《住房公积金数据库审计项目招标文件》由会员分享,可在线阅读,更多相关《住房公积金数据库审计项目招标文件(49页珍藏版)》请在金锄头文库上搜索。
1、嘉兴市住房公积金管理服务中心数据库审计项目公开招标文件项目编号:JXSJ-2019-154采购单位:嘉兴市住房公积金管理服务中心代理机构:嘉兴市建新工程造价咨询事务所有限公司备案单位:嘉兴市财政局2019年10月14日嘉兴市住房公积金管理服务中心数据库审计项目.招标文件目 录第一章 公开招标采购公告3第二章 招标需求5第三章 投标人须知5第四章 评标办法35第五章 嘉兴市政府采购合同38第六章投标文件格式42第一章 公开招标采购公告 根据政府采购相关法律规定,经嘉兴市财政局确认委托JM-00028445号,嘉兴市建新工程造价咨询事务所有限公司受嘉兴市住房公积金管理服务中心的委托,就下列项目进行
2、公开招标,特邀请国内合格的投标人前来投标,现将有关事项公告如下:一、招标项目编号: JXSJ-2019-154二、采购组织类型:分散采购委托代理三、采购方式:公开招标四、招标项目:嘉兴市住房公积金管理服务中心数据库审计项目五、采购内容及数量详见招标需求 预算金额:人民币40万元。六、合格投标人的资格要求:1、符合政府采购法第二十二条(1、具有独立承担民事责任的能力;2、具有良好的商业信誉和健全的财务会计制度;3、具有履行合同所必需的设备和专业技术能力;4、有依法缴纳税收和社会保障资金的良好记录;5、参加政府采购活动前三年内,在经营活动中没有重大违法记录;6、法律、行政法规规定的其他条件)之供应
3、商资格规定;2、未被“信用中国”()、中国政府采购网()列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单。3、本次不接受联合体投标。4、本项目采用资格后审。本采购项目,中标单位与采购单位签订的政府采购合同适用于嘉兴市政府采购贷款政策,简称“政采贷”,具体内容可参阅政府采购贷款流程:http:/ 政府采购云平台http:/ (“政采云用户”登录后进行报名)未在注册的投标人:可在浙江政府采购网完成供应商注册后再行报名注册地址:http:/ 3、报名时间:2019年10月14日至2019年10月21日。 报名截止时间后至投标截止时间前允许潜在投标人获取招标文件。备注:招
4、标文件工本费:人民币300元整,招标文件工本费(现金)在递交投标文件的同时缴纳,否则视为自动放弃,投标文件不予接收。八、投标保证金:无九、投标截止时间和地点:投标人应于2019年11月4日14点30分前将投标文件密封送交到嘉兴市建新工程造价咨询事务所有限公司三楼319会议室(会展路207号),逾期送达作无效标处理。十、开标时间及地点:本次招标将于2019年11月4日14点30分在嘉兴市建新工程造价咨询事务所有限公司三楼319会议室(会展路207号),投标人代表必须持身份证及有效证件出席开标会议。十一、招标公告发布于:浙江政府采购网(http:/ 郭先生 电话:0573-89978079十三、嘉
5、兴市建新工程造价咨询事务所有限公司: 联系人:陆燕 联系电话:0573-82031391 手机:15157385672 十四、政府采购监督管理部门:嘉兴市财政局 电话:0573-82180293嘉兴市住房公积金管理服务中心 嘉兴市建新工程造价咨询事务所有限公司 2019年 10月14日嘉兴市建新工程造价咨询事务所有限公司50第二章 招标需求1.数据库审计技术指标要求指标项详细功能要求部署要求系统需支持部署至政务云平台配置至少支持6个数据库实例安全管理数据库支持至少需支持包括ORACLE(单机及RAC)、MYSQL、SQLSERVER、DB2、GBASE8.3S等主流数据库系统准入控制多因素准入
6、控制支持多维身份管理,至少包括应用程序名、IP地址、主机名、操作系统账户、数据库账户、数据库实例名、时间、U盾等因素进行任意组合,并可以组合形成新的登陆认证规则(投标时需提供功能截图证明)支持对SQLPLUS、PLSQLDEV等SQL管理工具进行签名登陆验证,防止工具程序随意连接数据库应用防假冒支持对假冒应用识别和拦截,防止假冒应用访问数据库Ukey登录支持Ukey及软证书等方式进行证书登陆验证,从而对自然人进行识别和控制,可以为相关人员分为唯一的数字证书,实现对自然人的唯一验证,实现登陆过程不可抵赖防撞库(密码泄露防护)支持检测和审计密码猜测行为,通过设置密码输入错误次数限制进行防护。达到密
7、码输入错误次数,自动锁定攻击终端,支持自动解锁和手工解锁。在数据库用户密码被泄露的情形下,仍能阻止非法用户登陆目标数据库,解决仅依靠密码认证带来的安全不足问题。免密登录支持免密登录功能,当数据库管理人员需要登录数据库时,无需输入数据库用户名密码,避免数据库用户和密码泄露(投标时需提供功能截图证明)访问控制特权账户管理支持特权用户访问控制(如:DBASYSDBASchema Userany权限等用户),实现特权用户三权分立管理,满足等级保护等法规对安全管理的要求(投标时需提供功能截图证明) 敏感数据访问控制针对敏感数据集合的访问,需要要经过授权,不具备访问权限的操作,明确阻断拒绝,并提示“安全权
8、限不足错误” (投标时需提供功能截图证明)敏感数据支持设置访问规则,访问规则中可设定精细化的访问因子(如应用程序名、IP地址、主机名、操作系统账户、数据库账户、数据库实例名、时间、U盾等条件),满足规则条件方可访问敏感数据支持限制特定的过程、函数、包等对象访问敏感数据(投标时需提供功能截图证明)可设置敏感标签身份,自动具备合法访问敏感数据的权限。未明确注册的身份,默认表示为不合法身份,不能访问敏感表格。行数阈值管控支持访问返回行数控制,对批量下载、更新等操作的控制,避免海量数据泄漏访问频次控制支持访问频次控制,避免一定时间内的高批次访问,避免非法人员通过高频访问快速窃取业务数据敏感SQL管理具
9、有敏感SQL特征库,能够对勒索等恶意代码进行快速识别和防御危险操作控制对于危险操作,如:Create user、Alter user、drop user等,授权管理操作(Grant),业务对象操作(Truncat table,drop table)等操作,必须经过授权才能执行,防止人为误操作(投标时需提供功能截图证明)。分级分类敏感数据分类支持对敏感数据进行客体标签化定义,同时支持自然人、数据库用户、企业身份等访问主体的标签化定义,主体和客体通过敏感标签实现访问控制。(投标时需提供功能截图证明)支持自定义敏感数据范围,可在表级和列级两个粒度进行配置,多个数据表格归类成为敏感数据集合,进行独立安
10、全管理(投标时需提供功能截图证明)特权分类预定义特权命令分类,支持对各类高危命令进行授权,只允许被授权的身份访问动态脱敏运维脱敏支持SQLPLUS、PLSQLDEV等SQL管理工具查询数据时的动态脱敏,根据用户的身份与访问的数据库对象以及对应的脱敏规则,对不同授权的用户可返回真实数据、部分遮盖、全部遮盖以及其他脱敏算法得到的结果。(投标时需提供功能截图证明)脱敏规则需要支持以下脱敏算法:1、放行:对于已授权用户,返回真实数据;2、返回空:对含有敏感表格或敏感列的数据结果返回为空值;3、遮盖:全遮盖:默认以遮盖符*替换敏感列的值;4、部分遮盖:对敏感列的值进行分段,替换其中的一段或数段值;5、随
11、机映射:对数值、字符或字符串进行随机映射处理。工单管理运维安全管理通过工作流的方式对表格和SQL访问授权,使整个过程更加透明,有迹可寻。简化安全管理流程,使安全管理更加便捷。审计全面审计实现SQL语句的细粒度审计,并记录详细的用户行为信息,包括该语句执行的时间、机器名、用户名、IP地址、交换机端口、MAC地址、客户端程序名以及SQL语句等信息,对数据库操作进行审计,可对查询,新增,修改,删除等行为进行监控。精细化审计功能数据库审计系统可以精确的识别操作人,可以精确的识别来自于B/S架构的浏览器终端信息,支持加密网络传输、自动检测应用程序注入和假冒等独特功能。SQL语句翻译功能SQL语句提供直译
12、和意译的不同翻译引擎,从英文翻译成中文,增加阅读性直观性。(投标时需提供功能截图证明)不可旁路的全方位审计特征以下事件都不可被旁路,包括:来自于网络的安全访问事件审计;来自于数据库主机以及其他信任主机的安全访问事件审计;来自于数据库内部的安全访问事件审计;来自于数据库之间的安全访问事件审计;审计管理支持以搜索引擎条的方式进行搜索,提供类似于百度,谷歌的搜索方式;提供高级搜索,进行精确匹配搜索;审阅提供自动审阅,自动审阅过的审计信息,再次出现将不需要再行审阅,依赖于审计信息可以提取访问规则,把规则加入至访问及订阅规则库;审计分析提供一致性回溯分析、相同事件查看分析;并提供依赖于审计信息的即时报表
13、分析(投标时需提供功能截图证明)。告警通知安全告警支持基于任意组合订阅的模式,实现个性化告警订阅管理。支持多种安全响应措施,包括页面、邮件、短信方式进行告警运行模式多模式运行支持学习模式、激活模式和模拟模式等多种模式。学习模式运行,支持SQL的自学习,识别安全SQL;模拟模式运行,可以提升安全策略准确性,避免对生产库的影响模式切换在学习一定周期后,系统自动转激活运行,避免人工操作,简单快捷产品部署部署模式支持透明代理和反向代理等模式部署。支持主备模式支持当安全设备因宕机、系统本身主程序不可用、内存持续被占等问题导致不可用时,自动切换到另外一台安全设备进行运行支持BYPASS容灾功能支持当安全设备全部不可用时,自动启用BYPASS功能,避免因安全设备本身影响业务系统风险感知风险监控大屏直观、可视化监控单位整体安全情况,当出现风险时可快速的定位当前被攻击的数据库及发起攻击的客户端等24小时监控支持注入攻击监控、漏洞攻击监控、敏感访问监控、系统运行监控、流量监控等多角度展现近期攻击风险报表具有丰富的报表模板,报表可导出(包括:PDF、HTML、EXCEL、word等)平台安全三权分立具有强大的自身安全机制,支持平台用户三权分立,可以系统管理员、审计员和保密员等不同的安
