1、重庆三峡中心医院防统方软件采购公示一、项目名称防统方软件二、采购方式竞争性谈判三、项目详情及概况重庆三峡中心医院防统方软件一套,预算 18 万元。技术参数详见附件。四、供应商资质要求合格投标人应首先符合政府采购法第二十二条规定的基本条件,同时符合根据该项目特点设置的特定资格条件(若有)。(一)合格投标人的资质条件1.具有独立的法人资格,有工商营业执照,税务登记证(国税、地税)、组织机构代码证或者三证合一营业执照;2.具有良好的商业信誉和健全的财务会计制度;3.具有履行合同所必需的设备和专业技术能力;4.有依法缴纳税收和社会保障资金的良好记录;5. 法定代表人身份证明,法人代表授权委托书及受委托
2、人的身份证明;6.参加政府采购活动前三年内,在经营活动中没有重大违法记录;7.代理商应提供生产厂商的授权函或代理协议书(二级代理商应出具一级代理商的授权函和一级代理商所获取的生产厂商的授权函);8.资质材料以原件或复印件加盖鲜章有效。五、商务要求1.服务维护能力及证明:竞标人需在本地有售后服务机构,并提供相应的证明材料。2.竞标人所投防统方软件须具有同一厂家的防统方系统软件著作权证书、医德医风模块著作权,中国国家信息安全产品认证证书。如具有公安部信息安全产品检测中心出具的产品安全性检验报告的优先。3.系统软件设计开发中,竞标人要承诺保证不影响医院现有信息系统的正常运转,并承诺保证使用符合业务功
3、能需要的软件。4.竞标人应有完善的项目实施计划和售后方案。5.本次竞标只接受独立法人投标,不接受任何形式联合体竞标。6.为保证本次竞标项目的公平公正性,本次竞标设立履约保证金。履约保证金金额为本项目最终成交价的 10%,合同签订后交医院财务部,项目验收合格后无息退还。7.本次投标产品中标供应商合同签订前所有功能需逐条测试,如不满足招标要求,则视为供应商提供虚假信息,拉入医院采购黑名单,并没收履约保证金,并顺延中标候选人。8.建设工期:必须在合同签订后 30 个工作日内完成系统开发和实施工作。9.质保期:质保期 1 年。质保期后,医院根据情况决定是否购买售后服务,金额不超过合同金额的 10%。1
4、0.付款方式:验收合格后支付总价的 90%,剩余 10%作为质保金,维保期满后一周内付清。六、技术要求1、本次采购防统方软件系统一套,要求实现软硬一体化配置。2、技术参数要求:管理、审计用户权限分开,相应权限的用户只能查看、管理相应的系统功能,责任明确。多种部署方式(串接/并接)下都可以阻止客户端进行疑似的统方行为。系统支持采用旁路部署方式,不需要更改现有网络结构、服务器相关配置,系统运行不得影响现有网络和业务的正常运行。系统应能独立完成审计数据采集,不依赖于数据库自身审计日志系统,不得在现有服务器上安装可能带来风险的程序。系统支持双密码用户,安全性更高。所有系统数据都支持加密传输,防止信息外
5、泄。系统确保最小报警监控时间间隔为 5 秒,保证统方事件的及时告警。系统的时间可以和关键服务器中的数据库的时间进行同步,确保记录时间的一致性。支持加密方式的数据库连接信息分析(如 MS SQL SERVER2005 及更高版本等)。支持对 Oracle、MS-SQL 、DB2、MYSQL、CACHE DB、POSTGRESQL 和Sybase 等数据库提供自动化评估、审计和保护功能,可审计的数据库或集群数量不少于 6 个,并且可以是一个 oracle 库而另外一个不是。具备用户行为记录功能,记录用户所有的操作(业务访问、系统维护、策略配置等)。系统从业务流程角度入手,结合核心数据特征,提供了高
6、度集成的“事前+事中+事后”数据防护手段。系统配置文件支持导入、导出。系统应为软硬一体机,支持千兆以上网络环境及大概至少 500 个客户端同时并发的监控,应达到每秒 50000 个以上的事务处理能力.1系统架构采用 B/S 架构,提供中文 WEB 管理界面以便于管理。并应可以根据不同的安全级别采用不同的实时告警响应方式,包括记录、消息、鸣音、邮件等,并能支持短信平台。支持包括 ASCII、Unicode、UTF-8、UTF-16、GB2312、EBCDIC 等编码格式,避免因编码格式不同而导致审计报表出现乱码的情况,保证了审计报表的可读性。支持集群,系统支持冗余备份。系统将预留一定的接口以作维
7、护,二次开发之用。系统内置故障排错系统,判断故障所在,帮助管理人员快速排查问题。系统应能对自身的事件(包括登录、系统参数修改、系统异常等)进行审计,可以监控和审计用户对数据库中的数据库表 、视图、序列、包、存储过程、函数、库、索引、同义词、快照、触发器等的创建、修改和删除等,分析的内容可以精确到 SQL 操作语句一级。审计数据能永久保存,并支持外接存储设备进行备份。数据应进行加密保管,只能通过专门工具进行恢复和查询浏览。能够出具针对纪委、纪监室相关人员使用的防统方审计报告(支持每天或多天生成统方审计报告,报告需简单明了,且具有主动将所有的计算机语言翻译成通俗易懂的自然语言的系统机制,支持将整条
8、 SQL语句翻译成中文。系统内置防统方知识库,且具有自我学习功能。应用云计算功能提供数据分析平台,对用户提交的数据进行自主分析,并生成报告和相关建议规则反馈给用户。根据客户端应用程序名单,实时阻止非法客户端程序或伪装正常客户端程序对关键服务器的访问。可疑对象定位功能,可以精确定位可疑对象的物理位置。2防统方模块可以对某统方行为的所有操作以及操作结果关联起来,以报表的形式呈现给使用部门,便于使用部门分析和追溯统方事件。阻止可疑会话功能,甄别数据访问,阻止非正常数据会话。能根据预定规则阻止 SQL 语句的“数据库墙”功能,如根据系统设置的客户端IP/MAC 黑名单,以及数据内容中的敏感信息,实时阻
9、止黑名单中的客户端对关键服务器的访问。统方白名单权限的设置,可对授权统方行为的操作人员工号、操作类型、IP 地址、客户端工具、操作系统用户名、主机名、MAC 地址、SQL语句和操作的时间范围等条件进行设置,只有通过了授权和验证才可以获得统方权限。主动/被动方式监控关键服务器的开放端口,提供扫描现有应用系统的漏洞。分析可疑对象的信息,包括 IP、端口、MAC、主机名、程序信息、数据库连接信息。系统可以监控、记录并且还原客户端连接到服务器的 TELNET/FTP 等远程登录操作信息,记录内容包括客户端 IP 地址,客户端 MAC 地址,服务器地址以及产生记录的时间,并提供多种查询,支持多种文件格式
10、导出。支持医院各生产系统中财务数据、病人资料、药品信息、医院资产等核心数据的审计监控。用户可以根据需要自定义规则,并能根据设定的条件产生审计报告。能对审计结果进行多条件组合查询,比如按下列条件查询:IP 地址、MAC 地址、表名、操作方式、计算机名、数据库名、程序名等。并就能支持按关键词进行模糊查询。查询结果应支持多种格式(excel、pdf、txt 等)导出。支持指定非关注策略,系统将非关注的内容进行过滤,不进行记录,降低了存储空间和无用信息的堆砌。策略因子包括:数据库操作来源IP 地址、数据库登录用户名称、数据库操作源程序名称、数据库操作源终端名称、数据库操作源终端用户名称、SQL 操作语
11、句(DDL、DML、DCL)、数据库表组(表、列)等。3数据库审计支持医院信息管理系统多层结构,提供全方位的三层(应用层、中间层、数据库层)的访问审计,三层关联必需支持自动关联,以提升关联准确度和审计人员追踪索源难度,同时需要支持手动关联,可以直接追踪到前端业务的操作人员 IP 地址、MAC 地址和用户。提供数据库登录用户名称异常探测、数据库操作源终端异常探测、数据库操作源程序名称异常探测、数据库操作源终端用户名称异常探测,可设定异常黑白名单,对客户端地址、客户端程序、数据库账号、客户端用户名以及执行结果等异常的行为进行异常告警,支持自主学习能力。系统应能支持多个网段客户端对数据库操作行为的会
12、话审计,能够对各种访问数据的途径(如客户端软件、PL/SQL、SQL*Plus、PB、Toad等各种 SQL 操作工具)进行监控和设计,可以跟踪审计某某时间、某某 IP、某某计算机名、某某用户对数据库服务器进行了该类操作,具有可疑对象定位功能,可以精确定位可疑对象的物理位置。能够检测网络拷贝等操作,能够检测通过网络 KVM 发出的指令。产品从审计主体、审计客体、日志格式、规则分析能力、报表、告警、存储等模块完全按照等级保护基本要求和测评要求设计研制。系统应能支持对数据库 SQL 操作语句的详细审计,可以分析出每条语句的操作方式、表名、存储过程名、详细操作内容,执行时长、操作成功/失败,受影响行
13、数,关联表与关联表数等字段信息,可审计并还原 SQL 操作语句。可根据 SQL 执行的时间长短设定规则,如命令执行时长超过 30 秒进行告警;可根据返回记录数多少设定规则,如 SQL 操作返回的记录数或受影响的行数大于等于 10000 行时进行告警。支持超长操作语句审计,针对传统型数据库,支持 3 万字节的审计而不截断,针对 Cache 数据库,支持 60 万字节长度不截断.支持 Cache 数据库集成工具 terminal、portal、studio、Sqlmanager、MedTrak 等工具的审计,支持返回结果审计。支持对双向数据包的解析、识别及还原,不仅对数据库操作请求进行实时监控,而
14、且还可对数据库系统返回结果进行完整的还原,根据统方行为的特征实时告警。支持对指定时间内全院抗菌药物(或中成药)品种、剂型、规格、使用量、使用金额,使用量和使用金额分别排名前 N 位的抗菌药物品种进行分析,自动生成报表。能够建立医院医德医风电子档案,方便纪委部门对全院职工医德医风的管理。支持添加、查询医学学分;添加、查询文章;添加、查询相关科研项目;添加、查询人员科研成果;添加、查询人员获奖情况。支持查询各科室表扬投诉记录及详细情况。支持添加、查询红包信息;查询红包数量、数目并支持EXCEL 格式导出。记录、查询个人和科室锦匾情况;支持员工信息的添加、导入、更新、删除;4纪委专用模块需要实现与纪
15、检医德医风电子档案模块相关联与对接,系统需提供同一厂家的医德医风模块著作权证明产品认证证书。实现院内个人医德医风电子档案的建立及维护。5集中管理模块针对多套系统可以进行分布式部署集中式管理,定时采集下属单位防统方审计报告,便于卫生厅,卫生局纪监部门统一监管下属单位系统使用情况。6告警模块可根据用户自定义规则实时发出手机短信通知和邮件提醒等多种方式的告警信息,并配备相应专用免费短信平台。7配套硬件要求设备为 2U 标准机架,冗余电源,延迟时间:亚毫秒,10/100/1000M 自适应电口6(可扩展 SPF 多模光纤,最多扩展2 个),SQL 事务数处理能力不小于 100,000/秒,硬盘容量2T,可做 Raid1、0、10、5,内存8G。七、其他要求报价文件应装订成册,不得活页装订。信封上注明项目名称、竞标人名称、竞标人地址等。信封封口处须密封并加盖公章或法人授权代表签字。报价包含完成该项目需要包含的所有费用。八、招标地址及联系方式:投标时间:2018 年 1 月 11 日 9:40-10:00开标时间:2018 年 1 月 11 日 10:00地址:重庆市万州区新城路 165 号 重庆三峡中心医院二会议室联系人:张老师 联系电话:02358103093邮政编码:404100
