招标公告

序号

名称

参数

数量

质保期

交付期

1

数据库安全漏洞扫描工具

1、漏洞库

1.1漏洞类别，支持管理相关、用户相关、软件相关、信息查看四大类，口令类、文件权限类、权限类、角色类、设置类、用户类、SQL注入、缓冲区溢出、系统类、备份类十小类：

1.2遵循规则，支持CVE标准；支持CNNVD标准；支持等级保护策略；支持分级保护策略;支持自主研发信息查看策略（大于300）;默认策略；

2、检测能力

2.1检测类型，至少包含以下检测方式：一键检测，快速授权检测，授权检测，非授权检测，渗透检测（SQL注入渗透、缓冲区溢出、存储过程渗透），木马检测；

2.2检测对象，可检测的数据库包括DM、KingBase.南大通用、神通等国产数据库和Oracle、SQL Server、DB2、MySQL、SyBase、PostgreSQL、Informix、sqlite等国外主流数据库；

2.3检测范围，包括缺省口令、弱口令、低安全配置、DBMS脆弱点、补丁漏洞、程序后门等类别和敏感用户的检测；

2.4自动搜索，提供自动搜索功能，系统提供的端口扫描功能可以自动搜索出某一网段或指定IP范围内的活动数据库，获得数据库的基本信息（包括端口号、数据库类型、版本号、数据库服务器IP地址等）；

2.5功能授权，无限扫描对象数量授权、全部功能模块授权。

3、报告分析

3.1报告格式，支持html、doc 、pdf、xls；

3.2报告类型，支持综合报告、风险点检测报告、详细检测报告等类型；详细报告中应包含漏洞的来源、CVE/CNNVD编号、风险级别、漏洞类型、漏洞描述、修复方法等详细内容；同时需提供数据库运行状况报告，方便管理员对数据库的运行状况有全面的了解。支持扫描进度提示。支持保密局通用模板；

3.3报告类型，提供简明报告、详细报告、评估报告、统计报告、对比报告、趋势分析报告、数据库整体报告。

4、增强功能

4.1数据库错误代码，系统提供数据库错误代码查询功能,可用于数据库连接、使用过程中错误代码的解释（原因、措施）；

4.2数据库测试，系统提供数据库连接测试工具(用于数据库连接的检测)；

4.3Oracle解密工具系统提供Oracle解密工具(用于解密Oracle用户的密文密码)；

4.4telnet/ping工具，系统可检测远程登录网络通断情况,和主机存活或者网络通断情况；

4.5解密工具，系统提供独立的解密工具；

4.6查看Oracle补丁，可以查看oracle最新的补丁号；

4.7数据库监控，系统提供数据库安全监控功能.实现对监控对象安全与性能的实时跟踪和分析，将采集到的安全与性能信息以非常简洁、直观的方式呈现给数据库管理员，帮助DBA更好、更快地定位和解决数据库系统中安全与性能上的问题；

4.8敏感信息，对敏感用户、表、列内容进行查询，系统针对数据库的敏感字段（可自定义）进行快速查询，准确得出敏感字段的位置；

4.9可扩展口令库，允许扩展弱口令检查的字典库,用户可以指定专门的库文件。

5、管理功能

5.1用户管理，根据国家保密局和用户的最新要求,系统提供四权管理功能:系统管理员、安全保密管理员、安全审计员、操作员四权分立功能；

5.2任务管理，允许每个任务中包含一个或多个目标数据库，用户可以自定义扫描的各项参数、扫描策略、任务名称和描述；

5.3升级管理，支持本地手动升级。

6、策略管理

6.1预定义策略，除支持全面扫描等类型策略外,还支持缺省配置、敏感数据策略等单项扫描策略；支持分保专用,等保专用检测策略(同时覆盖各种主流数据库)；

6.2自定义策略，用户可以根据自己的行业特征和关心的安全点，有针对性地建立检测项集合,形成行业检测策略；

6.3策略导出，提供对自定义的策略提供导出功能。

7、安全保密

7.1漏洞库保密，支持漏洞库采用加密方式进行保护，防止对漏洞库进行篡改，导致检测结果的失效，以及对数据库造成破坏导致业务系统运行受到严重损失；

7.2检测结果保密，支持对检测报告信息采用加密技术，避免IP、端口等配置信息，弱口令等重要内容泄密；

7.3系统危害性，不对系统的任何参数、数据变更，不发生任何写操作相关的行为。

8、维保

8.1提供3年免费维保，包括工具版本升级、特征库升级、工具使用故障处置及重新安装部署和数据恢复；

8.2三年维保期后，延保金额不高于采购金额的15%。

注：功能、性能参数应提供产品截图或第三方测试报告证明材料，维保、服务等参数应提供承诺证明材料。

1

36个月

合同订立后15天内