我院拟采购数据库动态脱敏系统,现因首次征集仅有一家供应商参与,故再次公开征集供应商进行调研,欢迎符合条件的供应商报名参与。首次征集意见发布于2024年10月16日。
一、项目概况
(一)项目名称:****数据库动态脱敏系统采购项目
(二)本项目预算总金额:40万元。
(三)采购方式:**政府采购智慧云平台电子卖场定点议价采购。
(三)软件维保期限:5年(60个月),按采购合同约**期起计算。
二、项目建设目标和内容
(一)本次项目建设目标为通过建设数据动态脱敏系统和数据安全巡检服务,预期达到以下目标:
1、保证本院核心医疗数据库信息的保密性、完整性、一致性、可用性和抗否认性;
2、针对目前本院HIS系统的数据安全隐患进行技术性加固防护,通过动态脱敏技术对数据库进行脱敏防护,避免重要敏感数据泄露;
3、针对本院的医疗系统定期开展数据安全巡检工作,及时发现网络数据安全隐患,并协助指导整改加固,全面提升本院信息数据安全强壮性。
(二)项目建设内容
1. 数据动态脱敏系统设计需求;
(1)、应支持实时处理应用程序访问数据库请求,并根据预先设定的脱敏规则执行模拟脱敏操作,以确保数据的实时性,同时防止敏感数据被越权访问或非法使用,从而降低潜在的安全风险。
(2)、应支持设定数据查询与下载的限制策略,限定能够访问敏感数据的前端登录方式、用户身份、IP/MAC地址、时间范围及访问范围。
(3)、应支持采取措施,防止内部维护人员和开发人员远程或本地批量导出敏感数据,以及黑客通过各种攻击手段非法获取敏感信息。
(4)、应支持支持灵活的动态脱敏防护策略,支持识别多种数据库登录工具,包括但不限于sqlplus、DBEAVER、MySQL Connector等。
(5)、应支持对不同的数据库IP地址、数据库用户、数据库客户端工具或特定表字段设定脱敏规则,以控制敏感数据的操作和访问行为。
(6)、应支持通过配置系统防护规则,预防恶意操作和误操作,进一步保障数据资产的安全。同时,针对网络IP/MAC信息、客户端信息及时间等要素,限制非法账户的登录访问数据库行为。
(7)所投产品需具备计算机软件著作权登记证书。
(8)所投产品需具备IT产品信息安全认证证书。
(9)所投产品需具备国家信息安全漏洞库兼容性资质证书。
2. 数据安全巡检;
(1)提供供医疗数据安全管理体系咨询服务,帮助本院建立数据安全管理体系,制定数据安全管理流程和制度规范。
(2)提供数据分类分级咨询服务,帮助本院建立开展医疗数据分类分级工作,根据数据分类分级成果输出敏感数据脱敏防护措施。
(3)五年软件维保期内,提供定期数据安全巡检服务,巡检内容包括动态脱敏策略巡检服务、数据库审计巡检分析服务、个人信息安全检查巡检服务、数据安全漏洞扫描巡检服务;要求提供不少于20次数据安全巡检服务。
(4)五年软件维保期内,要求提供7*24小时数据安全事件应急响应服务,针对本院的数据安全事件提供包括30分钟内远程电话指导应急处置服务和1小时内现场应急响应排查处置消除隐患服务,要求提供不少于5次数据安全事件应急响应服务。
三、数据动态脱敏系统参数
1.数据库脱敏系统参数要求
序号 | 指标项 | 技术规格要求 |
1 | ★产品规格 | ★交付模式:软件版交付;**配置授权:CPU≥4核,内存≥32G;处理性能:SQL峰值吞吐量≥8000条/秒,纯数据库流量≥80M;数据库授权:≥20个数据库(IP+Port)授权。 |
2 | ★软件维保授权 | ★至少提供五软件维保服务:包含软件更新服务,产品保修服务。 |
3 | 部署模式 | 支持代理模式;安装部署不需要提供DBA账号,在数据库上不需要安装任何软件,支持虚拟化部署。 |
4 | 协议支持 | ▲支持国际数据库:Oracle、SQLServer、MySQL、Db2、Informix、PostgreSQL、InterSystemsCache、SAPHANA;支持国产数据库:KingbaseES;支持大数据:Hive、Impala(提供产品功能截图证明,并加盖参与人公章)。 |
5 | 敏感数据识别 | ▲应内置针对符合医疗行业特征的敏感数据发现规则,规则包括:姓名、身份证号、银行卡号、民族、电话号码、医师资格证书、医师执业证书、医疗机构登记号等。(提供产品功能截图证明,并加盖参与人公章)。 |
6 | 支持发现任务的创建,针对指定的数据库进行敏感数据的自动发现,并对任务进行管理。 | |
7 | ▲支持对核实完成的敏感数据类型,可一键**敏感规则或加入到原有敏感数据脱敏中,并根据敏感数据类型自动匹配最优的脱敏算法。(提供产品功能截图证明,并加盖参与人公章)。 | |
8 | 防护能力 | 支持两种防护模式: 会话阻断:支持依照策略配置对存在风险的会话进行阻断; 拦截语句:支持依照策略配置对会话中的风险语句进行拦截,但不影响会话原有的连接状态。 |
9 | 支持识别不同数据库工具登录数据库,如sqlplus、DBEAVER、MySQL Connector等。 | |
10 | 支持对不同的数据库IP、数据库用户、数据库客户端工具或指定表字段设置脱敏规则,进行敏感数据操作与访问行为控制。 | |
11 | 系统应内置不少于100+常用脱敏算法,并支持新增自定义算法。 | |
12 | 支持通过数据库名称、数据库实例、Schema、表名、字段名、函数等关联信息解析和设置防护规则。 | |
13 | 应内置默认规则,支持场景:高危操作、权限变更、批量数据泄露或篡改、撞库、无where更新或删除、SQL注入、系统表非法操作、错误码提示等。 | |
14 | ▲应具备数据库漏洞攻击防护能力:提供针对利用已公开的数据库漏洞攻击行为进行拦截的虚拟补丁功能;漏洞分类应涵盖:缓冲区溢出、权限提升、拒绝服务攻击等,至少提供500个以上虚拟补丁;漏洞补丁规则管理维度,包括:漏洞名称、CVE标识、CNNVD标识、漏洞类型和影响范围(提供产品功能截图证明,并加盖参与人公章)。 | |
15 | ▲支持返回错误码、响应时间控制(提供产品功能截图证明,并加盖参与人公章)。 | |
16 | ▲支持结果集内容作为规则判定的条件,结果集包含敏感数据,则直接拦截或阻断(提供产品功能截图证明,并加盖参与人公章)。 | |
17 | 支持预定程序获取服务器发送给客户端的HTTPS的第一数据包;预定程序获取服务器与客户端进行交互所使用的第一证书;预定程序使用第一证书对数据包进行解密处理得到解密之后的数据;预定程序从数据按照预定规则进行敏感数据的识别,并对识别出的敏感数据进行脱敏处理;预定程序生成第二证书,并使用第二证书对将脱敏之后的数据进行加密之后得到HTTPS的第二数据包。解决对HTTPS无法进行敏感数据发现和处理所导致的问题,从而对HTTPS传输的数据进行数据脱敏,对敏感数据传输进行了保护。 | |
18 | 防护规则管理 | ▲规则支持关联数据库,也支持关联数据库类型;关联数据库类型后,可选择自动关联后续添加的数据库。(提供产品功能截图证明,并加盖参与人公章)。 |
19 | 支持数据脱敏方法,其方法包括:获取数据调取指令;对所述数据调取指令进行敏感数据检测,并在检测到所述数据调取指令包含目标敏感数据的情况下,基于所述目标敏感数据对所述数据调取指令进行处理,以得到数据探测指令;将所述数据探测指令发送给数据库;获取所述数据库基于所述数据探测指令反馈的目标数据;对所述目标数据与所述数据调取指令进行第一整合处理,以得到第一整合数据;基于所述目标敏感数据对应的脱敏规则,对所述第一整合数据中包括的所述目标数据进行脱敏改写,以得到目标脱敏数据。 | |
20 | 资质认证 | ▲为保证所投产品制造商在数据库防护领域能力,提供至少10个国内数据库漏洞编号(威胁程度:高危)。所挖漏洞被CNNVD或CNVD承认且具有编号。(需提供漏洞编号并提供证明官方截图或证书,并加盖参与人公章。) |
21 | 所投产品需具备《计算机软件著作权登记证书》,提供有效证明文件,并加盖参与人公章。 | |
22 | ▲所投产品需具备中国网****认证中心颁发的《IT产品信息安全认证证书》,提供有效证明文件,并加盖参与人公章 | |
23 | ▲所投产品需具备国家信息安全漏洞库兼容性资质证书,提供有效证明文件,并加盖参与人公章。 |
2.数据安全巡检服务要求
序号 | 指标项 | 服务要求 |
1 | ★数据安全巡检服务 | 三年软件维保期内,每季度至少开展一次数据安全巡检服务,共计至少提供12次数据安全巡检服务,针对数据安全动态脱敏策略优化、数据安全行为审计分析、数据安全隐患排查服务,提供承诺函,加盖参与人公章。 |
2 | 数据安全事件应急响应服务 | ★三年软件维保期内,提供3次数据安全事件应急响应服务,针对采购人的数据安全事件提供7*24小时安全应急响应服务,包括30分钟内远程电话指导应急处置服务和1小时内现场应急响应排查处置消除隐患服务。提供承诺函,加盖参与人公章。 |
3 | 服务工具要求 | 参与人承诺提供定期数据安全巡检工作服务,帮助采购人全面排查医疗数据安全风险隐患,并加以专业可执行的整改加固措施,提升采购人的信息数据安全强壮性。因此参与人需配备专业的数据安全检查工具箱,配合全面排查采购人医疗数据安全风险隐患。提供承诺函,加盖参与人公章。 |
4 | 服务工具要求-资产梳理排查能力要求 | ▲数据安全检查工具箱需支持对核心资产设备的一站式台账管理,包括边界资产、视频资产、文件服务资产、WEB资产、服务器资产,支持查看所有被监管的设备资产信息,支持通过设备类型、所属区域、设备年限、IP 地址等检索条件进行查询和筛选;提供具备检验检测机构资质认定(CMA)和中国****委员会认证(CNAS)的第三方检验机构的检测报告,证明所提供辅助的数据安全检查工具箱具备该能力。 |
▲数据安全检查工具箱需支持通过扫描发现方式,获取核心资产的品牌型号、端口和服务列表、设备类型(包括网闸、单向光闸、数据交换系统、代理服务器、NAT 网关、可信认证接入网关、视频交换系统等不少于 50 种设备资产类型)。提供具备检验检测机构资质认定(CMA)和中国****委员会认证(CNAS)的第三方检验机构的检测报告,证明所提供辅助的数据安全检查工具箱具备该能力。 | ||
5 | 服务工具要求-安全脆弱性排查能力要求 | ▲数据安全检查工具箱需支持部署在 IPv4、IPv6 环境下,系统扫描、Web扫描、数据库扫描、弱口令扫描、基线配置核查等各类型任务均支持添加IPv6 扫描目标。提供具备检验检测机构资质认定(CMA)和中国****委员会认证(CNAS)的第三方检验机构的检测报告,证明所提供辅助的数据安全检查工具箱具备该能力。 |
▲数据安全检查工具箱需支持检测的系统漏洞数不少于20万,覆盖CVE、CVSS、CNVD、CNNVD、CNCVE、Bugtraq多种漏洞标准。提供具备检验检测机构资质认定(CMA)和中国****委员会认证(CNAS)的第三方检验机构的检测报告,证明所提供辅助的数据安全检查工具箱具备该能力。 | ||
▲数据安全检查工具箱需支持数据库弱口令检测,包含但不限于:Oracle、REDIS、MySQL、Postgres、MSSQL、DB2、MongoDB、Sybase、 Informix等数据库类型,提供具备检验检测机构资质认定(CMA)和中国****委员会认证(CNAS)的第三方检验机构的检测报告,证明所提供辅助的数据安全检查工具箱具备该能力。 | ||
▲数据安全检查工具箱需支持主流数据库漏洞的检测,应包括但不限于:Oralce、Sybase、SQLServer、DB2、MySQL、Postgres、Informix、达梦、南**用、人大金仓、神通等数据库类型。提供具备检验检测机构资质认定(CMA)和中国****委员会认证(CNAS)的第三方检验机构的检测报告,证明所提供辅助的数据安全检查工具箱具备该能力。 | ||
6 | 服务工具要求-流量风险分析排查能力要求 | ▲数据安全检查工具箱需支持多种探测模型,包括文件泄露风险、cookie中包含密码信息、单次返回数据量过大、数据库查询AP1、未鉴权访问、API参数可遍历、弱口令、明文传输密码、命令执行 API、数据出境风险。提供具备检验检测机构资质认定(CMA)和中国****委员会认证(CNAS)的第三方检验机构的检测报告,证明所提供辅助的数据安全检查工具箱具备该能力。 |
▲数据安全检查工具箱需支持对探测预览不安全数据的,包含任务名、客户端 IP、探测类型、应用IP、传输包大小、不安全行为及详细的不安全内容。提供具备检验检测机构资质认定(CMA)和中国****委员会认证(CNAS)的第三方检验机构的检测报告,证明所提供辅助的数据安全检查工具箱具备该能力。 |
四、 评分标准
参与人资格要求资格性审查表
序号 | 评 审 内 容 |
(一) | 具备《****政府采购法》第二十二条规定的条件; |
1 | 提供在中华人民**国境内注册的法人或其他****事业单位法人证书或社会团体法人登记证书复印件,如参与人为自然人的提供自然人身份证明复印件;如国家另有规定的,则从其规定。(分公司投标,须取得****公司****公司的授权书,****公司****公司的营业执照(执业许可证)复印件。****公司(总所)授权的,总公司(总所)取得的****公司有效,法律法规或者行业另有规定的除外。) |
2 | 提供2023年度财务状况报告或2024年任意1个月的财务状况报告复印件,或银行出具的资信证明材料复印件; |
3 | 提供2024年任意1个月缴纳税收的凭据证明材料复印件;如依法免税的,应提供相关材料; |
4 | 提供2024年任意1个月缴纳社会保障资金的凭据证明材料复印件;如依法不需要缴纳社会保障资金的,应提供相关材料; |
5 | 提供履行合同所必需的设备和专业技术能力的书面声明;(提供《参与人资格声明函》) |
6 | 提供参加采购活动前3年内在经营活动中没有重大违法记录的书面声明;(提供《参与人资格声明函》) |
7 | 法律、行政法规规定的其他条件。(提供《参与人资格声明函》) |
(二) | 落实政府采购政策需满足的资格要求:无。 |
(三) | 本项目的特定资格要求:无。 |
(四) | 为采购项目提供整体设计、规范编制或者项目管理、监理、检测等服务的供应商,不得再参加该采购项目同一合同项下的其他采购活动。(提供《参与人资格声明函》) |
(五) | 单位负责人为同一人或者存在直接控股、管理关系的不同供应商,不得参加同一合同项下的采购活动。(提供《参与人资格声明函》) |
(六) | 参与人未被列入“信用中国”网站(www.****.cn)以下任何记录名单之一:①失信被执行人;②重大税收违法失信主体;③政府采购严重违法失信行为。同时,****政府采购网(www.****.cn)“政府采购严重违法失信行为信息记录”****政府采购活动期间。(说明:①由采购人、采购代理机构于投标截止日在“信用中国”网站(www.****.cn****政府采购网(www.****.cn)查询结果为准,如在上述网站查询结果均显示没有相关记录,视为不存在上述不良信用记录。②采购代理机构同时对信用信息查询记录和证据截图或下载存档;③****公司的,****公司****公司(总所)进行信用记录查询,****公司(总所)存在不良信用记录的,视同供应商(联合体)存在不良信用记录。) |
(七) | 在信息系统建设中,受托为本项目同一合同项下或者其中分项目的前期工作提供设计、编制规范、进行管理等服务的参与人及其附属机构,不得再参加该采购项目同一合同项下的投标。(提供《参与人资格声明函》) |
综合评分表
序号 | 评审因素 | 评分细则 | 分值 (分) | 权重 (%) |
一 | 技术部分(合计50分) | |||
(一) | 技术参数响应情况 | 对于采购需求“(六)详细技术参数要求”中的技术参数完全满足要求得36分;每出现一项带“▲”项的重要技术参数负偏离扣2分,每出现一项非“★”、“▲”项的普通技术参数负偏离扣1分,扣完为止。注:采购项目技术部分内容如果要求需要提供相关证明文件的,需按其要求提供方可得分,未提供或未按要求提供的则按响应负偏离进行扣分,扣完为止。 | 36 | 36 |
(二) | 系统设计思路方案及响应情况 | 结合第二章采购需求“项目设计需求”,参与人提供系统设计思路方案及响应情况,根据方案及响应情况进行评审: (1)系统设计思路清晰,响应全面,完全满足采购需求的,得5分; (2)系统设计思路较清晰,响应较全面,基本满足采购需求的,得3分; (3)系统设计思路较不清晰,响应较不全面,部分满足采购需求的,得1分; (4)无或其他得0分。 | 5 | 5 |
(三) | 实施方案 | 根据参与人提供的实施方案(方案中应包含软件部署方案、软件调试方案、软件运行保障方案、数据安全巡检服务实施方案等)进行评审: (1)实施方案详细,响应全面,完全满足项目实施需求的,得4分; (2)实施方案较详细,响应较全面,基本满足项目实施需求的,得2分; (3)实施方案较不详细,响应较不全面,部分满足项目实施需求的,得1分; (4)无或其他得0分。 | 4 | 4 |
(四) | 售后服务方案 | 结合第二章采购需求 四、商务要求“(四)售后服务”,参与人提供售后服务方案(包括但不限于故障响应方式、技术培训方案),根据售后服务方案进行评审: 参与人针对本项目的售后服务方案适用于本项目的且描述完整,完全满足采购需求的,得5分; 参与人针对本项目的售后服务方案符合本项目的且描述详细,基本满足采购需求的,得3分; 参与人针对本项目的售后服务方案,符合本项目的且部分满足采购需求的,得1分; 无或其他得0分。 | 5 | 5 |
二 | 商务部分(合计20分) | |||
(一) | 参与人综合安全实力 | 为保证本次项目能够按照招标需求进行交付,对参与人的网络安全能力、安全集成能力、设备维护能力进行考察评估: 1、参与人需具有中国网****认证中心授权的信息系统安全集成资质证书,得1分 2、参与人需具有中国网****认证中心授权的信息系统安全运维资质证书,得1分 3、参与人需具有中国网****认证中心授权的信息安全风险评估资质证书,得1分 4、参与人需具有中国网****认证中心授权的信息安全应急处理评资质证书,得1分 5、参与人需具有信息安全服务企业能力等级证书(一级),得1分; 6、参与人需具有信息系统集成企业服务能力等级评价证书(一级),得1分 7、参与人需具有网络安全设备维护企业服务能力等级证书(一级),得1分 参与人提供相关证书盖章复印件。全部提供有效证明文件得7分,每少一项扣减相应分数,扣完为止。 | 7 | 7 |
(二) | 参与人管理体系 | 参与人具有ISO9001质量管理体系证书,得1分; 2、参与人具有ISO27001信息安全管理体系认证证书,得1分; 3、参与人具有ISO20000信息技术服务管理体系认证证书,得1分; 提供相关证书盖章复印件。全部提供有效证明文件得3分,每少一项扣减相应分数,扣完为止。 | 3 | 3 |
(三) | 本项目系统集成项目经理的资质 | 拟投入本项目的系统集成项目经理需具备系统集成项目管理能力和数据安全能力成熟度评估能力,需同时具备以下认证证书: 1、系统集成项目管理工程师证书; 2、工业和信息化人才岗位能力评价证书(数据安全能力成熟度DSMM测评师)。 以上证书全部提供有效证明文件复印件得2分。每少一项认证证书扣1分,扣完为止,并提供近三个月(2024年4-6月)任意一个月社保证明。 | 2 | 2 |
(四) | 本项目数据安全巡检服务经理的资质 | 拟投入本项目的数据安全巡检服务经理1人(不同于系统集成项目经理),需具备数据安全知识和数据安全服务专业能力,并具备数据安全隐患评估能力,需同时具有国际注册数据隐私安全专家认证(CDPSE)、数据安全专业人员认证(CDSP)、注册渗透测试工程师(CISP-PTE)、信息安全管理体系证书(ISO27001证书),以上证书全部提供有效证明文件复印件得4分,每少一项认证证书扣1分,扣完为止,并提供近三个月(2024年4-6月)任意一个月社保证明。 | 4 | 4 |
(五) | 本项目数据安全巡检服务团队的资质 | 拟投入本项目的数据安全巡检服务团队成员2名,需具备一定网络安全知识储备和安全服务实施能力,需具有信息安全保障人员认证证书(应急服务、风险评估、安全集成、安全运维)及工业****考试中心颁发的高级网络信息安全工程师证书(NSACE证书)。以上人员证书全部提供有效证明文件复印件得4分,每少一项认证证书扣1分,扣完为止,并提供近三个月(2024年4-6月)任意一个月社保证明。 | 4 | 4 |
三 | 价格部分(合计30分) | |||
(一) | 投标报价 | 价格分应当采用低价优先法计算,即满足招标文件要求且投标价格最低的投标报价为评标基准价,其价格分为满分。其他参与人的价格分统一按照下列公式计算: 投标报价得分=(评标基准价/投标报价)×100×权重 备注: 1、 ****政府采购政策进行价格调整的,以调整后的价格计算评标基准价和投标报价,详见《价格扣除》。 2、 投标报价得分四舍五入后,小数点后保留两位有效数; | 30 | 30 |
合计 | 100分 | 100% |
五、 参与人资格
(一) 参与人需具备网络安全测试能力(团队)认证证书
(二) 参与人拟派的项目经理需具有中级信息安全工程师证书、中级网络工程师证书、注册数据安全治理专业人员(CISP-DSG)证书、能力评价与质量提升专项(电子数据分析)证书,全日制本科或以上学历证书等证书
六、投标文件要求
(一) ****政府采购智慧云平台上架产品截图。
(二) 提供所投产品的产品认证证书。
(三) 网络安全测试能力(团队)认证证书。
(四) 参与人拟派的项目经理资格证书。
(五) 提供设计方案和产品参数。
七、报名地点
**市**区**路172号****信息科,或将电子版、原件扫描件以“公司名称+项目名称+市场调研”发送到邮箱****@126.com。
六、报名期限
2024年11月13至2024年11月20日(8:00至12:00,14:30至17:30)。
七、说明
(一)本公告在****网站对外公告。
(二)本报名仅作为市场调研参考,最终采购结果以院内审批结果为准。
八、联系事项
地址:**市**区**路172号
联系人:陈科长
联系电话:0750-****103
****
2024年11月12日