用户需求书一、 概述茂名社保系统经过近10年的发展，在应用系统的操作管理安全性上已经取得长足的改善。诸如前些年频频发现的各地社保查询系统不需要密码，凭社保号即可查询他人参保信息的漏洞早已不复存在。近几年社保系统围绕着网络安全防护、主机安全防护已经进行了一系列建设，具备相对安全的数据应用环境和边界防护能力。然而，由于技术局限和有效的安全产品匮乏等原因，在社保系统最核心的部分—社保数据库，其自身安全的建设一直未能得到有效开展，当前多数社保信息泄露及篡改事件均与数据库安全措施缺乏有关。当前，在社保系统中至少存在以下重要数据库安全威胁，能够直接导致社保数据的泄密，以及违规篡改行为的发生：?数据库访问来源复杂，难以确定数据库操作的真实访问者定位一个数据库操作的真正访问者有如下元素：IP地址、MAC地址、数据库用户、机器名, 终端、操作系统用户、访问数据库所使用的应用程序等。数据库管理系统自身的审计机制只能定位到数据库用户、机器名, 终端等信息，在追溯数据库操作的真正访问者上存在着不足。由于这些不足的存在，使得数据库违规操作事件的准确责任认定难以实现。?数据库系统自身日志记录信息不全，违规事件无法及时、准确的发现数据库系统日志审计功能简单，所记录的时间参数很少。无法提供提供丰富的审计的支撑性功能，如：统计、报警、SQL语句解析、策略设置等。仅根据数据库自身的日志很难及时发现问题及隐患，增加了数据资产的的安全风险。?数据库操作过程完全处于“暗箱”之中，难以了解细节无论是中间件、数据库开发工具或者是其他系统在访问数据库时，我们都很难掌握具体的细节。由于对数据库交易细节的不了解，导致我们在数据库应用开发/排错及数据库性能优化时不能掌握最详细、真实的情况，严重影响了我们的工作效率。二、建设目标构建一个数据库安全监控与审计平台，灵活地根据用户策略，集中审计社保数据库的敏感数据的访问和操作，及时发现问题、汇报问题、保留详尽真实的回溯证据。主要目标如下：?通过协议分析确定数据库操作的真实访问者 通过系统的数据库网络协议分析，定位数据库操作真正访问者的重要元素：IP地址、数据库用户、机器名, 终端、操作系统用户、访问数据库所使用的应用程序等。结合行政手段确定某个数据库访问/操作事件的真实责任人。使得数据库违规操作事件的准确责任认定得以实现。?提供灵活的告警策略制定及多途径告警功能根据用户数据库安全策略灵活的制定相应的告警策略。可根据访问IP、数据库用户、表名、应用程序等等参数，制定全面而灵活的告警策略。在发生策略偏差事件时，支持：系统内部信息、邮件、短信、SYSLOG等多个途径进行实时报警。?完整记录用户数据库会话细节通过深度的数据库网络协议分析及会话对应，完整记录用户数据库会话细节，包括用户数据库登录行为、登出行为、SQL操作用户名称、SQL操作源程序名称、SQL操作源终端名称、SQL操作源终端登录用户名称、SQL会话参数设置、SQL操作语句、SQL操作返回状态、SQL操作涉及表组、字段、视图、索引、过程 、函数、SQL DML操作影响行数、SQL SELECT操作返回行数、SQL语句执行时间、原始数据库记录包等。?全面完整的数据库审计与操作回溯记录数据库会话详细细节，当发生数据库安全事件时，用户可根据数据库地址、源客户端地址、事件发生时间、数据库安全事件内容等，快速检索定位操作会话。三、项目建设技术要求：1、组网方式及工作原理 数据库风险分析与安全监控审计系统（以下简称数据库审计系统），建议使用旁路部署方式，通过镜像端口对去往数据库系统的数据库协议包进行深度分析。将每个数据库会话的细节进行分析和记录。并根据系统既定的告警策略进行筛选，如发现偏差动作则通过既定的告警途径向管理员发起告警。2、主要功能要求2.1 “细粒度”数据库审计：?深度解码数据库网络传输协议，完整、细粒度分析并再现用户数据库操作活动过程。完整记录用户数据库会话细节，包括用户数据库登录行为、登出行为、SQL操作用户名称、SQL操作源程序名称、SQL操作源终端名称、SQL操作源终端登录用户名称、SQL会话参数设置、SQL操作语句、SQL操作返回状态、SQL操作涉及表组、字段、视图、索引、过程 、函数、SQL DML操作影响行数、SQL SELECT操作返回行数、SQL语句执行时间、原始数据库记录包等。?完整解析、记录、关联SQL操作语句绑定参数，可自动回溯重构完整SQL操作语句。很多基于数据库的查询是通过Bind Variable完成的。这就要求审计系统不光要记录查询中Bind Variable的变量的名字，还要记录Bind Variable的数值。举例来说：一个包含Bind Variable的SQL是：select * from aaa where name=:who, 审计系统不光把这个SQL记录下来，同时要记录:who=jimmy, 这样才是完整的包含Bind Variable的审计结果。?实时监控来自各个层面的所有数据库活动，包括来自应用系统发起的数据库操作请求、来自数据库客户端工具的操作请求。?提供灵活的数据库访问行为来源限制，可选择忽略审计特定网络和主机产生的数据库SQL操作；亦可限制仅对特定“嫌疑”对象进行细粒度、全方位审计，包括记录整个数据库操作会话过程所有网络数据包。?覆盖主流商用数据库，包括：Oracle 8/9/10/11等、Sybase所有版本、SQL Server 2000/2005、Informix所有版本、DB2所有版本。2.2灵活的数据库访问策略:?提供来源（客户端）登录IP异常探测、数据库登录用户名称异常探测、数据库操作源终端异常探测、数据库操作源程序名称异常探测、数据库操作源终端用户名称异常探测。?提供数据库SQL语句执行时间、数据库操作闲置时间策略报警，提供数据库DML操作影响行数策略报警，提供数据库SELECT SQL操作语句返回行数策略报警。?提供全方位的策略规则匹配，策略因子包括：数据库操作来源IP地址、数据库服务器IP/端口、数据库类型、数据库名称、数据库登录用户名称、数据库操作源程序名称、数据库操作源终端名称、数据库操作源终端用户名称、SQL操作语句（DDL、DML、DCL）、高级权限操作、存储过程、数据库表组（表、字段、值）、数据库SCHEMA、操作执行时间、操作返回条目大小等。?多形式的实时告警：当检测到可疑操作或违反审计规则的操作时，系统可以通过监控中心告警、短信告警、邮件告警、SYSLOG告警等方式通知数据库管理员。?根据设定的数据库策略，可选择对关键资源操作行为进行数据包录像、深度分析解析开关。2.3全面完整的数据库审计与操作回溯：?记录数据库会话详细细节，当发生数据库安全事件时，用户可根据数据库地址、源客户端地址、事件发生时间、数据库安全事件内容等，快速检索定位操作会话。?会话审计记录细致到每一次事务/查询的原始信息，记录所有的关键信息，至少包括以下各个方面：数据库服务器名称、数据库操作源IP地址、目的IP地址、原始的查询指令、关联参数绑定后的数据库SQL操作语句、源应用程序名称、数据库用户名称、访问源操作系统用户名称、访问源操作主机名称、高级权限操作、存储过程、目标数据库、SCHEMA、操作回应内容、操作返回的错误代码、操作回应的时间、操作回应条目大小、选定的原始数据包片段等。?提供完善的违规实时告警，包括异常告警、违反策略告警等。告警信息可根据数据库地址、数据库名称、访问源IP地址、用户名称、源程序名称、源终端名称等排序、统计和报表。可灵活定制报表格式和规范，可根据要求生成用户环境自定义报表。?数据库访问可根据数据库地址、数据库名称、访问源IP地址、用户名称、源程序名称、源终端名称等排序、统计和报表，可生成年报、季报、月报、周报和日报，可对特定数据库、用户名称等进行报表统计。?统计报表以饼状图、折线图、柱状图、表格形式输出，统计结果支持HTML、PDF、EXCEL等格式导出。2.4职权分离：?《计算机信息系统安全等级保护数据库管理技术要求》、《企业内部控制规范》、SOX法案或PCI中明确提出对工作人员进行职责分离，系统设置权限角色分离。?提供超级管理员、资产管理员和审计管理员权限分离；资产管理员可以添加数据库审计服务器、审计策略制定、审计记录查看等。审计管理员可以查看和审计数据库会话详细信息、统计分析报表、安全操作日志、维护日志。并支持角色按模块灵活授权。3、主要功能需求清单产品功能数据库审计工作原理B/S架构，旁路侦听模式，不需要添加任何插件和引擎，也不需要增加任何网络嗅探器。部署方式交换机端口映射，不改变原网络拓扑。一台硬件独立完成部署。支持各种主流数据库覆盖主流商用数据库，包括：Oracle 8/9/10/11等、Sybase所有版本、SQL Server 2000/2005、Informix所有版本、DB2所有版本、MySQL等。职权分离提供超级管理员、资产管理员和审计管理员权限分离；资产管理员可以添加数据库审计服务器、审计策略制定、审计记录查看等。审计管理员可以查看和审计数据库会话详细信息、统计分析报表、安全操作日志、维护日志。并支持角色按模块灵活授权。非关注内容过滤支持指定非关注策略，系统将非关注的内容进行过滤，不进行记录，降低了存储空间和无用信息的堆砌。策略因子包括：数据库操作来源IP地址、数据库登录用户名称、数据库操作源程序名称、数据库操作源终端名称、数据库操作源终端用户名称、SQL操作语句（DDL、DML、DCL）、数据库表组（表、列）等。策略告警功能提供全方位的策略规则匹配，策略因子包括：数据库操作来源IP地址、数据库登录用户名称、数据库操作源程序名称、数据库操作源终端名称、数据库操作源终端用户名称、SQL操作语句（DDL、DML、DCL）、数据库表组（表、列）等。多形式的实时告警：当检测到可疑操作或违反审计规则的操作时，系统可以通过监控中心告警、WEB提示告警、邮件告警、SYSLOG告警等方式通知数据库管理员。支持多表、多字段精确匹配。异常告警功能提供数据库登录用户名称异常探测、数据库操作源终端异常探测、数据库操作源程序名称异常探测、数据库操作源终端用户名称异常探测，并支持自主学习能力。可设定异常黑白名单，对客户端地址、客户端程序、数据库账号、客户端用户名以及执行结果等异常的行为进行异常告警。审计记录详细的记录了操作者对数据库的会话过程：精确的时间点、来源网络地址、来源端口、客户端主机名、客户端操作系统用户名、数据库类型、目标地址、目标端口、客户端程序、数据库账号以及完整的操作行为详情深度解码数据库网络传输协议，完整、细粒度分析并再现用户数据库操作活动过程。完整记录用户数据库会话细节，包括用户数据库登录行为、登出行为、SQL操作用户名称、SQL操作源程序名称、SQL操作源终端名称、SQL操作源终端登录用户名称、SQL会话参数设置、SQL操作语句、SQL操作返回状态、SQL操作涉及表组、字段、视图、索引、过程 、函数、SQL DML操作影响行数、SQL语句执行时间。支持对超长SQL语句完整解析。支持对数据库操作的内容以会话的形式进行完整记录，实现会话的前因后果完整展现，方便用户定位问题事件。全文搜索提供全文检索功能，可以做到对海量的数据记录进行更加快速、方便的查询与定位。“精确搜索”中可对时间、IP、端口、客户端程序、数据库账号、数据库类型、消息长度（SQL语句长度）、SQL语句关键词等详细检索条件。系统监控可以通过波形图实时监控系统的CPU使用率，内存使用率和接口速率。快速定位用户的网络负载压力和系统运行状况。用户可以直接查看最新的策略告警，最新违规操作和最新系统告警事件，当新的事件发生时，该监控页面将实时展现最新信息，并提供监控信息过滤。提供数据库实时监控功能，可以对总体或数据库类型或数据库组别进行实时监控，监控其网络流量、数据包、突发链接、并发连接数、SQL语句数。并提供波形图展示，用户能够直观地了解当前数据库运行状态。报表提供会话总数、策略告警总数、异常告警总数、资产总数、用户数量、操作日志数量等信息统计。并能够按天进行统计分析，列表展现。数据库访问可根据数据库地址、数据库名称、访问源IP地址、用户名称、源程序名称、源终端名称等排序、统计和报表，可生成年报、季报、月报、周报和日报，可对特定数据库、用户名称等进行报表统计统计报表以饼状图、折线图、柱状图、表格形式输出，统计结果支持HTML、PDF、EXCEL等格式导出。 四、采购项目商务要求1.项目工期要求：必须在合同签订后30个工作日内完成供货、实施和验收。2.报价要求：运至招标人指定地点的运输费、运输保险费、专用工具费、税费、送到采购人指定地点后的安装费、调试费、质量保证期内的维护费用等一切费用，采购单位不再支付其他费用。3.售后服务：质量保证期1年。质量保证期内提供免费维护服务，系统出现故障，收到用户报修后4小时内作出响应，如须现场维护的，8小时到达现场进行维护服务，48小时修复保证正常使用。4.培训要求：对用户进行培训是保证用户正确使用系统和用好系统的基本要求。通过培训使系统管理员能得心应手地维护好系统，保证系统的安全运行，使操作人员可以正确理解相关的业务流程，熟练掌握各个子系统的详细操作。5.付款方式：货物通过验收合格之日起30天内一次性付至合同总金额的95%，余下5%作为质量保证金，质量保证金待保质期满1年后10个工作日内一次性付清。6.验收要求：满足合同规定的需求为标准验收本系统，验收完成后签订项目验收单。第三部分　投标供应商须知一、投标费用说明1.投标供应商应承担所有与准备和参加投标有关的费用。不论投标的结果如何，集中采购机构和采购人均无义务和责任承担这些费用。2.本次招标向中标供应商收取的中标服务费，按国家有关规定执行；中标服务费不在投标报价中单列。中标服务费是集中采购机构根据政府许可收取的采购代理费。中标供应商在收取《中标通知书》前应向集中采购机构交纳中标服务费（以到达集中采购机构开户银行帐户为准），该收费根据广东省物价局粤价函【2013】1233号规定的收费标准，按照中标总金额以差额定率累进法（如下表）计算：通用类项目（一）货物招标中标金额100万元以下100-500万元500-1000万元1000-5000万元5000-1亿1亿-5亿5亿-10亿10亿-50亿50亿-100亿100亿以上收费标准1.2%0.88%0.64%0.4%0.2%0.04%0.028%0.0064%0.0048%0.0032%（二）服务招标中标金额100万元以下100-500万元500-1000万元1000-5000万元5000-1亿1亿-5亿5亿-10亿10亿-50亿50亿-100亿100亿以上收费标准1.2%0.64%0.36%0.2%0.08%0.04%0.028%0.0064%0.0048%0.0032%（三）工程招标中标金额100万元以下100-500万元500-1000万元1000-5000万元5000-1亿1亿-5亿5亿-10亿10亿-50亿50亿-100亿100亿以上收费标准0.8%0.56%0.44%0.28%0.16%0.04%0.028%0.0064%0.0048%0.0032%备注：1、招标采购代理服务收费按差额定率累进法计算。 2、 5亿元以上货物、服务、工程一次招标（完成一次招标投票全流程）代理服务费最高限额分别为280万元、240万元和360万元，并按各标段中标金额比例计算各标段招标代理服务。其他类别项目（非通用类）（一）货物招标中标金额100万元以下100-500万元500-1000万元1000-5000万元5000-1亿1亿-5亿5亿-10亿10亿-50亿50亿-100亿100亿以上收费标准1.5%1.1%0.8%0.5%0.25%0.05%0.035%0.008%0.006%0.004%（二）服务招标中标金额100万元以下100-500万元500-1000万元1000-5000万元5000-1亿1亿-5亿5亿-10亿10亿-50亿50亿-100亿100亿以上收费标准1.5%0.8%0.45%0.25%0.1%0.05%0.035%0.008%0.006%0.004%（三）工程招标中标金额100万元以下100-500万元500-1000万元1000-5000万元5000-1亿1亿-5亿5亿-10亿10亿-50亿50亿-100亿100亿以上收费标准1.0%0.7%0.55%0.35%0.2%0.05%0.035%0.008%0.006%0.004%备注：1、招标采购代理服务收费按差额定率累进法计算。2、 5亿元以上货物、服务、工程一次招标（完成一次招标投票全流程）代理服务费最高限额分别为350万元、300万元和450万元，并按各标段中标金额比例计算各标段招标代理服务。例如：某(政府采购通用类)货物采购项目中标金额为400万元，中标服务费金额计算如下：100万元×1.2％＝1.2万元（400－100）万元×0.88％＝2.64万元收费＝1.2＋2.64＝3.84万元3.中标服务费以银行付款的形式用人民币一次性支付，收款银行帐号以集中采购机构发出的交纳中标服务费通知书中指定的银行帐号为准。二、招标文件4.招标文件的构成4.1招标文件由下列文件以及在招标过程中发出的澄清更正文件组成：1)投标邀请函2)用户需求书3)投标供应商须知4）开标、评标、定标5)合同书格式6)投标文件格式 7)在招标过程中由集中采购机构发出的澄清更正文件等5.招标文件的澄清更正5.1集中采购机构对招标文件进行必要的澄清更正的，于投标截止时间的15天前在指定媒体上发布公告，并通知所有报名及购买招标文件的投标供应商，报名及购买招标文件的投标供应商在收到澄清更正通知后应按要求以书面形式（加盖单位公章，传真有效）予以确认，该澄清更正的内容为招标文件的组成部分；澄清更正不足15天的，集中采购机构在征得当时已报名及购买招标文件的投标供应商同意并书面确认（加盖单位公章，传真有效）后，可不改变投标截止时间。5.2根据采购的具体情况，集中采购机构可延长投标截止时间和开标时间，但至少应当在规定的投标截止时间3天前，将变更时间在指定媒体上发布公告，并通知所有当时已报名及购买招标文件的投标供应商。三、投标文件的编制和数量6.投标的语言6.1投标供应商提交的投标文件以及投标供应商与集中采购机构就有关投标的所有来往函电均应使用中文。投标供应商提交的支持文件或印刷的资料可以用另一种语言，但相应内容应附有中文翻译本，两种语言不一致时以中文翻译本为准。7.投标文件编制7.1投标供应商应当对投标文件进行装订，对未经装订的投标文件可能发生的文件散落或缺损，由此产生的后果由投标供应商承担。7.2投标供应商应认真阅读、并充分理解招标文件的全部内容（包括所有的补充、修改内容、重要事项、格式、条款和技术规范、参数及要求等），并应完整、真实、准确的填写招标文件中规定的所有内容。投标供应商没有按照招标文件要求提交全部资料，或者投标没有对招标文件在各方面都作出实质性响应是投标供应商的风险，有可能导致其投标被拒绝，或被认定为无效投标或被确定为投标无效。7.3投标供应商必须对投标文件所提供的全部资料的真实性承担法律责任，并无条件接受采购人或集中采购机构及政府采购监督管理部门等对其中任何资料进行核实的要求。7.4如果因为投标供应商投标文件填报的内容不详，或没有提供招标文件中所要求的全部资料及数据，由此造成的后果，其责任由投标供应商承担。8.投标报价及计量8.1投标供应商所提供的货物和服务均应以人民币报价。8.2除非招标文件的技术规格中另有规定，投标供应商在投标文件中及其与采购人和集中采购机构的所有往来文件中的计量单位均应采用中华人民共和国法定计量单位。9.投标保证金9.1投标供应商应按招标文件规定的金额和期限交纳投标保证金，投标保证金作为投标文件的组成部分。9.投标保证金9.1投标供应商应按招标文件规定的金额和期限交纳投标保证金，投标保证金作为投标文件的组成部分。9.2投标保证金采用银行转账形式提交。投标供应商与交款人名称必须一致，非投标供应商缴纳的投标保证金无效，而且投标人必须提前交纳保证金，按投标邀请函的要求。交纳办法如下：投标保证金金额：人民币叁仟元整（￥3，000.00）开户名称：茂名市公共资源交易中心开户银行：建设银行茂名石油支行 帐　号：****************8268（此账号为保证金专用账号，其他款项请勿转入此账号）投标供应商填写银行交款票据时，必须清晰填写投标单位全称、投标单位开户银行及账号、所投项目招标文件的编号，并对所填写资料的真实性和准确性负责，且与《退保证金说明》的收款单位名称、开户银行和账号一致。否则，有可能造成保证金退还的延误。9.3如无质疑或投诉，未中标的投标供应商保证金，在中标通知书发出后5个工作日内不计利息原额退还；如有质疑或投诉，将在质疑和投诉处理完毕后5个工作日内不计利息原额退还。9.4中标供应商的投标保证金，在中标供应商与采购人签订采购合同后5个工作日内不计利息原额退还。9.5有下列情形之一的，投标保证金将被依法不予退还并上交国库：1）投标供应商在招标文件规定的投标有效期内撤回其投标；2）中标供应商在规定期限内未签订合同。10.投标文件的数量和签署10.1投标供应商应编制投标文件正本一份和副本柒份，投标文件的副本可采用正本的复印件。每套投标文件须清楚地标明“正本”、“副本”。若副本与正本不符，以正本为准。10.2投标文件的正本需打印或用不褪色墨水书写，并由法定代表人或经其正式授权的代表签字或盖章。授权代表须出具书面授权证明，其《法定代表人授权书》应附在投标文件中。10.3投标文件中的任何重要的插字、涂改和增删，必须由法定代表人或经其正式授权的代表在旁边签字或盖章才有效。11.投标文件的密封和标记11.1投标供应商应将投标文件正本和所有的副本分别单独密封包装，并在外包装上清晰标明“正本”、“副本”字样。11.2为方便开标时唱标，投标供应商应按照《投标文件格式》的要求制作《唱标信封》并独立封装。11.3信封或外包装上应当注明采购项目名称、采购项目编号和“在（招标文件中规定的开标日期和时点）之前不得启封”的字样，封口处应加盖投标供应商印章。11.4如果未按要求密封和标记，集中采购机构将拒收该投标文件。四、投标文件的递交12.投标文件的递交12.1所有投标文件应在投标截止时间前送达开标地点。12.2集中采购机构将拒绝以下情况的投标文件：1）未按要求密封的；2）迟于投标截止时间递交的。12.3集中采购机构不接受邮寄、电报、电话、传真方式投标。13.投标文件的修改和撤回13.1投标供应商在投标截止时间前，可以对所递交的投标文件进行补充、修改或者撤回，并书面通知集中采购机构。补充、修改的内容应当按招标文件要求签署、盖章，并作为投标文件的组成部分。在投标截止时间之后，投标供应商不得对其投标文件做任何修改和补充。13.2投标供应商在递交投标文件后，可以撤回其投标，但投标供应商必须在规定的投标截止时间前以书面形式告知集中采购机构。13.3投标供应商所提交的投标文件在评标结束后，无论中标与否都不退还。五、开标、评标、定标见招标文件第四部分六、询问、质疑、投诉14.询问14.1投标供应商对政府采购活动事项（招标文件、采购过程和中标结果）有疑问的，可以向采购人或集中采购机构提出询问，采购人或集中采购机构将及时作出答复，但答复的内容不涉及商业秘密。询问可以口头方式提出，也可以书面方式提出，书面方式包括但不限于传真、信函、电子邮件。联系方式见《投标邀请函》中“采购人、集中采购机构的名称、地址和联系方式”。15.质疑15.1投标供应商认为招标文件、采购过程和中标结果使自己的权益受到损害的，以书面形式向采购人或集中采购机构书面提出质疑：1）招标文件在指定的政府采购信息发布媒体上公示5个工作日；投标供应商认为招标文件的内容损害其权益的，可以在公示期间或者自期满之日起7个工作日内提出质疑；2）投标供应商认为采购过程和中标结果使自己的权益受到损害的，可以在知道或应知其权益受到损害之日起7个工作日内提出质疑； 采购人或集中采购机构在收到投标供应商的书面质疑后7个工作日内作出答复，并以书面形式通知质疑投标供应商和其他有关投标供应商，但答复内容不涉及商业秘密。质疑投标供应商须提供相关证明材料，包括但不限于权益受损害的情况说明及受损害的原因、证据内容等，并对质疑内容的真实性承担责任。15.2质疑联系人：梁先生电话：****-*******；传真：****-*******地址：茂名市油城七路3号大院（茂名市行政服务中心）七楼茂名市公共资源交易中心；邮编：52500016.投诉16.1投标供应商对采购人或集中采购机构的质疑答复不满意或在规定时间内未得到答复的，可以在答复期满后15个工作日内，按如下联系方式向政府采购监督管理机构投诉。16.2政府采购监督管理机构名称：茂名市财政局政府采购监管科 地址：茂名市双山路十三号茂名市财政局二楼电话：****-*******、*******邮编：525000传真：****-*******七、合同的订立和履行17.合同的订立17.1采购人与中标供应商自中标通知书发出之日起三十日内，按招标文件要求和中标供应商投标文件承诺签订政府采购合同，但不得超出招标文件和中标供应商投标文件的范围、也不得再行订立背离合同实质性内容的其他协议。17.2签订政府采购合同后7个工作日内，采购人应将政府采购合同副本及集中采购机构收到合同副本的回执一并报同级政府采购监督管理部门备案。18.合同的履行18.1政府采购合同订立后，合同各方不得擅自变更、中止或者终止合同。政府采购合同需要变更的，采购人应将有关合同变更内容，以书面形式报政府采购监督管理机关备案；因特殊情况需要中止或终止合同的，采购人应将中止或终止合同的理由以及相应措施，以书面形式报政府采购监督管理机关备案。18.2政府采购合同履行中，采购人需追加与合同标的相同的货物、工程或者服务的，在不改变合同其他条款的前提下，可以与投标供应商签订补充合同，但所补充合同的采购金额不得超过原采购金额的10%，签订补充合同的必须按规定备案。19.有关合同的订立和履行的更多细节请见《广东省政府采购工作规范（试行）》的第十二章和第十三章。八、适用法律20.采购人、集中采购机构及投标供应商的一切招标投标活动均适用《政府采购法》及其配套的法规、规章、政策。 第四部分　开标、评标、定标一、开标1集中采购机构在《投标邀请函》中规定的日期、时间和地点组织公开开标。2开标时，由投标供应商或其推选的代表检查投标文件的密封情况，经确认无误后由招标工作人员当众拆封，宣读投标供应商名称、《报价一览表》内容。未宣读的投标价格、价格折扣和招标文件允许提供的备选投标方案等实质内容，评标时不予承认。3集中采购机构做好开标记录，开标记录由各投标供应商代表签字确认。二、评标委员会4.本次招标依法组建评标委员会。5.评标委员会将按照招标文件确定的评标方法进行评标。对招标文件中描述有歧义或前后不一致的地方，评标委员会有权按法律法规的规定进行评判，但对同一条款的评判应适用于每个投标供应商。6.在评标期间，为方便对投标文件进行审核、评估和对比，评标委员会可以以书面形式要求投标人对投标文件中含义不明确、对同类问题表述不一致或者有明显文字和计算错误的内容作出必要的书面澄清说明，但该澄清说明不得超出投标文件的范围或者改变投标文件的实质性内容。7.如有必要，评标委员会将书面要求投标人修正投标文件中不构成实质性偏离的、微小的、非正规的、不一致的或不规则的地方，这些修正不应影响评标的公平公正。三、评标方法、步骤及标准8.本次评标采用综合评分法。9.资格性和符合性审查9.1评标委员会根据《资格性和符合性审查表》（附表一）内容逐条对投标文件的资格性和符合性进行评审，审查每份投标文件是否实质上响应了招标文件的要求。 9.2只有全部满足《资格性和符合性审查表》所列各项要求的投标才是有效投标，只要不满足《资格性和符合性审查表》所列各项要求之一的，将被认定为无效投标。对投标有效性认定意见不一致的，评标委员会按简单多数原则表决决定。无效投标不能进入技术、商务及价格评审。9.3评标委员会对各投标人进行资格性和符合性审查过程中，对初步被认定为初审不合格或无效投标者应实行及时告知，由评标委员会主任或采购人代表将集体意见现场及时告知投标当事人，以让其核证、澄清事实。9.3有效投标人数必须达到法定人数，否则本次招标作废标处理。（1） 如果同一品牌同一型号产品（指相对应的所有设备）有多家投标人参与竞争，同一品牌同一型号产品的投标人按一家投标人计算。（2） 法定代表人为同一个人的两个及两个以上法人按一家投标人计算。9.4评标委员会对各投标人进行资格性和符合性审查过程中，对初步被认定为初审不合格或无效投标者应实行及时告知，由评标委员会主任或采购人代表将集体意见现场及时告知投标当事人，以让其核证、澄清事实。10.技术、商务及价格评审10.1评分总值最高为100分，评分分值（权重）分配如下：评分项目技术评分商务评分价格评分权重40%30%30%10.2技术评审技术评分项明细及各单项所占权重详见附表二：《技术评审表》）； 10.3商务评审商务评分项明细及各单项所占权重详见附表三：《商务评审表》10.4价格评审10.4.1投标报价错误的处理原则：评标委员会对大小写金额不一致、单价汇总与总价不一致的，按以下方法更正：投标文件的大写金额和小写金额不一致的，以大写金额为准；总价金额与按单价汇总金额不一致的，以单价金额计算结果为准；单价金额小数点有明显错位的，应以总价为准，并修改单价。10.4.2投标报价的缺项、单列项的处理原则：1）对投标货物的关键、主要设备，投标供应商报价漏项的，作非实质性响应投标处理；2）对投标货物的非关键、非主要设备及伴随服务，投标供应商报价漏项的，评标时将要求漏项的投标供应商予以澄清，但该澄清不作为评标的依据；评标委员会将以其它投标供应商对应项的最高投标报价补充计入其评标价；3）对非关键、非主要设备及伴随服务的费用，如果投标供应商是另行单独报价的，评标时也相应另行计入其评标价。4）对数量的评审，以第二部分《用户需求书》所明示数量为准；《用户需求书》未明示的，由评标委员会以其专业知识判断，必要时参考投标供应商的澄清文件决定；10.4.3评标价的确定：按上述条款的原则校核修正后的价格为评标价。如果出现多种处理原则所产生的结果不一致的情况，以最高的修正价作为评标价。10.4.4计算价格评分：各有效投标供应商的评标价中，取最低者作为基准价，各有效投标供应商的价格评分统一按照下列公式计算：价格评分=（基准价÷评标价）×100×价格权重。10.5评标总得分及统计：将各评委的评分去掉一个最高分和一个最低分，其余评分的算术平均值即为该投标供应商的技术评分或商务评分。然后，根据比价原则评出价格评分。将技术评分、商务评分和价格评分分别剩以各自权重再相加得出评标总得分（评标总得分分值按四舍五入原则精确到小数点后两位）。11.中标供应商的确定11.1推荐中标候选投标供应商名单：本项目推荐一名中标候选人。将各有效投标供应商按其评标总得分由高到低顺序排列。评标总得分相同的，按下列顺序比较确定：（1）投标报价（由低到高）；（2）技术评分（由高到低）。如以上都相同的，名次由评标委员会抽签确定。11.2中标价的确定：中标价以开标时公开唱读额为准；如有缺项、漏项，视为已包含在中标价中。11.3根据评标委员会的评标结果，采购人依法确定中标供应商，也可以事先授权评标委员会直接确定中标供应商。12.发布中标结果12.1集中采购机构将在下列媒体公告中标结果：广东省政府采购网(www.gdgpo.gov.cn)，茂名市人民政府网(http://www.maoming.gov.cn/)，茂名市公共资源交易中心网(http://jyzx.maoming.gov.cn/)。12.2在《中标结果公告》发布的同时，集中采购机构以书面形式向中标供应商发出经采购人确认的《中标通知书》，中标供应商应以书面形式回复，确认收到。12.3《中标通知书》是合同的一个组成部分，对采购人和中标供应商具有同等法律效力；《中标通知书》发出后，采购人改变中标结果，或者中标供应商放弃中标的，均应承担相应的法律责任。 附表一：资格性和符合性审查表资格性和符合性审查表审查项目要求资格性审查（与公告中投标供应商资格要求一致）不能通过资格性审查的投标供应商，不需进行以下内容的审查。符合性审查1.投标报价是固定价且是唯一的，投标报价未超过采购预算；若投标报价明显低于其成本，投标人应能作出合理说明；招标文件不接受备选方案则不得提交备选方案；招标文件不允许采购进口产品时则不得以进口产品投标。2.对投标货物的关键、主要设备，投标人没有报价漏项。3.投标文件完整且编排有序，投标内容基本完整，无重大错漏，并按要求密封、签署、盖章。4.提交投标函。5.按要求缴纳了投标保证金，提交投标保证金的证明文件：投标人按《投标人须知》要求的投标保证金的数额和交纳办法将保证金送交银行的银行交款回单复印件；6.投标有效期为投标截止日起至少90 天。7.商务文本已提交（无重大偏离或保留）。8.交货期符合用户需求。9.主要技术规格和参数满足用户需求书要求10.没有其他未实质性响应招标文件要求的注：1. 每一项符合的打“√”，不符合的打“×”。2. “结论”一栏填写“通过”或“不通过”；任何一项出现“×”的，结论为不通过；不通过的为无效投标。3. 汇总时出现不同意见的，评委会按简单多数原则表决决定。4. 如果评标委员会发现投标供应商的报价明显低于其他投标报价，使得其投标报价可能低于其个别成本的，将要求该投标供应商作书面说明并提供相关证明材料。 附表二：技术评审表技术评审表序号评审项目单项权重评分范围1实施计划5总体方案设计和体系结构是否符合本项目技术要求：总体设计方案和体系结构符合本项目技术要求，技术路线、系统构架符合本项目技术要求；优4-5良2-3一般1-1.550业务需求理解及投标产品技术指标及实施方案是否满足招标文件要求优41-50良21-40一般1-205项目管理及工程实施（项目计划、人员安排、组织管理、质量保障、培训）优4-5良2-3一般1-1.52售后服务方案10售后服务方案清晰、时间安排合理、技术人员按有利于用户。优8-10良5-6一般1-43产品情况介绍讲解部分30在评审期间，投标人代表将按照递交文件登记顺序，进入评审现场进行产品情况介绍讲解与接受专家问询，讲解与问询总时间不多于15分钟，其中讲解时间不多于10分钟，问询时间不多于5分钟。专家按投标的介绍和回答进行打分。优25-30良15-20一般1-10附表三：商务评审表商务评审表序号评审项目单项权重评分范围1投标人资质25对各投标人取得各种质量认证、注册资金等因素比较评价：（参考）银行出具的AAA信用等级证书、工商行政管理局颁发的重合同守信用单位证书、ISO质量管理体系认证、高新技术企业、CMMI或CMM认证证书、计算机软件著作权登记证（社保、医保信息化方面）、系统集成资质证书、国家人力资源与社会保障部颁发的行业资质证书等。优21-25良11-20一般1-102投标人的综合概况10销售经营状况、财务状况、经营场所、人员状况等因素：根据财务报表，人员购买社保情况评审。优9-10良6-8一般1-53同类项目(社会保险信息系统)业绩35投标人2011年度至今，是否拥有人力资源和社会保障部门社会保险管理信息系统开发、数据服务或维护项目经验，以合同要点复印件为准：每个得5分，最高得35分。4商务要求响应情况10商务要求优于招标文件要求的9-10商务要求满足招标文件要求的6-8商务要求有不满足招标文件要求1-55本次项目符合性评分101、是否拥有国家人力资源和社会保障部颁发的“社会保险管理信息系统核心平台(三版)前台技术支持商”资质证书，是10分，否0分。2、本项目项目经理是否同时拥有高级项目经理资质（工业和信息化部颁发）和信息系统项目管理师(高级)资质（工业和信息化部颁发），是10分，否0分。