首页 公示 质疑答复 内江市中医医院网络安全扩容建设与集成项目质疑回复

内江市中医医院网络安全扩容建设与集成项目质疑回复

系统发布时间:2020-11-27 17:26

      

 

一、质疑供应商基本信息

供应商名称:成都蜀沃商贸有限公司

地址:成都市武侯区人民南路四段11号附1号1栋13层1307号

委托代理人姓名及联系电话:陈超、18780250162

二、质疑项目基本情况

质疑项目的名称:内江市中医医院网络安全扩容建设与集成

质疑项目的编号:内采招(2020)024F

采购人名称:内江市中医医院

成都载信智能科技有限公司因认为内江市中医医院网络安全扩容建设与集成(内采招(2020)024F)的采购文件使其合法权益受到损害,于2020年11月19日向我(单位)提出书面质疑,我(单位)于2020年11月23日依法予以受理。

三、质疑事项:

(一)对招标文件第七章评分标准的质疑

1、招标文件第七章“4.3.2 综合评分明细表”—“技术指标和配置”第 1 条“带“★”的要求必须满足,不计分, 任何一项负偏离视为无效投标;”参数中的标星项很多为边缘参数,将其设置为实质性要求具有重大排他嫌疑。

2、招标文件第七章“4.3.2 综合评分明细表”—“产品履约能力和信誉”第 1 条:“1、为保证防火墙的防护能力,所投 WAF 防火墙、边界防火墙、数据中心防火墙产品厂商获得云内安全认证 CSA-CSCMMI5 得 4 分,CSA-CSCMMI4 及以下等级得 2 分,不提供不得分。”根据招标文件可知 WAF 防火墙、边界防火墙、数据中心防火墙是硬件设备,与云内安全完全无关,使用云内安全认证作为评分标准,严重违反了《中华人民共和国招标投标法实施条例》。

3、招标文件第七章“4.3.2 综合评分明细表”—“产品履约能力和信誉”第 2 条:“所投态势感知平台产品厂商同时是国家信息安全漏洞共享平台(CNVD)技术组和用户组成员得4分,仅属于其中一个组得 1 分,其余不得分。”根据在国家信息安全漏洞共享平台官方网站“https://www.cnvd.org.cn/”查询显示,技术组共计 31 个不同法人,用户组 32 个不同法人,其中既是技术组和用户组成员的只有“深信服科技股份有限公司”和“新华三技术有限公司”,该项评分标准有明显的偏向性。

4、招标文件第七章“4.3.2 综合评分明细表”—“产品履约能力和信誉”第 3 条:“为保证操作系统漏洞更新及时性,所投终端杀毒产品厂商是微软 MAPP 安全响应中心计划成员的得 3 分,其余不得分。需提供微软官网截图证明并加盖投标人鲜章。” 终端杀毒产品的功能在于杀毒,跟操作系统漏洞更新及时性不相关,且操作系统类型包含了 Linux、UNIX、windows 等多种,该项评分标准设置明显不合理,严重违反了《中华人民共和国招标投标法实施条例》。

5、招标文件第七章“4.3.2 综合评分明细表”—“产品履约能力和信誉”第 4 条和第 5 条: 第四条:“所投 WAF 防火墙、边界防火墙、数据中心防火墙产品厂商为第二代防火墙(GA/T

1177-2014)标准的制定单位之一,并提供材料证明的得 3 分,否则不得分;”第五条:“为保证产品的安全性和规范性,所投SSL VPN 产品生产厂商是国家密码管理局发布的《IPSec VPN 技术规范》起草单位之一的得 3 分,否则不得分。”查询了评分标准要求中的 GA/T 1177-2014 与国家密码管理局发布的《IPSec VPN 技术规范》(GM/T0022-2014)同时满足两项要求的只有“深圳市深信服电子科技有限公司”(深信服科技股份有限公司前身),具有明显的指向性,严重政府采购和招投标相关法律。

(二)对于招标文件第六章“参数要求”的质疑

1、招标文件第六章“一、参数要求”—“WAF 防火墙”全部参数:从参数中可以看出该设备为“深信服科技股份有限公司”(见深信服官网截图)的传统网络防火墙设备(防火墙延展功能),并非专用的 Web 应用防火墙设备,无论在产品功能和产品资质上都达不到专用 Web 应用防火墙的标准,对用户的网络安全和未来项目审计都带来了极大的风险。

2、招标文件第六章“一、参数要求”—“终端准入”第 8 条和第 9 条,第 8 条:“▲所投产品厂商要求为国家标准《信息安全技术信息系统安全审计产品 技术要求和测试评价方法》的主要起草单位”。第 9 条:“提供产品制造商的国家应急中心应急支撑单位 CNCERT 证书(国家级)”。经过查询同时满足两个参数要求的只有“深信服科技股份有限公司”(深信服科技有限公司为曾用名),终端准入设备招标参数明显指向一家厂商(深信服科技股份有限公司),严重违反了政府采购法和招投标法等法律要求。

3、招标文件第六章“一、参数要求”—“数据中心防火墙”第 2 条:“▲产品采用多核并行处理架构,提供中国信息安全测评中心、公安部信息安全产品检测中心、中国软件评测中心、国家版权局之中任意一家机构出具的关于“多核并行安全操作系统”的证书或测试报告。”

4、招标文件第六章“一、参数要求”—“APT(入侵防御)”全部参数:从该设备的全部参数要求尤其是第 12 条参数“防火墙产品具备信息技术产品安全测评证书(EAL3+)”可知,并非 APT 设备参数,实际为网络防火墙设备参数。入侵防御的英文缩写为“IPS( Intrusion Prevention System),IPS 设备无论在产品功能和产品资质上都达不到 APT 设备的标准,对用户的网络安全和未来项目审计都带来了极大的风险。(APT 设备、入侵防御(IPS)、防火墙设备不是一个类型的安全设备)

5、招标文件第六章“一、参数要求”—“态势感知探针”第 7 条: “要求具备公安颁发的网络入侵检测系统销售许可证” 。“态势感知探针”不是专一类型的安全设备,更不是网络入侵类设备,技术参数里面要求提供“具备公安颁发的网络入侵检测系统销售许可证”具有明显的技术倾向性, 该项评分标准设置明显不合理,严重违反了《中华人民共和国招标投标法实施条例》。

6、招标文件第六章“一、参数要求”—“终端杀毒”第 9 条: “提供公安部网络安全保卫局颁发的《计算机信息系统安全专用产品销售许可证》网络版防病毒产品(一级品)资质证书”。该条参数要求提供《计算机信息系统安全专用产品销售许可证》且限制了“网络版防病毒产品(一级品)”具有明显倾向性,建议修改为“提供公安部安全保卫局颁发的《计算机信息系统安全专用产品销售许可证》”

7、招标文件第六章“一、参数要求”—“网闸”第 11 条:

“为保证所投产品的软件开发成熟度,要求生产厂商通过能力成熟度 CMMI5 级认证。(提供证明材料证明并加盖投标人公章)” 首先能力成熟度 CMMI5 级认证是美国的认证机构颁发的认证,用在国内政府采购项目对网络安全产品进行考核非常不合理。CMM/CMMI 认定证书 5 级资质办理要求中对企业的规模及从业人员作了限制要求,违反了《政府采购货物和服务招标投标管理办法》(财政部令第 87 号)第十七条的规定和《政府采购促进中小企业发展暂行办法》(第三条的规定,不应列入采购文件)

四、答复内容:

(一)对招标文件第七章评分标准的质疑回复

1、带“★”的参数均为根据采购人网络情况进行认真评估后提出的相关性能要求,不达到相关的性能要求将导致采购人的业务无法正常运转,因此对设备的性能要求采购人经评估后设定为实质响应项。该部分参数不具有排他性,完全符合《中华人民共和国招标投标法实施条例》相关法律法规。

2、采购人在后续数据中心的建设方面采用云计算技术的技术产品,例如建立私有云数据中心等,云平台将承载采购人重要的业务系统,因此对于云环境安全的保障对采购人至关重要,云内安全认证是衡量厂商产品是否具备云安全防护能力的重要衡量指标,该要求完全符合采购人实际需要,完全符合《中华人民共和国招标投标法实施条例》相关法律法规。

3、态势感知系统是帮助采购人进行整体安全态势分析的重要设备,涉及到对网络漏洞的识别,因此,产品厂商是否为国家漏洞库相关成员决定了产品的漏洞识别能力,本项为加分项,且为其中一个组成员均能得分,并且根据采购人评估,业内主流的厂商启明星辰、天融信、深信服、绿盟、华三、360等多家业内安全厂商均能满足,该评分标准完全符合《中华人民共和国招标投标法实施条例》相关法律法规。

4、终端杀毒产品主要用于对终端pc电脑的防护,现在采购人pc电脑的主要操作系统均为微软的windows操作系统,windows操作系统的漏洞是导致采购人众多计算机病毒传播的主要原因之一,产品厂商是微软 MAPP 安全响应中心计划成员能及时获取到微软官方的漏洞信息,帮助采购人有效的防御最新的计算机病毒,该要求完全符合采购人实际需要,且多家主流安全厂商如启明星辰、深信服、绿盟、奇安信等均能满足,该要求完全符合《中华人民共和国招标投标法实施条例》相关法律法规。

5、“第二代防火墙(GA/T 1177-2014)标准是由国家公安部出台的公共安全行业标准,参与该项标准的制定极大程度体现了厂商的实力,并且据了解多家主流安全厂商例如网御、网神、启明星辰、深信服、绿盟等均能满足,该评分标准无任何指向性,完全符合《中华人民共和国招标投标法实施条例》相关法律法规。

本次采购的SSL VPN设备为ipsec vpn和ssl vpn二合一设备,主要用于加密传输组网,远程安全接入。“《IPSec VPN 技术规范》(GM/T0022-2014)”是有国家密码局颁发的相关行业标准,参与该项标准的制定极大程度体现了厂商的实力,并且据了解业内多家主流安全厂商例如天融信、华为、迈普、交大捷普等均能满足,该评分标准无任何指向性,完全符合《中华人民共和国招标投标法实施条例》相关法律法规。

 (二)对于招标文件第六章“参数要求”的质疑回复

1、WAF防火墙主要是采购人用于业务系统的防护使用,采购人在参数编写的过程中,均按照实际业务需要进行功能参数编写,并且参数内容多家主流安全厂商例如绿盟、安恒、深信服、启明星辰、天融信等均能满足。因此该参数不具有指向性,完全符合《中华人民共和国招标投标法实施条例》相关法律法规。质疑材料中截图也仅能证明深信服的产品能够满足参数要求,并无充足证据证明参数具有排他性。

2、《信息安全技术信息系统安全审计产品技术要求和测试评价方法》为国家权威机构制定的行业标准,参与该项标准的制定极大程度体现了厂商的实力,经采购人核实,业内多家主流安全厂商例如深信服、蓝盾、美亚柏科普等均能满足,因此该参数不具有指向性,完全符合《中华人民共和国招标投标法实施条例》相关法律法规。

“国家应急中心应急支撑单位 CNCERT 证书(国家级)”是指在重大网络安全事件发生之后厂商的服务支撑能力,获得该证书能够极大程度证明厂商的服务能力,并且国内启明星辰、天融信、绿盟、网神、安恒等多家厂商均能满足,因此该参数不具有指向性,完全符合《中华人民共和国招标投标法实施条例》相关法律法规。

3、“采用多核并行处理架构”指的数据中心防火墙的产品的处理架构,采用该架构能够大大提到防火墙的解析效率,据了解,目前业内主流的多家安全厂商均采用该架构,因此该参数并不具有排他性,完全符合《中华人民共和国招标投标法实施条例》相关法律法规。

4、APT全称为“高级可持续威胁攻击,也称为定向威胁攻击”,指某组织对特定对象展开的持续有效的攻击活动。目前,业内能够抵御APT攻击的产品有多个品种,例如下一代防火墙、入侵防御、入侵检测、UTM等等,因此该参数并不具有排他性,入侵防御设备能够在发现安全风险时进行及时阻断,保障采购人的重要的业务系统不被侵害,因此选择具备入侵防御功能的防护设备完全满足采购人使用需求,完全符合《中华人民共和国招标投标法实施条例》相关法律法规。

5、“态势感知探针”主要为态势感知的流量搜集组件,在镜像搜集流量的同时,也会对流量进行初步的解析和研判,因此具备入侵检测的功能,本次参数要求提供销售许可证完全满足采购人使用需求,该参数并不具有排他性,完全符合《中华人民共和国招标投标法实施条例》相关法律法规。

6、为了降低对终端资源的损耗,保障采购人办公人员日常使用电脑的流畅度,从采购人的实际情况出发,本次招标采购更倾向于网络版杀毒软件,因此要求提供相关的产品销售许可证,根据广泛的市场调研,业内也有多家厂商满足该参数要求,例如:亚信、绿盟、火绒等,因此该参数并不具有排他性,完全符合《中华人民共和国招标投标法实施条例》相关法律法规。

7、CMMI全称是能力成熟度集成模型,是衡量产品成熟度的重要指标,cmmi5在评审的过程中,并没有对组织内人数有严格要求,同时业内也有多家主流安全厂商能够满足相关要求,例如天融信、绿盟、深信服、华三等,因此该参数并不具有排他性,完全符合《中华人民共和国招标投标法实施条例》及《政府采购促进中小企业发展暂行办法》相关法律法规。

综上,质疑事项不成立。

质疑人对本质疑答复不满意的,可以在质疑答复期满十五个工作日内向内江市财政局依法提起投诉。

   .

 

内江市政府采购中心

2020年11月23日

附件:


免责申明:本网站是政府采购信息发布平台,所发布信息的真实性、合法性、有效性、完整性由信息发布者负责。