1.本項目招標文件獲取截止時間和提交(上傳)投標文件截止時間(開標時間)變更為:2025年04月09日11:30���。
2.本項目提交(上傳)投標文件地點(開標地點)變更為:合肥市濱湖新區(qū)南京路2588號要素交易市場A區(qū)(徽州大道與南京路交口)2樓6號開標室。
3.關于招標文件第三章采購需求-貨物指標要求中“CTF能力訓練平臺”第2條、第14條����、第16條技術參數及要求相關的疑問。
回復:經專家論證及采購人確認����,招標文件第三章 采購需求-貨物指標要求中“CTF能力訓練平臺”第2條、第14條��、第16條技術參數內容調整如下:
(1)第2條內容由“●2�、支持為用戶提供跨時空賽事競技的能力,通過復刻往屆賽事的真題�、題目類型、解題動態(tài)����、比賽時長、積分模式等并和歷史賽事中的優(yōu)秀選手進行同場PK��。同時支持按比賽名稱篩選快速進入目標賽事����,支持按類型篩選查找賽事真題,幫忙學員快速查找賽事和真題����。(投標文件中需提供平臺內相關功能截圖)”內容調整為“●2�����、支持為用戶提供跨時空賽事競技的能力��,通過復刻往屆國家級賽事的題目���、題目類型、解題動態(tài)�����、比賽時長�����、積分模式等��,并和歷史賽事中的優(yōu)秀選手進行同場PK��。同時支持按比賽名稱篩選快速進入目標賽事�,支持按類型篩選查找賽事題目�����,幫忙學員快速查找賽事和題目。(投標文件中需提供平臺內相關功能截圖)”
(2)第14條內容由“■14�、提供不少于380道CTF題目,其中歷屆比賽真題不少于270道:需包含不少于8場的教育行業(yè)A類賽事���,例如全國大學生信息安全競賽�����、以及官方網站可查詢到的省部級或者國家級網安競賽的賽事真題�����。涵蓋web�、misc���、Crypto���、Reverse、pwn等方向�����,須涵蓋網安競賽歷史上具有代表性的題目,構建海量題庫�����,全面覆蓋各行業(yè)最新知識點內容��。將網安賽事需掌握的技能按類型進行歸類�����,將知識點融入知識競賽訓練�����,通過場景實操的方式鞏固知識點�。(投標文件中需提供平臺內相關資源截圖)”內容調整為“■14、提供不少于 380 道 CTF 題目����,其中滿足國家級賽事要求的題目不少于 270 道:需包含不少于 8 場國家級賽事。涵蓋 web�����、misc��、Crypto���、Reverse�、pwn 等CTF賽事典型方向���,須涵蓋網絡攻防競賽歷史上具有代表性的題目�����,構建海量題庫�,全面覆蓋各行業(yè)最新知識點內容����。將網安賽事需掌握的技能按類型進行歸類,將知識點融入知識競賽訓練�,通過場景實操的方式鞏固知識點。(投標文件中需提供平臺內相關資源截圖)”
(3)第16條內容由“■16�、支持提供大賽真題實例講解分析,平臺提供含解題思路(WriteUp)不少于120個��。(投標文件中需提供平臺內相關資源截圖)”內容調整為“■16�����、支持提供滿足國家級賽事要求的題目實例講解分析,平臺提供含解題思路(WriteUp)不少于 120 個�。(投標文件中需提供平臺內相關資源截圖)”
4.關于招標文件第三章采購需求-貨物指標要求中“網絡攻防對抗能力訓練平臺”第1條技術參數及要求相關的疑問。
回復:經專家論證及采購人確認�,“★1、支持競賽管理員對競賽演練任務配置��,依據任務要求���,配置參賽隊伍�����、配套競賽演練資源等信息����,主要包括比賽名稱����、關鍵詞、標題圖片�、比賽logo、比賽時間����、積分方式(靜態(tài)積分����、動態(tài)積分�����、沙漏積分�、輪次積分)��、比賽模式(普通模式���、攻防模式��、防御模式)���、參賽方式(單人、團隊)等信息設置���?!眱热菡{整為“★1��、支持競賽管理員對競賽演練任務配置,依據任務要求�,配置參賽隊伍、配套競賽演練資源等信息����,主要包括比賽名稱、關鍵詞����、標題圖片、比賽 logo���、比賽時間���、積分方式(靜態(tài)積分、動態(tài)積分�����、輪次積分)����、比賽模式(普通模式、攻防模式�����、防御模式)、參賽方式(單人�����、團隊) 等信息設置���。”
5.關于招標文件第三章采購需求-貨物指標要求中“網絡攻防對抗能力訓練平臺”第16條技術參數及要求相關的疑問�����。
回復:經專家論證及采購人確認��,“■16�����、提供不少于60道教育行業(yè)A類賽事(例如全國大學生信息安全競賽��、以及官方網站可查詢到的省部級或者國家級網安競賽的賽事)真題����。(投標文件中需提供平臺內相關資源截圖)”內容調整為“■16、提供不少于 60 道國家級網絡安全賽事題目。(投標文件中需提供平臺內相關資源截圖)”
6.關于招標文件第三章采購需求-貨物指標要求中“網絡攻防對抗能力訓練平臺”第17條�、第18條技術參數及要求相關的疑問。
回復:經專家論證及采購人確認�����,“網絡攻防對抗能力訓練平臺”第17條���、第18條技術參數內容調整如下:
(1)第17條內容由“17��、提供不少于12道AWDP-PWN題目�,涉及考點包括構造堆風水���、偽造chunk���,泄漏地址、off by null���、protocol buffer 逆向���、large bin attack、house of apple����、偽造堆地址�,泄漏堆地址�、vm pwn的常規(guī)逆向、逆向中常規(guī)移位加解密逆向����、orw中open與sendfile的聯(lián)合使用獲取flag、棧溢出��、代碼審計�����、cookie偽造�����、shellcode利用�����、程序逆向與結構體分析���、算法分析與refcnt的使用���、df/uaf 在較復雜結構中的利用、 需要對正確的點進行patch:refcnt�����、java代碼審計�����、filter過濾器繞過����、go語言逆向、go的棧溢出����、缺乏一些必要gadget時利用一些mov等gadget來進行利用、express的render特性;nodejs的require的加載順序���、Use After Free����、堆溢出�����、 chunk偽造、json字符串格式逆向�、堆溢出、最新系列的house of利用手法的使用���、高版本Glibc��、沙箱繞過����、常見二進制服務漏洞利用���、高版本Glibc漏洞利用等�����。”內容調整為“17�、提供不少于12道攻防對抗賽制的PWN類型題目,涉及考點包括構造堆風水��、偽造chunk���,泄漏地址�����、off by nul1����、protocol buffer逆向、1arge bin attack�、house of apple、偽造堆地址泄漏堆地址�、vm pwn 的常規(guī)逆向、逆向中常規(guī)移位加解密逆向�����、orw 中 open 與 sendfile 的聯(lián)合使用獲取 flag�、棧溢出、代碼審計���、cookie 偽造�����、shellcode 利用�、程序逆向與結構體分析、算法分析與 refcnt 的使用����、df/uaf 在較復雜結構中的利用、需要對正確的點進行 patch:refcnt��、java 代碼審計�、filter 過濾器繞過、go 語言逆向���、go 的棧溢出����、缺乏一些必要 gadget 時利用一些 mov 等 gadget 來進行利用�����、express 的render 特性;nodejs 的require 的加載順序�、UseAfter Free、堆溢出�、 chunk 偽造、json 字符串格式逆向堆溢出�、最新系列的 house of 利用手法的使用�����、高版本 Glibc.沙箱繞過、常見二進制服務漏洞利用����、高版本 Glibc 漏洞利用等?�!?/font>
(2)第18條內容由“18���、提供不少于12道AWDP-WEB類題目��,涉及考點包括CVE-2022-31692 權限認證繞過��、Y4-jdk的黑名單繞過����、不出網回顯構造�����、 Fury 反序列化�、JDK原生鏈、python rpc庫漏洞、任意類調用rce�、Use After Free、通過堆泄漏libc地址�、uaf的漏洞修復、php代碼審計��、文件上傳繞過�、user.ini繞過、文件檢測邏輯漏洞��、mongodb注入����、go語言代碼審計、go語言gin框架和原生http包對requesturi的使用不當導致越權��、go語言append切片使用不當導致條件競爭����,從而造成任意命令執(zhí)行"protobuf結構體逆向、棧溢出利用����、ssti;jwt、solon json解析差異���、反序列化校驗邏輯錯誤���、字符大小轉換trick、beetl最新版模版注入RCE�、smarthttp 回顯利用鏈挖掘、加密算法逆向���、常見函數漏洞利用���、數值越界等?���!眱热菡{整為“18、提供不少于 12 道攻防對抗賽制的WEB類型題目����,涉及考點包括CVE-2022-31692 權限認證繞過、Y4-jdk 的黑名單繞過����、不出網回顯構造、 Fury 反序列化���、JDK 原生鏈����、python rpc 庫漏洞、任意類調用 rce����、Use After Free、通過堆泄漏 libc 地址����、uaf 的漏洞修復、php 代碼審計����、文件上傳繞過、user.ini 繞過�、文件檢測邏輯漏洞、mongodb 注入�、go 語言代碼審計、go 語言 gin 框架和原生 http 包對 requesturi 的使用不當導致越權�����、go 語言 append 切片使用不當導致條件競爭�,從而造成任意命令執(zhí)行"protobuf 結構體逆向��、棧溢出利用����、ssti;jwt��、solon json 解析差異���、反序列化校驗邏輯錯誤、字符大小轉換 trick��、beetl 最新版模版注入 RCE�����、smarthttp 回顯利用鏈挖掘����、加密算法逆向、常見函數漏洞利用���、數值越界等�?���!?/font>
7.關于招標文件第三章采購需求-貨物指標要求中“網絡攻防對抗能力訓練平臺”第20條技術參數及要求相關的疑問��。
回復:經專家論證及采購人確認�����,“■20�、系統(tǒng)應具備承辦網絡安全相關比賽的運營支撐能力�。(投標文件中需提供教育部認可的A類網絡安全類賽事或者國家級賽事支撐運營證明材料,如官方文件或合同或官方網站查詢截圖)”內容調整為“■20�、系統(tǒng)應具備承辦網絡安全相關比賽的運營支撐能力。(投標文件中需提供國家級賽事支撐運營證明材料�����,如官方文件或合同或官方網站查詢截圖)”
8.關于招標文件第四章評標方法和標準-評分細則中“實施案例情況”的相關疑問�。
回復:經專家論證及采購人確認,第四章評標方法和標準-評分細則中“實施案例情況”內容由“投標人(或所投網絡攻防對抗能力訓練平臺生產廠商):(1)具備承辦教育部門認可的A類網絡安全類賽事(或國家級賽事)支撐運營能力的�,每提供1份案例證明材料得2分,本小項累計滿分6分�;(2)具備承辦教育部門認可的省級賽事支撐運營能力的,每提供1份案例證明材料得1分�����,本小項累計滿分2分。注:本項滿分6分���;投標文件中需提供案例證明材料(如官方文件或合同或官方網站查詢截圖)�����?���!闭{整為“投標人(或所投網絡攻防對抗能力訓練平臺生產廠商)具備承辦國家級網絡安全類賽事支撐運營能力的�����,每提供1份案例證明材料得2分��,本項滿分6分�。注:投標文件中需提供案例證明材料(如官方文件或合同或官方網站查詢截圖)����。”