网络安全认证场景建设项目需求

网络安全认证场景建设项目需求（一）需求清单包号序号名称数量单位备注11逆向分析认证场景1套2二进制漏洞挖掘与利用认证场景1套3Web安全认证场景1套（二）详细技术指标序号需求内容技术指标要求1逆向分析认证场景提供的认证场景应具备六个认证方向，包括逆向分析基础、低级语言分析、文件格式分析、静态分析对抗、动态调试对抗和脱壳分析。逆向分析基础方向应涵盖函数挂钩、虚函数调用、异常处理等知识点，每个知识点应至少包含一个认证场景。低级语言分析方向应涵盖Intel汇编语言分析、ARM汇编语言分析、MIPS汇编语言分析、Smali语言分析和MSIL语言分析等知识点，每个知识点应至少包含一个认证场景。文件格式分析方向应涵盖PE文件格式分析和ELF文件格式分析等知识点，每个知识点应至少包含一个认证场景。静态分析对抗方向应涵盖花指令混淆、LLVM混淆、字符串加密、API动态调用等知识点，每个知识点应至少包含一个认证场景。动态调试对抗方向应涵盖BeingDebugged检测反调试、NtGlobalFlag检测反调试、HeapMagic检测反调试、ProcessDebugPort检测反调试、DebugObject检测反调试、0xCC断点检测反调试等反调试技术，每个知识点应至少包含一个认证场景。脱壳分析方向应涵盖UPX脱壳、UPX变种脱壳、ASPack脱壳、ASProtect脱壳等知识点，每个知识点应至少包含一个认证场景。应至少提供53个逆向分析认证场景，每个场景除环境外，还应包括场景描述、标准答案和解题手册。2二进制漏洞挖掘与利用认证场景提供的认证场景应具备三个认证方向，包括基础知识、漏洞利用、缓解机制绕过。基础知识方向应涵盖函数调用过程、堆管理器原理、Shellcode编写等知识点，每个知识点应至少包含一个认证场景。漏洞利用方向应涵盖栈缓冲区溢出利用、堆缓冲区溢出利用、释放后重引用利用、双重释放利用、整数溢出利用、内存未初始化利用、条件竞争利用、类型混淆利用、格式化字符串利用、空指针引用利用等知识点，每个知识点应至少包含一个认证场景。缓解机制绕过方向应涵盖DEP绕过、ASLR绕过、GS（StackCookie）绕过、SafeSEH绕过、SEHOP绕过、CFG绕过、SMEP绕过等知识点，每个知识点应至少包含一个认证场景。应至少提供30个二进制漏洞挖掘与利用认证场景，每个场景除环境外，还应包括场景描述、标准答案和解题手册。3Web安全认证场景提供的认证场景应具备十三个认证方向，包括跨站脚本攻击(XSS)、跨站请求伪造(CSRF)、服务端信息泄露、SQL注入、文件包含、文件上传、身份认证和访问控制、反序列化、CMS/WEB框架安全、数据库安全、WEBSHELL、Web中间件安全、其他Web安全问题。跨站脚本攻击(XSS)方向应涵盖反射型XSS、存储型XSS、DOM型XSS等知识点，每个知识点应至少包含一个认证场景。跨站请求伪造(CSRF)方向应涵盖GET型CSRF、POST型CSRF等知识点，每个知识点应至少包含一个认证场景。服务端信息泄露方向应涵盖目录遍历、文件泄露、源码泄露、Git信息泄露、SVN信息泄露等知识点，每个知识点应至少包含一个认证场景。SQL注入方向应涵盖布尔盲注、时间盲注、报错注入、联合查询注入、宽字节注入、二次注入等知识点，每个知识点应至少包含一个认证场景。文件包含方向应涵盖本地文件包含、远程文件包含等知识点，每个知识点应至少包含一个认证场景。文件上传方向应涵盖截断上传、双重后缀欺骗上传、双重后缀欺骗上传、解析漏洞上传等知识点，每个知识点应至少包含一个认证场景。身份认证和访问控制方向应涵盖弱口令爆破、验证绕过、未授权访问等知识点，每个知识点应至少包含一个认证场景。反序列化方向应涵盖JAVA反序列化、PHP反序列化、Python反序列化等知识点，每个知识点应至少包含一个认证场景。CMS/WEB框架安全方向应涵盖Struts2漏洞利用、SpringMVC漏洞利用、Django漏洞利用、WordPress漏洞利用、Joomla漏洞利用、DeDeCMS漏洞利用等知识点，每个知识点应至少包含一个认证场景。数据库安全方向应涵盖MySQL数据库安全、SQLServer数据库安全、MongoDB数据库安全、PostgreSQL数据库安全、Redis数据库安全、ElasticSearch数据库安全等知识点，每个知识点应至少包含一个认证场景。WEBSHELL方向应涵盖一句话木马、ASPWebShell、JSPWebShell、PHPWebShell、图片WebShell、WebShell混淆隐藏、WebShell查杀等知识点，每个知识点应至少包含一个认证场景。Web中间件安全方向应涵盖Web容器中间件、消息中间件、网关中间件等知识点，每个知识点应至少包含一个认证场景。其他Web安全问题方向应涵盖命令注入、逻辑漏洞利用、XML注入、Cookie注入、Xpath注入、CRLF注入等知识点，每个知识点应至少包含一个认证场景。应至少提供157个Web安全认证场景，每个场景除环境外，还应包括场景描述、标准答案和解题手册。（三）培训要求必须提供但不限于以下培训要求：2.1实地现场培训：在设备安装、调试完后，中标供应商须派出熟悉本项目的技术人员对用户的相关技术人员进行现场培训。培训内容包括设备的参数的设置、操作、维护保养、应急处理、简单故障排除、终端技术等，以确保采购人能够对货物有足够的了解和熟悉，能够独立进行日常的维护、保养和管理。2.2中标供应商必须为所有被培训人员提供培训用文字资料和讲义等相关用品。所有的资料必须是中文书写。2.3中标供应商应将所有培训费用（含培训教材、差旅、食宿费用等）纳入设备报价。2.4必须根据采购的设备及采用的相关技术，提供全面的培训计划和课程内容安排。2.5列出具体计划并安排实施高水平的培训。2.6培训应包括所有设备的安装和维护、常见故障现象及诊断、常见问题及解决办法、操作系统使用等。（四）验收标准3.1采购人组织设备使用单位及相关部门严格依据项目合同标的及清单逐一清点核查，实施项目试运行前的初验收，并确认项目初验收报告。3.2货物为原制造商制造的全新产品，无污染，无侵权行为、表面无划损、无任何缺陷隐患，在中国境内可依常规安全合法使用。3.3交付验收标准投标人提供的货物应按必须符合最新的中华人民共和国国家安全环保标准、国家有关产品质量认证标准。若在供货过程中所采用的某项标准或规范在本采购文件中没有规定,则投标人应详细说明其所采用的标准和规范,并提供该标准或规范的完整中文文件给采购人，只有投标人采用的标准和规范是国家、国际公认的、惯