四川省攀枝花市攀枝花市中心医院攀枝花市中心医院数据库安全审计项目公开招标采购公告675

　 公开招标采购公告

　采购项目名称 攀枝花市中心医院数据库安全审计项目 采购项目编号 5104012018000440 采购方式 公开招标 行政区划 四川省 公告类型 公开招标采购公告 公告发布时间 2018 年 12 月 26 日 采 购 人 攀枝花市中心医院 更正公告

　采购代理机构名称 鞍钢招标有限公司 项目包个数 1 各包描述 本项目共 1 个包，采购数据库安全审计系统、运维安全网关系统（堡垒机）各一套 各包供应商资格条件 1）具有独立承担民事责任的能力； 2）具有良好的商业信誉和健全的财务会计制度； 3）具有履行合同所必须的设备和专业技术能力； 4）具有依法缴纳税收和社会保障资金的良好记录； 5）参加本次政府采购活动前三年内，在经营活动中没有重大违法记录； 6）法律、行政法规规定的其他条件； 7）本次招标不接受联合体投标。

　 标书发售方式 供应商购买招标文件时应出示单位介绍信、本人身份证复印件、缴纳标书款银行回执单。供应商必须以转账或电汇方式缴纳费用,并注明资金用途、项目编号。若因供应商提供的错误信息，对自身投标事宜造成影响的，由供应商自行承担责任。

　收款单位名称：鞍钢招标有限公司成都分公司 开户银行：中国农业银行成都金牛支行（行号 103651081010）

　账

　号：2281 0101 0400 3593 9 标书发售起止时间 招标文件自 2018 年 12 月 27 日至 2019 年 01 月 03 日上午 9:00- 12:00，下午 13:30-17:00（北京时间，节假日除外）

　标书售价 人民币 300 元/份(售后不退，投标资格不能转让)。

　标书发售地点 四川省攀枝花市东区东风螺丝嘴弄弄坪东路 21 号 211 室 投标截止时间和开标时间 2019 年 01 月 16 日 09:00 时（北京时间）（北京时间）

　投标地点 四川省攀枝花市东区东风螺丝嘴弄弄坪东路 21 号 101 室

　附件：

　本项目共 1 个包，采购 数据库安全审计系统、运维安全网关系统（堡垒机）各一套。

　2.招标货物一览表

　序号 货 货 物 名 称 数量 交货期 目的地 1 数据库安全审计系统 1套 合同签订后三个月内按要求完成全部安装调试、验收合格并交付使用 四川省攀枝花市中心医院 2 运维安全网关系统（堡垒机）

　1套

　3. 技术要求 开标地点 四川省攀枝花市东区东风螺丝嘴弄弄坪东路 21 号 101 室 现场考察或标前答疑会时间 无 现场考察或标前答疑会地点 无 采购人地址和联系方式 采购人：攀枝花市中心医院

　地

　址：四川攀枝花市东区攀枝花大道中段益康街 34 号 联 系 人：

　郭先生 联系电话：

　0812-2238062 采购代理机构地址和联系方式 采购代理机构：鞍钢招标有限公司 地

　址：四川省攀枝花市东区东风螺丝嘴弄弄坪东路 21 号 211 室 联 系 人：

　肖女士 电话：

　0812-3381962 传真：0812-3381890

　电子邮件：

　3054279364@qq.com

　 采购项目联系人姓名和电话 联 系 人：

　肖女士 电话：

　0812-3381962 备注 1、本采购公告的公告期限为 5 个工作日； 2、预算：40 万元(人民币)；超过采购预算的投标为无效投标。

　 3.1 数据库安全审计系统 3.1.1 2U 模块化设计，标准配置≥8 个 10/100/1000M 电口和 1 个扩展槽；可支持扩展 4 个千兆电口或 4 个光电复用端口，配置≥2T 数据存储硬盘，最大日处理3500W条SQL明细，存储日志量≥9亿条 SQL预处理能力≥7000, 峰值处理能力≥15000,峰值入库能力≥10000,缓存≥20W 条； 3.1.2 同时支持分离和一体化产品架构，支持分布式部署和专用审计数据集中管理平台，支持网络旁路部署方式，支持三权分立，可随业务需求定义角色管理权限； 3.1.3 支持对系统全集和分量（模块）的配置信息，执行备份与还原，分量包括：

　SQL 模版、报表任务、事件报表过滤规则、监听配置、事件定义、对象管理、客户端信息、敏感信息、事件响应、入侵检测规则、交换机信息、用户管理、数据归档参数、日志响应、集中管理平台配置、网络配置、管理主机、引擎相关配置、数据库相关配置；（提供功能截图）

　3.1.4 支持备份数据压缩比 90%以上，同时能本地备份或自动异地外传存储，支持加密存储备份数据，必须使用专门工具方可浏览查询； 3.1.5 支持上下级级联方式部署，告警信息可自动推送到上级设备，支持将多个数据库 IP 绑定为一个业务系统，支持虚拟云化环境，应用系统与数据库同时部署在虚拟化环境中，在无主机确切位置，且存在灾备漂移的情况下，支持对数据库访问流量的审计； 3.1.6 界面直观展示设备运行态势，通过五个色块动态展示服务运行状况、审计数据总量、告警总量、健康度（根据健康度自动变化颜色）、系统连续运行时间等重要信息。长达 90 日的系统运行态势展示，包含 SQL 事务数（会话数据、明细数据、告警数据）、CPU、内存、负载。支持磁盘和固态盘的 I/O 使用率、存储状态实时展示，要求存储状态支持类型占比，类型包括数据库文件、备份文件、索引文件、交换文件、数据库缓存、其他，以及提供磁盘健康状态和可用容量预测；（提供功能截图）

　3.1.7 支持系统自检功能且提供独立界面，当系统自身侦测到日志存储空间不足、昨日业务数据量超标、磁盘错误、license 过期、无配置备份、系统掉电、监听网卡断开等 18 类，涵盖系统运维中的各项重要消息时，独立弹窗提

　 示用户并包含快捷处理方式；（提供功能截图）

　3.1.8 支持极简升级，提供友好的升级界面、并提供升级时长的预测。升级界面要求包含升级提示、升级进度、涉及数据量、升级时间预测及升级过程日志信息；（提供功能截图）

　3.1.9 支持与物理设备面板一一对应的网卡模拟展示，可根据实际连线情况实时展示网卡当前状态，包含光/电口识别、网卡连通、数据收发、网卡信息等状态，并以水量方式展示网卡当前负载，且支持面板与表格模式切换；（提供功能截图）

　3.1.10 支持 Oracle，Microsoft SQL Server，DB2，Sybase, Informix、MySQL、人大金仓（Kingbase）、达梦(DM)、Caché、Teradata、MongoDB 等，可以准确分析出这些数据库的协议；支持对多种不同类型和不同版本的数据库的同时审计； 3.1.11 支持对以下内容实现完全审计，包括超长语句、注释内容、多嵌套语句、绑定变量、RPC 等； 3.1.12 支持对数据库 SQL 操作语句的细粒度审计，可以分析出每条语句的操作方式、表名、详细操作内容、操作成功/失败、变量值等字段信息，对返回值行列结果全解析和全记录； 3.1.13 支持对 TELNET、FTP、VNC、RDP 等远程操作行为的会话审计； 3.1.14 提供力导向图，可实时查看当前数据库的连接情况，并通过对节点的点击展示更加详细的信息； 3.1.15 通过 SQL 语句合并归类实现对数据库语句共性的抽取，提升查询效率，节省存储空间，提供权威机构认可的原理说明； 3.1.16 支持对审计数据的包括过滤、记录、windows 消息、邮件、syslog、SNMP、屏幕录像、阻断、网关联动等在内的多种响应方式；（提供功能截图）

　3.1.17 支持对异常操作行为进行追踪定位，审计到真实的 MAC 地址，而非网关路由的 MAC 地址；（提供原理说明）

　3.1.18 提供安全态势页面，支持对业务系统最近一段时间内的高、中可疑行为进行实时监视及统计；

　 3.1.19 提供事件追踪页面，通过事件关联追踪排查事件，多维度定位事件状态，包括地点追踪、录像，且支持快捷规则配置，如，将此类语句设为安全、设为统方等； 3.1.20 支持将结构化 SQL 语句转译为非计算机人员可直接阅读，并提供准确的事件概述，支持对不同的数据库采用不同的编码格式解析，同时能对数据库实现自动的编码识别； 3.1.21 在事件定义窗口中，提供触发命中数功能，以便发现无效或定义不严谨的策略，同时支持对单条策略或全部策略清空命中数；（提供功能截图）

　3.1.22 查询结果实时分析，系统支持在海量数据中，定义不少于 22 个条件进行查询，对查询结果实时统计分析，并以图表方式展示。在 1 亿条查询结果条件下，10 秒内生成统计分析结果。分析结果包括：分类统计（涉及源 IP、目标 IP、数据库用户名、数据名、应用程序名、协议类型、计算机名）、日期统计（按小时、日、周、月、年统计）、性能统计（包括单会话中语句种类数量、单会话的重复程度和单会话语句数量）。此外用户可自定义统计分析结果的展示内容，展示前 N 条数据、以升序或降序方式展示；（提供功能截图）

　3.1.23 支持因子监测功能，对数据库中突发增加的内容提供独立展示页面。因子内容包括：IP 地址、应用程序名、计算机名、存储过程、数据库用户名、数据名、数据库主机。系统记录因子频次，且能排序，可多维快速定位因子；（提供功能截图）

　3.1.24 支持 SQL 模板，系统能自动识别并抽取数据库句式语意相同但参数不同的语句，并通过独立页面展示，同时记录该模板的状态、触发规则名、总记录数、总告警数、上次告警记录数、上次出现时间、最后出现时间，并能设置该模板别名；（提供功能截图）

　3.1.25 提供可视化、透明化的历史数据分析能力，让历史数据动起来。提供 30 分钟、1 小时、2 小时、8 小时、12 小时、1 天、7 天、30 天、90 天等时间范围内的数据选择，同时可根据需要，支持 1 分钟、10 分钟、1 小时、8 小时、1 天、1 周等 6 种细分度的统计间隔； 3.1.26 支持基于 SQL 模板设置模板状态，过滤匹配该模板的语句，并能根据以下条件查询模板信息：关键字查找模板、触发规则、状态，且可根据所需

　 选择排序字段。同时支持 SQL 模版和关联的具体语句的相互跳转查看；（提供功能截图）

　3.1.27 支持对医院的 HIS、LIS、EMR、PACS 等信息资产全方位监控，对患者就诊信息的篡改、敏感患者就诊信息非法调阅进行追踪告警； 3.1.28 内置不同 HIS 系统的防统方规则库，内置 HIS 系统不少于 7 个，且必须包含 Caché 数据的 HIS 系统；（提供功能截图）

　3.1.29 支持对数据库状态的监控，可统计每次业务所需要的执行时长，可监控敏感数据库账号的使用情况，可实时了解对数据库直连运维的操作；明确当前数据库的连接状态，快速定位故障问题，准确体现数据库系统繁忙程度； 3.1.30 支持对审计数据结果进行多条件组合查询，查询条件不少于 23种。所支持的查询条件包括时间范围、源 IP 地址、操作方式、规则名、操作内容、排序方式、查询方式、排除内容、操作对象、计算机名、目标 IP、应用程序名、数据库用户名、数据名、协议类型、会话流水号、语句流水号、长语句总耗时、长语句平均耗时、会话语句种类数、会话重复程度、最大单条耗时、会话语句数量、会话重复程度；支持对审计数据按关键词进行模糊查询，支持查询结果的二次过滤；（提供功能截图）

　3.1.31 支持普通查询、模糊查询和词组查询三种匹配命中方式；（提供功能截图）

　3.1.32 支持 TB 级海量数据多关键字秒级快速检索，检索速度小于 10 秒，并能实时对查询结果以图表方式进行统计排序； 3.1.33 支持报表任务定制功能，支持告警事件导出功能，可根据事件类型导出部分或全部记录，支持的格式为 XML、CSV、EXCEL； 3.1.34 支持对高危报表元素进行二次编辑，使之产生更精确的报表，以图表方式展示各个字段，包括源 IP、目标 IP、SQL 相似度、操作方式、操作对象、规则编号、应用程序名的统计情况；（提供功能截图）

　3.1.35 系统内置审计设备自身健康状态分析报告、特权账号与异常时段分析报告、业务流量分析报告，提供报表缩略图展示，可快速一览报表结果，同时支持快速打开报表；（提供功能截图）

　3.1.36 具有中国信息安全中心颁发的《国家信息安全产品认证证书》（提

　 供证书复印件并加盖公章）； 3.1.37 具有中华人民共和国版权局颁发的《计算机软件著作权登记证书》（提供证书复印件并加盖公章）； 3.1.38 具有国家公安部颁发的《计算机信息系统安全专用产品销售许可证》（提供证书复印件并加盖公章）； 3.1.39 具有国家保密局颁发的《涉密信息系统产品检测证书》（提供证书复印件并加盖公章）。

　3.1.40 具有国家信息安全服务资质证书(安全工程类二级及以上)和国家信息安全服务资质证书(风险评估二级及以上) （提供证书复印件并加盖公章）。

　2 3.2 运维安全网关系统（堡垒机）

　3.2.1 2U 模块化设计，标准配置≥8 个 10/100/1000M 接口，2 个 USB 口，1 个 COM口，配置≥1TB硬盘；内置 APPBOX系统，支持外接 NAS，支持Telnet、FTP、SSH、SFTP、RDP、VNC 协议，支持双机热备，配置 150 个 license(管理资源数)，可扩展至≥400 授权； 3.2.2 通过堡垒机 web 页面内嵌运维工具访问目标资源。Web 页面内嵌 RDP协议管理工具及 SecureCRT、FTP/SFTP、VNC/X11 管理工具，支持 ORACLE、MSSQL、Sybase、Mysql、DB2、Informix 等数据库远程访问协议，支持剪切板、本地磁盘映射、自定义窗口分辨率、全屏自适应； 3.2.3 不改变用户使用习惯，无需登录 Web 页面，可联动本地 CLI 客户端实现透明的单点登录，可生成 SecureCRT 登陆会话文件并能够导出至本地使用。（提供功能截图）系统支持 SSH 协议 rz/sz 文件传输命令。（提供功能截图）支持对主机设备进行分组，分层次管理，分组以树形方式展现，（提供功能截图）；对主机设备按科室、部门等进行独立管理、独立授权； 3.2.4 自动学习模式：可自动学习资产；对学习到的资产可以导入到资产列表中，并可根据导入的资产列表进行详情的编辑；（提供功能截图）

　3.2.5 4A 管理平台做主帐号的认证，并通过认证接口控制堡垒主机主帐号的资源访问行为，堡垒主机根据 4A 管理平台的访问控制要求提供资源访问； 3.2.6 支持主机管理，包括主机 IP、名称、类型、访问协议、端口、帐号

　 及密码等信息；资产信息字段可自定义扩展； 3.2.7 支持设备帐号口令修改计划，支持对网络设备、安全设备、Windows系统、Unix/linux 系统及数据库从账号密码自动修改功能；（提供功能截图）

　3.2.8 可以将资源和资源的从帐号授权给主帐号（提供功能截图），授权给主帐号的资源可以新增和删除。授权时可以按照树形组显示资源，方便资源的选择； 3.2.9 可以通过制定访问规则对（自然人）主账号和（被管资源）从账号进行关系匹配。同时在规则内可以定义授权协议、关联安全策略等； 3.2.10 主帐号登录后，对本主帐号授权的资源只能在即符合主帐号的访问时间策略、访问地址策略，也符合资源从帐号的主机命令策略、访问时间策略、访问地址策略时访问到资源； 3.2.11 支持工单管理模块，可设置单个/多个高级用户为用户组领导，组领导拥有工单信息审批权； 3.2.12 支持对未授权资源的临时申请，临时申请需选择目标资源、访问协议、登陆账号、使用时间及申请原因；（提供功能截图）

　3.2.13 支持对重要服务器的二次审批：即对重要服务器执行单点登录时，需通过领导二次审批方可操作； 3.2.14 具备智能负载均衡功能，支持对当前的运维管理所需的网络资源占用进行智能化分配调度；（提供功能截图）

　3.2.15 堡垒机身份认证方式：本地认证、RADIUS 认证、LDAP 认证、AD 域认证； 3.2.16 支持三权分立，内置管理员角色，支持自定义角色权限； 3.2.17 支持联动手机 Google 身份验证动态码,实现双因素认证，可联动自带证书和身份验证动态码结合实现多因素认证；（提供功能截图）

　3.2.18 支持动态令牌认证方式，可直接联动坚石诚信动态令牌，支持联动短信网关动态验证码；（提供功能截图）

　3.2.19 支持 USB Key 认证方式（提供功能截图），可直接联动广东 CA、北京 CA、国泰新点、格尔网关、坚石诚信等证书； 3.2.20 支持批量生成密码信封压缩包、Excel 密码信封及文本信封等格

　 式；信封文件强制要求密码保护； 3.2.21 对从帐号的新建和修改，支持通过配置访问地址策略、锁定策略及密码策略达到限制主帐号对资源的访问； 3.2.22 支持按用户（用户组）、目标设备（设备组）、设备帐号、协议类型、生效时间范围、IP 地址等配置访问控制策略； 3.2.23 支持对违规或高危指令进行拦截处理，可以设置指令黑白名单； 3.2.24 可以制定细粒度策略；支持高危指令对象、访问时间对象、源 IP地址对象、访问目标设备对象根据“最小授权原则”进行策略合成； 3.2.25 支持对字符协议、图形协议、数据库操作进行操作审计； 3.2.26支持记录RDP会话中的键盘输入信息，支持记录RDP会话剪贴板（复制粘贴）内容； 3.2.27 支持记录通过客户端直连访问字符协议的操作审计；（提供功能截图）

　3.2.28 支持高级检索功能，查询条件可任意组合； 3.2.29 支持对会话进行实时监控、回放和阻断操作，支持以 WEB 在线视频回放方式重现运维人员对设备的所有操作过程，无须另装播放软件； 3.2.30 支持“自动”“半自动”“手动”登录方式； 3.2.31 支持对重要服务器的二次审批：即对重要服务器执行单点登录时，需通过领导二次审批方可操作； 3.2.32 支持审计信息（包括系统审计及运维审计）对外转发，转发方式包括 syslog、snmp trap； 3.2.33 具有中华人民共和国版权局颁发的《计算机软件著作权登记证书》（提供证书复印件并加盖公章）； 3.2.34 具有国家公安部颁发的《计算机信息系统安全专用产品销售许可证》（提供证书复印件并加盖公章）； 3.2.35 具有国家信息安全服务资质证书(安全工程类二级及以上)和国家信息安全服务资质证书(风险评估二级及以上) （提供证书复印件并加盖公章）。

　4、商务要求

　 4.1 报价要求 投标报价为完成本项目所有内容的包括人工、材料、机械、风险、利润等的全部费用。

　4.2 付款方法和条件 采购人在中标方完成设备安装、调试、试用合格、正常运行验收合格后支付至合同额的 95%；留 5%作为质保金，验收合格满 1 年后支付。

　4.3 工期要求：

　合同签订后三个月内按要求完成全部设备安装调试、验收合格并交付使用。

　4.4 售后服务 售后服务要求做出的积极响应和承诺。包括以下内容：

　1）保质维修期：

　提供硬件 3 年和软件 1 年 7*24 小时免费设备保修服务。

　2）系统验收合格之后的 1 年内，投标人应提供软件的免费维护、系统升级。

　3）说明保修时间、保修期内的保修内容与范围、维修响应时间、是否提供备用配件等。