学院应用软件安全检测与加固服务项目需求

学院应用软件安全检测与加固服务项目需求一、项目概况为保障“科学研究数字化集成应用场景”（以下简称科研集成应用）在业务云上的网络安全和应用稳定运行，拟通过本次安全服务项目采购，为科研集成应用提供深度代码及组件安全分析，并对风险漏洞结果进行漏洞修复，实现安全闭环；安全服务内容包括应用代码安全检测、应用组件安全检测、渗透测试服务、风险漏洞修复及安全加固服务，服务详情如下：（一）应用代码安全检测服务：通过“检测平台+检测服务”模式提供应用代码安全检测服务，为已有的自适应应用安全检测防护系统（以下简称IAST平台）提供一年延期授权许可及配套服务，通过动态代码检测和配套人工服务，为科研集成应用提供代码安全检测服务工作；（二）应用组件安全检测服务：通过“检测平台+检测服务”模式提供应用组件安全检测服务，提供开源软件安全分析平台（以下简称SCA平台）一年授权服务，通过SCA平台分析检测和配套人工服务，为科研集成应用提供组件检测服务工作；（三）渗透测试服务：通过渗透测试服务人员对科研集成应用开展渗透测试服务，渗透测试过程中不能对应用正常使用产生影响，在用户修复完成须进行第二轮复测，实现渗透测试闭环；（四）漏洞修复及安全加固服务：针对上述服务检测结果须提供漏洞修复及安全加固服务，保证所检测出漏洞及安全风险清零；（五）容灾备份；服务内容及要求（一）应用代码安全检测服务须提供IAST平台一年延期授权许可及配套服务，同时提供最新IAST版本，对原有IAST平台版本进行升级更新，对业务云上的科研集成应用进行应用代码安全检测，IAST平台目前已在部署，目前平台授权已到期，服务期内提供不少于6次动态代码安全检测（每季度1次，重保期间不少于2次），输出相关《应用代码安全检测报告》，确保科研集成应用代码安全；（二）应用组件安全检测服务须提供SCA平台1年授权及配套服务，对业务云上的科研集成应用平台进行应用组件安全分析检测，服务期内提供不少于6次应用组件安全检测（每季度1次，重保期间不少于2次），输出相关《应用组件安全检测报告》，确保科研集成应用组件安全；（三）渗透测试服务须对科研集成应用提供渗透测试服务，渗透测试过程中不能对应用正常使用产生影响，修复完成后再进行第二轮复测，实现渗透测试闭环；服务期内每季度开展渗透测试服务工作，共计不少于6次，输出《渗透测试报告》；（四）风险漏洞修复及安全加固服务针对上述服务检测结果由提供漏洞修复及安全加固服务，保证所检测出漏洞及安全风险清零，同步输出《风险漏洞修复及加固报告》；升级后的IAST平台须满足如下关键功能要求指标项技术参数漏洞检测支持检测敏感数据未加密存储、敏感数据未加密返回前端、敏感信息在响应包中传输等安全风险，且支持规则自定义；漏洞状态支持漏洞状态自动变更，当漏洞进行主动验证、漏洞复测或者漏洞再次触发时，会根据结果自动状态判断，并自动进行状态变更；漏洞危害等级漏洞危害等级智能上报，根据漏洞利用难度以及可利用程度的不同，针对同一漏洞类型系统将上报不同的漏洞危害等级；系统自动对该部分智能上报漏洞等级漏洞打上过滤标签，漏洞详情中展示漏洞详细信息；支持在漏洞检测时对漏洞状态进行可利用性分析，并根据结果对漏洞的危害等级进行自动调整；漏洞验证被动插桩模式下支持针对已检测出的漏洞进行自动化无人为干预的主动验证功能，同时展示漏洞验证的过程信息、验证方法与判断依据等内容，并对经过主动验证的漏洞进行标记；自动复测时，支持手动选择在线的Agent完成复测操作；漏洞修复判断增加安全控制策略后，支持对使用标准修复方式的漏洞进行漏洞修复判断，当再次测试时可以自动判断漏洞是否修复并自动进行状态变更；漏洞汇聚支持针对跨应用版本情况下的漏洞自动汇聚管理功能；版本管理支持自动版本管理功能，可通过环境变量、Java系统属性、JavaManifest、配置文件、自定义实现类、Assembly等策略进行自动识别被检测应用的版本，并能够依据识别的版本信息自动创建IAST数据版本，确保应用服务的版本与漏洞、API、组件数据版本的一一对应；事件告警当检测发现新漏洞时支持邮件告警、钉钉/飞书告警，灵活定义新漏洞的危害等级、检测规则、漏洞验证情况等告警策略内容；应用组件安全检测（SCA）平台要求指标项技术参数部署方式支持软件部署，支持docker和k8s平台部署；语言支持支持不少于15种主流编程语言的源码级检测，包括但不限于Java、JavaScript、Python、C/C#、.NET、PHP、Swift/Objective-C、Go/Golang、Erlang、Scala、Ruby、Perl、R、Grovvy、Kotlin、RUST、dart等；检测参数配置支持自定义启停检测模式，包括但不限于许可风险检测、基线策略检测、IaC（基础设施即代码）风险检测、漏洞可达性检测、敏感信息检测等；支持识别开发、运行环境的依赖，如test、dev、provided等；组件嵌套调用分析支持组件深度依赖分析，能够识别并标明直接依赖、间接依赖的组件，并支持定位组件依赖路径；组件完整性分析支持对开源组件的完整性进行检测，检查开源组件是否被篡改、支持jar包的完整性校验；漏洞可达性验证支持通过调用链路、行级以及函数级、风险函数特征识别等检测方式，验证项目代码是否实际调用漏洞触发函数；可达性验证细节支持根据漏洞可达性验证结果，展示验证细节，包括但不限于触发漏洞可达原因、漏洞触发所处文件路径、漏洞精准定位至代码行、漏洞起始索引、漏洞终止索引等；规则自定义能力基于docker官方dockerfiles最佳实践、CISKubernetesBenchmark等国际合规标准，提供IaC（InfrastructureasCode）检测规则，并支持用户自定义添加IaC策略、自定义规则等级等；IaC安全检测能力支持对docker、kubernetes配置文件基于策略规则进行安全检测，检测结果包括但不限于：风险等级、触发风险规则、规则描述、影响、理由、修复建议、受影响资源、资源类型、资源路径、易受攻击代码片段展示等；依赖修复方案基于组件不同的引入模块、嵌套依赖、潜在的断供风险等场景，支持提供多种依赖修复方案，包括升级直接依赖、升级间接依赖、最近安全版本、最新版本、替换组件方案等；修复链路中一个组件即可使组件全链路安全无漏洞，极大降低修复难度、减少修复后引入新依赖漏洞的风险；并提供组件修复前后漏洞风险变更数据，更直观展示不同方案的修复效果；敏感信息检测能力支持检测镜像、源码文件中的敏感信息，包括但不限于电话、地址、用户名、密钥、Token、网址等；支持检测敏感信息内容、敏感信息类型，并能够敏感信息所在文件路径、代码片段；敏感信息检测规则自定义支持通过正则表达式自定义敏感信息检测规则、检测类型；任务对比支持通过任务创建时间、应用版本时间进行检测结果对比；支持输出对比结果，包括基础信息对比、组件风险、漏洞风险、许可风险等维度对比，并说明变化类型（新增、变化、删除），支持以可视化图表形式展示风险变化；针对两次任务对比中，应支持分析组件修复详情，包括原版本、修复后新版本、漏洞风险变化等重要信息；支持以WORD、PDF、Excel等格式输出任务对比结果，报告应至少包含各类风险变更可视化统计图、基础信息对比、组件风险、漏洞风险、许可风险变更详情；应用设置支持自定义应用属性，包括商业项目、SaaS项目、开源项目、内部项目；支持自定义应用版本开发阶段，包括计划中、开发中、已发布、已弃用；支持应用版本管理、成员管理、设置定时任务、与缺陷管理平台集成配置、策略配置、代码仓库配置、绑定私服仓库等操作；许可管理支持许可资产全局查询，支持根据许可名称、许可特性查询；支持许可信息，包括但不限于许可名称、许可全称、许可特性、特性描述、许可简介、许可权限解析、许可正文、是否过期、许可官方链接、组织认证（OSI、FSF）等；支持统计许可关联组件、应用信息，并展示许可在应用中呈现的风险等级；支持开源许可证多维度风险分析，结合许可特性、组件引用方式、应用属性等维度，分析许可证在应用中呈现的合规性、兼容性；语言支持支持不少于6种主流编程语言的私服组件检测，包括但不限于Java、JavaScript、Python、Go/Golang、Ruby、.Net等；检测能力支持定时批量检测组件库中的单个、多个分库；支持检测私服仓库中组件、许可等资产，并支持获取组件上传时间、提交人员、组件所在目录位置等信息；支持分析私服仓库内漏洞风险、黑白名单风险等；防护能力支持通过安装特定防护插件，对某一特定漏洞（或某种漏洞类型）下发防御阻断/修复策略，基于漏洞hook点，通过JavaAgent注入技术，在无需修改源码、不影响软件系统正常运行等场景下，实现风险自动静默拦截阻断、修复漏洞的能力；支持查询插件信息及防护范围，支持自选下载、启停所需防护插件；查询能力支持模糊搜索、精准搜索两种模式，提供全量知识库数据，包括但不限于组件、漏洞、许可库；（五）容灾备份系统容灾备份系统1.数据级容灾系统软件，支持数据同步复制和灾难切换接管功能；配置2节点业务容灾软件许可，不限制数据容量；提供7*24小时邮件、电话、远程网络支持；2.全面支持各种应用服务，包括MicrosoftSQLServer,ExchangeServer,SharepointServer,LotusNotes,Oracle，IIS,MySQL,及SybaseASE、瀚高、人大金仓、达梦、优炫、南大通用等；3.支持跨平台数据复制，至少包括Windows、Linux及龙芯、飞腾架构下中标麒麟、银河麒麟等自主可控操作系统；4.支持MicrosoftVPC/HyperV,WMware，CitrixXENServer及VirtualIron、华为云、曙光云、浪潮云、EasyStack、Zstack等；5.提供异步字节级别的持续复制功能；支持多规则、多并发的数据保护，灵活的规则管理策略，规则之间相互独立；多样的数据压缩加密，序列化数据异步传输，能按单独复制任务，服务器，数据及网络等自动进行至少三个级别的压缩；提供打开文件的镜像和复制功能；支持异构平台上各种应用和数据复制，比如Windows平台和Linux平台间的文件复制,同时要求灾备端文件和数据保留文件属性信息，严格保证数据的原始性和可用性；要求在不停业务/不停机的情况下进行备份，当业务系统出现故障时，能够在1分钟内及时接管恢复业务运行；提供数据验证功能，要求产品支持源端与目标端数据进行在线的MD5值对比校验确保数据一致性，并生成报告；帮助用户清楚的验证生产数据和备份数据是否一致，杜绝因数据不一致导致无法恢复或数据丢失；支持生产端数据库和备份端数据库全库比对、基于用户或单表比对；支持基于内存的数据合并技术，提供快速的数据恢复；支持从灾备数据副本中全部恢复、或选择性恢复单个文件和目录；支持docker容器场景下的数据复制和恢复；支持对共享磁盘上的文件或目录执行实时捕获和复制；支持可设定的任意历史点数据快速恢复，具备真正的CDP数据保护功能，精细度可恢复百万分之一秒任意数据版本；支持在CDP数据正式恢复之前，可快速查看灾备的文件目录信息，确定恢复时间点后，再正式进行CDP数据恢复；复制功能支持选择文件、目录、分区为保护目标，支持文件过滤功能可自由选择需忽略的文件、文件类型或目录，可以自动跳过临时文件，避免无效数据占用带宽资源；支持粒度恢复功能，支持恢复单个文件、目录、分区，无须为了恢复单个文件而要先恢复整个磁盘数据，避免数据恢复造成更大的风险，同时减少数据恢复时间；提供远程备份功能，无需在本地配置前置机，即可将数据实时备份到异地；支持断点续传、双向缓冲、流量控制、传输时间段限制、压缩、加密等有效的广域网数据备份技术，减少网络通信流量，提高数据传输的稳定性和高效性；并可实现一对一、一对多、多对一、多对多的远程备份容灾方式；6.管理运维要求：①B/S架构，WEB中文操作界面，全图形化监控和管理；②提供WEB管理控制台，能进行数据流量图形化统计，计算和规划带宽需求；③提供管理控制台，具导航及配置工具；④提供带宽