询价采购报价须知

询价采购报价须知

一、参加询价采购的供应商为南通市公共资源交易中心（南通市政府采购中心）的注册会员。

二、供应商报价应严格按照询价文件要求的程序，应上传所需的证明文件（以下简称附件），再进行报价。如顺序相反，可能无法上传附件,后果自负。上传附件内容包括：

（）分项报价明细表及报价总表；

（）询价文件中要求提供的资质条件和其他证明文件；

（）对询价文件确定的技术、质量和服务等条款，所作出的实质性响应和说明。

（）联系人和联系电话。

三、询价采购期限原则上不少于三个工作日，采用一次报价方式。按照质量和服务均能满足询价采购文件实质性响应要求且报价最低的原则，确定成交供应商。

四、接到政府采购科项目负责人发出的成交提醒后，报价供应商应在三个工作日内提交书面询价投标文件（加盖单位公章），供复核。审核无误的，在系统显示已成交后至交易管理科前台窗口领取中标通知书（联系电话：），否则视作自动放弃或取消成交资格。

五、供应商随意、恶意报价，或未按询价文件要求进行报价的，

将按相关规定予以处罚。

南通市公共资源交易中心

（南通市政府采购中心）

南通市公安局核心数据库审计项目

网上询价采购附件

编号：

南通公共资源交易中心（南通市政府采购中心）对下列项目进行网上询价采购。欢迎符合资格要求并有供货能力的供应商踊跃参加。

南通市公安局核心数据库审计项目

具体需求说明

一、供应商资质要求

、具有独立承担民事责任的能力；具有良好的商业信誉和健全的财务会计制度；具有履行合同所必需的设备和专业技术能力；有依法缴纳税收和社会保障资金的良好记录；参加政府采购活动前三年内，在经营活动中没有重大违法记录。

、法定代表人为同一个人的两个及两个以上法人，母公司、全资子公司及其控股公司，都不得在同一采购项目相同标段中同时投标，一经发现，将视同围标处理。

、投标人须具有信息技术服务管理体系( ) 认证证书。

、投标企业具有高级项目经理（以电子工程建设信息网查询为准）。

、本项目不接受联合体投标；

二、项目需求软件清单

对南通市公安局核心数据库进行数据库层级的安全防护，采用数据库审计技术对核心数据库的所有访问操作进行日志记录并建立自动化监测的规则，及时查找出相应的异常访问操作，同时为了确保不发生数据库的违规操作及灾难性命令执行，采用防火墙技术，针对目标数据库、目标表、目标用户操作、用户命令等进行实时阻断，不提交数据库层级执行。

本次项目为确保核心数据库实时可用、稳定在线，采购两套含数据库防火墙功能的数据库审计服务器，按照一主一备方式，实现并行负载。

(一)主要硬件选型和参数配置清单

投标人所投产品的品牌须采用招标文件的推荐品牌；如为非建议品牌的，品牌的档次等于或高于建议品牌档次，同时须提供以下资料：①法定检测机构出具的检测报告（须加盖法定检测机构红章）；②由地市级及以上质检部门出具的该品牌不低于招标人推荐品牌档次及标准的证明原件；③所投产品参数必须完全满足招标文件要求，提供原厂逐条响应的偏离表并加盖原厂公章；①②③项的复印件必须加盖厂家红章，不满足上述要求的，均不予认可。

数据库审计服务器(含防火墙功能)参数

产品可以以审计模式工作，也可以以网关模式工作；★

独立完成访问数据的采集，不依赖于数据库自身的日志系统；★

日志存储于独立存储空间；

自身用户管理与数据库管理、使用、权限无关联；

提供功能，防止单点失败；★

单机峰值处理能力（语句、条秒）：≥；★

物理磁盘空间≥，日志存储量≥亿条；★

支持路以上审计监听功能；★

英寸标准标准机架设备，设备支持双机热备模式；★

设备内存≥；★

网口数量≥千兆电口或光口并能够扩展；★

系统采用全中文管理方式。★

全面兼容、、、、、达梦等数据库各版本；★

支持等常见协议。★

支持等主流数据库客户端，须支持软件全版本应用。★

支持多种报警方式、包括短信、邮件、界面、等。

能够对审计日志进行自动备份，并且可以在日志的存储达到阀值的情况下，

停止审计。

系统支持时间服务器功能，保证审计到的日志时间准确并有效。

根据三权分立的原则和要求进行职、权分离，对系统本身进行分角色定义。

系统提供系统管理员、安全管理员、审计管理员的系统角色、并能够对角色

进行添加、修改、删除等动作。

提供增强型身份验证功能，系统登录时，不仅需要提供口令验证，还需提供一种不可伪造的身份验证，比如。

系统支持旁路部署方式；★

系统支持串联（网桥、网关）部署方式；★

系统支持探针部署方式；★

系统支持双机热备（主备、主主）部署方式；★

系统支持多级部署方式；★

系统支持集群部署方式。★

支持监控设备自身的、内存、硬盘、网络等状态，保证系统的稳定运行。支持对数据库系统进行全面的状态监控，实时监测数据库系统运行参数，包括监视器信息、连接时间、用户活动、表空间状态、状态、数据文件性能、回滚段、缓冲区、锁统计、信息、线程信息等参数，保证数据库系统运行稳定。★

支持弱口令检测，保证口令的强壮度；★

支持数据库系统用户权限分配风险扫描，发现权限分配是否合理；★

支持对数据库、操作系统的安全配置检测；

系统应提供扫描策略自定义功能，可以根据实际情况进行策略调整；

系统应提供扫描报告，对扫描结果进行分析，报告，并提供修复建议。

数据库访问记录应至少包括发生时间、业务用户名、操作终端主机名及地址、终端工具名称、服务器端主机名及地址、数据库名、表名、语句、响应时间、返回结果等关键信息；★

支持数据库变量解析功能，在审计记录中以备注方式显示每个变量的赋值情况；

系统提供多种级别的风险设置，能够灵活定义各种访问行为的风险等级；

提供自动建模（智能学习）功能，自动建立访问数据库行为的模型，捕获所有访问语句，形成语法抽象；提供语句的风险输出，用户根据风险确定黑名单或白名单；★

能够审计在数据库服务器本机上进行的数据库操作，包括虚拟化的情况和应用系统与数据库系统部署在同一台物理机的情况；★

系统提供白名单规则策略；

系统提供黑名单规则策略；

系统提供正则表达式规则策略；

系统提供关键字表达式规则策略；

系统提供例外规则策略；

系统提供三层审计功能，能够通过与其他系统联动的方式，精确审计到具体人员对数据库的操作行为；★

系统内置注入、缓冲区溢出等攻击行为特征检测，准确识别攻击行为；★系统能够对符合一定风险级别的访问行为进行报警，通知管理人员。

系统提供访问权限控制，通过地址、地址、时间段、用户名、客户端等条件对访问人员进行限制；★

系统提供动作权限控制，通过对增、删、改、查等动作进行权限划分，对有权访问数据库的人员进行二次限制，防止人员进行超出权限的动作；★

系统提供访问对象权限控制，通过对数据库、表、字段、关键字等资源条件进行划分，保证人员只能访问自身权限范围内的资源；★