安徽省一体化数据基础平台-滁州市安全运营(监测)项目更正公告
微信分享
关注项目
标讯收藏
| 项目名称 | 省份 | ||
| 业主单位 |
认领
立即查看
|
业主类型 | |
| 总投资 | 建设年限 | ||
| 建设地点 | |||
| 审批机关 | 审批事项 | ||
| 审批代码 | 批准文号 | ||
| 审批时间 | 审批结果 | ||
| 建设内容 | |||
窗体顶端
窗体顶端
安徽省一体化数据基础平台-滁州市安全运营(监测)项目更正公告
一、项目基本情况
原公告的采购项目编号:czsjcg202308-040
原公告的采购项目名称:安徽省一体化数据基础平台-滁州市安全运营(监测)项目
首次公告日期:2023年8月10日
二、更正信息
更正事项:□采购公告 ☑采购文件 □采购结果
更正内容:
一、问:项目经理(须驻点)证书要求中,第(1)点与(2)点能力要求有重合,都是检测项目经理是否具备对项目内容制定、项目实施规划、项目风险预测的能力,且二者都属于计算机技术与软件(高级)专业技能资管;第(4)点根据我们的调查研究 ,CIIPT全称是 Critical Information Infrastructure Protection Training,中文全称是重要信息系统保护人员培训计划,根据不同人员的培训需求不同,设置课程内容也不同,能力认证证书也不同,现有的认证证书类型分别是:信息安全管理员 CIIP-A、信息安全管理师 CIIP-D、渗透测试工程师 CIIP-PTE,无 CIIPT 证书。
技术负责人(须驻点)证书要求中,第(3)点是信息安全等级保护相关,但是根据项目信息可知,滁州市网络交换中心和政务云计算中心已实现了基本的网络安全防护能力,满足等保三级要求,本次项目建设目的是通过安全运营(监测)平台对网络安全数据进行统一采集、分析、治理,所以第(3)点要求技术负责人具备信息安全等级保护安全建设专业技术人员证书是没有必要的。
团队成员(须驻点)工作内容包括但不限于日常安全运维、巡检、监测、处置、通报、漏洞分析、基线核查、渗透测试、攻防演练、重保保障、安全检测等内容,不涉及软件设计、软件开发等工作内容,相关的需求调研、软件开发、软件测试等工作可以由二线专家负责,因此要求驻场团队人员具备第(2)软件设计师(计算机技术与软件专业技术资格(水平)考试)、(3)软件评测师(计算机技术与软件专业技术资格(水平)考试)、(6)高级 web 开发工程师(工业与信息化部教育与考试中心颁发)等能力证书是不合理的。
法律依据:《中华人民共和国政府采购法实施条例》第二十条“(二)设定的资格、技术、商务条件与采购项目的具体特点和实际需要不相适应或者与合同履行无关”。
质疑请求:删除招标文件第三章【6.1 资信标评审细则】节,项目团队人员配备中项目经理(须驻点)证书要求中的(2)系统规划与管理师(计算机技术与软件专业技术资格(水平)考试)、(4)国家重要信息系统保护人员 CIIPT(公安部信息安全等级保护测评中心颁发),共 2 点;
删除技术负责人(须驻场)证书要求中的(3)信息安全等级保护安全建设专业技术人员证书(公安部第一研究所颁发),共 1 点;
删除团队成员(须驻场)证书要求中的(2)软件设计师(计算机技术与软件专业技术资格(水平)考试) 、(3)软件评测师(计算机技术与软件专业技术资格(水平)考试) 、(6)高级 web 开发工程师(工业与信息化部教育与考试中心颁发),共3点。
答:项目经理(须驻点)证书要求中第(1)点与第(2)点为计算机技术与软件专业技术资格(水平)考试高级证书的不同方向,能力要求不重合。第(4)点不限制证书类型,属于CIIPT证书即可。
技术负责人(须驻点)证书要求中第(3)点符合项目建设所需的相关信息安全能力。
团队成员(须驻点)工作内容包含项目建设期的平台开发,涉及软件设计、软件开发等工作。
以上评审细则与采购实际需要相适应,按招标文件执行。
二、问:(1)投标人开发的安全监测类服务产品具备中国信息通信研究院颁发的内容审核服务系统测试证书
(2)投标人开发的云安全防护类服务产品具备中国信息通信研究院颁发的安全运营中心能力检验证书
(3)投标人开发的信息安全防护类产品具备国家网络与信息系统安全产品质量检验检测中心(MSTL)或公安部颁发云计算产品信息安全认证证书
根据我们的调查研究,目前国内能全部满足以上 3 点资质的只有北京知道创宇信息技术股份有限公司一家,其他公司只能部分满足或者不满足,显然限制了其他潜在投标单位,有失公平、公正原则。
质疑请求:删除招标文件第三章【6.1 资信标评审细则】节,核心经验技术中第 2 点关于投标人安全服务工具证书要求中的(1)投标人开发的安全监测类服务产品具备中国信息通信研究院颁发的内容审核服务系统测试证书、(2)投标人开发的云安全防护类服务产品具备中国信息通信研究院颁发的安全运营中心能力检验证书、(3)投标人开发的信息安全防护类产品具备国家网络与信息系统安全产品质量检验检测中心(MSTL)或公安部颁发云计算产品信息安全认证证书,共3点。
答:核心经验技术中第2点修改为:(1)投标人开发的安全监测类服务产品具备中国信息通信研究院颁发的内容审核服务系统测试证书的得4.5分,不提供不得分,本小项满分4.5分。
(2)投标人开发的云安全防护类服务产品具备中国信息通信研究院颁发的安全运营中心能力检验证书或者投标人开发的信息安全防护类产品具备国家网络与信息系统安全产品质量检验检测中心(MSTL)(或公安部)颁发的云计算产品信息安全认证证书得4.5分,不提供不得分,本小项满分4.5分。
三、投标人为本项目拟派 1 名专业的项目经理(须驻点),每具备一项以下对应的证书得 1 分,不提供不得分,本小项满分 4 分。(1)信息系统项目管理师(计算机技术与软件专业技术资格(水平)考试)(2)系统规划与管理师(计算机技术与软件专业技术资格(水平)考试)(3)注册信息安全专业人员 CISP (中国信息安全测评中心颁发)(4)国家重要信息系统保护人员 CIIPT(公安部信息安全等级保护测评中心颁发)
1、CISP与CIIPT 均为安全类证书,项目经理要求重复证书,具有明显倾向性,建议删除重复证书。
2、CIIPT 为等保类证书,本项目不涉及等保,设置等保证书脱离招标文件要求,根据中华人民共和国政府采购法》第二十二条第二款“采购人可以根据采购项目的特殊要求,规定供应商的特定条件,但不得以不合理的条件对供应商实行差别待遇或者歧视待遇。”,建议删除。
答:安全类证书符合项目建设需求,CIIPT证书有不同类型,与CISP证书非重复证书,不具有倾向性。
以上评审细则与采购实际需要相适应,按招标文件执行。
四、投标人为本项目拟派 1 名专业的技术负责人(须驻点),每具备一项以下对应的证书得 1 分,不提供不得分,本小项满分 3 分。(1)系统架构设计师(计算机技术与软件专业技术资格(水平)考试)(2)信息安全保障人员 CISAW-安全集成(中国网络安全审查技术与认证中心颁发)(3)信息安全等级保护安全建设专业技术人员证书(公安部第一研究所颁发)。
1、CISAW 与信息安全等级保护安全建设专业技术人员证书均为安全类证书,项目技术负责人要求重复证书,具有明显倾向性,建议删除重复证书。
2、信息安全等级保护安全建设专业技术人员证书为等保类证书,本项目不涉及等保,设置等保证书脱离招标文件要求,建议删除。
答:安全类证书符合项目建设需求,CISAW-安全集成方向与信息安全等级保护安全建设专业技术人员证书能力要求不重复。
以上评审细则与采购实际需要相适应,按招标文件执行。
五、投标人为本项目拟配备的项目团队成员(不含项目经理、技术负责人),须驻点,每具备一项以下对应的证书得 0.5 分,不提供不得分,本小项满分 4 分:(同一证书不重复计分,一人具有多项证书的不重复计分)(1)信息安全工程师(计算机技术与软件专业技术资格(水平)考试)(2)软件设计师(计算机技术与软件专业技术资格(水平)考试)(3)软件评测师(计算机技术与软件专业技术资格(水平)考试)(4)注册信息安全专业人员 CISP (中国信息安全测评中心颁发)(5)高级软件工程师(工业与信息化部教育与考试中心颁发)(6)高级 web 开发工程师(工业与信息化部教育与考试中心颁发)(7)网络安全能力认证 CCSC(国家互联网应急中心颁发)(8)信息安全保障人员 CISAW-安全运维(中国网络安全审查技术与认证中心颁发)
本项目涉及内容较多,涵盖面较广,上述人员不能保证项目交付,建议增加人员能力认证证书。
答:以上评审细则与采购实际需要相适应,按招标文件执行。
六、★7.内置沙箱功能,支持沙箱逃逸检测,当恶意文件进行逃逸尝试,在沙箱报告中进行体现,集成 windows 沙箱、linux 沙箱、Android 沙箱等多种检测环境。(投标文件中提供产品功能截图证明)
★8.支持对 APT 攻击链的各个阶段进行全面的检测分析,包括但不限于扫描探测、工具投送、漏洞利用、木马下载、远程控制、横向渗透、行动收割等阶段。(投标文件中提供产品功能截图证明)。
流量探针主要是为了收集不同类型的流量并进行检测分析,本项目设置的 2 项核心招标参数经市场调研,具有明显的某厂商倾向性,具备强烈的唯一性。
且本项目规定“加★号项有一项参数负偏离,否决其投标”,即这 2 项参数不满足即否决潜在投标人投标,本项目是滁州市一体化安全监测运营平台,我方认为流量探针的沙箱功能和 APT 的检测分析不是本项目的核心,不应该设置为加★号,设置的明显不科学和合理。基于上述,建议删除这 2 项参数要求。
答:本项目系统架构复杂、技术集成难度高,针对建设方案及技术指标的可行性,在调研论证阶段现场征集了国内多家知名安全厂商、集成商、运营商相关意见建议。该功能项符合项目建设实际需要。
采购需求清单中流量探针设备参数★8.修改为:探针本身或配套平台支持对 APT 攻击链的各个阶段进行全面的检测分析,包括但不限于扫描探测、工具投送、漏洞利用、木马下载、远程控制、横向渗透、行动收割等阶段。(投标文件中提供产品功能截图证明)。
七、▲2、具备故障诊断视图功能,可以对应用服务进行故障诊断,可以诊断的故障类型包括 HTTP 错误、SMTP/POP3 服务器慢响应、SMTP/POP3 服务器返回错误、FTP 服务器慢响应、FTP 服务器错误、TCP 连接被拒绝、TCP 非法校验和、TCP 重复的连接尝试、TCP 头部偏移错误、TCPSYN 含数据、IPTTL 太小、IP 地址冲突、路由环路等,可以列表的形式展示可能的故障原因分析及解决办法。(投标文件中提供产品功能截图证明)。
网络流量溯源分析系统核心功能点是收集全网流量进行溯源分析,故障诊断视图不是其核心功能,且经市场调研,该项为科来所具备的功能,某有强烈的厂商倾向性。
该功能被设置为“加▲号项”,招标文件规定“加▲号项,每一项负偏离扣 3分”,评分办法中主要技术指标及条款满分 24 分,该项若负偏离就被扣 3 分,我方认为作为非安全运营核心功能的核心参数,设置的分值过重,具有控标倾向,不合理。
基于上述,建议删除该项参数要求。
答:本项目系统架构复杂、技术集成难度高,针对建设方案及技术指标的可行性,在调研论证阶段现场征集了国内多家知名安全厂商、集成商、运营商相关意见建议。满足该参数厂家数量大于等于3家,没有排他性。以上评审细则与采购实际需要相适应,按招标文件执行。
八、5.配置≥5000 解析规则,具备对收集的 5000+设备类型日志进行解析(标准化、归一化),解析维度≥200,解析规则可以根据要求定制扩展。
本条规定日志解析≥5000,解析维度≥200 ,从实际使用角度和项目情况来看,日志的解析规则是根据实际需求而定的,并不是越多越好,跟本项目的日志源和各设备使用的规则均相关,不能直接用数量来限制,解析规则只要能够根据要求定制扩展即可。
基于上述,建议本条修改为“解析规则和解析维度可根据要求定制扩展”。
答:以上评审细则与采购实际需要相适应,按招标文件执行。
九、▲2、具备通过添加探查模板,设置探查模式、扫描方式、选择端口等添加后,在探查策略中添加一个或多个 IP 进行探查一个域中的数据。具备联动互联网资产搜索引擎探测并收录互联网空间中的设备、网站及其使用的服务或组件等信息。(投标文件中提供产品功能截图证明)
▲4、具备以地理位置查询目标进行资产探测,具备根据使用者、使用者类型、ISP、组织等信息查询目标进行资产探测,并具备自定义连接数/并发数,便于自身上层转发设备(例如:防火墙)的性能较低的情况下,不影响网络的正常使用。(投标文件中提供产品功能截图证明)
资产探针核心功能在于资产探测的方法和探测效果,探查模板和基于地理位置进行探测是资产探测的锦上添花功能,有利于提高探测的效率,属于非重要但有一定益处的功能。这 2 项功能被设置为“加▲号项”,招标文件规定“加▲号项,每一项负偏离扣 3 分”,评分办法中主要技术指标及条款满分 24 分,若负偏离就被扣 6 分,我方认为 本项目是滁州市一体化安全监测运营平台,核心在于安全运营平台的建设,作为非安全运营核心功能的核心参数,设置的分值过重,不合理。
基于上述,建议删除这 2 项的“加▲号项”,并且不要求提供产品功能截图。
答:以上评审细则与采购实际需要相适应,按招标文件执行。
十、招标文件“四、比较与评价”中“核心技术经验”要求的“考虑安全运营(监测)平台及运营(运维)服务能力与软件开发成熟度,投标人需具有丰富的安全软件开发技术积累,须提供本项目建设内容相关的产品类别,具有国家版权局颁发的网络安全态势感知类、网络情报分析类、资产安全管理类、数据资源管理类、数据汇聚融合类、数据治理清洗类、安全能力中台类、高级威胁预警类、内容安全监测类的计算机软件著作权登记证书,每具备一项对应的证书得1分,不提供不得分,本小项满分9分,同类证书提供多个不重复计分。”
事实依据一:
上述要求提供软著,与招标文件文字描述均有差异,如:招标文件要求威胁预警功能,软著要求提供高级威胁预警类,且根据我公司调研,该文字描述差异,具有严重的倾向性、唯一性以及排他性。
建议删除软著中具有倾向性条款
答:软著要求均为某一类别,不指定具体软著,不具有倾向性。
以上评审细则与采购实际需要相适应,按招标文件执行。
十一、招标文件“四、比较与评价”中“核心技术经验”要求的“为保障安全运营(运维)服务的服务质量,投标人具有的安全服务工具须具备:(1)投标人开发的安全监测类服务产品具备中国信息通信研究院颁发的内容审核服务系统测试证书的得3分,不提供不得分,本小项满分3分。(2)投标人开发的云安全防护类服务产品具备中国信息通信研究院颁发的安全运营中心能力检验证书的得3分,不提供不得分,本小项满分3分。(3)投标人开发的信息安全防护类产品具备国家网络与信息系统安全产品质量检验检测中心(MSTL)或公安部颁发云计算产品信息安全认证证书的得3分,不提供不得分,本小项满分3分。”
1.招标文件采购需求中描述:“目前滁州市政务云安全防护能力由云平台厂商提供”,本项目中不涉及云安全防护类服务产品,以云安全服务类产品资质作为评分项严重偏离招标文件要求,具有严重的不合理性
2.要求投标人具备安全监测类产品、云安全防护类服务产品、信息安全防护类产品,目前市场上仅安全厂家具备此类型产品,所有大型集成商等均无类似产品,但大型集成商并不是不具备服务此项目能力,此项设置严重排斥集成商等参与项目竞争,具有严重的倾向性、唯一性以及排他性。
3.安全监测类产品、云安全防护类服务产品、信息安全防护类产品本次项目中均未使用,此项仅用于证明投标人具备此类产品能力,以采购需求不需要的产品作为评分标准,与招标文件严重偏离,具有严重的倾向性、唯一性以及排他性。
建议删除倾向性条款。
答:投标人具备以上产品能力符合项目建设需要,以上产品安全厂家、大型集成商均有类似产品,满足每项产品认证资质的厂家大于等于3家,不具有倾向性。
以上评审细则与采购实际需要相适应,按第二答执行。
十二、招标文件“平台需求清单”中“流量探针”要求的“★7.内置沙箱功能,支持沙箱逃逸检测,当恶意文件进行逃逸尝试,在沙箱报告中进行体现,集成windows沙箱、linux沙箱、Android沙箱等多种检测环境。(投标文件中提供产品功能截图证明)”
Android沙箱用于测试不受信任的APP应用程序,经调研,市场主流安全厂商流量探针均不支持Android沙箱,并且滁州市数据资源管理局没有Android APP应用开发环境,与项目实质严重偏离,具有严重的倾向性、唯一性以及排他性。
建议删除倾向性条款。
答:本项目系统架构复杂、技术集成难度高,针对建设方案及技术指标的可行性,在调研论证阶段现场征集了国内多家知名安全厂商、集成商、运营商相关意见建议。满足该参数厂家数量大于等于3家,没有排他性。以上评审细则与采购实际需要相适应,按招标文件执行。
十三、招标文件“平台需求清单”中“漏洞探针”要求的“★7▲2、具备IPv4和IPv6环境的部署和扫描,可扫描的IP地址总数量无限制;具备对主流操作系统的识别与扫描,包括:Windows、Redhat、Ubuntu、Debian、深度、红旗、麒麟、新支点等。(投标文件中提供产品功能截图证明)”
新支点操作系统是由中兴通讯全资子公司中兴新支点研发的国产操作系统,经调研,市场主流安全厂商漏洞探针均不支持新支点操作系统,并且滁州市数据资源管理局现网没有新支点操作系统,与项目实质严重偏离,具有严重的倾向性、唯一性以及排他性。
建议删除倾向性条款。
答:本项目系统架构复杂、技术集成难度高,针对建设方案及技术指标的可行性,在调研论证阶段现场征集了国内多家知名安全厂商、集成商、运营商相关意见建议。满足该参数厂家数量大于等于3家,没有排他性。以上评审细则与采购实际需要相适应,按招标文件执行。
以上评审细则与采购实际需要相适应,按招标文件执行。
十四、一标包的付款方式修改为:1.预付款:合同签订后,收到乙方提供的预付款保函(见索即付保函且与合同有效期一致)且具备实施条件后5 个工作日内,向乙方支付2023年度安排资金(260万元)的 50%的进度款(预付款)。
2.项目建设满2个月后,向乙方付至2023年度安排资金(260万元)的100%。
3.验收合格后付至合同总价的 65%。运营(运维) 期满一年后付至合同总价的 100%。
十五、本项目递交投标文件截止时间、开标时间及地点调整为:2023年9月6日08时00分滁州市公共资源交易中心(滁州市龙蟠大道109号房产商务大厦二楼)。解密时间调整为2023年9月6日08时00分至2023年9月6日09时00分。(具体以网上招投标系统解密倒计时为准)。
更正日期:2023年8月22日
三、其他补充事宜
此更正公告内容视同招标文件的组成部分,与招标文件具有同等法律效力。请各潜在投标人及时查看下载。请各潜在投标人及时关注网站查看并下载。如因投标人不及时查看,造成后果由投标人自行承担。给各潜在投标人带来不便,敬请谅解。
四、凡对本次公告内容提出询问,请按以下方式联系。
1.采购人信息
名 称:滁州市数据资源管理局
地 址:滁州市龙蟠大道99号
联系方式:登录即可免费查看
2.采购代理机构信息
名称:滁州市政府采购中心
地址:滁州市龙蟠大道109号房产大厦2楼
联系方式:0550-3519512、18155023588
3.项目联系方式
项目联系人:登录即可免费查看
电 话:登录即可免费查看、0550-3519512、18155023588
五、附件
无
窗体底端
窗体顶端
安徽省一体化数据基础平台-滁州市安全运营(监测)项目更正公告
一、项目基本情况
原公告的采购项目编号:czsjcg202308-040
原公告的采购项目名称:安徽省一体化数据基础平台-滁州市安全运营(监测)项目
首次公告日期:2023年8月10日
二、更正信息
更正事项:□采购公告 ☑采购文件 □采购结果
更正内容:
一、问:项目经理(须驻点)证书要求中,第(1)点与(2)点能力要求有重合,都是检测项目经理是否具备对项目内容制定、项目实施规划、项目风险预测的能力,且二者都属于计算机技术与软件(高级)专业技能资管;第(4)点根据我们的调查研究 ,CIIPT全称是 Critical Information Infrastructure Protection Training,中文全称是重要信息系统保护人员培训计划,根据不同人员的培训需求不同,设置课程内容也不同,能力认证证书也不同,现有的认证证书类型分别是:信息安全管理员 CIIP-A、信息安全管理师 CIIP-D、渗透测试工程师 CIIP-PTE,无 CIIPT 证书。
技术负责人(须驻点)证书要求中,第(3)点是信息安全等级保护相关,但是根据项目信息可知,滁州市网络交换中心和政务云计算中心已实现了基本的网络安全防护能力,满足等保三级要求,本次项目建设目的是通过安全运营(监测)平台对网络安全数据进行统一采集、分析、治理,所以第(3)点要求技术负责人具备信息安全等级保护安全建设专业技术人员证书是没有必要的。
团队成员(须驻点)工作内容包括但不限于日常安全运维、巡检、监测、处置、通报、漏洞分析、基线核查、渗透测试、攻防演练、重保保障、安全检测等内容,不涉及软件设计、软件开发等工作内容,相关的需求调研、软件开发、软件测试等工作可以由二线专家负责,因此要求驻场团队人员具备第(2)软件设计师(计算机技术与软件专业技术资格(水平)考试)、(3)软件评测师(计算机技术与软件专业技术资格(水平)考试)、(6)高级 web 开发工程师(工业与信息化部教育与考试中心颁发)等能力证书是不合理的。
法律依据:《中华人民共和国政府采购法实施条例》第二十条“(二)设定的资格、技术、商务条件与采购项目的具体特点和实际需要不相适应或者与合同履行无关”。
质疑请求:删除招标文件第三章【6.1 资信标评审细则】节,项目团队人员配备中项目经理(须驻点)证书要求中的(2)系统规划与管理师(计算机技术与软件专业技术资格(水平)考试)、(4)国家重要信息系统保护人员 CIIPT(公安部信息安全等级保护测评中心颁发),共 2 点;
删除技术负责人(须驻场)证书要求中的(3)信息安全等级保护安全建设专业技术人员证书(公安部第一研究所颁发),共 1 点;
删除团队成员(须驻场)证书要求中的(2)软件设计师(计算机技术与软件专业技术资格(水平)考试) 、(3)软件评测师(计算机技术与软件专业技术资格(水平)考试) 、(6)高级 web 开发工程师(工业与信息化部教育与考试中心颁发),共3点。
答:项目经理(须驻点)证书要求中第(1)点与第(2)点为计算机技术与软件专业技术资格(水平)考试高级证书的不同方向,能力要求不重合。第(4)点不限制证书类型,属于CIIPT证书即可。
技术负责人(须驻点)证书要求中第(3)点符合项目建设所需的相关信息安全能力。
团队成员(须驻点)工作内容包含项目建设期的平台开发,涉及软件设计、软件开发等工作。
以上评审细则与采购实际需要相适应,按招标文件执行。
二、问:(1)投标人开发的安全监测类服务产品具备中国信息通信研究院颁发的内容审核服务系统测试证书
(2)投标人开发的云安全防护类服务产品具备中国信息通信研究院颁发的安全运营中心能力检验证书
(3)投标人开发的信息安全防护类产品具备国家网络与信息系统安全产品质量检验检测中心(MSTL)或公安部颁发云计算产品信息安全认证证书
根据我们的调查研究,目前国内能全部满足以上 3 点资质的只有北京知道创宇信息技术股份有限公司一家,其他公司只能部分满足或者不满足,显然限制了其他潜在投标单位,有失公平、公正原则。
质疑请求:删除招标文件第三章【6.1 资信标评审细则】节,核心经验技术中第 2 点关于投标人安全服务工具证书要求中的(1)投标人开发的安全监测类服务产品具备中国信息通信研究院颁发的内容审核服务系统测试证书、(2)投标人开发的云安全防护类服务产品具备中国信息通信研究院颁发的安全运营中心能力检验证书、(3)投标人开发的信息安全防护类产品具备国家网络与信息系统安全产品质量检验检测中心(MSTL)或公安部颁发云计算产品信息安全认证证书,共3点。
答:核心经验技术中第2点修改为:(1)投标人开发的安全监测类服务产品具备中国信息通信研究院颁发的内容审核服务系统测试证书的得4.5分,不提供不得分,本小项满分4.5分。
(2)投标人开发的云安全防护类服务产品具备中国信息通信研究院颁发的安全运营中心能力检验证书或者投标人开发的信息安全防护类产品具备国家网络与信息系统安全产品质量检验检测中心(MSTL)(或公安部)颁发的云计算产品信息安全认证证书得4.5分,不提供不得分,本小项满分4.5分。
三、投标人为本项目拟派 1 名专业的项目经理(须驻点),每具备一项以下对应的证书得 1 分,不提供不得分,本小项满分 4 分。(1)信息系统项目管理师(计算机技术与软件专业技术资格(水平)考试)(2)系统规划与管理师(计算机技术与软件专业技术资格(水平)考试)(3)注册信息安全专业人员 CISP (中国信息安全测评中心颁发)(4)国家重要信息系统保护人员 CIIPT(公安部信息安全等级保护测评中心颁发)
1、CISP与CIIPT 均为安全类证书,项目经理要求重复证书,具有明显倾向性,建议删除重复证书。
2、CIIPT 为等保类证书,本项目不涉及等保,设置等保证书脱离招标文件要求,根据中华人民共和国政府采购法》第二十二条第二款“采购人可以根据采购项目的特殊要求,规定供应商的特定条件,但不得以不合理的条件对供应商实行差别待遇或者歧视待遇。”,建议删除。
答:安全类证书符合项目建设需求,CIIPT证书有不同类型,与CISP证书非重复证书,不具有倾向性。
以上评审细则与采购实际需要相适应,按招标文件执行。
四、投标人为本项目拟派 1 名专业的技术负责人(须驻点),每具备一项以下对应的证书得 1 分,不提供不得分,本小项满分 3 分。(1)系统架构设计师(计算机技术与软件专业技术资格(水平)考试)(2)信息安全保障人员 CISAW-安全集成(中国网络安全审查技术与认证中心颁发)(3)信息安全等级保护安全建设专业技术人员证书(公安部第一研究所颁发)。
1、CISAW 与信息安全等级保护安全建设专业技术人员证书均为安全类证书,项目技术负责人要求重复证书,具有明显倾向性,建议删除重复证书。
2、信息安全等级保护安全建设专业技术人员证书为等保类证书,本项目不涉及等保,设置等保证书脱离招标文件要求,建议删除。
答:安全类证书符合项目建设需求,CISAW-安全集成方向与信息安全等级保护安全建设专业技术人员证书能力要求不重复。
以上评审细则与采购实际需要相适应,按招标文件执行。
五、投标人为本项目拟配备的项目团队成员(不含项目经理、技术负责人),须驻点,每具备一项以下对应的证书得 0.5 分,不提供不得分,本小项满分 4 分:(同一证书不重复计分,一人具有多项证书的不重复计分)(1)信息安全工程师(计算机技术与软件专业技术资格(水平)考试)(2)软件设计师(计算机技术与软件专业技术资格(水平)考试)(3)软件评测师(计算机技术与软件专业技术资格(水平)考试)(4)注册信息安全专业人员 CISP (中国信息安全测评中心颁发)(5)高级软件工程师(工业与信息化部教育与考试中心颁发)(6)高级 web 开发工程师(工业与信息化部教育与考试中心颁发)(7)网络安全能力认证 CCSC(国家互联网应急中心颁发)(8)信息安全保障人员 CISAW-安全运维(中国网络安全审查技术与认证中心颁发)
本项目涉及内容较多,涵盖面较广,上述人员不能保证项目交付,建议增加人员能力认证证书。
答:以上评审细则与采购实际需要相适应,按招标文件执行。
六、★7.内置沙箱功能,支持沙箱逃逸检测,当恶意文件进行逃逸尝试,在沙箱报告中进行体现,集成 windows 沙箱、linux 沙箱、Android 沙箱等多种检测环境。(投标文件中提供产品功能截图证明)
★8.支持对 APT 攻击链的各个阶段进行全面的检测分析,包括但不限于扫描探测、工具投送、漏洞利用、木马下载、远程控制、横向渗透、行动收割等阶段。(投标文件中提供产品功能截图证明)。
流量探针主要是为了收集不同类型的流量并进行检测分析,本项目设置的 2 项核心招标参数经市场调研,具有明显的某厂商倾向性,具备强烈的唯一性。
且本项目规定“加★号项有一项参数负偏离,否决其投标”,即这 2 项参数不满足即否决潜在投标人投标,本项目是滁州市一体化安全监测运营平台,我方认为流量探针的沙箱功能和 APT 的检测分析不是本项目的核心,不应该设置为加★号,设置的明显不科学和合理。基于上述,建议删除这 2 项参数要求。
答:本项目系统架构复杂、技术集成难度高,针对建设方案及技术指标的可行性,在调研论证阶段现场征集了国内多家知名安全厂商、集成商、运营商相关意见建议。该功能项符合项目建设实际需要。
采购需求清单中流量探针设备参数★8.修改为:探针本身或配套平台支持对 APT 攻击链的各个阶段进行全面的检测分析,包括但不限于扫描探测、工具投送、漏洞利用、木马下载、远程控制、横向渗透、行动收割等阶段。(投标文件中提供产品功能截图证明)。
七、▲2、具备故障诊断视图功能,可以对应用服务进行故障诊断,可以诊断的故障类型包括 HTTP 错误、SMTP/POP3 服务器慢响应、SMTP/POP3 服务器返回错误、FTP 服务器慢响应、FTP 服务器错误、TCP 连接被拒绝、TCP 非法校验和、TCP 重复的连接尝试、TCP 头部偏移错误、TCPSYN 含数据、IPTTL 太小、IP 地址冲突、路由环路等,可以列表的形式展示可能的故障原因分析及解决办法。(投标文件中提供产品功能截图证明)。
网络流量溯源分析系统核心功能点是收集全网流量进行溯源分析,故障诊断视图不是其核心功能,且经市场调研,该项为科来所具备的功能,某有强烈的厂商倾向性。
该功能被设置为“加▲号项”,招标文件规定“加▲号项,每一项负偏离扣 3分”,评分办法中主要技术指标及条款满分 24 分,该项若负偏离就被扣 3 分,我方认为作为非安全运营核心功能的核心参数,设置的分值过重,具有控标倾向,不合理。
基于上述,建议删除该项参数要求。
答:本项目系统架构复杂、技术集成难度高,针对建设方案及技术指标的可行性,在调研论证阶段现场征集了国内多家知名安全厂商、集成商、运营商相关意见建议。满足该参数厂家数量大于等于3家,没有排他性。以上评审细则与采购实际需要相适应,按招标文件执行。
八、5.配置≥5000 解析规则,具备对收集的 5000+设备类型日志进行解析(标准化、归一化),解析维度≥200,解析规则可以根据要求定制扩展。
本条规定日志解析≥5000,解析维度≥200 ,从实际使用角度和项目情况来看,日志的解析规则是根据实际需求而定的,并不是越多越好,跟本项目的日志源和各设备使用的规则均相关,不能直接用数量来限制,解析规则只要能够根据要求定制扩展即可。
基于上述,建议本条修改为“解析规则和解析维度可根据要求定制扩展”。
答:以上评审细则与采购实际需要相适应,按招标文件执行。
九、▲2、具备通过添加探查模板,设置探查模式、扫描方式、选择端口等添加后,在探查策略中添加一个或多个 IP 进行探查一个域中的数据。具备联动互联网资产搜索引擎探测并收录互联网空间中的设备、网站及其使用的服务或组件等信息。(投标文件中提供产品功能截图证明)
▲4、具备以地理位置查询目标进行资产探测,具备根据使用者、使用者类型、ISP、组织等信息查询目标进行资产探测,并具备自定义连接数/并发数,便于自身上层转发设备(例如:防火墙)的性能较低的情况下,不影响网络的正常使用。(投标文件中提供产品功能截图证明)
资产探针核心功能在于资产探测的方法和探测效果,探查模板和基于地理位置进行探测是资产探测的锦上添花功能,有利于提高探测的效率,属于非重要但有一定益处的功能。这 2 项功能被设置为“加▲号项”,招标文件规定“加▲号项,每一项负偏离扣 3 分”,评分办法中主要技术指标及条款满分 24 分,若负偏离就被扣 6 分,我方认为 本项目是滁州市一体化安全监测运营平台,核心在于安全运营平台的建设,作为非安全运营核心功能的核心参数,设置的分值过重,不合理。
基于上述,建议删除这 2 项的“加▲号项”,并且不要求提供产品功能截图。
答:以上评审细则与采购实际需要相适应,按招标文件执行。
十、招标文件“四、比较与评价”中“核心技术经验”要求的“考虑安全运营(监测)平台及运营(运维)服务能力与软件开发成熟度,投标人需具有丰富的安全软件开发技术积累,须提供本项目建设内容相关的产品类别,具有国家版权局颁发的网络安全态势感知类、网络情报分析类、资产安全管理类、数据资源管理类、数据汇聚融合类、数据治理清洗类、安全能力中台类、高级威胁预警类、内容安全监测类的计算机软件著作权登记证书,每具备一项对应的证书得1分,不提供不得分,本小项满分9分,同类证书提供多个不重复计分。”
事实依据一:
上述要求提供软著,与招标文件文字描述均有差异,如:招标文件要求威胁预警功能,软著要求提供高级威胁预警类,且根据我公司调研,该文字描述差异,具有严重的倾向性、唯一性以及排他性。
建议删除软著中具有倾向性条款
答:软著要求均为某一类别,不指定具体软著,不具有倾向性。
以上评审细则与采购实际需要相适应,按招标文件执行。
十一、招标文件“四、比较与评价”中“核心技术经验”要求的“为保障安全运营(运维)服务的服务质量,投标人具有的安全服务工具须具备:(1)投标人开发的安全监测类服务产品具备中国信息通信研究院颁发的内容审核服务系统测试证书的得3分,不提供不得分,本小项满分3分。(2)投标人开发的云安全防护类服务产品具备中国信息通信研究院颁发的安全运营中心能力检验证书的得3分,不提供不得分,本小项满分3分。(3)投标人开发的信息安全防护类产品具备国家网络与信息系统安全产品质量检验检测中心(MSTL)或公安部颁发云计算产品信息安全认证证书的得3分,不提供不得分,本小项满分3分。”
1.招标文件采购需求中描述:“目前滁州市政务云安全防护能力由云平台厂商提供”,本项目中不涉及云安全防护类服务产品,以云安全服务类产品资质作为评分项严重偏离招标文件要求,具有严重的不合理性
2.要求投标人具备安全监测类产品、云安全防护类服务产品、信息安全防护类产品,目前市场上仅安全厂家具备此类型产品,所有大型集成商等均无类似产品,但大型集成商并不是不具备服务此项目能力,此项设置严重排斥集成商等参与项目竞争,具有严重的倾向性、唯一性以及排他性。
3.安全监测类产品、云安全防护类服务产品、信息安全防护类产品本次项目中均未使用,此项仅用于证明投标人具备此类产品能力,以采购需求不需要的产品作为评分标准,与招标文件严重偏离,具有严重的倾向性、唯一性以及排他性。
建议删除倾向性条款。
答:投标人具备以上产品能力符合项目建设需要,以上产品安全厂家、大型集成商均有类似产品,满足每项产品认证资质的厂家大于等于3家,不具有倾向性。
以上评审细则与采购实际需要相适应,按第二答执行。
十二、招标文件“平台需求清单”中“流量探针”要求的“★7.内置沙箱功能,支持沙箱逃逸检测,当恶意文件进行逃逸尝试,在沙箱报告中进行体现,集成windows沙箱、linux沙箱、Android沙箱等多种检测环境。(投标文件中提供产品功能截图证明)”
Android沙箱用于测试不受信任的APP应用程序,经调研,市场主流安全厂商流量探针均不支持Android沙箱,并且滁州市数据资源管理局没有Android APP应用开发环境,与项目实质严重偏离,具有严重的倾向性、唯一性以及排他性。
建议删除倾向性条款。
答:本项目系统架构复杂、技术集成难度高,针对建设方案及技术指标的可行性,在调研论证阶段现场征集了国内多家知名安全厂商、集成商、运营商相关意见建议。满足该参数厂家数量大于等于3家,没有排他性。以上评审细则与采购实际需要相适应,按招标文件执行。
十三、招标文件“平台需求清单”中“漏洞探针”要求的“★7▲2、具备IPv4和IPv6环境的部署和扫描,可扫描的IP地址总数量无限制;具备对主流操作系统的识别与扫描,包括:Windows、Redhat、Ubuntu、Debian、深度、红旗、麒麟、新支点等。(投标文件中提供产品功能截图证明)”
新支点操作系统是由中兴通讯全资子公司中兴新支点研发的国产操作系统,经调研,市场主流安全厂商漏洞探针均不支持新支点操作系统,并且滁州市数据资源管理局现网没有新支点操作系统,与项目实质严重偏离,具有严重的倾向性、唯一性以及排他性。
建议删除倾向性条款。
答:本项目系统架构复杂、技术集成难度高,针对建设方案及技术指标的可行性,在调研论证阶段现场征集了国内多家知名安全厂商、集成商、运营商相关意见建议。满足该参数厂家数量大于等于3家,没有排他性。以上评审细则与采购实际需要相适应,按招标文件执行。
以上评审细则与采购实际需要相适应,按招标文件执行。
十四、一标包的付款方式修改为:1.预付款:合同签订后,收到乙方提供的预付款保函(见索即付保函且与合同有效期一致)且具备实施条件后5 个工作日内,向乙方支付2023年度安排资金(260万元)的 50%的进度款(预付款)。
2.项目建设满2个月后,向乙方付至2023年度安排资金(260万元)的100%。
3.验收合格后付至合同总价的 65%。运营(运维) 期满一年后付至合同总价的 100%。
十五、本项目递交投标文件截止时间、开标时间及地点调整为:2023年9月6日08时00分滁州市公共资源交易中心(滁州市龙蟠大道109号房产商务大厦二楼)。解密时间调整为2023年9月6日08时00分至2023年9月6日09时00分。(具体以网上招投标系统解密倒计时为准)。
更正日期:2023年8月22日
三、其他补充事宜
此更正公告内容视同招标文件的组成部分,与招标文件具有同等法律效力。请各潜在投标人及时查看下载。请各潜在投标人及时关注网站查看并下载。如因投标人不及时查看,造成后果由投标人自行承担。给各潜在投标人带来不便,敬请谅解。
四、凡对本次公告内容提出询问,请按以下方式联系。
1.采购人信息
名 称:滁州市数据资源管理局
地 址:滁州市龙蟠大道99号
联系方式:登录即可免费查看
2.采购代理机构信息
名称:滁州市政府采购中心
地址:滁州市龙蟠大道109号房产大厦2楼
联系方式:0550-3519512、18155023588
3.项目联系方式
项目联系人:登录即可免费查看
电 话:登录即可免费查看、0550-3519512、18155023588
五、附件
无
窗体底端
微信扫码关注
