山东航空官方网站 24小时服务热线 95369

关于漏洞扫描国产化采购项目谈判公告

2025-05-13

山东航空股份有限公司漏洞扫描国产化采购项目计划采用竞争性谈判方式进行采购，诚邀符合条件的供应商报名参加。

一、项目内容

（一）项目名称：漏洞扫描国产化采购项目

（二）项目编号：CGXM-XG-E-2025-050

（三）资金来源：企业自筹

（四）项目地点：济南市

（五）项目需求：

1. 系统应具备全场景漏洞扫描能力，覆盖Web应用、主机系统、数据库、网络设备及云环境。

2. 系统需长期稳定运行，产品为软件形态，具备对国产化操作系统（如麒麟、统信UOS等）、国产数据库（如达梦、人大金仓等）、国产芯片的深度兼容与适配能力，能够部署至国产环境。

3. 系统漏洞扫描任务并发数≥15，并发扫描IP数≥100，授权可扫描IP数量≥2000 个，同时在线使用账号数量≥100个。

4. 系统需支持三权分立账户体系，区分管理员、操作员、审计员角色，实现权限隔离。系统账号数量不限制，可自行新增账号。针对用户账号能够配置有效期，限制使用周期，满足多样化安全管理需求。

5. 系统应包含主机漏扫功能、数据库漏扫功能、WEB应用漏扫功能、安全配置核查功能。能准确高效的发现扫描目标的各类安全漏洞、配置问题、潜在勒索病毒、未授权访问、数据泄露等风险，各模块能力同时拥有上述IP地址扫描范围，不共享可扫描地址数量。

6. 系统支持用户自定义系统名称、版权信息及Logo，实现个性化部署。

7. 系统内漏洞规则库记录应大于30万条，兼容CVE、CNCVE、CNNVD、CNVD、Bugtraq等主流标准。知识库支持自定义编辑，包括漏洞描述、修复建议及等级，确保扫描结果及报告内容的精准性。支持自定义漏洞规则，用于支持未被漏洞库覆盖的特殊问题。

8. 系统支持细粒度扫描任务创建，所有任务类型集中展示于单一界面，便于管理员操作；支持任务复制及参数调整，快速创建与执行扫描任务；提供历史任务对比功能，并生成对比报告，帮助管理员分析漏洞与风险变化趋势；支持对主机与网站扫描任务设定参数模板，包括扫描范围、端口、重试次数等，满足多样化扫描需求。

9. 系统应具备连接VPN代理进行扫描的能力，能通过代理通道对私有云、隔离网等特殊环境下的目标进行漏洞扫描。

10. 系统能够发现非默认端口启动的服务，并识别其协议及版本。对于同IP不同端口的相同漏洞，明确标注端口信息。支持误报修正，避免误报结果导出。同时，扫描结果中可直接查看目标应用的软件版本，便于漏洞验证。

11. 系统支持对Discuz、织梦CMS、大汉CMS、WordPress等国内外主流第三方系统、组件的扫描，覆盖SQL注入、跨站脚本等OWASP TOP10主流安全漏洞。

12. 系统支持将漏洞以紧急、高危、中危、低危、信息进行危害程度的分类，并且可根据用户需要自定义漏洞等级。

13. 系统能够检测GET、POST、User-Agent、Cookie等多种方式提交的HTTP请求参数，并进行相应检测。

14. 系统具备单独口令猜测扫描任务，支持多种口令猜测方式，包括利用SMB、RDP、TELNET、FTP、SSH、POP3、TOMCAT、SQLSERVER、MYSQL、ORACLE、SYBASE、DB2、SNMP等协议进行口令猜测，允许用户自定义用户、密码字典。

15. 系统支持常见Web漏洞（如Log4j2、Shiro等高频漏洞）的快速验证，提供详细漏洞参数与HTTP数据，辅助一键验证。

16. 系统应覆盖对Oracle、MySQL、SQLServer、DB2、PostgreSQL、Sybase、达梦、人大金仓等主流国内外数据库的漏洞扫描，与国际国内标准兼容，确保数据库安全。

17. 系统应提供全面的系统安全配置核查功能，支持主流操作系统、中间件、数据库等设备的检查。对于无法远程访问的设备，提供离线检查脚本，满足公安部等级保护及工信部安全防护要求。

18. 系统应支持创建、编辑、导出、导入自定义扫描策略模板，便于策略的快速部署与调整。

19. 系统应具备对组件未授权发访问、配置泄露、数据泄露、勒索病毒风险等非常规化漏洞的安全检测能力，无害化评估扫描目标的潜在风险，能够输出完成的检测报告。

20. 系统支持HTML、WORD、EXCEL、XML、PDF等多种格式的报告导出，在线查看与离线导出并存，支持隐藏弱口令信息保护敏感数据安全。

21. 系统应具备对采用前后端分离架构的Web应用进行扫描的能力。

22. 支持在线及离线升级，确保漏洞特征库至少每周更新一次，保持产品最新状态。

二、供应商资格要求

（一）供应商必须是具有独立承担民事责任的能力，具备合法有效的营业执照，具有涵盖本项目的经营范围（提供最新且有效的营业执照）。

（二）具有依法缴纳税收和社会保障资金的良好记录。

（三）具有良好的商业信誉和健全的财务会计制度，近3年内在经营活动中无重大违法记录。

（四）具有履行合同所必需的专业技术能力、具有固定的生产或经营场所。

（五）近3年内，在国家企业信用信息公示系统http://www.gsxt.gov.cn/index.tim企业信用信息公示报告中未被列入严重违法失信企业名单（黑名单），中国政府采购网http://www.ccgp.gov.cn/search/cr/中无政府采购严重违法失信行为信息记录，信用中国www.creditchina.gov.cn法人和非法人组织公共信用信息报告中无严重失信信息记录。

（六）非山航集团黑名单供应商，非山航集团禁止交易企业名单内的供应商，非山航淘汰供应商禁用期内供应商，非山航不良行为供应商处罚期和处罚范围内供应商。

（七）单位负责人为同一人或者存在控股、管理关系的不同供应商，不得参加同一包段的应答或未划分包段的同一项目的应答。

（八）自2023年1月以来具有类似项目业绩。

（九）1.产品资质

产品应具备以下认证证书：

《计算机软件著作权登记证》

《网络关键设备和网络安全专用产品安全认证证书》

《中国国家信息安全产品认证证书》

《国家信息安全漏洞库（CNNVD）兼容性资质证书》

《IPv6 Ready兼容认证》

2.技术标准

漏洞评分遵循CVSS 3.0或更高本版本标准，检测结果需兼容CVE、CNVD、CNNVD等漏洞库。

（十）本项目不接受联合体报名，不允许转包分包。

三、报名要求

（一）采购公告发布时间为2025年5月13日至2025年5月20日23时59分（北京时间），请有意愿参加本项目的供应商务必在采购公告截止时间前将电子版报名材料发送至xgcg@sda.cn，同时抄送wangly10@sda.cn，未在公告截止时间前递交或未按公告要求提交报名材料的供应商无法通过报名资格审查、不具备参与项目资格。

（二）报名材料

以下报名材料须逐份加盖单位公章，逐份扫描成单独PDF文件，并按以下序号顺序排列，请确保齐全清晰，我公司将成立采购工作小组进行审核，未通过的将不具备参与本项目资格并不另行通知、解释。

1.法人或其他组织的具有统一社会信用代码的营业执照、事业单位法人证书等证明文件；

2.业务联系人提供法人授权书；

3.填写《供应商信息登记表》《供应商反商业贿赂承诺书》《供应商社会准则符合性自审问卷》（详见附件）；

4.国家企业信息公示系统（http://www.gsxt.gov.cn）中未被列入严重违法失信名单截图；中国政府采购网（http://www.ccgp.gov.cn/search/cr）中无政府采购严重违法失信行为信息记录截图；信用中国（https://www.creditchina.gov.cn）中的《法人和非法人组织公共信用信息报告》；

5.近3年内经营活动中没有重大违法记录的书面承诺（自拟）；

6.提供经专业机构审计的最近一年度财务报告（应含附注）；如无法提供上述经审计的财务报告，需提供近3年财务报表（包含资产负债表、利润表、现金流量表）复印件并加盖单位公章；

7.提供近一年内任意3个月依法缴纳税收的证明（税务机关出具的完税凭证）复印件。如存在依法免税，应提供相关证明文件；

8.提供近一年内任意3个月依法缴纳社会保障资金的相关证明材料；

9.提供自2023年1月以来类似项目业绩合同扫描件，合同扫描件应能清晰显示甲乙双方签章、详细标的、合同金额及生效时间等要素，同时提供本合同项下至少一张电子发票或发票扫描件以及该发票在国家税务总局全国增值税发票查验平台（https://inv-veri.chinatax.gov.cn）的完整检验截图。

10.提供①产品资质，产品应具备以下认证证书：

《计算机软件著作权登记证》

《网络关键设备和网络安全专用产品安全认证证书》

《中国国家信息安全产品认证证书》

《国家信息安全漏洞库（CNNVD）兼容性资质证书》

《IPv6 Ready兼容认证》

提供②技术标准：

漏洞评分遵循CVSS 3.0或更高本版本标准，检测结果需兼容CVE、CNVD、CNNVD等漏洞库。

我公司将根据供应商提供上述资料进行资质审核。

四、采购文件的获取

报名合格的供应商经审批通过后列入山航供应商库，并可获取采购文件，采购单位后续将采购文件发送至供应商联系人邮箱。

五、响应文件编制