招标代理公司（立即查看） 受业主单位（立即查看） 委托，于2024-03-21在采购与招标网发布 车载系统逆向研究与渗透测试平台。现邀请全国供应商参与投标，有意向的单位请及时联系项目联系人参与投标。 中山大学电（略）车载（略）逆向（略）采购项目发布时间（略）-（略）-（略）阅读量（略）次项目概况采购类型采购项目编号中大招（货）[（略）]（略）号项目名称中山大学电（略）车载（略）逆向（略）采购项目申购主题车载（略）逆向（略）项目类型货物采购项目预算***最高限价（（略））（略）,（略）.（略）采购开始时间（略）-（略）-（略）采购结束时间（略）-（略）-（略）采购单位中山大学经办人郑老师经办人电话（略）-（略）期望收货时间合同签订后（略）天交货是否送货是送货地址广东省深圳市光明区公常路（略）号中山大学工学园电子签章本项目需要使用（略）签字（略）操作手册（略）备注1、国内供货请报含税人民币价；境外供货（进口）请报免税人民币价。2、进口货物中如有国内供货部（略），供应商在报价时应（略）别报价，境外供货部（略）、国内供货部（略）的币种选择见第1条，并（略）别签订进口货物采购合同和国内采购合同。3（略）不收取任何费用，外贸代理费由供应商（略）。4、本项目需要使用（略）证书，请供应商根据指引（***article（略））提前（略）证书。5、技术参数中如标注有“★”号的条款必须实质性响应，负偏离（不满足要求）将导致报价无效。采购明细1采购设备车载（略）逆向（略）数量1套参考品牌【上海（略）---上海控安（略）---为辰信安（略）---伊世智能】技术要求序号技术要求内容评（略）等级是否需要附件说明1（略）至少覆盖2种研究车型环境（可包括（略）***o等，应为5年内新发售的车型，签合同前车型由甲方最终确认），研究车型的核心（略）关、车机、中控屏（略）终端TBO（略）等（视具体车型补充部件），传感器不少于5个。重要是2台架：定制车载（略）研究与测试台架2套，可兼容接入指标1中提及的2种车型，以及Model3和福特MustangMach-E，共四个车型环境。以下将上述4种车型简称为“研究车型”。非常重要否3提供研究车型的环境配套接入技术。重要否4（略）可兼容接入研究车型，支持至少三种总线通信协议，含（略）N（略）NFD，ETH，LIN；支持对台架部件固件的提取和（略）通信协议数据（略）析。每种车型的所有核心部件应正常连接，可实现互联互通（略）络通信、控制。每种车型都应至少提供（略）N协议的模糊测试接入，至少一种研究车型支持ETH，至少一种研究车型支持LIN，且提供相应的接入环境。重要是5接入方式支持：（1）支持总线接入：可接入常见车载总线，至少包括（略）；（2）支持串口接入模块：在开放串口功能的情况下，可（略）终端TBO（略）、车载信息交互（略）关、仪表等电子（略）部件串口进行安全测试或试验；（3）支持无线接入：可通过Wi-Fi、蓝牙、4G等通信方式接入；（4）若研究车型支持车辆诊断（（略）应提供该车型的车辆诊断（OBD）接入口。非常重要否6支持（略）络上实施安全和渗透测试，包括数据注入、窃听、模糊测试等，渗透效果可明显地展示，提供不少于（略）种渗透方法，渗透途径至少包含（略）N、Wi-Fi、蓝牙等。非常重要否7提供总计不少于（略）人天的培训服务。（备注（略）人天为8小时*人）一、提供常见车载（略）渗透方法培训（略）、（≥1.5（略）威胁点、常见渗透测试项与渗透方法2、（≥1.5人天）车载WiFi常见威胁与渗透方法3、（≥1.5（略）常见威胁与渗透方法4、（≥1.5人天）车载（略）N总线常见威胁与渗透方法5、（≥1人天）车内车载计算单（略）（ECU）常见渗透测试项及方法6、（≥1（略）服务端常见威胁与渗透方法7、（≥2（略）联汽车信息安全常见测试工具使用方法。二、提供研究车型相关的渗透测试培训（略）、（≥5人天）研究车型关键部件固件提取方法培训：对四种车型中所有关键部件的固件进行提取，对提取固件进行仿真；2、（≥5人天）研究车型关键部件固件（略）析方法培训：实现对提取固件的（略）析，能够简单（略）析识别出固件代码中各部（略）的主要功能，能够基于研究需求对固件代码进行修改（包括但不限于在代码中设置断点，预留内存等需求）；实现提取固件代码能够在与台架部件搭载的MCU相同或兼容型号的开发板上进行烧录、运行与调试，包括特定寄存器访问等；应提供固件文件不少于4个以及固件（略）析文档不少于4份；3、（≥5人天）研究车型关键部件接入（略）、（略）N总线、调试（略）络启动认证绕过方法和消息加密绕过方法；4、（≥5人天）研究车型漏洞挖掘与复现，包括（略）、（略）N总线协议漏（略）终端TBO（略）应用未知漏洞挖掘，应提供漏洞复现文档不少于（略）份；5、（≥5人天）研究车型漏洞（略）析，应提供漏洞（略）析文档不少于（略）份；6、（≥5（略）联汽车攻击路径剖析，应提供所有研究车型的攻击路径（略）析文档。重要否8（略）提供常见芯片固件提取与（略）析能力（emmc、flash），支持对关键部件的测试接入能力（蓝牙、Wi-Fi、USB、OBD（略）通信协议（（略）N、（略）N-FD、ETH）的模糊测试接入。重要否9附件参数（略）、提供车载（略）研究与测试台架说明书（包含台架接线图、台架操作说明以及维护方法）；2、提供相应（略）析报告、技术参考文档、固件文件（略）主机配置（略））相当或优于英特尔至强W5-（略）（（略）核（略）线程，睿频4.6GHz）；b）内存（略）GBDDR5内存（（略）MHz）1条；c）固态硬盘2TB2条（TLC颗粒，读速（略）MBs，写入（略）MBs，M.2接口【NVMe协议】，PCI-e4.0）；d）显卡相当或优于RT（略）-（略）G；e）电源（略）W（略）卡（略）mbps，2.4Ghz5Ghz，PCI-e，WiFi6；g）显示器（（略）辨率2k及以上，屏幕比例（略），尺寸（略）英寸，刷新率（略）Hz及以上）。重要否（略）车载（略）研究与测试台架（数量（略）套）：（1）台架底座，至少可以容纳四套研究车型环境上架；（2）设备配置：车型A和车型B的基本配置相同，各（略）关1套，原装车机1（略）终端（TBO（略））1套，原装仪表1套，原装中控屏1套，总车载计算单（略）（ECU）（原装型号）数目不少于6个，车载计算单（略）（ECU）类型根据具体车型商定；原装传感器不少于5套（设备型号应与研究车型的部件型号一致）、原装线束、电源一套。（3）配套工具（略）转换器*4、LIN转换器*4、ETH转换器*4、Jtagulator（硬件调试器）一套、J-Link（Jtag接口调试工具）一套、USB转TTL串口调试工具一套、Flashrom（Flash芯片固件提取工具）一套。重要否资质要求序号要求名称条件类型要求内容是否需要附件说明1第4条资质参数符合性参数填写并按要求（略）“供应商资格声明”（需签字并盖公章）是2第2条资质参数符合性参数填写并按要求（略）“廉洁承诺书”（需签字并盖公章）是3第3条资质参数符合性参数填写并要求（略）“法定代表人授权书”（需按授权书要求签字并（略））是4第1条资质参数符合性参数（略）营业执照副本原件（略）要求序号要求名称要求内容是否需要附件说明1免费保修年限满足2年得4（略）不满足则不得（略）是2产品销售渠道（要求（略）“制造厂商出具的授权函”）厂家（生产商）直接销售（出具厂家声明格式自拟）厂家（生产商）长期授权销售（授权书中连续有效期不少于一年）其他授权销售方式是3售后服务要求本合同项下货物的免费保修期不少于2年，保修承担方为厂家。保修期限自货物通过验收之日起算。在保修期内，如货物非因故意或重大过失而出现的质量问题应由厂商负责保修、包换或包退，并承担修理、调换或退货的实际费用，所更换的部件三包期从更换之日起重新计算。厂商不能修复、调换或不能退货的，应向退回相应货款，并承担相应的违约责任。报修后（略）小时内，厂商应当指派具备专业资质的工作人员上门保修。如厂商收到报修通知后超出3天仍不能解决故障，厂商应免费更换新产品或免费提供代用品、备用品，并确保可以正常使用。如厂商未按前述约定到（略）处理的，我方有权自行采取措施，由此所发生的费用均由厂商承担，我方有权从应付的货款中直接扣减该费用，不足部（略）我方有权继续向厂商追索。保修期内，货物因同一生产质量问题经厂商2次修理后仍无法修复或仍发生故障的，我方有权要求厂商更换全新的产品，厂商应当在合理的时间内更换。新更换的配件及或新产品，保修期不得少于2年。免费保修期届满后，厂商应提供免费电话或（略）技术支持和必要的保修服务，保修只收取配件费用。保修期内提供免费上门维护服务（最少三个月一次），包括检查硬件设备的状态、（略）的运行情况等，不收取任何费用。厂商应保证所有配件都有备用件，能够满足5年内配件更换和保修需求。不满足不得（略）否4厂商技术服务能力要求具备固件提取能力，具体如下：通过目标设备Flash芯片丝印，确定引脚定义，通过飞线法连接Flash芯片，使用Flashrom提取固件；能通过Jtagulator识别JTAG引脚定义，提取固件。具备固件逆向能力，具体如下：通过IDA对二进制文件逆向，逆向出控车指令等内容，对固件进行加解密，查找固件存在的漏洞。具备通信（略）析测试能力，具体如下（略））（略）N总线：具备逆行重放（略）析等能力（略）络探测和存活车载计算单（略）（ECU）扫描能力，可识（略）络节点。支持端口扫（略）络端口，同时提供关键服务密码爆破能力，用于评估（略）的安全性。c）UDS：具备对常见UDS服务的深度（略）析和利用能力。包括对车辆控制单（略）的诊断和配置服务，以及在执行某些服务时可能出现的潜在安全威胁的（略）析。d）（略）CP：在对测量和校准协议的测试中，具备访问控制测试，支持可读参数的遍历，以及对参数泄漏的读取测试。e）Doip：具备对常见Doip服务的深度（略）析和利用能力。包括对车辆控制单（略）的诊断和配置服务，以及在执行某些服务时可能出现的潜在安***ip：支持协议的重放篡改和中间人攻击等高级测试。支持复制和订阅SOMEIP-SD服务，同时提供AR（略）ML文件解析能力。g）针对无线通信（如Wi-F（略）络），具备（略）析、测试和漏洞利用能力。包括对无线通信协议的深入（略）析，以及对可能存在的漏洞进行（略）性测试。h）具备私有协议认证、推送和订阅等高级测试能力。不满足不得（略）是5验收要求1、渗透方法测试报告和技术参考文档齐套规范、可读性强，渗透方法测试报告可复现，报告或文档数目不得少于培训要求中的指标要求；2、验收前应完成培训服务，培训服务内容应覆盖培训要求的所有指标项，提供培训服务天数不得少于指标要求，所有培训服务应在验收前完成；3、可在研究（略）络安全和渗透测试，包括数据注入、窃听、模糊测试等，渗透效果可明显地展示，渗透途径至少包含（略）N、Wi-Fi、蓝牙等。4、保修以及技术维护按要求履行（最终验收项）；否6合同履约该项目必（略）合同范本执行（略）地址：（略）p。注意：（1）合同模板中付款方式适用（略）期结算付款条款其它付款方式选项不得选用；（2）本项目签署《中山大学国内采购合同》的需开具增值税专用发票，如无法开具，需在签署合同时提供合理说明，否则将可能会影响合同签署。否FF（略）E;DD（略）E;EE（略）E;