东台市人民医院数据库运维脱敏和加密项目参数公示
微信分享
关注项目
标讯收藏
| 项目名称 | 省份 | ||
| 业主单位 |
认领
立即查看
|
业主类型 | |
| 总投资 | 建设年限 | ||
| 建设地点 | |||
| 审批机关 | 审批事项 | ||
| 审批代码 | 批准文号 | ||
| 审批时间 | 审批结果 | ||
| 建设内容 | |||
东台市人民医院数据库运维脱敏和加密项目
参数公示
时间:2024-01-30
东台市人民医院数据库运维脱敏和加密项目
参数公示
各潜在投标人:
为体现公平、公正的原则,避免采购设备及技术参数出现倾向性、歧视性,现就东台市人民医院数据库运维脱敏和加密项目参数进行公示,广泛征询潜在投标人意见。若潜在投标人对公示的具体技术参数存有异议,欢迎提出修改意见或建议,修改建议请于2024年2 月 6 日17时前,以书面形式(加盖单位公章)提交至东台市人民医院监察室(门诊九楼),逾期不予受理。
联系电话:监察室:0515-85253930,联系人:王主任
一、采购内容
二、功能及参数要求
1、“▲”为主要参数,不得偏离,未满足要求的供应商按重大偏离处理。
2、单价、报价及总价中包含生产、运输、安装调试、售后服务、培训、税费等全部费用,报价时应逐项填写单价和报价,最后汇总得出总价;
3、投标人对该项目有不清楚的自行踏勘现场,联系电话:13655111531(周主任)
报价单位联系人及电话:
参数公示
时间:2024-01-30
东台市人民医院数据库运维脱敏和加密项目
参数公示
各潜在投标人:
为体现公平、公正的原则,避免采购设备及技术参数出现倾向性、歧视性,现就东台市人民医院数据库运维脱敏和加密项目参数进行公示,广泛征询潜在投标人意见。若潜在投标人对公示的具体技术参数存有异议,欢迎提出修改意见或建议,修改建议请于2024年2 月 6 日17时前,以书面形式(加盖单位公章)提交至东台市人民医院监察室(门诊九楼),逾期不予受理。
联系电话:监察室:0515-85253930,联系人:王主任
一、采购内容
| 序号 | 产品名称 | 功能及技术参数 | 单位 | 数量 | 免费质保期 |
| 1 | 数据库运维脱敏 | 详见技术及功能要求 | 台 | 1 | 三年 |
| 2 | 数据库加密 | 详见技术及功能要求 | 台 | 1 | 三年 |
二、功能及参数要求
产品名称 | 指标项 | 详细功能要求 | 单位 | 数量 |
数据库运维脱敏 | 配置 | 2U机架式设备:双电源,6个电口(1个管理口+1个HA口+4个业务口),2x扩展槽位,32G内存,3T存储空间 | 台 | 1 |
性能指标 | 1.默认数据库实例: 16个,2.基础功能 (数据库准入、访问控制、运维审计等),3.支持国产化环境;4.账号托管;5.支持HA主备模式, | |||
数据库支持 | 支持ORACLE、SQLSERVER、DB2、MySQL、PostgreSQL、ODPS、informix、达梦、impala、mongdb、oceanbase等主流数据库、国产化数据库、大数据平台、云数据库。 支持国密算法加密的qianbase数据库管控(投标时提供功能截图) | |||
部署模式 | 支持反向代理、透明代理、透明代理NAT、路由网关部署。 ▲支持HA双机主备自动切换,支持策略同步、会话同步机制,保障主备间的一致性。(投标时提供功能截图) | |||
数据智能发现 | 支持按单个IP或IP段发现数据源 ▲具备敏感数据探测能力,自动发现SCHEMA(包括未知SCHEMA)、表、列中的敏感资产,系统内置的敏感数据类型至少包括以下信息(投标时提供功能截图): 个人敏感信息:包括中文姓名、身份证、银行卡、医师资格证书、医师执业证书、护照、军官证、中国护照、港澳通行证、永久居住证、大陆居民往来台湾通行证、韩文姓名、英文姓名、姓名拼音等个人信息; 机构敏感信息:组织机构代码、组织机构名称、医疗机构登记号、营业执照、社会统一信用代码、税务登记证、开户许可证、证券名称、证券代码、基金名称、基金代码、英文公司名等与企业机构相关的信息; 其它基础信息:电话、电子邮箱、地址、邮政编码、IP地址、日期、货币金额、json串、车牌号码等。 支持敏感发现结果列表展示,包括表名、列名、敏感类型、数据抽样示例等,支持对发现结果进行校正。 ▲支持从表格、表格列、SCHEMA等维度归类敏感数据资产,形成敏感资产集合进行独立管理。(投标时提供功能截图) | |||
身份准入 | ▲支持身份的多因素认证,至少应支持应用程序名、IP地址、主机名、操作系统账户、数据库用户、数字证书、身份敏感标签、日期、时间、时间域、身份类别、有效时间、应用用户名、终端IP等因素的任意组合,系统根据多维身份管理策略,自动判别登录主体的合法性,如不符合设定的身份管理策略,登录失败。 支持识别真实应用及SQL管理工具的MD5值,防止假冒应用及假冒SQL管理工具违规访问数据库。 ▲支持为敏感数据管理人员身份分发唯一的数字证书,每张数字证书只能载入一个唯一的U盾,以实现在数据库用户密码被泄露的情形下,仍能阻止非法用户登陆目标数据库,解决仅依靠密码认证带来的安全不足问题。(投标时提供功能截图) 支持通过不删除账户的方式,在系统中回收资产授权权限。 | |||
身份治理 | ▲对登陆访问事件信息中的主体信息与身份信息进行比对,对未命中的主体身份,快速发现进行治理(投标时提供功能截图) | |||
直连数据库 | ▲在反向代理模式下,通过在数据库服务器上安装安全代理插件,实现对于通过SQL管理工具或本地等直连数据库的违规连接行为进行准入控制,防止非法人员绕过安全系统,违规对数据库进行访问。支持通过应用(包括业务应用,数据库运维工具等)的指纹信息识别是否为真实应用,针对假冒应用访问数据库,进行拦截阻断或告警。(投标时提供功能截图) | |||
安全登陆 | ▲支持数据库运维工具免密登陆功能,当数据库管理人员通过Toad或SQL DEVELOPER等工具登陆运维数据库时,通过数据库账号与数字证书的绑定,数据库管理员在运维PC工具中无需输入数据库用户名密码即可登陆已授权访问的数据库,避免运维数据库用户和密码泄漏,保障账号安全。通过账号托管功能,运维人员使用分配运维账号,运维用户与数据库用户及密码进行映射绑定,运维人员在不知道数据库真实密码的情况下,即可完成对数据库的运维和管理,全面保障数据库安全。(投标时提供功能截图) 支持产品OTP登录二次身份认证 支持安全客户端的短信二次认证功能,当登录安全客户端时,发送短信验证码,验证成功才能正常登陆 | |||
访问控制 | 针对敏感数据集合的访问,任何账户(包括DBA\SYSDBA\Schema User\any权限等用户)都需要通过授权才可以访问,对不具备访问权限的操作,明确阻断拒绝,并提示“安全权限不足错误”, 实现用户权限分离管理。 ▲支持拦截指定对象的ALTER TABLE、ALTER TABLESPACE、DROP DATABASE、DROP TABLE、CREATE TABLE、DROP TABLESPACE、DROP USER、TRUNCATE等高危操作行为(可自定义),支持数据库权限变更行为管控。支持oracle同义词表访问管控(投标时提供功能截图) ▲支持数据库授权管理控制,包括数据库角色权限管理、数据库对象权限管控、数据库系统权限管理,(投标时提供功能截图) 主要如下: 支持针对数据库账号的角色权限进行控制,包括数据库系统管控授权(GRANT SYSDBA)、数据库管理员授权(GRANT DBA)、导入数据库授权(GRANT IMP_FULL_DATABASE)、导出数据库授权(GRANT EXP_FULL_DATABASE)等; 2)支持针对数据库账号的数据库对象权限进行控制,包括访问敏感对象授权(GRANT SENSITIVE OBJECT)、访问业务用户对象授权(GRANT SCHEMA OBJECT)、访问系统对象授权(GRANT SYS OBJECT)等; 3)支持针对数据库账号进行数据库系统权限授权,包括删除任意对象授权(GRANT DROP ANY)、创建任意对象授权(GRANT CREATE ANY)、更新任意数据授权(GRANT UPDATE ANY)、查询任意数据授权(GRANT SELECT ANY)、插入任意数据授权(GRANT INSERT ANY)、删除任意数据授权(GRANT DELETE ANY)等。 4)支持针对数据库用户的代码管控进行控制,包括过程、函数、包、触发器、视图等代码进行创建、删除的安全管控。 支持账户访问频次控制,避免一定时间内的高频次访问,避免数据流失。 支持修改、删除等操作的行数控制,避免数据大量泄漏。 支持基于表和schema进行快速授权到某些用户或用户组。 | |||
安全防御 | 支持僵尸账号检测,对僵尸账号进行锁定,防止僵尸账号造成数据泄露。 支持数据库口令暴力破解防御,对口令攻击行为进行防御,防御数据库爆破行为。 | |||
敏感数据脱敏 | ▲支持基于列的业务敏感类型,设置脱敏策略,实现相同的业务敏感类型同时设置脱敏策略(投标时提供功能截图) 脱敏算法支持对敏感类型数据进行自定义分段脱敏设置 ▲支持运维侧脱敏,针对不同运维人员返回对应的预授权结果,脱敏规则需要支持以下脱敏算法:(投标时提供功能截图) 整段 保留前几位 保留后几位 保留前几位,且保留后几位 自定义遮蔽 ▲支持MongoDB三层结构数据返回全解析,全脱敏。(投标时提供功能截图) | |||
误操作恢复 | ▲至少支持oracle、SQL server、mysql、DB2数据库的误删除恢复,当使用DROP命令误删除敏感数据时,系统应及时记录操作的时间、数据库名称、操作类型、操作的对象类型、SCHEMA名称、对象名称、当前状态、使用的SQL语句等信息,并提供一键恢复的功能,辅助完成数据的快速恢复,以支持系统恢复正常。(投标时提供功能截图) | |||
工单管理 | ▲采用基于WEB界面的工单管理模式,而非授权码方式,通过工作流的方式对敏感表格和敏感SQL访问授权,形成逐级审批机制,只有当访问申请被工作流中的所有审核者审批通过时,才可在合理权限内访问数据库中的敏感资产,无需访问者进行二次输入,避免授权码泄漏带来的非法访问。(投标时提供功能截图) 支持以图形化形式直观展现工单审批流程。 工单申请支持按不同的库,走不同的审批人方式 | |||
审计 | 支持SQL命令(包括查询、新增、修改、删除等行为)的细粒度审计和分析,并详细记录管理用户的行为信息,包括规则名称、数据库主机、目标数据库名称、数据库实例名、客户端IP/端口、主机名、数据库用户名、物理地址、应用名称、应用用户、企业用户、命令类型、资产名称、执行时间、响应行为、风险级别等。 | |||
数据库监控 | 支持统计数据库请求数、会话数、流量信息 | |||
报表管理 | 支持日报、月报、周报等生成,导出格式支持PDF/word。 | |||
系统登录 | 支持与AD、LDAP系统联动登录系统。 | |||
平台安全 | 平台具有安全审计员、安全保密员、系统管理员三种角色,实现三权分立。 支持对平台用户的密码复杂度(数据、大小写字母、特殊字符、密码长度等)、有效期、复杂度、密码错误锁定策略等进行限制,有效期过后提供登录重置密码或禁止登陆需联系管理员处理2种处理方式,以确保平台自身账户的安全。 | |||
配置备份 | 支持策略中心全部策略、系统配置、资产配置(资产列表信息、数据源部署模式、数据源分组信息、敏感资产信息等)等进行备份与恢复:支持本地备份及下载备份文件到本地,支持上传备份文件至FTP服务器,支持配置恢复功能 | |||
页面抓包 | 支持页面抓包功能 | |||
日志外发 | 支持通过kafka和syslog进行日志外发,支持登录事件、访问事件、告警事件、系统操作日志、系统日志等日志外发。 | |||
告警 | 支持以图形、列表等方式查看告警信息,以列表形式展现的告警信息应当包含告警时间、告警内容、告警等级、用户IP、数据库代理IP、事件等。 告警方式至少包括:邮件、页面、短信、专有钉、钉钉。 安全告警支持基于任意组合订阅的模式,实现个性化告警订阅管理。 | |||
▲企业资质 | ▲要求原厂和产品具有一下资质,具体要求如下(提供复印件) 1.国家信息安全漏洞库 (CNNVD) 技术支撑单位 (三级)或以上 2.企业具有知识产权管理体系认证证书 3.ITSS(运行维护三级)证书或以上 4.国家网络与信息安全信息通报机制技术支持单位 5.省级CNCERT网络安全应急服务支撑单位或以上 | |||
售后服务能力 | ▲要求原厂项目团队成员具备良好的数据库技术支持能力以保障本系统的顺利运行,项目团队成员具体要求如下(要求提供相关证书和社保复印件): 1、项目经理1名同时项目经理应同时具备Oracle ACE Associate、PostgreSQL ACE认证 2、实施工程师1名同时具备CDPSE认证、信息系统-(中级)系统集成项目管理工程师、DAMA中国数据治理工程师CDGA认证。 | |||
功能验证 | 中标后,招标人有权要求中标方提供产品进行相关功能验证,如存在虚假应标行为,将废除中标资格,并依法追究相关法律责任。 | |||
数据库加密 | 品牌 | 自主研发的国产化品牌,非OEM,具有软件著作权证书。 | 台 | 1 |
配置 | 2U机架式设备:双电源、8个电口、2×扩展槽位、64G内存,128G SSD,8T 硬盘,CPU:海光 CX86 3250 (8核16线程),银河麒麟V10操作系统 | |||
性能指标 | 默认数据库实例:20个; | |||
数据库操作系统 | Linux、Windows、HP、AIX、中标麒麟、银河麒麟等。 | |||
数据库 | ▲武汉达梦(包括MPP、单机、主备模式)、山东瀚高HighGo DB、ORACLE(单机及RAC)、SQL SERVER、DB2、MySQL 、PostgreSQL、Elasticsearch、神通、teledb、hive、人大金仓、南大通用等数据库。(投标时提供功能截图,注意瀚高、teledb在界面上无体现,分别对应pg、mysql) | |||
部署方式 | 支持旁路模式部署,无需更改网络结构 支持HA主备模式,当安全设备因宕机、系统本身主程序不可用、内存持续被占等问题导致不可用时,自动切换到另外一台安全设备进行运行。 | |||
加密功能 | 提供数据库初始化加密操作向导,加密任务建成后提供预估的加密时间、监测加密任务执行状态。 ▲加密算法至少应支持3DES168、AES128、AES192、AES256等国际密码算法,SM4国密算法。(投标时提供功能截图) 支持以列、表两种细粒度的加密方式。 支持以下特殊数据类型和索引类型的加密正常读写、等值查询和范围查询:BLOB数据、CLOB数据、IOT表的Mapping表、B*Tree索引、Bitmap索引、全局索引等。 支持对加密资产写入的数据进行加密,实现密文状态存储。 对于增删改查操作、函数、存储过程等均透明;对于主外键、NOTNULL等重要约束透明。 无需修改应用系统代码,业务系统及数据库访问工具如PL/SQL、JDBC、ODBC等访问数据库时不受影响,实现透明加密。 ▲支持多种加密模式,支持业务在线加密,不需要业务停机。(投标时提供功能截图) ▲数据存储完整性:支持SM3国密算法,验证数据存储完整性,发生篡改时进行告警(支持对oracle、mysql数据库的闪电加密和通用加密方式进行完整性验证) | |||
密文存储 | 加密后的数据文件以密文形式存储。 | |||
离线加解密 | ▲支持离线加解密工具及加密信息记录,记录包括用户名、邮箱、电话、加密内容、加密地址等。对敏感数据文件加密,保障数据交换传递或备份安全,接收方需获取授权并验证信息后才可将密文数据解密使用。 | |||
身份管理 | 使用数字证书绑定安全客户端,当用户登录管理平台,系统可自动校验安全客户端的合法性。 支持设置用户、工具、应用程序等各类访问主体的权限,包括可访问目标、敏感标签、访问权限、审计级别等。 执行加密任务前需提供数据库凭证,验证失败无法执行加密任务。 | |||
访问管理 | 对业务无感知,加密对业务访问结果不产生影响。 ▲支持基于身份的密文访问控制,身份要素至少包括应用程序名、IP地址、主机名、数据库账户等,根据用户权限进行数据库返回结果控制,只有拥有合法权限的数据库用户才可看到明文,无合法权限的用户返回经过加密的数据或禁止访问。(投标时提供功能截图) 支持自定义加密访问管理方式,如业务系统提供明文访问模式;其他软件和对象提供明文及密文访问模式配置。 返回密文支持加密(SM4)、空值、遮盖、随机映射等,可配置。 | |||
密钥管理 | 支持使用SM4国密算法对工作密钥进行加密。 支持对加密后的密钥进行备份,防止密钥丢失带来的数据不可恢复问题;支持通过平台下载密钥。 支持对密钥进行更新,使备份下载的旧密钥不可用。 ▲支持对接三方密码设备 | |||
数据库管理 | 记录所有加密任务,包括数据库名称、IP地址、端口号、实例名、数据库类型等,以支持资产的集中管理。 ▲支持根据数据库查看加密资产的信息,以表加密、列加密两个维度查询当前的加密资产,并记录所有加密的操作类型、操作结果、所用时长、操作账户。(投标时提供功能截图) ▲从加密平台中删除被加密数据库时,弹出解密引导,强制删除时需通过数据库账号验证。(投标时提供功能截图) | |||
日志审计 | 支持对数据库的登录行为进行审计,包括登录时间、规则名称、数据库用户、客户端IP、应用程序、数据库IP、响应行为等; 支持对数据库的访问行为进行审计,包括访问时间、规则名称、客户端IP、数据库账户、数据库IP、SQL语句翻译、响应行为等; 支持对系统证书登录事件进行审计,包括登录证书、登录用户、IP地址、MAC地址、应用名称等。 支持审计信息高级搜索,搜索条件支持登录时间、退出时间、应用程序名、IP地址、物理地址、主机名、数据库用户名等。 提供自动审阅,自动审阅过的审计信息,再次出现将不需要再行审阅,依赖于审计信息可以提取访问规则,把规则加入至访问及订阅规则库。 | |||
告警信息 | 支持以图形、列表等方式查看告警信息,告警信息应当包含告警时间、告警内容、用户IP、数据库代理IP、事件等。 支持将已有登录、访问控制等规则添加至告警规则列表。 告警方式至少包括:站内、邮件、短信。 | |||
探针安装 | 支持在管理端推送安装探针,支持对已安装的探针进行监控,至少应包含IP地址、当前状态、已安装的应用、操作系统、运行时长、CPU占用情况等。 自动推送安装探针时,实时监控探针安装状态、探针安装的时间,如探针安装失败,需在页面以中文形式说明失败原因,便于快速进行错误排查。 | |||
系统监控 | 可实时监控平台的CPU使用率、内存使用量、磁盘I/O情况、网络情况,并通过图表形式直观展示,快速定位整体性能指标及系统运行情况。 | |||
日志外发 | 支持以Syslog等方式外发登录审计、访问审计、告警日志等。 | |||
管理端安全 | 支持SSL的WEB界面。 支持将LICENSE过期、BYPASS、HA切换等重要信息通过邮件、短信等方式告知平台用户。 平台具有安全审计员、安全保密员、系统管理员三种角色,实现三权分立。 支持对平台用户的密码复杂度、有效期、密码错误锁定策略等进行限制。 | |||
▲资质 | ▲要求原厂和产品具有一下资质,具体要求如下(提供复印件) 1.信创政务服务产品安全漏洞专业库技术支撑单位 (三级)或以上 2.ITSS(运行维护三级)证书或以上 3.企业具有知识产权管理体系认证证书 4.产品具有江苏省信创认证 5.产品具有商密认证资质 | |||
售后服务能力) | ▲要求原厂项目团队成员具备良好的数据库技术支持能力以保障本系统的顺利运行,项目团队成员具体要求如下(要求提供相关证书和社保复印件): 1、项目经理1名同时具备PMP和OCM; 2、实施工程师两名同时具有CISSP和OCP证书 | |||
功能验证 | 中标后,招标人有权要求中标方提供产品进行相关功能验证,如存在虚假应标行为,将废除中标资格,并依法追究相关法律责任。 |
1、“▲”为主要参数,不得偏离,未满足要求的供应商按重大偏离处理。
2、单价、报价及总价中包含生产、运输、安装调试、售后服务、培训、税费等全部费用,报价时应逐项填写单价和报价,最后汇总得出总价;
3、投标人对该项目有不清楚的自行踏勘现场,联系电话:13655111531(周主任)
报价单位联系人及电话:
微信扫码关注
