供組件修復(fù)前后漏洞風(fēng)險變更數(shù)據(jù)，更直觀展示不同方案的修復(fù)效果；敏感信息檢測能力支持檢測鏡像、源碼文件中的敏感信息，包括但不限于電話、地址、用戶名、密鑰、Token、網(wǎng)址等；支持檢測敏感信息內(nèi)容、敏感信息類型，并能夠敏感信息所在文件路徑、代碼片段；敏感信息檢測規(guī)則自定義支持通過正則表達式自定義敏感信息檢測規(guī)則、檢測類型；任務(wù)對比支持通過任務(wù)創(chuàng)建時間、應(yīng)用版本時間進行檢測結(jié)果對比；支持輸出對比結(jié)果，包括基礎(chǔ)信息對比、組件風(fēng)險、漏洞風(fēng)險、許可風(fēng)險等維度對比，并說明變化類型（新增、變化、刪除），支持以可視化圖表形式展示風(fēng)險變化；針對兩次任務(wù)對比中，應(yīng)支持分析組件修復(fù)詳情，包括原版本、修復(fù)后新版本、漏洞風(fēng)險變化等重要信息；支持以WORD、PDF、Excel等格式輸出任務(wù)對比結(jié)果，報告應(yīng)至少包含各類風(fēng)險變更可視化統(tǒng)計圖、基礎(chǔ)信息對比、組件風(fēng)險、漏洞風(fēng)險、許可風(fēng)險變更詳情；應(yīng)用設(shè)置支持自定義應(yīng)用屬性，包括商業(yè)項目、SaaS項目、開源項目、內(nèi)部項目；支持自定義應(yīng)用版本開發(fā)階段，包括計劃中、開發(fā)中、已發(fā)布、已棄用；支持應(yīng)用版本管理、成員管理、設(shè)置定時任務(wù)、與缺陷管理平臺集成配置、策略配置、代碼倉庫配置、綁定私服倉庫等操作；許可管理支持許可資產(chǎn)全局查詢，支持根據(jù)許可名稱、許可特性查詢；支持許可信息，包括但不限于許可名稱、許可全稱、許可特性、特性描述、許可簡介、許可權(quán)限解析、許可正文、是否過期、許可官方鏈接、組織認證（OSI、FSF）等；支持統(tǒng)計許可關(guān)聯(lián)組件、應(yīng)用信息，并展示許可在應(yīng)用中呈現(xiàn)的風(fēng)險等級；支持開源許可證多維度風(fēng)險分析，結(jié)合許可特性、組件引用方式、應(yīng)用屬性等維度，分析許可證在應(yīng)用中呈現(xiàn)的合規(guī)性、兼容性；語言支持支持不少于6種主流編程語言的私服組件檢測，包括但不限于Java、JavaScript、Python、Go/Golang、Ruby、.Net等；檢測能力支持定時批量檢測組件庫中的單個、多個分庫；支持檢測私服倉庫中組件、許可等資產(chǎn)，并支持獲取組件上傳時間、提交人員、組件所在目錄位置等信息；支持分析私服倉庫內(nèi)漏洞風(fēng)險、黑白名單風(fēng)險等；防護能力支持通過安裝特定防護插件，對某一特定漏洞（或某種漏洞類型）下發(fā)防御阻斷/修復(fù)策略，基于漏洞hook點，通過JavaAgent注入技術(shù)，在無需修改源碼、不影響軟件系統(tǒng)正常運行等場景下，實現(xiàn)風(fēng)險自動靜默攔截阻斷、修復(fù)漏洞的能力；支持查詢插件信息及防護范圍，支持自選下載、啟停所需防護插件；查詢能力支持模糊搜索、精準(zhǔn)搜索兩種模式，提供全量知識庫數(shù)據(jù)，包括但不限于組件、漏洞、許可庫；（五）容災(zāi)備份系統(tǒng)容災(zāi)備份系統(tǒng)1.數(shù)據(jù)級容災(zāi)系統(tǒng)軟件，支持數(shù)據(jù)同步復(fù)制和災(zāi)難切換接管功能；配置2節(jié)點業(yè)務(wù)容災(zāi)軟件許可，不限制數(shù)據(jù)容量；提供7*24小時郵件、電話、遠程網(wǎng)絡(luò)支持；2.全面支持各種應(yīng)用服務(wù)，包括MicrosoftSQLServer,ExchangeServer,SharepointServer,LotusNotes,Oracle，IIS,MySQL,及SybaseASE、瀚高、人大金倉、達夢、優(yōu)炫、南大通用等；3.支持跨平臺數(shù)據(jù)復(fù)制，至少包括Windows、Linux及龍芯、飛騰架構(gòu)下中標(biāo)麒麟、銀河麒麟等自主可控操作系統(tǒng)；4.支持MicrosoftVPC/HyperV,WMware，CitrixXENServer及VirtualIron、華為云、曙光云、浪潮云、EasyStack、Zstack等；5.提供異步字節(jié)級別的持續(xù)復(fù)制功能；支持多規(guī)則、多并發(fā)的數(shù)據(jù)保護，靈活的規(guī)則管理策略，規(guī)則之間相互獨立；多樣的數(shù)據(jù)壓縮加密，序列化數(shù)據(jù)異步傳輸，能按單獨復(fù)制任務(wù)，服務(wù)器，數(shù)據(jù)及網(wǎng)絡(luò)等自動進行至少三個級別的壓縮；提供打開文件的鏡像和復(fù)制功能；支持異構(gòu)平臺上各種應(yīng)用和數(shù)據(jù)復(fù)制，比如Windows平臺和Linux平臺間的文件復(fù)制,同時要求災(zāi)備端文件和數(shù)據(jù)保留文件屬性信息，嚴格保證數(shù)據(jù)的原始性和可用性；要求在不停業(yè)務(wù)/不停機的情況下進行備份，當(dāng)業(yè)務(wù)系統(tǒng)出現(xiàn)故障時，能夠在1分鐘內(nèi)及時接管恢復(fù)業(yè)務(wù)運行；提供數(shù)據(jù)驗證功能，要求產(chǎn)品支持源端與目標(biāo)端數(shù)據(jù)進行在線的MD5值對比校驗確保數(shù)據(jù)一致性，并生成報告；幫助用戶清楚的驗證生產(chǎn)數(shù)據(jù)和備份數(shù)據(jù)是否一致，杜絕因數(shù)據(jù)不一致導(dǎo)致無法恢復(fù)或數(shù)據(jù)丟失；支持生產(chǎn)端數(shù)據(jù)庫和備份端數(shù)據(jù)庫全庫比對、基于用戶或單表比對；支持基于內(nèi)存的數(shù)據(jù)合并技術(shù)，提供快速的數(shù)據(jù)恢復(fù)；支持從災(zāi)備數(shù)據(jù)副本中全部恢復(fù)、或選擇性恢復(fù)單個文件和目錄；支持docker容器場景下的數(shù)據(jù)復(fù)制和恢復(fù)；支持對共享磁盤上的文件或目錄執(zhí)行實時捕獲和復(fù)制；支持可設(shè)定的任意歷史點數(shù)據(jù)快速恢復(fù)，具備真正的CDP數(shù)據(jù)保護功能，精細度可恢復(fù)百萬分之一秒任意數(shù)據(jù)版本；支持在CDP數(shù)據(jù)正式恢復(fù)之前，可快速查看災(zāi)備的文件目錄信息，確定恢復(fù)時間點后，再正式進行CDP數(shù)據(jù)恢復(fù)；復(fù)制功能支持選擇文件、目錄、分區(qū)為保護目標(biāo)，支持文件過濾功能可自由選擇需忽略的文件、文件類型或目錄，可以自動跳過臨時文件，避免無效數(shù)據(jù)占用帶寬資源；支持粒度恢復(fù)功能，支持恢復(fù)單個文件、目錄、分區(qū)，無須為了恢復(fù)單個文件而要先恢復(fù)整個磁盤數(shù)據(jù)，避免數(shù)據(jù)恢復(fù)造成更大的風(fēng)險，同時減少數(shù)據(jù)恢復(fù)時間；提供遠程備份功能，無需在本地配置前置機，即可將數(shù)據(jù)實時備份到異地；支持斷點續(xù)傳、雙向緩沖、流量控制、傳輸時間段限制、壓縮、加密等有效的廣域網(wǎng)數(shù)據(jù)備份技術(shù)，減少網(wǎng)絡(luò)通信流量，提高數(shù)據(jù)傳輸?shù)姆€(wěn)定性和高效性；并可實現(xiàn)一對一、一對多、多對一、多對多的遠程備份容災(zāi)方式；6.管理運維要求：①B/S架構(gòu)，WEB中文操作界面，全圖形化監(jiān)控和管理；②提供WEB管理控制臺，能進行數(shù)據(jù)流量圖形化統(tǒng)計，計算和規(guī)劃帶寬需求；③提供管理控制臺，具導(dǎo)航及配置工具；④提供帶寬