序号

具体要求

1

采用B/S架构

2

SaaS部署交付

序号

具体要求

1

支持创建管理员、裁判员、审计员、测试人员等多种角色的用户

2

支持多级机构管理，可为不同机构分配管理账号，对不同机构间的项目数据做权限隔离

3

支持安全测试人员账号的批量导入功能

4

单一安全测试或渗透攻击任务支持创建多支测试队伍或攻击队伍，并对不同队伍分别进行队员管理

序号

具体要求

1

能够统一攻击流量入口，利于采购人内部对安全测试过程进行安全监控

2

支持访问控制策略，支持安全测试/渗透攻击时间段、安全测试/渗透攻击目标白名单等访问控制策略的设置

3

测试过程中，一旦发现安全事件，产品应能够提供测试人员的阻断功能

4

支持动态IP池机制，可按照攻击队员分配，在攻防演练期间，至少提供每人10个IP的资源池，且不能设置IP资源池的限制

5

为测试人员提供统一的VPN或堡垒机接入方式

6

攻防演练/渗透攻击时间段控制支持小时级别的控制

7

攻防演练/渗透攻击目标范围控制支持域名级、IP级别的控制

8

支持通过流量代理技术将攻击源IP转换为特定的攻击源IP

序号

具体要求

1

支持HTTPS测试人员流量自动解密功能，以便后续实现全流量审计

2

支持对测试人员所有流量的记录和存储功能

3

能够对不同测试人员的流量进行区分，以便后续审计能够定位到具体测试人员

4

支持测试人员所有Web流量的查看、检索功能，以便溯源分析

5

存储的流量应满足以下两种格式：pcap格式的网络全流量、json格式的Web流量

6

支持对测试人员流量的统计分析功能，包括实际参与攻击的人数统计、攻击时长统计、请求次数统计、攻击目标统计以及详细的攻击时间分布

7

流量统计分析维度应能实现全局统计、机构级（攻击队）统计、用户级（具体某个测试人员人员）统计

序号

具体要求

1

支持对测试测试人员流量的实时安全性审计分析功能，至少实现Web类流量的审计

2

安全审计分析引擎至少应具备WEB漏洞攻击识别和Web入侵检测功能，具备对OWASPTop10的Web应用攻击检测能力

3

审计报告支持自动生成，且报告中应明确安全测试审计情况，内容包括但不限于测试范围、测试时间、测试人员、审计内容及审计结果等；审计结果中应明确测试人员是否按照要求使用授权的接入方式进行安全测试，及实际参与的测试人员、人员账号、测试时长、人员攻击流量、团队攻击流量、识别为成功的攻击流量、攻击类型、被测目标、高风险行为的审计及溯源攻击过程分析等信息

4

安全审计分析引擎应可分析Web的双向数据包，能实时有效的识别成功的攻击和入侵事件

5

对识别为攻击的流量进行记录和存储，用于数据审计、攻击回溯

6

安全审计告警日志应实现用户级告警，能具体定位到某个测试人员

7

支持对安全审计告警日以用户、源IP、目的IP、Host、HTTP方法、URL、扩展名、请求头、请求体、响应头、响应体、状态码的精确搜索和模糊搜索

序号

具体要求

1

实时以地图、展播图等形式展示攻击队伍的攻击情况，包含攻击队伍、攻击人员、攻击手法、被测系统、实时流量、攻击成果等

2

实时展示攻击队伍、攻击人员的排名情况

3