数据库安全审计项目招标文件doc.doc
- 文档编号:6826177
- 上传时间:2023-05-10
- 格式:DOC
- 页数:29
- 大小:164.53KB
数据库安全审计项目招标文件doc.doc
《数据库安全审计项目招标文件doc.doc》由会员分享,可在线阅读,更多相关《数据库安全审计项目招标文件doc.doc(29页珍藏版)》请在冰点文库上搜索。
江苏常熟农村商业银行股份有限公司
招标编号:
江苏常熟农村商业银行股份有限公司招标书
江苏常熟农村商业银行股份有限公司
二O一四年四月十四日
申明
本招标文件专用于江苏常熟农村商业银行股份有限公司本次数据库安全审计项目进行招标,江苏常熟农村商业银行股份有限公司对本招标文件及招标文件内容享有解释权。
参加投标单位即视为无条件同意本申明并保证对本招标文件可能涉及的江苏常熟农村商业银行股份有限公司商业秘密予以保密,除经江苏常熟农村商业银行股份有限公司书面同意外,任何单位和个人不得为参与本产品投标以外的目的而出版、复制、传播、销售及使用本招标文件。
第一部分投标函
根据江苏常熟农村商业银行股份有限公司业务发展的需求,现就江苏常熟农村商业银行股份有限公司数据库安全审计项目进行招标:
1.招标编号:
2.招标人:
江苏常熟农村商业银行股份有限公司
3.项目实施地点:
常熟
4.发放标书时间:
北京时间2014年4月14日8:
30时
5.投标截止时间:
北京时间2014年4月30日17:
00时
6.招标人联系方式:
江苏常熟农村商业银行股份有限公司
地址:
江苏省常熟市新世纪大道58号
邮政编码:
215500
联系人:
丁喜荣,刘斌
电话号码:
0512-52909061,0512-52909225
技术联系人:
范贝贝
电话号码:
0512-52909230
江苏常熟农村商业银行股份有限公司
第二部分项目需求
江苏常熟农村商业银行股份有限公司就数据库安全审计项目进行招标。
可选方案
名称
具体配置
功能要求
数量
方案一
明御®数据库审计与风险控制系统DAS-A1000
详见附件5
详见附件6
1
FC1800分流器
详见附件5
-
1
方案二
PLDSECDbXpert4000SX-B(专业版)
详见附件5
详见附件6
1
FC1800分流器
详见附件5
-
1
注:
1、标的设备均须为出厂标配,且相关配件均须采用厂商原装配件。
2、招标书中须提供设备原厂商对本次招标提供服务的授权书。
3、标的设备均须提供不少于三年原厂质保(硬件快速更换及软件系统升级)。
4、标的设备须由原厂提供设备安装与调试服务。
5、交货时间:
合同签订15天后,具体时间由招标方指定。
6、交货地点:
江苏常熟农村商业银行股份有限公司(新世纪大道58号)。
第三部分招标说明
一、总体说明
(一)适用范围
本招标文件仅适用于江苏常熟农村商业银行股份有限公司(以下简称“常熟农商银行”)数据库安全审计项目而进行的公开招标。
(二)定义
1.“招标人”系指组织本次招标的招标机构:
常熟农商银行。
2.“投标人”系指遵守招标文件要求并向招标人提交投标文件的法人单位。
3.“设备(系统)”系指投标人按招标文件规定,须向招标人提供的设备、软件系统、备品备件、工具、手册及其他有关技术资料和材料。
4.“服务”系指招标文件规定投标人须承担的技术服务、运输、安装调试、人员培训、售后服务和其他类似的义务。
5.“招标文件”系指本文件及其附件,如招标人对招标文件及其附件进行有效的修改或澄清则该修改和澄清构成招标文件不可分割的一部分。
6.“投标文件”系指投标人按照招标文件要求编写,并向招标人递交的有效的文字说明、表格、图表等文件,如投标人对投标文件进行有效的补充、修改、澄清或说明则该补充、修改、澄清和说明构成投标文件不可分割的一部分。
7.“无效的投标文件”指属于下列情况之一者,将作为无效处理:
1)投标文件未按招标文件的要求密封;
2)投标文件未盖公章或未经法定代表人(或授权代理人)签字;
3)投标文件未按招标文件规定的格式、内容和要求填写;
4)在投标文件截止期后送达或是通过电报、电话、电传、传真投标文件;
5)投标文件字迹模糊不清无法辨认的。
6)投标人在投标文件中提供虚假信息的。
7)投标文件未送达指定地点,指定接收人。
(三)对投标人的要求
1.投标方必须为具有独立企业法人资格,具有合法名称、组织机构、固定的办公场所,注册资本要求不少于500万元人民币(或等值外币),注册时间不少于3年,且具有良好的技术力量、商业信誉和售后服务体系。
2.投标商需具有原厂授权、认证资格。
3.投标人必须具有良好的经济和技术实力,能够按时提交招标人要求的交付件,并能够及时地提供招标人要求的优质服务。
4.投标人近三年来签署过类似合同、承担过类似项目及成功案例,案例数不少于3个。
投标人应具备相应实施资格。
5.投标人必须具有良好的银行资信和商业信誉,没有违法、违约记录,不处于被责令停业,财产被接管、冻结、破产等非正常经营状态。
6.投标人不得联合第三方共同投标,否则取消投标资格;且不允许中标后将本招标进行分包、转包。
7.对标的物中包含的第三方产品和服务,要求投标方出具第三方授权书(包括产品、服务功能和价格),招标人保留对该第三方资格认定及与其直接签署合同的权利。
(四)投标费用
投标人应自行承担与参加投标有关的全部费用,招标人在任何情况下无义务和责任承担上述费用。
(五)招标文件的解释及咨询
本招标文件的解释权属招标人。
对本次招标有任何询问,请与常熟农商银行本次招标联系人联系。
二、投标文件说明
(一)要求
1.投标人应仔细阅读招标文件的所有内容,按招标文件的要求提供投标文件,并保证所提供的全部资料的真实性,以使其投标对招标文件作出实质性响应,否则,其投标可能被拒绝。
2.除非有特殊要求,招标文件不单独提供招标设备(系统)或服务使用地的自然环境、气候条件、公用设施等情况,投标人被视为熟悉上述情况。
(二)投标文件的组成
投标文件应包括但不限于下列所选文件:
1.法定代表人身份证明或法定代表人授权委托书(法定代表人参加投标,不用此委托书)
2.投标书
必须按照本招标文件第四部分附件的格式要求制作,未经招标人书面同意,该格式不允许作任何修改。
3.投标价格一览表
应包括投标报价、维护承诺、其他重要补充事项等内容。
4.服务内容描述
投标人必须对“招标项目要求”逐个或分块地作出实质性响应,其响应应与招标文件内容采用相同的顺序,对每个需求的响应必须遵循如下规则:
(1)重复该需求;
(2)用“是/否”来表明该需求是否被满足;(3)简要描述如何满足该需求,如果该响应在投标文件其他部分有详述,可在该处简单应答,但必须给出确切的位置索引;(4)解释投标文件或投标方案与招标项目需求之间的偏差,用数量来表示的需求,必须用确切的数量单位来响应。
5.项目实施计划
应根据对项目需求的理解,提出详细、切实可行的项目实施计划及方案。
6.售后服务计划
应说明售后服务的内容、形式、收费标准;维护单位名称、地点、人员;服务响应时间等,并应包含免费维护期及期外的售后服务计划。
7.投标人情况简介
应包含投标人基本情况与背景资料、业务经营情况、最近三年类似相关项目实施情况、及投标人最新的经过审计的财务报表、相关内控制度及连续性方案等。
8.投标人资格证明文件
包括
(1)投标人营业执照复印件;
(2)若分公司参加投标的,需总公司的正式授权书(即签订合同只与有法人资格的公司签订)。
9.其他
(1)投标方实施其它银行此产品案例的合同复印件或加盖单位公章的产品定单;
(2)投标人自愿提供的其他全部文件;(3)优惠条款的说明等。
(三)投标文件的签署及规定
1.投标人应准备一份正本,三份副本,一份电子文档。
在每一份投标文件上要明确注明“正本”或“副本”字样,若正本和副本有差异以正本为准。
2.投标文件正本和副本须统一用A4纸打印装订并由投标人法定代表人或授权代理人在正本封面上签章处签字并加盖公章、骑缝章。
3.除投标人对错漏处作必要修改外,投标文件中不许有加行、涂抹或改写。
如有修改错漏处,必须由投标人法定代表人或授权代理人签字并加盖公章。
三、投标文件的递交
(一)投标文件的密封和递交
1.投标人应将投标文件的正本和副本分别用非透明文件袋密封,在封签处加盖公章,并标明投标人名称、正本或副本、招标编号、投标产品名称。
2.每一密封信封上注明“于开标前不准启封”的字样。
3.投标价格表及其它各种承诺均须有法定代表人(或其委托的全权代表人)的签字、日期并加盖公章。
4.投标文件须标注页码:
封面后的第一页为标书的目录,整本标书须标注统一的页码,成功案例合同等复印件可以手工填上统一的页码。
(二)投标文件的修改和撤回
1.投标人在提交投标文件后可对其投标文件进行补充、修改或撤回,但招标人须在投标截止时间之前收到该补充、修改或撤回的书面通知,该通知须经投标人的法定代表人或授权代理人签字并加盖公章。
2.投标人对投标文件进行补充、修改的书面材料或撤回的通知应按本招标文件规定进行编写、密封、标注和递送,并注明“补充/修改投标文件”或“撤回投标”字样。
3.投标截止时间以后不得对投标文件进行修改或补充。
四、开标和评标
(一)开标
此次招标采用以下方式:
1.招标人对本次招标不进行现场开标。
(二)评标因素会
1.招标人根据具体招标项目分类对每一个投标条件进行比较。
对其内容进行分析比较:
1)投标价格;
2)投标方整体实力及成功案例总数;
3)投标方技术方案、成功案例分析及产品特制设计;
4)投标方技术实力(研发人员、售后服务能力);
5)投标方的资信情况和履约能力;
6)投标方提供的其他优惠条件。
(三)投标文件的审查
l.开标后,招标人将组织审查投标文件是否完整,是否有计算错误,文件是否恰当地签署。
2.在对投标文件进行详细评估之前,招标人将依据投标人提供的资格证明文件审查投标人的财务、技术和生产能力。
如果确定投标人无能力提供设备(系统)和技术支持,其投标将被拒绝。
3.招标人将确定每一投标是否对招标文件的要求作出了实质性的响应,而没有明显的偏离或保留。
4.招标人判断投标文件的响应性仅基于投标文件本身而不靠外部证据。
5.招标人将拒绝被确定为非实质性响应的投标,投标人不能通过修正或撤销不符之处而使其投标成为实质性响应的投标。
(四)投标文件的澄清
1.为有助于对投标文件进行审查、评估和比较,评标期间,投标人法定代表人或授权代理人及其他有关人员应当等候质疑。
招标人有权向投标人质疑并请投标人澄清其投标内容。
投标人有责任按照招标人通知的时间、地点、方式指派专人进行答疑和澄清。
2.澄清应是书面的,并由法定代表人或其授权代理人签字。
3.投标人的澄清文件是投标文件的组成部分,并取代投标文件中被澄清的部分。
4.投标文件的澄清不得对投标内容进行实质性修改。
(五)评标工作
1.招标人将按照公开、公平、公正的原则对待所有投标方。
2.评标是招标工作的重要环节,评标工作在招标人内独立进行。
3.招标人不承诺报价最低者为中标者。
4.在投标、开标期间,投标人不得向招标人询问情况,不得进行旨在影响评标结果的活动,招标人保留对投标人进行疑问咨询的权力。
5.在投标、评标过程中,如有投标人联合故意抬高报价或其他不
正当行为,招标人有权中止投标或评标。
6.江苏常熟农村商业银行股份有限公司保留对本次招标的最终解释权。
五、中标与签署合同
(一)定标原则
1.招标人不承诺向投标方披露招标过程中任何细节,包括中标或落标原因。
(二)中标通知
1.定标后,招标人将发出中标通知。
2.对落标的投标人不再另行发出落标通知。
3.中标通知将作为招标人与中标人签订合同的依据之一。
(三)签订合同
1.招标人将按照招标文件和投标人的投标文件与中标人签订书面合同,签订合同之前,双方需对合同的具体细节进行商谈。
2.招标人对有关内容有权作出必要的细化和补充,但有关细化和补充不得背离招标文件和投标文件的实质性内容。
3.招标文件、中标方的投标文件及其澄清文件等,均为签订合同的依据。
第四部分投标文件格式
附件1:
《投标书》
投标书
致:
江苏常熟农村商业银行股份有限公司
根据贵方招标书,投标人(投标人名称)提供相关文件并做出以下承诺:
一、招标文件规定的全部文件正本一份,副本份,电子文档一份。
二、投标人同意如下:
1.投标人完全接受招标文件中的内容,并将按招标文件的规定履行义务,按相关法律法规履行我方的全部责任。
2.投标人己详细审查全部招标文件,包括修改文件以及全部参考资料和有关附件,无其他不明事项。
3.投标人同意招标人要求的相关数据或资料,完全理解招标人在招标文件中确定的评标原则和程序,理解贵方不一定要接受最低报价的投标。
三、投标方保证投标文件中所有关于投标资格的文件,证明陈述均是真实的、准确的。
若有违背,投标方愿意承担由此而产生的一切后果。
与本投标有关的一切正式信函请使用以下地址:
地址:
邮编:
电话:
传真:
投标人法定代表人姓名、职务(印刷体):
投标人名称:
单位公章:
法定代表人或授权代理人签字:
日期:
年月日
附件2《投标人情况简介》
投标人情况简介
1.名称和概况:
A.投标人名称:
B.地址:
邮编:
传真/电话:
C.成立日期或注册日期:
D.法定代表人或主要负责人姓名:
2.财务数据:
A.注册资本:
3.业绩或服务的情况:
A.年至今国内外主要用户的名称和地址:
B.本次投标或服务在国内金融行业的应用情况(如有的话):
4.年至今投标人是否受到过监管机关的处罚?
是否有重大涉诉法律纠纷?
如有,请列明原因及相关情况。
5.所属集团(如有的话):
6.其它情况(组织、机构、技术力量、参与本产品的实施人员情况等)
附件3:
《投标价格一览表》
投标价格一览表
投标价格一览表由以下几个部分组成:
项目总报价:
(大写)人民币
(小写)¥
项目计划总工期:
天
名称/型号
数量
单价(元)
折扣(%)
折后价(元)
合计价格(元)
折后合计价格(元)
系统(含软、硬件等)应提供免费维护期为年,维护期满后,每年度系统维护服务费用不超过项目总报价的%;
注:
此表与投标书一同装入信封内密封。
投标人承诺认为是最完善的售后服务。
投标项目总价需含软件(配套硬件)、培训、运保费、安装调试费、第三方产品费及技术服务费等全部费用。
投标项目总价包括投标人为完成本项目所发生的一切费用。
法定代表人或其授权的代表签字:
日期:
附件4:
《法定代表人委托书》
江苏常熟农村商业银行股份有限公司:
兹委托(代理人姓名)参加贵单位组织的招标活动,全权代表我单位处理投标的有关事宜。
附全权代表情况:
姓名:
性别:
年龄:
职务:
身份证号码:
详细通讯地址:
电话:
传真:
邮政编码:
单位名称(公章)法定代表人(签字)
年月日年月日
(说明:
法定代表人参加投标,不用此委托书)
附件5:
软硬件参数
安恒明御®数据库审计与风险控制系统招标参数-A1000
技术指标
指标要求(说明:
带★项为必须满足)
★产品资质
产品需具备销售许可证,并提供完整的检测报告复印件。
通过国家保密局检测并获得国家保密局涉密产品检测证书
产品通过国家信息安全认证中心3C认证检测,提供证书复印件;
产品获得军用信息安全产品认证证书(军B),提供证书复印件;
提供自主知识产权证明文件(软件著作权、软件产品登记);
★规格性能
软硬一体化2U设备,不少于10个1000M电口(其中镜像端口8个)、冗余电源,可用磁盘空间不小于1T(RAID1模式下);
峰值处理能力>=18000条/秒,提供国家权威检测机构(公安部三所、国家保密科技测评中心)检测报告;
根据任意sql条件查询性能>=1000万条/秒;
★工作模式
旁路镜像模式部署,不影响数据库性能和网络架构;
支持分布式部署,管理中心可实现统一配置、统一报表、统一查询;
支持端口镜像、分光器、TAP、分流器等采集数据模式
管理中心和探测器都可存储审计数据,实现大数据环境下磁盘空间的有效利用和扩展;
管理中心和探测器直接的数据传输速率、时间、端口都可自定义;
协议支持
主流数据库:
Oracle、SQLserver、Mysql、DB2、infomix、Sybase、CACHÉ、达梦、人大金仓、神舟Oscar、南大通用GBASE、数据仓库teradata;
主流业务协议:
HTTP、Telnet、SMTP、POP3、DCOM;
审计内容
审计日志包括账号、SQL语句、表、字段、存储过程、客户端工具、IP、MAC、实例名、主机名等条件;
★支持双向审计,特别是返回字段和结果、执行状态、返回行数、执行时长等内容,并能够根据返回结果设置审计策略,要求在不连接被审计数据库情况下完成;
支持HTTP请求审计,提取URL、POST/GET值、cookie、操作系统类型、浏览器类型、原始客户端IP、MAC地址、提交参数等;
智能发现与评估
★可定期自动扫描发现网络中存在的数据库,发现新增数据库可邮件、短信告警;
可以分析镜像流量自动发现流量中存在的数据库;
★支持定期自动扫描数据库漏洞和不安全配置,提供单独漏洞扫描报告,需提供截图和国家权威检测机构(公安部三所、国家保密科技测评中心)检测报告;
模型分析
可智能学习数据库的访问行为建立模型;
★可通过行为轨迹图方式展示数据库访问行为
★可基于账号、IP地址、访问权限、客户端工具等维度对行为模型做钻取分析、变更分析,对学习的安全基线以外的行为自动智能的进行告警
★可以自动对比不同时期的行为模型,以区分其审计日志数趋势、用户、IP地址、工具、访问权限的差异情况;
规则分析
支持账号、IP地址、MAC地址、操作类型、返回行数、执行时间、表、字段、主机名、操作系统名、关联表数,实现对敏感信息的精细监控;
★支持基于返回结果集大小、返回内容、具体报文内容的细粒度审计规则
★内置高危SQL查询和注入、远程命令执行、跨站脚本攻击、FTP和telnet高危指令等审计规则不少于300种;
★支持业务规则设置,包括业务请求类型、url、http版本、请求头、请求参数、请求文件类型等条件设置规则;
规则可支持导入、导出、优先级调整、分组、批量加载等;
追踪溯源
支持C/S、B/S三层架构下的真实用户名、IP追踪,而且可支持自动关联和手动关联;
★可自定义web用户名的提取方法,以适用不同业务系统的用户追踪;
★可与堡垒主机、第三方认证系统进行联动,实现用户信息的定位;
白名单
★可以支持用户名、操作类型、IP地址、客户端工具、操作系统用户名、主机名、MAC地址、SQL语句等条件设置白名单,条件不少于10个;
可以从风险告警直接获取白名单条件,一键添加白名单;
告警与报表
支持短信、邮件、syslog、snmp、ftp等告警方式,可支持同时发送多人、聚合发送、单条发送、重发、发生统计等高级告警功能;
可以根据单个库、数据库组生成报表,包括支持严格按照塞班斯(SOX)法案、等级保护标准要求生成多维度综合报告;
支持按照源IP地址、客户端工具、帐号、告警数等源信息生成报表;
支持按照数据库访问行为生成报表,智能识别帐号的增删、权限变更、密码修改、特权操作等行为;
支持按照时间曲线统计流量、在线用户数、并发会话、DDL操作数、DML操作数、执行量最多的SQL语句等报表;
可准确提炼出SQL语句执行频率和执行时间异常的报表;
报表能够支持WORD、PPT、PDF等格式导出;
★系统内置报表不少于30个,同时可以根据客户需求自定义更多有实际意义的报表,自定义维度不少于20个;
可设定按月、周、天定期自动发送指定报表到管理员;
回放与追溯
根据事件发生的时间、用户、访问方式(客户端、TELNET、FTP)、用户IP、服务器等组合查询,并对过程进行回放和追溯。
日志数据管理
★审计数据保留策略应至少满足天数和百分比两个控制参数,且支持web界面可配置,且恢复数据不影响正常的审计功能
支持自动备份审计日志,备份完后通过FTP方式外送到外部设备;
备份文件需要进行加密,且必须导入设备才能够进行恢复查看;
当磁盘空间达到一定的阀值,支持自动清理最早的数据释放空间;
系统排错
★系统内置故障排错系统,可以支持一键排错对服务异常、许可证异常、流量异常等大部分常见故障的检测,并可提供快速的解决办法;
★支持流量分析功能,包括抓包、包内容查看、自动探测sql语句等;
支持日志分析,可一键打包日志加密导出;
★厂家资质
原厂商具备中国信息安全测评中心颁发的“信息安全服务资质证书”(安全工程类二级);
原厂商具备中国信息安全认证中心颁发的“信息安全服务资质认证证书”(一级应急处理服务资质);
原厂商具备ISO9001:
2008质量管理体系认证;
原厂商注册资金不少于3000万,需提供经年检合格的营业执照副本复印件;
原厂商应为国家网络与信息安全通报机制的技术支持单位,应提供相应证明并加盖原厂商公章;
原厂商应为网络安全应急服务支撑单位,应提供相关证书的复印件,并加盖单位公章;
原厂商应为国家信息安全漏洞共享平台(CNVD)技术合作组成员,应提供相
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 数据库 安全 审计 项目 招标 文件 doc