宁波市企业信用信息公示系统数据复制交换与数据安全项目 一、数据复制交换需求 宁波市企业信用信息公示系统(以下简称公示系统)数据库接入至市电子政务外网,宁波市工商局业务系统数据库接入至工商专网,两个网络之间保持单向通路,即工商专网可以访问市电子政务外网,但市电子政务外网不能访问工商专网。 公示系统主要实现全市企业信用信息的对外公示、查询,企业限期主动报送年度报告信息和资质资格、许可审批等信息,落实企业和个人对公示内容的举报和异议处理,工商部门落实抽查和监督检查任务,以及建立经营异常名录和严重违法企业(“黑名单”)制度。公示系统具有数据实时查询、实时处理、实时传输的特征。公示系统现阶段主要接收工商行政管理部门的数据,同时公示系统上的企业主动申报信息以及举报、异议、监管、经营异常和黑名单等数据,都需要实时传送给工商部门的业务系统,满足工商部门各项日常监管的需要。 数据交换的设计思想是在工商部门业务生产库和公示系统数据库之间,通过数据交换平台提供双向实时数据交换,实现公示系统信用信息和工商部门相关数据之间的数据共享和交换。数据交换平台主要需求如下: 1、通用要求 数据交换平台要求兼容于现有工商内部数据交换系统,实现动态配置,交换对象的增加、删除、改动是可配置的,日常运维和监控可统一管理。 数据交换平台能支持市场上各个主流操作系统,比如Windows、HP UNIX、AIX UNIX、LINUX等。 数据交换平台能支持市场主流数据库,比如ORACLE、MYSQL、MS SQLSERVER、DB2、SYBASE等。 通过数据交换平台提供的交换数据,要求严格保证数据质量,确保数据交换的准确性,无数据差错。 实现分布式异构系统之间互联互通,完成数据的抽取、加载、传输、应用。 实现实时数据传输(秒级别),正常情形下无延迟。 支持二次开发的接口设计,保证公示系统数据的独立性及安全性,并为以后新的数据需求预留接口。 针对部分拥有重复数据行的表格,提供数据交换和数据验证方法。 针对部分压缩表格,提供数据交换和数据验证方法。 2、工商部门的业务数据交换到公示系统 工商部门业务数据可直接推送至公示系统。 数据交换平台能自动识别工商数据源端的DDL变化,包含新增(删除)对象、新增(删除)列、更改列属性等。 数据交换平台能自动识别工商数据源端数据的插入、删除、更改等操作。 数据交换平台不增加工商业务数据库的负载和压力,对工商业务数据库原有访问用户(user)不能做任何改动。 3、公示系统的数据交换到工商部门业务生产库 在公示系统不能直接访问工商业务数据库的情况下,实现公示数据交换至工商业务系统。 数据交换平台能自动识别公示数据源端的DDL变化,包含新增(删除)对象、新增(删除)列、更改列属性等。 数据交换平台能自动识别公示数据源端的数据的插入、删除、更改等操作。 数据交换平台要求不增加公示系统数据库的负载和压力,对公示系统数据库原有访问用户(user)不能做任何改动。 4、工商系统的相关数据交换到省局交换平台 在工商专网内,市工商局业务系统可直接访问省局数据交换平台,要求实现市工商局源端公示系统业务数据提供给省局交换平台。 数据交换平台能自动识别市工商局数据源端公示系统的DDL变化,包含新增(删除)对象、新增(删除)列、更改列属性等。 数据交换平台交换系统能自动识别市工商局数据源端公示系统的数据插入、删除、更改等操作。 数据交换平台要求不增加市工商局源端数据库的负载和压力,对业务数据库中公示系统原有访问用户(user)不能做任何改动。 5、从省局交换平台汇总至全省工商汇总数据库 按照省局的要求和数据汇总机制,从省局数据交换平台获取增量数据汇总至全省工商汇总数据库。 6、技术支持和服务 免费提供一年(自系统验收之日起计算)的技术支持服务。
二、公示系统数据安全技术指标 序号 指标项 指 标 要 求 【★表示技术指标要求不接受任何负偏离】 技术指标项目 技术指标要求(基本要求)
1 基本目标 实现对大权限用户下公示数据的访问控制; 实现对公示数据库登陆的访问控制; 实现对公示数据的访问跟踪; 2 数量 1套 3 支持数据库版本 ORACLE 9i、ORACLE 10g、ORACLE 11g等 4 支持的主机操作系统 Linux,AIX UNIX, Solaris, HP UNIX, Windows等 5 资质要求 [1] 国内知名品牌,非OEM产品。 [2] 产品需获得公安部计算机信息系统安全产品销售许可证以及公安部信息安全产品检测中心出具产品检验报告。 [3] 产品通过中国国家信息安全测评认证中心强制认证检测并获取相应CCC证书。 [4] 产品具有自主知识产权,需提供相应证明文件(软件著作权、软件产品登记)。 [5] 企业通过ISO9001:2008质量管理体系认证。 [6] 企业获得国家高新技术企业或双软企业 技术指标项目 技术指标要求(数据库访问控制)
6 不改动应用程序★ 加载安全系统后,不需要改变现有应用程序和数据库的设计,无需改变应用程序代码,无需应用做二次开发、编写接口等。
7 支持加密链路★ 支持加密链路传输,在加密链路上不增加任何中间设备,以防止破坏链路的安全性。
8 密码泄露时访问控制★ 在数据库用户密码泄露的情形下,通过安全系统能阻止非法用户登陆目标数据库,解决仅依靠密码认证的安全问题。 9 业务数据访问安全★ 允许特定合法的安全应用访问,可以阻止其他应用的连接访问。
10 支持SQLPLUS等工具型应用的登陆控制★ 针对SQLPLUS等通用工具,提供灵活的安全配置规则,包含IP地址、用户名、操作时间、应用程序等多个要素,控制其是否允许登陆。
11 认证平台旁路特性★ 要求安全系统无法被旁路,用以保护来自于各条链路的连接认证。至少包括以下方式:通过Listener进行连接,通过IPC直接连接,通过db-link进行连接等各种登陆方式。
12 基于规则的身份识别 要求安全系统支持规则库配置,以满足各种实际需求身份鉴别,可以自定义认证因子和认证规则。
13 认证信息持续时间 认证信息持续到会话结束或用户退出数据库,认证信息随时可见,可确定当前数据库的访问用户 技术指标项目 技术指标要求(业务数据访问控制)
14 权限滥用控制★ 针对大权限(比如DBA权限,SELECT ANY权限等)用户下的表格,实现业务数据的访问控制;
15 事先阻断方式★ 针对非法访问,要求安全系统的访问策略是可配置的,实现业务数据访问的事先阻断。阻断必须在事前进行,而不是事后进行。比如:针对某个表格内的数据update更新进行事先阻断。
16 数据列访问控制★ 针对敏感数据表格的特定数据列,提供数据列的访问安全控制,对无权限访问进行阻断和拒绝。 技术指标项目 技术指标要求(数据访问审计和行为审计)
17 细粒度审计分析 支持SQL命令的细粒度审计和分析,并记录详细的用户行为信息,包括该语句执行的时间、机器名、用户名、IP地址、MAC地址、客户端程序名以及SQL语句等信息,对数据库操作进行审计,可对查询、新增、修改、删除等行为进行监控。 可以深度解析数据库操作内容,准确解析出语句中的表名、操作方式、SQL语句及绑定变量,并根据策略名、SQL语句、日期进行归类和统计分析。通过这些细粒度的审计分析,可按需实现重要信息的有效侦测与分析。
18 数据库访问的实时监控与防御 根据IP地址、机器名、时间、程序名、sql语句等组合对数据库敏感行为预设警报策略,并能够为特定的审计需求自定义审计规则。
19 实时分析和警报 提供多种安全响应措施,包括数据库记录、邮件报警、短信报警等。通过这些监控和防御措施,对重要信息进行有效监控、预防和保护。
20 海量审计信息的处理 实现海量审计信息自动分级管理,迅速获得有价值的安全可疑行为信息。
21 基于规则的审计 实现海量审计信息依据规则进行分级配置,使用者可以按级别或规则快速找到需要的安全审计信息。
22 审计日志管理★ 根据存储空间大小,可以灵活配置审计日志的保留时间长度,针对过期日志可进行自动清理或转存。 技术指标项目 技术指标要求(管理平台要求)
23 集中管理要求 对于以上的技术要求,需要提供完整的集中管理平台,不能通过手工处理方式实现。 24 图形管理界面 全部要求基于Web的管理方式和SQL管理接口,B/S架构模式。
25 系统通用性 要求安全系统能运行在通用软硬件设备上,不能是专用软硬件设备。通用设备包括市场主流PC服务器或小型机,支持Windows、Linux、AIX UNIX、HP UNIX 、Solaris等主流操作系统。 技术指标项目 技术指标要求(授权与服务)
26 授权★ 1、提供原厂商服务质保证明原件; 2、提供原厂针对本项目的授权函; 3、提供一年7*24小时的售后服务,免费提供一年(自产品验收之日起计算)原厂保修及原厂免费现场服务,产品的安装、培训由原厂工程师完成实施。
27 服务及其它要求★ 采购方提出响应要求后2小时以内能到现场,有足够的技术服务人员提供本地化服务;提供一年7×24小时上门质保维护服务,签订合同时需要提供原厂的项目服务承诺函。
三、响应条款 1、投标方在提供报价时,需提供数据复制交换的拓扑结构以及实施方案,对数据安全产品及实施提供解决方案。 2、投标方按本项目的采购内容对服务期限满后年度服务费作出报价承诺。