******大学网络安全攻防实验室训练平台采购项目

原项目编号：2025BFAFZ00277

原公告日期：2025年03月05日

******大学网络安全攻防实验室训练平台采购项目更正公告

一、项目基本情况

项目编号：2025BFAFZ00277

******大学网络安全攻防实验室训练平台采购项目

首次公告日期：2025年03月05日

二、更正信息

更正事项：? 采购公告    ? 采购文件   □ 采购结果

更正内容：

1.本项目招标文件获取截止时间和提交（上传）投标文件截止时间（开标时间）变更为：2025年04月09日11：30。

2.本项目提交（上传）投标文件地点（开标地点）变更为：合肥市滨湖新区南京路2588号要素交易市场A区（徽州大道与南京路交口）2楼6号开标室。

3.关于招标文件第三章采购需求-货物指标要求中“CTF能力训练平台”第2条、第14条、第16条技术参数及要求相关的疑问。

回复：经专家论证及采购人确认，招标文件第三章 采购需求-货物指标要求中“CTF能力训练平台”第2条、第14条、第16条技术参数内容调整如下：

（1）第2条内容由“●2、支持为用户提供跨时空赛事竞技的能力，通过复刻往届赛事的真题、题目类型、解题动态、比赛时长、积分模式等并和历史赛事中的优秀选手进行同场PK。同时支持按比赛名称筛选快速进入目标赛事，支持按类型筛选查找赛事真题，帮忙学员快速查找赛事和真题。（投标文件中需提供平台内相关功能截图）”内容调整为“●2、支持为用户提供跨时空赛事竞技的能力，通过复刻往届国家级赛事的题目、题目类型、解题动态、比赛时长、积分模式等，并和历史赛事中的优秀选手进行同场PK。同时支持按比赛名称筛选快速进入目标赛事，支持按类型筛选查找赛事题目，帮忙学员快速查找赛事和题目。（投标文件中需提供平台内相关功能截图）”

（2）第14条内容由“■14、提供不少于******大学生信息安全竞赛、以及官方网站可查询到的省部级或者国家级网安竞赛的赛事真题。涵盖web、misc、Crypto、Reverse、pwn等方向，须涵盖网安竞赛历史上具有代表性的题目，构建海量题库，全面覆盖各行业最新知识点内容。将网安赛事需掌握的技能按类型进行归类，将知识点融入知识竞赛训练，通过场景实操的方式巩固知识点。（投标文件中需提供平台内相关资源截图）”内容调整为“■14、提供不少于 380 道 CTF 题目，其中满足国家级赛事要求的题目不少于 270 道：需包含不少于 8 场国家级赛事。涵盖 web、misc、Crypto、Reverse、pwn 等CTF赛事典型方向，须涵盖网络攻防竞赛历史上具有代表性的题目，构建海量题库，全面覆盖各行业最新知识点内容。将网安赛事需掌握的技能按类型进行归类，将知识点融入知识竞赛训练，通过场景实操的方式巩固知识点。（投标文件中需提供平台内相关资源截图）”

（3）第16条内容由“■16、支持提供大赛真题实例讲解分析，平台提供含解题思路（WriteUp）不少于120个。（投标文件中需提供平台内相关资源截图）”内容调整为“■16、支持提供满足国家级赛事要求的题目实例讲解分析，平台提供含解题思路（WriteUp）不少于 120 个。（投标文件中需提供平台内相关资源截图）”

4.关于招标文件第三章采购需求-货物指标要求中“网络攻防对抗能力训练平台”第1条技术参数及要求相关的疑问。

回复：经专家论证及采购人确认，“★1、支持竞赛管理员对竞赛演练任务配置，依据任务要求，配置参赛队伍、配套竞赛演练资源等信息，主要包括比赛名称、关键词、标题图片、比赛logo、比赛时间、积分方式（静态积分、动态积分、沙漏积分、轮次积分）、比赛模式（普通模式、攻防模式、防御模式）、参赛方式（单人、团队）等信息设置。”内容调整为“★1、支持竞赛管理员对竞赛演练任务配置，依据任务要求，配置参赛队伍、配套竞赛演练资源等信息，主要包括比赛名称、关键词、标题图片、比赛 logo、比赛时间、积分方式（静态积分、动态积分、轮次积分）、比赛模式（普通模式、攻防模式、防御模式）、参赛方式（单人、团队） 等信息设置。”

5.关于招标文件第三章采购需求-货物指标要求中“网络攻防对抗能力训练平台”第16条技术参数及要求相关的疑问。

回复：经专家论证及采购人确认，“■16、提供不少于******大学生信息安全竞赛、以及官方网站可查询到的省部级或者国家级网安竞赛的赛事）真题。（投标文件中需提供平台内相关资源截图）”内容调整为“■16、提供不少于 60 道国家级网络安全赛事题目。（投标文件中需提供平台内相关资源截图）”

6.关于招标文件第三章采购需求-货物指标要求中“网络攻防对抗能力训练平台”第17条、第18条技术参数及要求相关的疑问。

回复：经专家论证及采购人确认，“网络攻防对抗能力训练平台”第17条、第18条技术参数内容调整如下：

（1）第17条内容由“17、提供不少于12道AWDP-PWN题目，涉及考点包括构造堆风水、伪造chunk，泄漏地址、off by null、protocol buffer 逆向、large bin attack、house of apple、伪造堆地址，泄漏堆地址、vm pwn的常规逆向、逆向中常规移位加解密逆向、orw中open与sendfile的联合使用获取flag、栈溢出、代码审计、cookie伪造、shellcode利用、程序逆向与结构体分析、算法分析与refcnt的使用、df/uaf 在较复杂结构中的利用、 需要对正确的点进行patch：refcnt、java代码审计、filter过滤器绕过、go语言逆向、go的栈溢出、缺乏一些必要gadget时利用一些mov等gadget来进行利用、express的render特性;nodejs的require的加载顺序、Use After Free、堆溢出、 chunk伪造、json字符串格式逆向、堆溢出、最新系列的house of利用手法的使用、高版本Glibc、沙箱绕过、常见二进制服务漏洞利用、高版本Glibc漏洞利用等。”内容调整为“17、提供不少于12道攻防对抗赛制的PWN类型题目，涉及考点包括构造堆风水、伪造chunk，泄漏地址、off by nul1、protocol buffer逆向、1arge bin attack、house of apple、伪造堆地址泄漏堆地址、vm pwn 的常规逆向、逆向中常规移位加解密逆向、orw 中 open 与 sendfile 的联合使用获取 flag、栈溢出、代码审计、cookie 伪造、shellcode 利用、程序逆向与结构体分析、算法分析与 refcnt 的使用、df/uaf 在较复杂结构中的利用、需要对正确的点进行 patch:refcnt、java 代码审计、filter 过滤器绕过、go 语言逆向、go 的栈溢出、缺乏一些必要 gadget 时利用一些 mov 等 gadget 来进行利用、express 的render 特性;nodejs 的require 的加载顺序、UseAfter Free、堆溢出、 chunk 伪造、json 字符串格式逆向堆溢出、最新系列的 house of 利用手法的使用、高版本 Glibc.沙箱绕过、常见二进制服务漏洞利用、高版本 Glibc 漏洞利用等。”

（2）第18条内容由“18、提供不少于12道AWDP-WEB类题目，涉及考点包括CVE-2022-31692 权限认证绕过、Y4-jdk的黑名单绕过、不出网回显构造、 Fury 反序列化、JDK原生链、python rpc库漏洞、任意类调用rce、Use After Free、通过堆泄漏libc地址、uaf的漏洞修复、php代码审计、文件上传绕过、user.ini绕过、文件检测逻辑漏洞、mongodb注入、go语言代码审计、go语言gin框架和原生http包对requesturi的使用不当导致越权、go语言append切片使用不当导致条件竞争，从而造成任意命令执行"protobuf结构体逆向、栈溢出利用、ssti;jwt、solon json解析差异、反序列化校验逻辑错误、字符大小转换trick、beetl最新版模版注入RCE、smarthttp 回显利用链挖掘、加密算法逆向、常见函数漏洞利用、数值越界等。”内容调整为“18、提供不少于 12 道攻防对抗赛制的WEB类型题目，涉及考点包括CVE-2022-31692 权限认证绕过、Y4-jdk 的黑名单绕过、不出网回显构造、 Fury 反序列化、JDK 原生链、python rpc 库漏洞、任意类调用 rce、Use After Free、通过堆泄漏 libc 地址、uaf 的漏洞修复、php 代码审计、文件上传绕过、user.ini 绕过、文件检测逻辑漏洞、mongodb 注入、go 语言代码审计、go 语言 gin 框架和原生 http 包对 requesturi 的使用不当导致越权、go 语言 append 切片使用不当导致条件竞争，从而造成任意命令执行"protobuf 结构体逆向、栈溢出利用、ssti;jwt、solon json 解析差异、反序列化校验逻辑错误、字符大小转换 trick、beetl 最新版模版注入 RCE、smarthttp 回显利用链挖掘、加密算法逆向、常见函数漏洞利用、数值越界等。”

7.关于招标文件第三章采购需求-货物指标要求中“网络攻防对抗能力训练平台”第20条技术参数及要求相关的疑问。

回复：经专家论证及采购人确认，“■20、系统应具备承办网络安全相关比赛的运营支撑能力。（投标文件中需提供教育部认可的A类网络安全类赛事或者国家级赛事支撑运营证明材料，如官方文件或合同或官方网站查询截图）”内容调整为“■20、系统应具备承办网络安全相关比赛的运营支撑能力。（投标文件中需提供国家级赛事支撑运营证明材料，如官方文件或合同或官方网站查询截图）”

8.关于招标文件第四章评标方法和标准-评分细则中“实施案例情况”的相关疑问。

回复：经专家论证及采购人确认，第四章评标方法和标准-评分细则中“实施案例情况”内容由“投标人（或所投网络攻防对抗能力训练平台生产厂商）：（1）具备承办教育部门认可的A类网络安全类赛事（或国家级赛事）支撑运营能力的，每提供1份案例证明材料得2分，本小项累计满分6分；（2）具备承办教育部门认可的省级赛事支撑运营能力的，每提供1份案例证明材料得1分，本小项累计满分2分。注：本项满分6分；投标文件中需提供案例证明材料（如官方文件或合同或官方网站查询截图）。”调整为“投标人(或所投网络攻防对抗能力训练平台生产厂商)具备承办国家级网络安全类赛事支撑运营能力的，每提供1份案例证明材料得2分，本项满分6分。注：投标文件中需提供案例证明材料(如官方文件或合同或官方网站查询截图)。”

更正日期：2025年03月24日

三、其他补充事宜

1.本项目实施全流程电子化交易，投标文件实施网上远程解密，投标人无需前往开标现场；
    2.此公告视同采购文件的组成部分，与采购文件具有同等法律效力。请各投标人及时下载。

四、凡对本次公告内容提出询问，请按以下方式联系

1.采购人信息

******大学

地址：合肥市蜀山区九龙路111号

联系方式：0551-******

2.采购代理机构信息

名称：安徽省政府采购中心

地址：合肥市滨湖新区南京路2588号（徽州大道与南京路交口）六楼

联系方式：0551-******

3.项目联系方式

项目联系人：李工

电话：0551-******