广西建设工程机电设备招标中心有限公司关于广西网络安全检查和网络攻防演练项目（GXZC2023-C3-******-JGJD）

质疑函的答复

质疑供应商：广西盛源行电子信息股份有限公司

地址：柳州市官塘大道52号津汇国际大楼二楼217室邮编：******

法定代表人：谢世逸

授权代表：韦苏桐 联系电话：150*****062

地址：南宁市兴宁区三塘镇松柏路31号兴工标准厂房工业研发2号楼十层1001号房

邮编：******

我公司于2023年9月21日收到贵公司递交的关于广西网络安全检查和网络攻防演练项目（GXZC2023-C3-******-JGJD）的质疑函并转呈采购人，针对贵公司提出的质疑，采购人与我公司均高度重视，经认真研究核实，现就质疑事项答复如下：

质疑事项1：

针对采购文件第四章第二部分评审标准---第2项技术分中组织实施方案分中规定的“所提供职称证书须为国家人社部门认证的计算机、云计算、大数据、人工智能等与本项目相关专业职称。”

贵公司认为：招标文件对招标内容设置不合理条件，限制或排斥潜在投标人。上述招标文件中设定了特定的职称颁发部门即“国家人社部门”，不许可其他官方认可的机构颁发的同档位证书，作为加分项，通过设置限制条件、提高参与门槛，通过隐含的倾向性，限制、排斥其它投标人提出质疑，严重违背了招标法的公平、公正的原则。

质疑答复1：

根据人力资源社会保障部印发的《职称评审管理暂行规定》第四条：国务院人力资源社会保障行政部门负责全国的职称评审统筹规划和综合管理工作。采购文件要求职称证书须为国家人社部门认证，并未限定职称颁发部门。

贵公司质疑事项缺乏事实依据，质疑事项不成立。

质疑事项2：

针对采购文件第四章第二部分评审标准---第2项技术分中服务工具功能分。

贵公司认为：

招标文件对招标内容设置不合理条件，限制或排斥潜在投标人。招标文件设置的技术条件与采购项目的实际需求不相适应。

数据安全检查服务所需服务工具的参数要求，并非实际采购需求中列举的关键和核心检查内容，而是针对其中特定的某一小部分细分的领域进行特别要求，且参数未围绕检查的内容进行要求，反而针对检查工具的具体指标做了详细的要求，与本次招标项目主体内容的实际需求不相适应且具有明显的排他性和指向性。据了解业内主流安全厂商的安全检查工具不具备或者是不同时具备以上列举的功能参数，并无三家或三家以上的厂商能够满足，我们公司有理由认为数据安全检查服务所需服务工具的参数要求均为潜在的供应商所设置，具有明显的排他性和指向性。并作为加分项，通过设置限制条件、提高参与门槛，通过隐含的倾向性，限制、排斥其它投标人提出质疑，严重违背了招标法的公平、公正的原则。

攻防实战演练平台服务所需服务工具的参数中，（2）项参数“系统应内置centos、ubuntu, kali, winxp, win7, win10, winserver2003，winserver2008,winserver2012等多个操作机模板，支持动态调度私有云计算中心的所有计算、存储、网络资源，并部署相关的模板”在实际的场景使用中，并非涵盖和实际需要以上列举的操作机系统。（1）、（3）、（4）、（5）项参数，并非攻防实战演练平台的常见安全功能和关键核心功能，且并非用户对于攻防实战演练平台产品实际的功能需要。与本次招标项目主体内容的实际需求不相适应且具有明显的排他性和指向性。据了解业内主流安全厂商的攻防实战演练平台不具备或者是不同时具备以上列举的功能参数，并无三家或三家以上的厂商能够满足，我们公司有理由认为数据安全检查服务所需服务工具的参数要求均为潜在的供应商所设置，具有明显的排他性和指向性。并作为加分项，通过设置限制条件、提高参与门槛，通过隐含的倾向性，限制、排斥其它投标人提出质疑，严重违背了招标法的公平、公正的原则。

质疑答复2：

本项目采购需求系根据本次安全检查及攻防演练专项活动实际需求提出，“服务工具功能分”评分对象是供应商拟投入使用的“服务工具”，对其参数和功能的评审内容与本项目采购文件第三章采购需求所需服务内容相适应，是符合项目实际使用需求的合理性要求。根据采购人市场调研，具备三个以上厂商的服务工具可满足本项目所需服务的使用需求，且本项目并未要求供应商必须使用自主开发的服务工具。不存在通过设置限制条件、提高参与门槛，通过隐含的倾向性，限制、排斥其它竞标供应商，且不具有排他性和唯一性。具体说明如下：

1.数据安全检查服务所需服务工具需提供以下功能服务。

(1)支持流量解析方式来实现API数据资产的自动梳理，统计现网API资产，掌握接口总数、涉敏API、API合法性确认等；自动生成API列表、关联的应用地址、API路径、请求类型、敏感数据类型、最近一次访问时间、是否涉敏、接口状态等，实时发现API数据资产，形成API资产清单。

说明：以上所列举的技术参数是基于本项目针对API深度威胁检查实际需求而设定。在较为复杂且重要的业务系统中，API数据资产的管理和保护变得尤为重要，此技术参数旨在支持本项目通过流量解析方式实现API数据资产的自动梳理，减少人工成本，并提供全面的API资产清单。清单内容包括接口总数、涉敏API、API合法性确认等，以及API列表、关联的应用地址、API路径、请求类型、敏感数据类型、最近一次访问时间、是否涉敏、接口状态等信息。这些参数的设定是为了帮助本项目安全运营人员实时了解API数据资产情况，全面了解系统中API的状态和敏感程度，特别是针对涉敏的API，需要实时了解API的风险情况，从而更好地管理和保护数据安全。其次，检查工具的功能指标对于提供高效、准确的数据安全检查服务至关重要。

(2)能够基于UEBA行为识别技术，识别接口异常行为风险，内置数十种API异常行为风险检测模型，包括：账号多地多IP访问、境内外访问、敏感数据异常暴露、参数名缺失、高频访问API、参数值异常、参数值遍历、请求方法异常、访问码异常等风险规则，构建接口访问行为基线。

说明：以上所列举的技术参数是基于本项目实际需求和行业标准而设定的，参数中包括基于UEBA行为识别技术的接口异常行为风险识别功能。这项技术能够通过分析用户行为模式和异常行为，识别出潜在的风险，并及时采取相应的措施，这对于保护本项目的数据安全至关重要，能够帮助本项目及时发现和应对潜在的安全威胁。参数中包括API异常行为风险检测模型，如账号多地多IP访问、境内外访问、敏感数据异常暴露、参数名缺失、高频访问API、参数值异常、参数值遍历、请求方法异常、访问码异常等，是根据本项目实际需求和行业经验而设定的。这些规则的设定旨在帮助用户通过阅读表单来快速识别和防范常见的安全风险，让用户了解自己组网内用户的操作实际情况，以确保数据的安全性和完整性。

（3）能够识别主流的接口脆弱性风险，支持OWASPTOP10风险识别，内置脆弱性规则条数不少于65种，包括失效的对象级授权、失效的用户身份认证、过度数据暴露、缺少资源/速率限制、失效的功能级授权、批量分配、安全配置错误、注入、资产管理不当等脆弱性规则；授权管理员可选择配置脆弱性等级和应用范围，设置排除API的白名单，限制检测范围。

说明：参数中的要求是基于本项目实际需求和行业标准而设定的，旨在提供全面的数据安全保障。其中能够识别主流的接口脆弱性风险，支持OWASPTOP10风险识别，内置脆弱性规则条数不少于65种，包括失效的对象级授权、失效的用户身份认证、过度数据暴露、缺少资源/速率限制、失效的功能级授权、批量分配、安全配置错误、注入、资产管理不当等脆弱性规则，是为了确保我们的服务能够覆盖常见的安全风险，内置脆弱性规则条数不少于65种，是为了增强供应商所投产品可以尽可能覆盖较为全面的脆弱性规则，检测出项目系统中更多的脆弱性，保证厂商产品的有效性和实战性。此外，参数要求的授权管理员可选择配置脆弱性等级和应用范围，设置排除API的白名单，限制检测范围。这些功能的设置是为了满足本项目对于灵活性和定制化的需求，使其能够根据实际情况进行安全检查的配置和管理，方便用户的运维和管理。

（4）支持脆弱性告警，包括脆弱性等级占比的统计、脆弱性事件top10、脆弱性应用top5的展示，脆弱性告警列表可展示脆弱性名称、等级、关联的脆弱性API、所属应用、脆弱性类型、发生时间以及处理状态等，可下钻查看详细的脆弱性描述以及相关处置建议，进行脆弱性风险分析。

说明：该参数要求基于本项目实际需求而设定的，需要支持脆弱性告警，包括脆弱性等级占比的统计、脆弱性事件top10、脆弱性应用top5的展示，脆弱性告警列表可展示脆弱性名称、等级、关联的脆弱性API、所属应用、脆弱性类型、发生时间以及处理状态等，可下钻查看详细的脆弱性描述以及相关处置建议，进行脆弱性风险分析，是为了提供全面的脆弱性信息和风险分析，详细的统计信息有助于帮助使用方更好地理解和处理脆弱性问题，并采取相应的措施进行处理。且这些功能在当前的数据安全检查服务中被广泛应用，是提高安全性和降低风险的重要手段。

（5）支持导出安全报告，可选择指定应用范围、风险类型(脆弱性和访问风险)、处理状态和指定时间范围的风险报表导出，自动生成API资产统计结果、脆弱性事件趋势、风险事件处理结果、脆弱性和访问风险分析结果和处置建议。

说明：该参数要求是根据本项目实际需求而设定，旨在提供全面的数据安全保障。参数中提到支持导出安全报告的功能是为了方便用户获取定制化的风险报表。用户可以根据自身需求选择指定的应用范围、风险类型、处理状态和时间范围，导出符合其需求的报表。这样的设计是为了提供更灵活、个性化的报告服务，使用户能够更好地理解和处理风险事件；自动生成API资产统计结果、脆弱性事件趋势、风险事件处理结果、脆弱性和访问风险分析结果以及处置建议，这些功能的设置是为了提供全面的风险分析和处置建议，通过自动化生成报告有助于用户可以迅速了解业务的风险情况，可以利用系统生成的简易来对业务系统进行优化，进行策略调整，在整体安全运营中尤为必要。

（6）支持将对接的数据库审计系统进行数据库敏感数据日志进行详细记录，日志内容包括：访问时间、源IP、源端口、数据库名称、目的端口、账号、数据类别、数据来源等信息。

说明：参数要求是根据本项目实际需求，旨在提供全面的数据安全保障。参数的设定是为了满足本项目对数据安全检查服务的实际需求，参数中提到的支持将对接的数据库审计系统进行数据库敏感数据日志进行详细记录的功能，是为了帮助用户能更好地监控和追踪数据库的访问情况，避免API调用数据库数据产生的异常风险。这些日志记录的内容包括访问时间、源IP、源端口、数据库名称、目的端口、账号、数据类别、数据来源等信息，是为了提供更全面、详细的数据库审计功能，可以帮助安全运营人员及时发现和应对潜在的安全风险。

（7）支持流量解析方式来发现应用是否涉敏，实现应用、接口、敏感数据关联关系的自动梳理，统计应用的域名、地址、关联的API、敏感数据类型等，并通过标识应用等级来区分需要重点关注的应用资产列表。(需提供功能截图证明)得1.5分。

说明：本参数要求是根据本项目实际需求而设定的，其中，支持流量解析方式来发现应用是否涉敏，实现应用、接口、敏感数据关联关系的自动梳理的功能是为了更好地识别和管理敏感数据。通过流量解析，能够自动梳理应用、接口和敏感数据之间的关联关系，并统计应用的域名、地址、关联的API、敏感数据类型等信息。这样的设计是为了提供更全面、准确的敏感数据管理功能，另外通过标识应用等级来区分需要重点关注的应用资产列表，有助于安全运营人员在工作中可以更好地关注一些重点事件，根据优先级合理安排时间处理威胁事件。

2.攻防实战演练平台服务所需服务工具需提供以下功能服务：

（1）平台能够支持护网任务的编排，护网任务能够对任务关联的红方队伍、裁判队伍和任务的目标进行关联，关联后红方、蓝方登录平台仅查看系统分配的关联任务。

说明：护网演练过程中，护网目标资产、红方队伍、蓝方队伍、裁判队伍，都是护网过程中必不可少的重要组成因素。确定以上因素为，需要根据演练需求进行护网任务的编排。通过护网任务编排，可以快速关联包括此次护网涉及到的红方队伍、蓝方队伍及本次的裁判队伍。同时，由于蓝方队伍所对应的护网目标是特定的（一般为本单位资产），所以需要关联目标任务目标，且由于任务不同，红蓝双方所看到的界面也不相同。故该功能为攻防演练平台的常见安全功能和关键核心功能。

（2）系统应内置centos、ubuntu,kali,winxp,win7,win10,winserver2003,winserver2008,winserver2012等多个操作机模板，支持动态调度私有云计算中心的所有计算、存储、网络资源，并部署相关的模板，支持虚拟网络上的攻击机能够访问实网并进行渗透攻击。

说明：在进行护网演练时，为能全面监控红方队员的攻击行为，确保演练的安全性，所以要求红方队员利用平台内置的操作机模板实施攻击行为，所以平台需具备操作机，考虑到不同选手不同操作习惯以及不同攻击手段所需要不同的操作系统支撑，为了满足不同选手的需求，故要求平台须涵盖多种类型及版本的操作机，且以上操作机为常规操作系统，该功能为攻防演练平台的必要功能和核心功能。

（3）红方队员可在授权范围内手动指定系统类型、版本号和主机大小进行申请操作机的操作，虚拟主机申请后红方可直接接入主机，红方操作机的IP地址首次获得由系统自动分配共享地址。

说明：为能全面监控红方队员的攻击行为，确保演练的安全性，所以要求红方队员利用平台内置的操作机模板实施攻击行为，同时考虑到不同选手不同操作习惯以及不同攻击手段所需要不同的操作系统支撑，了提供更灵活的操作和管理方式，红方队员可以在授权范围内手动指定操作系统类型、版本号和主机大小进行申请操作机的操作。一旦虚拟主机被分配，红方可以直接接入主机进行操作，并且操作机的IP地址由系统自动分配共享。该功能为护网演练过程中红方队员实施攻击的必要功能和核心功能。

（4）红方在接入主机后能够对红方的操作进行实时监控，包括桌面实时监控、操作指令实时监控和进程实时监控，桌面监控支持4分屏模式。

说明：在进行护网演练时，由于是对现网系统进行攻击，该功能的目的能全面监控红方队员的攻击行为，当发生对现网危险行为时，能尽快溯源定位，以确保演练的安全性，通过对红方操作的实时监控，平台需要提供桌面和指令的实时监控功能。这意味着裁判和其他参与方可以实时监视红方操作机的桌面内容、操作指令以及运行的进程。此外，平台支持4分屏模式，是为了便同时监视多个操作屏幕。故该功能为护网演练过程中红方队员实施攻击的必要功能和核心功能。

(5)3D态势能够实时展示网络攻击信息，包括攻击源、攻击路径和攻击目的信息，并能够根据不同攻击类型展示不同攻击特效。

说明：为了提供更直观的网络攻击信息展示，平台需要具备3D态势功能。通过该功能，平台可以实时展示攻击源、攻击路径和攻击目的等信息，并根据不同的攻击类型展示不同的攻击特效，使演练更加生动和真实。态势展示在攻防演练中为必备的功能，国内进行攻防演练时，皆会提供态势展示，为方便现场观众和相关人员了解演练实时情况。

贵公司质疑事项缺乏事实依据，质疑事项不成立。

质疑事项3：

针对采购文件第四章第二部分评审标准---第3项商务分中（5）-（11）项内容。

贵公司认为：

招标文件对招标内容设置不合理条件，限制或排斥潜在投标人。招标文件设置的技术条件与采购项目的实际需求不相适应。

【1】（5）项参数“具有ITSS运行维护服务、云计算服务或数据中心服务类型的信息技术服务标准符合性证书”以及（6）项参数“投标供应商具备CS信息系统建设和服务能力等级二级或以上的”，以上资质证书与本次招标内容中的广西数字政府一体数据安全技术检查服务和广西数字政府一体安全攻防演练服务并无相关性，与本次招标项目主体内容的实际需求不相适应，作为加分项，通过设置限制条件、提高参与门槛，通过隐含的倾向性，限制、排斥其它投标人提出质疑，严重违背了招标法的公平、公正的原则。

【2】（7）项参数中“参与（含组织承办或作为攻击队、防守队参加）过省级网络攻防演习或组织承办过市级网络安全攻防演习的”、（8）项参数中“参加省级网络（数据）安全类大赛的”、（10）项参数中“平台承载过省级及以上级别演习的”，均以特定行政区域或者特定行业的业绩、奖项作为加分条件，严重违背了招标法的公平、公正的原则。

【3】（9）项参数中设定特定的证明作为加分项，对投标人实行差别待遇或者歧视待遇，据了解业内主流安全厂商的“数据处理活动风险评估”的软件工具不具备上述描述的证明材料，并无三家或三家以上的厂商能够满足，具有明显的排他性和指向性，严重违背了招标法的公平、公正的原则。

【4】（11）项参数中设定特定的参与规范，以特定行政区域或者特定行业的业绩、奖项作为加分条件，对投标人实行差别待遇或者歧视待遇，并具有明显的指向性。据了解业内主流安全厂商的“数据安全（API深度威胁检查）”的服务工具不具备上述描述的证明材料，并无三家或三家以上的厂商能够满足，具有明显的排他性和指向性，严重违背了招标法的公平、公正的原则。

质疑答复3：

【1】信息技术服务标准（ITSS）是由政府部门和行业组织发布的，ITSS的生命周期主要包含五个阶段，第一个阶段是规划设计阶段，主要是负责对IT服务进行全方位的规划与设计，第二个阶段是部署实施阶段，即根据第一阶段的规划设计建立相应的管理体系，对IT服务的构成元素进行合理分配，并且提出服务解决措施，第三个阶段是服务运营阶段，即通过全方位的过程管理，确保业务具备持续性，让客户的运营与IT服务的运营结合到一起，第四个阶段是持续改进阶段，即定期进行检查和评审，及时发现IT服务过程当中出现的问题，及时进行改进，以便于提升IT服务质量，第五个阶段是监督管理阶段，即按照ITSS相关质量评价标准，进行相关服务的考核，评价在IT服务过程中的服务质量情况，监督服务交付的过程与结果，并且进行考核与评估。CS信息系统建设和服务能力等级的评价标准包括：1. 信息系统建设能力：评估企业在信息系统规划、需求分析、系统设计、系统和系统测试等方面的能力，包括技术水平、项目管理能力和质量控制等方面。2. 信息系统服务能力：评估企业在信息系统运维、故障处理、用户支持和系统维护等方面的能力，包括服务响应速度、问题解决能力和客户满意度等方面。3. 信息安全管理能力：评估企业在信息安全策略、安全控制、风险管理和应急响应等方面的能力，包括信息安全意识、安全措施和安全管理体系等方面。4. 信息化管理能力：评估企业在信息化战略、组织架构、人才培养和资源管理等方面的能力，包括对信息化的战略规划、组织管理和人才培养的能力。

本项目采购需求中安全检查包括：组织架构、制度流程、个人信息处理、数据活动、风险评估与检查、应急处置、教育培训的工作有效性，识别其中数据安全风险，并能根据专业安全知识针对风险评估发现的问题进行优先级排序并提供修复建议。本项目服务内容涉及维护检查服务、云计算检查服务和数据中心检查服务等多个内容，检查内容涉及面较广，服务质量要求严格，考核标准规范化，因此评审因素与项目需求相匹配且不具有排他性。

【2】本项目需求为：提供自治区级安全检查和攻防演练活动服务。因此评审因素中对供应商参与过省级或组织承办过市级相关比赛是对供应商具备承接此级别项目履约能力和经验的考察；其次，省级、市级以上不属于特定行政区域，各地市、省份案例均可使用。不存在特定行政区域或者特定行业的业绩、奖项作为加分条件的情形。因此评审因素与项目需求相匹配且不具有排他性。

【3】该项评分对象并非本项目竞标供应商，而是提供“数据处理活动风险评估”服务时所需软件工具提供厂商。该项目涉及到API端口风险、安全威胁、黑客攻击和各种漏洞的检测，考验产品和服务对“未知威胁检测”的能力，如不具备对“未知威胁检测”的能力，将无法面对新型的漏洞、病毒、木马和攻击进行检测和提前防护，难以满足该项目的需求。因此该项内容为符合项目实际使用需求的合理性要求，根据采购人市场调研，市场具备三家以上厂商满足要求，所以不具有排他性和唯一性。

【4】该项评分对象并非本项目竞标供应商，而是提供“数据安全（API深度威胁检查）”服务时所需服务工具提供厂商。“信息系统安全审计产品”是该服务工具的所属分类，“国家级”不属于特定行政区域，根据采购人市场调研，存在多个信息系统安全审计产品的国家级标准和国家级奖项，且存在三家以上厂商能够满足第（11）条，所以不具有排他性和唯一性。

贵公司质疑事项缺乏事实依据，质疑事项不成立。

与质疑事项相关的质疑请求：

要求：删除质疑事项1、质疑事项2、质疑事项3的招标内容。

综上所述，贵公司所质疑事项均缺乏事实依据，质疑事项不成立，质疑请求予以驳回。

根据《政府采购质疑和投诉办法》（财政部令第94号）第十六条“采购人、采购代理机构认为供应商质疑不成立，或者成立但未对中标、成交结果构成影响的，继续开展采购活动”的规定，本项目继续开展采购活动。

贵公司如对本次答复不满意，可在质疑答复期满后十五个工作日内向同级政府采购监督管理部门投诉。

感谢贵公司对本项目采购活动的监督与支持！

特此答复。

广西建设工程机电设备招标中心有限公司

2023年9月24日