招标编号:AEONLIFE-IT-2016-010
百年人寿保险股份有限公司
招标文件
招标编号:AEONLIFE-IT-2016-010
项目名称:百年人寿数据库审计与风险管理系统采购及实施项目
二○一六年五月十二日
第一部分 招标邀请
百年人寿保险股份有限公司是经中国保险监督管理委员会批准成立的全国性人寿保险公司,2009 年 6 月 3 日正式开业,公司注册资本 77.948 亿元,总部选址大连,是东北地区首家中资寿险法人机构。本公司现拟对“百年人寿数据库审计与风险管理系统采购及实施项目”进行招标,经前期综合考查评选,现诚挚地邀请贵公司参与本项目的投标。在正式投标前,请详细阅读本招标文件并确实遵守其中各项要求。
1.招标编号:AEONLIFE-IT-2016-010
2.招标内容: 百年人寿数据库审计与风险管理系统采购及实施项目
3.投标截止日期: 2016 年 5 月 31 日下午 15 点,招标人拒收本截止日期后送达的投标文件。
4.投标地点:xxxxxxxxxxxxx 00 xxxxx 00X
0.标书接收人: xxx
联系电话:0000-00000000、00000000000传真电话:0000-00000000
0.xxxx:有关此次招标邀请之事宜,可以书面或传真或电子邮件形式与百年人寿沟通。
单位名称:百年人寿保险股份有限公司
地址:xxxxxxxxxxxxx 00 xxxxx 00Xxx:000000
7.投标有效期: 15 日,从提交投标文件的截止之日起算。
第二部分 投标人须知
A.说明
一、适用范围
x招标文件仅适用于“百年人寿数据库审计与风险管理系统采购及实施项目”。
“百年人寿数据库审计与风险管理系统采购及实施项目”各阶段活动内容、操作要求等方面的要求详见招标书之第三部分。
二、定义
1.“招标人”系指百年人寿保险股份有限公司。
2.“投标人”系指投标人响应招标、参加投标竞争的法人或者其他组织。
B.招标文件说明
三、本招标文件的构成
招标文件由下述部分组成:
1. 招标邀请
2. 投标人须知
3. 项目需求
4. 投标文件格式
5. 书面澄清或者修改的招标文件内容
四、招标文件的澄清与修改
招标人对已发出的招标文件进行必要的澄清或者修改的,应当在招标文件要求提交投标文件截止时间至少 15 日前,以书面形式通知所有招标文件收受人。该澄清或者修改的内容为招标文件的组成部分。
五、投标保证金招标人在招标文件中要求投标人提交投标保证金的,投标保证金不得超过招标项目估算价的 2%。投标保证金有效期应当与投标有效期一致。
投标截止后投标人撤销投标文件的,招标人可以不退还投标保证金。
招标人最迟应当在书面合同签订后 5 日内向中标人和未中标的投标人退还投标保证金及银行同期存款利息。
六、对招标文件的疑问
对招标文件有异议的,应当在投标截止时间 10 日前提出。招标人应当自收
到异议之日起 3 日内作出答复;作出答复前,应当暂停招标投标活动。
C.投标文件的编写
七、投标文件要求
投标人应仔细阅读招标文件的所有内容,按招标文件的要求提供投标文件,并保证所提供全部资料的真实、有效、关联。
如果投标人根据招标文件载明的项目实际情况,拟在中标后将中标项目的部分非主体、非关键性工作进行分包的,应当在投标文件中载明。
八、投标语言
投标文件及投标人和招标人就投标交换的文件和来往信件,应以中文书写。
九、投标文件的组成
投标文件应包括下列部分:
1.投标书
2.投标价格表
3.企业基本情况材料及资格证明文件复印件(需加盖公章),包括:
-公司营业执照复印件 1 份;
-公司税务登记证复印件 1 份;
-公司组织机构代码证复印件 1 份;
-公司近两年内成功运作的相关案例;
-其它可以证明投标人有能力履行招标文件中合同条款和执行要求规定的相关文件。
-投标代理商提供针对此次项目的制造厂家授权书原件
-投标代理商提供针对此次项目的售后服务承诺函原件
-公司简介(简要描述三年内所做大型项目)
-负责本项目工程师简历
-投标公司技术服务体系及响应流程介绍
-项目实施及技术服务方案书 投标人应将投标文件装订成册。
十、投标文件格式
投标人应按招标文件中提供的投标文件格式填写投标书、投标价格表、投标人基本情况材料及资格证明文件,并提供产品详细方案及招标文件要求的所有内容。
十一、投标报价
1.报价方式
(1)投标者应明确说明各执行阶段每个项目的总体价格,以及价格明细。报价需由经正式授权的代表签署,并加盖投标人公司公章。
(2)投标者应按照招标人最后确定的需求报价。 2.填写时应注意下列要求:
一旦投标人中标,投标人不得以任何借口向招标人提出增加任何费用的要求。
十二、投标人基本信息
1.简述公司的基本情况、发展历史、股东情况,最近两个年度的成功案例,员工及分公司数量。
2.明确叙述公司拟参与本项目负责人与主要技术人员的简历、业绩、拟用于完成招标项目的设备及时间投入。
3.若公司将与合作伙伴一起参与本项目竞标,简述公司合作伙伴的基本情况以及将参与本项目的人员的简历和时间投入。
4.本项目联系人:
-公司名称:
-联系人姓名及职位:
-电话号码:
-传真号码:
-电子邮件地址:
十三、投标文件的签署及规定
1.投标人应准备一份正本和二份副本,在每一份投标文件上要明确注明“正本”或“副本”字样,一旦正本和副本有差异,以正本为准。
2.投标文件正本和副本须打印并由经正式授权的投标人代表签字,并加盖投标人公司公章。
D.投标文件的递交
十四、投标文件的密封和标记
1.投标人应将投标人文件正本和副本分别用信封密封,并在封签处加盖投标人公章(或合同专用章)。
2.投标文件信袋封条上应写明:
(1)招标人名称、招标文件所指明的投标送达地址; (2)招标项目名称;
(3)标书编号;
(4)投标人名称和地址;
(5)注明"开标时才能启封","正本","副本"。
3.如投标文件由专人送交,投标人应将投标文件进行密封和明确标记后,按投标邀请注明的地址送至招标人。招标人拒收投标截止时间后送达的投标文件。
E.开标和评标
十五、开标
1.开标于提交投标文件截止时间的同一时间在百年人寿保险股份有限公司职场公开进行。
2.开标时,在评标小组人员全部到齐后工作人员查验投标文件密封情况,确认无误后当众拆封,宣读投标人名称、投标价格和投标文件的其他主要内容,一式三份的招标文件必须在招标现场同时开标。开标过程应当记录,并存档备查。
十六、评标小组
招标人将针对此次招标工作成立评标小组,评标小组成员的名单在中标结果确定前应当保密。
评标小组对投标文件进行审查、质疑、评估和比较,采用综合打分法进行评标。
十七、投标文件的澄清
投标文件中有含义不明确的内容、明显文字或者计算错误,评标小组认为需要投标人作出必要澄清、说明的,应当书面通知该投标人。投标人的澄清、说明应当采用书面形式,并不得超出投标文件的范围或者改变投标文件的实质性内容。
十八、对投标文件的评估和比较
1.招标人及其组织的评标小组将对实质性响应的投标文件进行评估和比较。
2.评标时除考虑投标价格外,还将考虑以下因素:
(1) 投标方支持本项目的技术人员数量与素质。
(2) 投标方的项目经验。
十九、保密
1.有关投标文件的审查、澄清、评估和比较以及有关授予合同的意向的一
切情况都不得透露给任何投标人或与上述评标工作无关的人员。
2.本项目招标书属于招标人所有。未经招标人的书面许可,不得将本项目招标书的任何内容以任何形式泄露给任何其它第三方,否则,投标人应承担给招标人造成的所有损失。
F.中标和合同
二十、定标准则
中标人的投标应当符合下列条件之一:
1.能够最大限度地满足招标文件中规定的各项综合评价标准;
2.能够满足招标文件的实质性要求,并且经评审的投标价格最低;但是投标价格低于成本的除外。
二十一、中标结果的通知
招标人负责向中标人发出《中标通知书》,并同时将中标结果通知所有未中标的供应人。投标人如对评标过程有异议或对评标结果不服可向招标人合规经营部投诉。
二十二、合同的签订和履约保证金
招标人和中标人应当自《中标通知书》发出之日起三十日内,按照招标文件和中标人的投标文件订立书面合同。
招标文件要求中标人提交履约保证金的,中标人应当提交。
二十三、否决投标
有下列情形之一的,评标小组否决其投标:
1.投标文件未经投标单位盖章和单位负责人签字;
2.投标联合体没有提交共同投标协议;
3.投标人不符合国家或者招标文件规定的资格条件;
4.同一投标人提交两个以上不同的投标文件或者投标报价,但招标文件要求提交备选投标的除外;
5.投标报价低于成本或者高于招标文件设定的最高投标限价;
6.投标文件没有对招标文件的实质性要求和条件作出响应;
7.投标人有串通投标、弄虚作假、行贿等违法行为。
二十四、反商业贿赂规定
1、甲乙双方均应严格遵守中华人民共和国关于反商业贿赂行为的有关法律法规。
2、任何一方经办人或其他相关人员均不得索取或接受合同约定外的明扣、暗扣、好处费、现金、有价证券、购物卡、实物、礼品、请吃(礼节性的除外)、旅游等形式的不当利益。以上不当行为经发现并核实,将按国家法律法规以及公司的相关规定严肃处理。
本款所称“其他相关人员”是指甲乙双方经办人以外的与合同有直接或间接利益关系的人员,包括但不限于合同经办人的亲友。
第三部分 项目需求
一、服务商简介
二、百年人寿数据库审计与风险管理系统采购及实施招标项目要求设备要求
1. 软硬件设备
名称 | 说明 | 数量 | 备注 |
数据库审计与风险管 理系统 | 型号为xx数据库审 计 DAS-A3000 | 2 |
2. 服务
名称 | 说明 | 数量 | |
硬件维保服务 | 3 年硬件、系统服务 | 1 | |
现场技术服务 | 1 年现场技术支持 | 1 | |
认证工程师上门安装 调试、原厂培训 | 1 次现场实施与原厂 培训 | 1 |
实施基本需求
数据库审计与风险控制项目实施后,预期达到的作用和效果有如下几点:
⮚ 捕捉数据访问:不论在什么时间、在什么地点、以什么方式、只要数据被修改或查看了就需要自动对其进行追踪。
⮚ 捕捉数据库配置变化:当“数据库表结构、控制数据访问的权限和数据库配置模式”等发生变化时,系统能进行自动追踪与记录。
⮚ 自动告警:当系统探测我们设定的预警条件时,自动启动事先设置的告警策略,以便及时通知数据库管理员及时采取有效应对措施,能够识别严重影响业务运行的高风险行为并采取有效的手段进行控制与管理。
⮚ 监控记录长期保存:将从多个层面追踪到的审计信息自动整合到一个便于管理的,长期通用的数据存储系统中,且这些数据独立于被监控数据
库本身,可便日后追查。
⮚ 满足审计、合规要求 :临时和周期性地以各种格式输出监控分析结果,分析与评估数据库访问风险,提供完整的合规审计报告与依据。
功能要求
指标项 | 指标要求 |
硬件指标 | 系统:审计产品采用专用工控机硬件架构,非普通PC服务器, MTBF(平均故障间隔时间)≥65000小时; 系统启动采用CF卡加硬盘方式,保证稳定可靠不可篡改 |
处理器:Intel E3以上CPU,至少4核4线程,主频至少3.1G以上 | |
内存:≥8GB DDR3 1600Mhz; | |
电源模块:具备冗余热插拔双电源;冗余热插拔风扇; | |
硬盘可用容量:≥2TB,支持RAID0, RAID5阵列,最大支持扩展到4T*4。 | |
网络端口:支持监听接口扩展;配备2个电口管理口; 支持千兆网络环境下的监听能力,标配6个以上千兆电口网络接口;4个以上xxx口。 支持最大扩展到26个千兆电口,或者24个xxx口,或者6个xxx口。 | |
支持硬件扩展第三方FC SAN存储HBA卡,速率4Gbs以上, Qlogic 2460 以上型号 | |
审计性能:能够稳定、流畅地同时支持8个数据库实例审计能力,不会 产生漏审; | |
部署方式 | 旁路部署模式下无须在被审计数据库系统上安装任何代理即可实现审 计 |
支持在目标数据库安装agent解决云环境、虚拟化环境内部流量无法镜像场景下数据库的审计 | |
支持分布式部署,管理中心可实现统一配置、统一报表生成、统一查询; | |
管理中心和探测器都可存储审计数据,实现大数据环境下磁盘空间的有 效利用和扩展; | |
管理中心和探测器直接的数据传输速率、时间、端口都可自定义; | |
支持大数据平台部署,具有成熟的大数据hadoop平台处理,支持后期无缝扩展大数据版本,支持审计数据外送至大数据平台,检索性能高达100 亿数据仅需6-8秒,存储数据量高达3000亿以上 | |
处理能力 | 吞吐能力:≥4000M,日处理业务操作数:≥4亿条 |
峰值处理能力:≥4万条/秒 | |
审计日志检索能力:≥1500万条/秒; | |
协议支持 | 支持Oracle、SQL-Server、DB2、Informix、Sybase、MySQL等六种主流 数据库审计; |
支持对SQLserver 2005以上版本加密用户名的审计 | |
支持PostgreSQL、Teradata、Cache、人大金仓、达梦、南大通用等数 |
据库审计; | |
支持主流业务协议 HTTP、Telnet、FTP、SMTP、POP3、DCOM; | |
支持对各种协议自动识别编码及在web界面手工配置特定编码 | |
审计功能 | 支持数据库操作类、表、视图、索引、存储过程等各种对象的所有SQL 操作审计; |
支持对操作时间、SQL语句、执行结果、返回结果集、影响行数、执行 时长、数据库用户名、实例名、源/目的IP、源/目的端口、源/目的MAC、客户端主机名、客户端程序名称、客户端操作系统用户名、业务主机群、 SQL模板、会话ID、事件唯一ID等至少21个条件进行审计; | |
支持数据库请求和返回的双向审计,特别是返回字段和结果集、执行状 态、返回行数、执行时长等内容,支持通过返回行数和内容大小控制返回结果集大小 | |
支持跨语句、跨多包的绑定变量名及绑定变量值的审计 | |
支持对超长SQL操作语句审计,可以正常记录单条长度<=64K个字节的 SQL语句内容; | |
支持在IPV6环境中部署,且支持所有数据库IPV6协议的审计 | |
支持数据库防火墙功能,支持对根据IP、账号、客户端工具名、时间等 定制规则进行阻断 | |
支持导入审计关联的账号信息,支持通过IP和账号关联到具体SQL是哪 个自然人操作。 | |
智能发现 | 自动识别流量中存在的数据库,也可通过扫描发现网络中的数据库; |
支持定期自动扫描数据库漏洞和不安全配置,提供漏洞扫描报告; | |
应用关联 (三层关联) | 支持B/S业务系统三层关联审计; |
支持C/S、B/S三层架构下的真实用户名关联配置 | |
支持通过部署agent实现java web环境100%准确关联 | |
支持旁路自动学习三层审计关联功能; | |
运维审计 | 支持网络TCP会话审计; |
支持数据库协议解析成会话形式,并支持一键关联到具体的SQL操作会话。 | |
支持与堡垒主机自动关联审计通过ssh、rdp等加密协议操作数据库行为 | |
安全审计 | 支持审计记录中敏感数据的模糊化处理,内置常见敏感数据掩码规则,支 持自定义敏感数据掩码规则 |
内置安全特征库规则不少于300条,支持对数据库安全进行检查,如SQL注 入,缓冲区溢出,数据库漏洞、弱口令等; | |
审计策略 | 内置审计规则库不少于200条。支持事件类型和策略分组,同时支持黑白名 单方式策略 |
可自定义审计策略。审计策略至少支持18个条件; | |
规则各条件之间支持与或非逻辑关系; | |
告警数量需支持最大告警数量限制,超过告警阈值之后便不告警; | |
告警分析应支持根据SQL模板排行分析,便于告警处理。 | |
告警查询应支持根据登陆用户、客户端工具名、客户端IP、规则进行归并 分析,能详细展示每类告警占总告警数量百分比,便于告警分析处理; | |
审计查询 | 具有高效的查询性能,后台采用SPHINX全文检索引擎检索; |
查询条件易于使用,审计查询条件均为非正则表达式形式进行; |
支持采用部分匹配模糊查询方式检索审计日志; | |
支持基于数据库访问日期、时间、源/目的IP、来源、数据库名、数据库表名、字段值、数据库登陆账号、SQL关键词、数据库返回码、SQL响应时间、 数据库操作类型、影响行数等条件的审计查询; | |
统计报表 | 系统提供内置多种报表模板库,内置的报表不少于35种, |
支持根据单个数据库或逻辑数据库组生成报表 | |
报表支持严格按照塞班斯(SOX)法案、等级保护标准要求生成多维度综合 报告; | |
支持按照源IP地址、客户端工具、帐号、告警数等源信息生成报表; | |
支持按照数据库访问行为生成报表,智能识别帐号的增删、权限变更、密 码修改、特权操作等行为; | |
支持按照时间曲线统计流量、在线用户数、并发会话、DDL操作数、DML操 作数、执行量最多的SQL语句等报表; | |
支持性能分析,准确提炼出SQL语句执行频率和执行时间异常的报表; | |
支持Word、PDF、ppt等格式的报表导出; | |
支持定期自动生成审计报表且以电子邮件方式自动进行发送; | |
支持报表自定义,自定义的条件不少于20个 | |
模型分析 | 支持对数据库自动建模及智能对异常行为告警功能; 可通过行为轨迹图方式展示数据库访问行为 |
可基于账号、IP地址、访问权限、客户端工具等维度对行为模型做钻取分 析、变更分析,对学习的安全基线以外的行为自动智能的进行告警 | |
可以自动对比不同时期的行为模型,以区分其审计日志数趋势、用户、IP 地址、工具、访问权限的差异情况; | |
数据管理 | 支持根据保留天数和占用百分比自动清理最早的数据 |
备份文件需要加密,支持审计数据自动备份审计日志,并外送到独立FTP 服务器; | |
提供审计策略和系统配置信息的单独导入、导出功能; | |
实时监视 | 提供用户界面告警、Syslog告警、SNMP告警、邮件告警、短信告警、ftp 告警等六种方式 |
支持本地和数据中心查看CPU、内存、磁盘、网口、运行状态等信息 | |
系统管理 | 采用B/S架构管理,支持中英文两种管理界面 |
支持系统安全配置(会话锁定、超时退出、IP地址访问控制、密码复杂性 管理、验证码登陆等安全措施) | |
支持NTP时间同步、SNMP(v1、V2、V3)网络管理协议 | |
支持离线手工自动升级,升级数据和配置均需保留 | |
支持三权分立,系统默认设定系统管理员、规则配置员、审计查看员、操 作日志查看员等角色 | |
具有自身安全审计功能,可以对审计系统的所有用户操作进行审计记录 | |
故障排错 | 系统内置独立的故障排错系统,可以支持一键导出加密的系统调试日志, 支持一键检测服务、许可证、流量等大部分常见常见故障的检测 |
支持流量分析功能,包括抓包、包内容查看、自动探测sql语句等; |
技术支持要求
⮚ 协助解决重大故障和服务请求,在建设方的项目实施过程中,提供现场技术支持。
⮚ 免费的版本升级和专业的售后服务专线支持。
培训要求
需要提供至少 3 天的原厂培训。
三、报价
1.投标人应提供完整详尽的计划方案、详细报价(单价、数量、总价等),以及付款方式。
2.若投标人与合作伙伴一起参与本项目竞标,投标人应在总体报价中一并提供。
第四部分 投标文件格式
附件 1:项目投标书
致:百年人寿保险股份有限公司
根据贵方为百年人寿数据库审计与风险管理系统采购及实施项目招标邀请,签字代表 (全名、职务)经正式授权并代表投标人 (投标人名称、地址)全权办理对上述项目的投标、谈判、签约等具体工作,并签署全部有关的文件、协议及合同。
提交下述文件正本一份和副本一式二份。
1.投标价格表。
2.公司基本情况材料及资格证明文件复印件。
据此函,签字代表以及投标人宣布同意如下:
1.投标人将按招标文件的规定履行合同责任和义务。
2.投标人已详细审查全部招标文件,包括修改文件(如有的话)以及全部参考资料和有关附件。我们完全理解并同意放弃对这方面有不明及误解的权利。
3.投标自提交投标文件的截止之日起有效期为 15 日。
4.投标人同意提供按照贵方可能要求的与其投标有关的一切数据或资料,完全理解贵方不一定要接受最低价的投标或收到的任何投标。
5.与本投标有关的一切正式往来通讯请寄:
地址: | 邮编: | |
电话: | 传真: | |
投标人代表签字: | ||
投标人代表职务: | ||
投标人名称: | ||
(公章): 日期: 年 | 月 | 日 |
全权代表签字: |
附件 2:投标价格表
投标人名称:
项目名称: 百年人寿数据库审计与风险管理系统采购及实施项目 招标编号:AEONLIFE-IT-2016-010
报价
序号 | 项目 | 单价 (人民币) | 数量 | 投标总价 (人民币) |
1 | 数据库审计与风险管理系统(xx数据库审计 DAS-A3000)1 年现场技术支持,1 次现场实施与 原厂培训。 | 2 | ||
总计 |
投标人代表签字:
职务: 日期:
附件 3:百年人寿保险供应商信息采集表
填列项目 | 填列内容 | 填表说明 | 备注 |
公司全称 | 按营业执照所列名称填写 | 必填 | |
所属行业 | 请选择 | 请在下拉菜单选择,所属行业主要包括:货物销售、加工及修理修配、交通运输业、邮政业、电信业、现代服务业、建筑业、金融保险业、销售不动产、转让无形资产、文化体育 业、生活服务业 | 必填 |
纳税人身份 | 请选择 | 填写现在或营改增之后预计的增值税纳税人身份,纳税人身份包括一般纳税人和小规模纳 税人 | 必填 |
适用税率或征收率 | 请选择 | 填写现在或营改增之后预计的 增值税税率或征收率 | 必填 |
预计提供发票类型 | 请选择 | x贵公司经营增值税免税项目且已经申请免税,请选择增值税普通发票 小规模纳税人—个人只能选择 x开普通发票或无发票 | 必填 |
开户行及银行账号 | 填写供应商履约供货的常用收 款账号 | 必填 | |
纳税人识别号 | 填写国税税务登记号 | 必填 | |
公司类型 | 按营业执照所列公司类型填写 | ||
拟提供商品或服务 | 填写拟向百年人寿保险提供的 商品或服务 | ||
注册资本金(万元) | |||
经营范围 | 按营业执照所列经营范围填写 | ||
公司资质 | 填写与拟向我公司提供产品或 服务相关的资质 | ||
联系地址 | 填写现在办公地址 | ||
联 系 人 | |||
固定电话 |
手 机 | |||
传 真 | |||
与我公司合作业绩 | 填写贵公司和我公司之间的已经完成的合同或正在执行的合 同 | ||
与其他金融机构合作业绩 | 填写贵公司除和我公司以外的其他金融机构相关的已经完成合同或正在执行合同的基本情 况 | ||
我单位以上提供的资料真实、有效。 经办人: 受理人: 申请单位签章: 受理单位签章: 日期: 日期: | |||