【公告】舟山市中医院数据库安全巡检服务项目 竞争性磋商公告

序号

系统名称

数量

预算

1

数据库安全巡检服务

1

5.9万元

序号

技术服务内容

服务期限

（一）

数据库标准服务

一年

1.1

数据库****租赁部署服务

一年

1.2

7*24小时应急远程响应支持服务

一年

1.3

数据库远程巡检服务

6次/年

1.4

故障管理和查询回顾

一年

（二）

7*24小时应急现场响应支持服务

1天/年

（三）

数据库性能优化

2天/年

序号

技术服务内容

具体要求

1

数据库技术服务

1、要求7*24小时400电话、远程不间断支持

2、对数据库系统故障或与数据库系统相关联的系统故障，提供7*24小时不间断非现场(可以是400电话、e-mail、VPN、QQ等形式)支持服务，通过以上方式直接联络服务商的技术工程师，寻求问题的解决方案、技术文档以及技术指导，提供故障处理案例

★在接到招标方故障申告后应于5分钟内响应，如故障未能在15分钟内通过远程支持得到解决，承诺根据招标方要求派指定服务工程师在1小时内赶到招标方现场，提供不间断故障处理服务。

2

故障管理和查询回顾

为招标方建立Oracle、SQL server等数据库故障处理档案，服务工程师应把用户所有故障问题记录在档，并建立故障ID，可以随时跟踪故障ID的处理状况。故障报告包括故障ID、故障ID的严重等级、故障ID及问题解决的状态、处理该问题的数据库技术支持工程师、问题说明、问题进展等

为招标方设定固定的专职的主备责任工程师提供服务响应支持。主责工程师需定期进行数据库状况检查，同时提供系统健康检查顾问服务以及协助客户建立数据库数据库日常管理规范

为招标方建立的系统健康档案。详细记录用户系统发生的事故及解决方案，为招标方提供技术案例知识库更新服务，时时关注招标方系统的安全状况，Oracle、SQL server等数据库、服务器操作系统官方网站更新信息，及时为用户提供系统补丁更新、软件升级服务

3

数据库日常安全巡检服务

日常安全检查至少包括以下内容：

1、检查相关软硬件、数据库配置和SGA、PGA的配置情况；

2、检查数据库、备份结果集、各表空间的变化情况等，并对数据变化情况作评估；

3、统计当前表空间、文件系统和数据文件的使用情况；

4、检查数据库alert.log日志文件和相关trace文件；

5、检查操作系统用户、数据库用户、系统本身的安全性；

6、收集数据库运行期间的负载情况和Instance各性能指标；

7、检查数据库备份是否正常；

★提供一年6次的日常远程巡检服务

4

现场应急保障服务

当遇到复杂性问题，需要到现场进行综合诊断或者用户要求现场支持服务的时候，要求服务团队人员乃至专家后援服务团队人员在1小时内到达支持现场，同时要求在路途中不中断电话支持以求快速解决问题

当由于各种原因引起数据库不可用或者部分不可用的状况，要求服务团队精通灾备技术，快速恢复各种灾难性故障。熟悉招标方的备份机制和模式，利用备份机制实现快速故障恢复，针对数据灾难情形提供强有力的挽救技术或工具

★服务期内要求现场服务根据实际需求提供，并且不少于1天

5

数据库性能优化服务

结合日常检查、数据库巡检、客户应用需求和客户重大事件，进行数据库系统性能调优工作方案。针对当前数据库运行情况以及收集的性能信息提出系统各项性能参数配置合理调优或硬件扩容建议，在获得招标人同意后，对数据库系统各项性能参数配置进行合理调优

在对数据库系统性能调优前，应制定数据库性能调优方案，包括调优操作步骤、应急方案和措施、必要的信息备份等，在招标人同意下进行数据库性能优化或 SQL优化,予以实施

★提供一年不少于2天的数据库性能优化服务

6

数据库运行安全管理服务

提供专业的数据库运行安全管理平台软件。提供数据库监控告警等多种多样的数据库运维监控，平台支持数据库智能监控、容量预测和性能分析能力，支持资产发现、监控告警、智能巡检、容量分析、性能诊断等数据库日常运维场景。帮助单位数据库运维人员能够简单而又高效快捷的完成日常的数据库运维工作，以保证数据库能够稳定运行，从而为整个单位的信息化业务系统稳定可靠的运转提供保障

★****租赁部署服务

7

服务团队要求

具有丰富的数据库经验：

具有强有力的远程支持能力以快速解决问题。具有丰富的数据库运行维护支持经验和性能优化经验，特别对于Oracle RAC具有丰富的运行维护支持经验和性能优化经验。具有丰富的重大故障和灾难性故障处理经验。具有丰富的数据库安全管理经验

具有丰富的操作系统维护经验：

医院的核心系统架构在LINUX上，服务团队需要具有丰富的主机操作系统知识，更好的保障数据库的稳定运行

具有密码猜测检测和防御实现的技术能力：

数据安全管理是招标方运行维护改善的持续性方向之一，数据安全分析服务可以全面评估安全漏洞、安全威胁、潜在风险，同时还能审计操作行为，降低安全风险。

数据库密码尝试，能轻易导致数据库用户被锁死，业务受到极大影响。在服务周期内，要求服务商提供具备一种运行在Oracle、SQL server数据库上的密码猜测检测和防御工具，一旦医院出现类似问题，可以提供相关工具使用，以方便用户快速解决问题。

请仔细描述密码猜测检测工具的基本原理和实现思路。

要求服务团队精通数据安全管理方法和技术，尤其在分权管理和DBA访问控制上，提供有针对性的解决方案，要求提供丰富的安全管理案例

数据库安全评估能力：

数据库与业务系统的接口，是进入数据库的一大门户，黑客常常通过对业务系统的页面分析、攻击尝试，而获得数据库系统的控制权，如SQL数据库代码注如攻击，因此，接口设计必须充分考虑数据库的安全性，接口设计必须具有良好的抗攻击能力，万一业务系统出现问题也不会影响数据库的安全。因此要求服务团队具备数据库安全评估能力，能够在用户需要建设数据库安全时帮助用户梳理并且评估数据库所存在的安全隐患，并且提出合理的安全评估建议

具有业务系统中间件诊断支持技术能力：

业务系统中会遇到各种问题，要求服务团队熟悉招标方业务，针对Oracle数据库遇到的业务类疑难问题和性能问题提供有效支持。

当业务运行在B/S三层架构下，数据库无法识别出终端IP地址或用户信息，无法实现数据库优化、开发和诊断支持，一旦用户出现类似技术问题，要求服务商有能力提供基于TOMCAT、JBOSS等中间件的Oracle数据库终端捕捉，可以在数据库内识别终端的IP地址和用户名等信息。

在故障跟踪或优化服务中，需要定位终端信息，基于Oracle SQL Trace或者10046事件的SQL跟踪，可以正确的运行在TOMCAT、JBOSS等环境下, 清晰识别SQL语句来自于哪个终端

本项目配备Oracle、SQL server数据库支撑专家组要求：要求配备5人及以上的OCM认证，3名及以上10年以上OCP认证，2人及以上的Oracle ACE Associate称号的技术服务团队，组成****Oracle数据库二线支撑专家组，设置****的主责工程师以更好的协调****维保工作

★为****指定一名数据库顾问，要求该顾问具备Oracle数据库专家ACE PRO荣誉资质

主责工程师要求：

★要求主责工程师常驻****，并且具备OCP认证，要求提****公司证明和本地主责工程师社保证明

评分内容

分值

评分细则

商务技术得分

（70分）

30分

投标人要做出实质性响应，所投服务及软件完全满足招标文件要求的得30分。具体服务要求出现负偏离或未响应的，每负偏离一项扣2分，带“★”号项系指实质性要求条款，如发生负偏离则作无效标处理。

10分

根据供应商对****业务系统数据库环境熟悉情况、针对本项目提供的数据库技术安全巡检方案进行评议（10分）：

被评为“优”的得7-10分；被评为“良”的得4-6分，被评为“一般”的得0-3分。

8分

根据投标文件中提供的实施要求，就其方案是否合理科学及措施得当，是否针对本项目中数据库运行安全管理平台实施给出相应的解决方案，是否有实施流程、实施具体过程、进度安排、质量保证、组织架构的描述，是否有详细实施计划、进度安排和按期完成措施是否合理、完善，是否满足招标人工期要求及投标人针对本项目实施其他优势情况进行分档打分。综合比较评分：被评为“优”的得6-8分；被评为“良”的得3-5分，被评为“一般”的得1-2分。

4分

服务商具有ISO9001质量管理体系认证证书得1分；

服务商具有ISO20000信息技术服务管理体系认定证书得1分；

服务商具有ISO27001安全信息服务管理体系认定证书得1分；

服务商具有国家高新企业证书的得1分。

（投标文件中提供资质证书复印件加盖公章，未提供不得分）

5分

成功案例5分：自2022****医院****事业单位包含数据库安全巡检服务项目且金额大于4万的（以合同为准），每个得1分，最多得5分。（投标文件中提供合同，开标时提供相应原件备查）

10分

投入到本项目的团队中具有OCM的得3分；投入到本项目的团队中具有十年以上OCP工程师，每提供1名工程师得2分，工程师证书一人一证不得重复，满分4分，无不得分；投入到本项目的团队具有Oracle ACE认证的得3分(提供认证链接和截图并加盖公章)；

3分

根据投标人本地化服务能力的评审。供应商在本****公司或办事处等情况0～3分。

投标报价

（30分）

30分

采用低价优先法计算，即以满足招标文件要求且价格最低的投标报价为评标基准价，其价格分为满分。其他投标人的价格分统一按照下列公式计算：投标报价得分=（评标基准价/投标报价）*30*100%（四舍五入，保留两位小数）。