质疑答复函
中航智能建设（深圳）有限公司：
我委于2019年10月21日收到你公司关于眉山市社会信用信息共享平台建设项目（项目编号：MSCG*******）的采购项目《质疑函》，感谢你公司对该项目的关注和参与，关于你公司对招标文件有关问题的质疑，我委在收到《质疑函》后，本着对项目负责的态度，组织有关单位对问题进行了认真理解和调查，现将质疑事项答复如下。
一、质疑内容：第四章招标项目技术、服务及其他要求—3.1采购需求表：日志审计系统的技术参数与要求“1.★软件包，提供主机操作系统、网络设备、安全设备日志收集、查询、告警、审计、报表等功能。支持≥30个审计对象授权”。
质疑答复：日志审计系统可通过软件、硬件、软硬件一体等形态实现。由于本项目涉及资产较多，设备或系统产生的安全日志、运行日志、操作日志等较多，为便于项目后期扩容，在项目设计和需求论证过程中，选择升级扩容简单的软件形态，在保证系统安全可靠的基础上亦能满足国家法律法规对日志存储时间的要求。通过信息系统安全产品销售许可服务平台（https://www.ispl.cn）进行查证（下同）有多家满足软件形态部署。综上，此项功能参数符合政府采购法，不存在排他性，保持原招标文件参数。
二、质疑内容：第四章招标项目技术、服务及其他要求—3.1采购需求表：日志审计系统的技术参数与要求“系统支持海量日志关联分析功能，采用海量日志关联分析（提供如国家信息安全测评中心、公安部信息安全产品检测中心、国家知识产权局等任一家国家权威机构或合法的第三方机构相关证明材料，并加盖投标人鲜章或提供国家相关机构证明材料，并加盖投标人鲜章）”。
质疑答复：
1、根据“计算机信息系统安全专用产品检测和销售许可证管理办法（公安部令第32号）”第三条和第四条规定：中华人民共和国境内的安全专用产品进入市场销售， 实行销售许可证制度。安全专用产品的生产者在其产品进入市场销售之前， 必须申领《计算机信息系统安全专用产品销售许可证》（以下简称销售许可证）；安全专用产品的生产者申领销售许可证，必须对其产品进行安全功能检测和认定。
根据《信息安全技术日志分析产品安全技术要求》（GA/T 911-2010）要求，进行关联事件分析测评要求公安部颁发销售许可证的前提条件。
2、为允许达到质量标准的产品进入采购范围，招标文件要求提供任一家国家权威机构或合法第三方机构相关证明材料即可，目的是加强对产品质量、安全性等内容的保证（下同）。该要求中关于“海量”的描述指大量，在实际工作中，信息系统涉及日志信息表述时，经常会引用“海量”一词。
综上，此项功能参数符合政府采购法，不存在排他性，保持原招标文件参数。
三、质疑内容；第四章招标项目技术、服务及其他要求—3.1采购需求表：日志审计系统的技术参数与要求“6.系统具备日志范式化功能，实现对异构日志格式的统一化，范式化字段应包括事件接收时间、事件产生时间、事件持续时间、用户名称、源地址、源MAC地址、源端口、操作、目的地址、目的MAC地址、目的端口、事件名称、事件摘要、等级、原始等级、原始类型、网络协议、网络应用协议、设备地址、设备名称、设备类型等”。
质疑答复：据了解，范式化是数据库中一种常用术语，并非某一企业独有表述方式，为不产生指定性歧义，原参数要求描述修改为：“系统具备日志结构化功能，实现对异构日志格式的统一，结构化字段应包括事件接收时间、事件产生时间、事件持续时间、用户名称、源地址、源MAC地址、源端口、操作、目的地址、目的MAC地址、目的端口、事件名称、事件摘要、等级、原始等级、原始类型、网络协议、网络应用协议、设备地址、设备名称、设备类型等”。
四、质疑内容：第四章招标项目技术、服务及其他要求—3.1采购需求表：日志审计系统的技术参数与要求“13.★支持IP地址快速定位功能（提供如国家信息安全测评中心、公安部信息安全产品检测中心、国家知识产权局等任一家国家权威机构或合法的第三方机构相关证明材料，并加盖投标人鲜章或提供国家相关机构证明材料，并加盖投标人鲜章）”。
质疑答复：日志审计作为事后审计、取证调查、追踪溯源的重要支撑，需要对各种事件进行分析和审计，查找攻击的源头。根据质疑，结合国家标准《信息安全技术信息系统安全审计产品技术要求和测试评价方法》（GB/T20945-2013）对各种事件的审计和要求，将原参数“支持IP地址快速定位功能（提供如国家信息安全测评中心、公安部信息安全产品检测中心、国家知识产权局等任一家国家权威机构或合法的第三方机构相关证明材料，并加盖投标人鲜章或提供国家相关机构证明材料，并加盖投标人鲜章）”变更为“符合《信息安全技术信息系统安全审计产品技术要求和测试评价方法》（GB/T20945-2013）对各种事件的审计和要求（提供如国家信息安全测评中心、公安部信息安全产品检测中心、国家知识产权局等任一家国家权威机构或合法的第三方机构相关证明材料，并加盖投标人鲜章或提供国家相关机构证明材料，并加盖投标人鲜章）”。
五、质疑内容：第四章招标项目技术、服务及其他要求—3.1采购需求表：数据库审计系统的技术参数与要求“7．★支持基于被审计对象的报文过滤功能。（提供如国家信息安全测评中心、公安部信息安全产品检测中心、国家知识产权局等任一家国家权威机构或合法的第三方机构相关证明材料，并加盖投标人鲜章或提供国家相关机构证明材料，并加盖投标人鲜章）”。
质疑答复：数据库审计是针对数据库的增删查改等操作进行合规性审计和管理的系统，国家标准《信息安全技术信息系统安全审计产品技术要求和测试评价方法》（GB/T20945-2013）里面对数据库事件审计做了明确规定，包括数据库用户操作、数据库数据操作、数据库结构操作、数据库操作结果。此标准是公安部销售许可证测评的前提。针对数据库报文过滤的功能，目前不同企业安全设备实现机制不同，但均能达到功能目标。满足条件的企业查询渠道同第一条质疑答复内容。
综上，此项功能参数符合政府采购法，不存在排他性，保持原招标文件参数。
六、质疑内容：第四章招标项目技术、服务及其他要求—3.1采购需求表：数据库审计系统的技术参数与要求“10．★支持数据库错误信息提取功能（提供如国家信息安全测评中心、公安部信息安全产品检测中心、国家知识产权局等任一家国家权威机构或合法的第三方机构相关证明材料，并加盖投标人鲜章或提供国家相关机构证明材料，并加盖投标人鲜章）”。
质疑答复：国家标准《信息安全技术信息系统安全审计产品技术要求和测试评价方法》（GB/T20945-2013）对异常事件的审计分析做了相关规定，此标准是公安部销售许可证测评的前提。满足条件的企业查询渠道同第一条质疑答复内容。
综上，符合政府采购法的要求，不存在排他性，保持原招标文件参数。
七、质疑内容：第四章招标项目技术、服务及其他要求—3.1采购需求表：数据库审计系统的技术参数与要求“11．★数据库审计策略支持频次告警，某一操作在周期时间内达到设定的次数阀值即可告警，周期事件和次数可按需配置（提供产品功能截图证明，并加盖投标人鲜章）”。
质疑答复：当数据库访问操作事件命中数据库审计设置的策略，说明真实发现有异常数据库操作行为。异常数据库操作行为对数据库的破坏性是非常严重的，在本项目中设置频次告警，更能发挥数据库审计的作用。国家标准《信息安全技术信息系统安全审计产品技术要求和测试评价方法》（GB/T20945-2013）里面也明确做了规定：“信息系统安全审计产品应提供潜在危害分析功能，设置某一事件累积发生的次数或频率超过阀值的情况为潜在危害事件。”此标准是公安部销售许可证测评的前提。满足条件的企业查询渠道同第一条质疑答复内容。
综上，符合政府采购法的要求，不存在排他性，保持原招标文件参数。
八、质疑内容：第四章招标项目技术、服务及其他要求—3.1采购需求表：WEB应用防火墙的技术参数与要求“2.支持具蜜罐检测功能，诱使攻击方对它实施攻击，从而可以对攻击行为进行捕获和阻断（提供产品功能截图证明，并加盖投标人鲜章）”。
质疑答复：web攻击是网络黑客常见的攻击方式，如XSS攻击、CRSF攻击、SQL注入、网页挂马等。通过蜜罐技术，可以使攻击方对诱饵实施攻击，从而可以对web攻击行为进行捕获和分析。在安全领域有很多企业采用此项技术，但考略该项参数非国家标准《信息安全技术信息系统安全审计产品技术要求和测试评价方法》（GB/T20945-2013）强制要求，将原参数内容变更为“支持具蜜罐检测功能，诱使攻击方对它实施攻击，从而可以对攻击行为进行捕获和阻断”。
九、质疑内容：第四章招标项目技术、服务及其他要求—3.1采购需求表：WEB应用防火墙的技术参数与要求“3.★支持跨站脚本攻击的检测功能（提供如国家信息安全测评中心、公安部信息安全产品检测中心、国家知识产权局等任一家国家权威机构或合法的第三方机构相关证明材料，并加盖投标人鲜章或提供国家相关机构证明材料，并加盖投标人鲜章）”。
质疑答复：跨站脚本攻击（也称为XSS）指用网站漏洞从用户那里恶意盗取信息。国家标准《GB/T 32917-2016 信息安全技术WEB应用防火墙安全技术要求与测评评价方法》标准明确了：“4.1.1.2.2 WEB攻击防护功能应具备以下WEB攻击防护功能：a)SQL注入攻击防护 b)XSS攻击防护。”此标准是中国信息安全认证中心强制性认证（3C认证）的参照标准。
《GA/T 1140-2014 信息安全技术 web应用防火墙安全技术要求》规定：“8.1.2攻击防护产品应至少对以常见WEB攻击进行防护。a）SQL注入攻击；b）XSS攻击”。此标准是公安部销售许可证测评的前提。满足条件的企业查询渠道同第一条质疑答复内容。
综上，符合政府采购法的要求，不存在排他性，保持原招标文件参数。
十、质疑内容：第四章招标项目技术、服务及其他要求—3.1采购需求表：WEB应用防火墙的技术参数与要求“7.★支持SQL注入攻击检测的功能（提供如国家信息安全测评中心、公安部信息安全产品检测中心、国家知识产权局等任一家国家权威机构或合法的第三方机构相关证明材料，并加盖投标人鲜章或提供国家相关机构证明材料，并加盖投标人鲜章）”
质疑答复：与“九、质疑内容”同原因。
符合政府采购法的要求，不存在排他性，保持原招标文件参数。
十一、质疑内容：第四章招标项目技术、服务及其他要求—3.1采购需求表：WEB应用防火墙的技术参数与要求“10.★支持检测恶意HTTP请求的功能（提供如国家信息安全测评中心、公安部信息安全产品检测中心、国家知识产权局等任一家国家权威机构或合法的第三方机构相关证明材料，并加盖投标人鲜章或提供国家相关机构证明材料，并加盖投标人鲜章）”。
质疑答复：根据国家标准《信息安全技术WEB应用防火墙安全技术要求与测评评价方法》（GB/T 32917-2016）中4.2.1安全功能要求关于 4.2.1.1HTTP过滤功能和4.2.1.1.1允许/禁止HTTP请求类型应能对HTTP的请求类型（至少包括：GET、POST、PUT、HEAD、OPTIONS等）设置过滤规则，并根据过滤规则允许或者禁止访问。”
标准《web应用防火墙安全技术要求》（GA/T 1140-2014）中8.1.1过滤防护产品应根据以下内容对HTTP请求和响应进行过滤：a)HTTP的请求类型b)HTTP 请求的参数；c)HTTP请求头的长度；d)HTTP请求的文件；e)HTTP应答码、应答内容。GA/T 1140-2014标准是公安部销售许可证测评的前提。满足条件的企业查询渠道同第一条质疑答复内容。
综上，符合政府采购法的要求，不存在排他性，保持原招标文件参数。
十二、质疑内容：第四章招标项目技术、服务及其他要求—3.1采购需求表：WEB应用防火墙的技术参数与要求“13.★支持自动识别网页爬虫的功能（提供如国家信息安全测评中心、公安部信息安全产品检测中心、国家知识产权局等任一家国家权威机构或合法的第三方机构相关证明材料，并加盖投标人鲜章或提供国家相关机构证明材料，并加盖投标人鲜章）”。
质疑答复：根据《信息安全技术WEB应用防火墙安全技术要求与测评评价方法》（GB/T 32917-2016）标准中4.2.1.2.2. WEB攻击防护功能应具备以下WEB攻击防护功能：e)爬虫防护”和《web应用防火墙安全技术要求》（GA/T 1140-2014）中8.1.2攻击防护产品应至少对以下常见web攻击进行防护：c)信息泄露d)目录遍历；e)其他web攻击。”要求，此参数是国家标准规范要求。满足条件的企业查询渠道同第一条质疑答复内容。
综上，此项符合政府采购法，不存在排他性，保持原招标文件参数。
十三、质疑内容：第四章招标项目技术、服务及其他要求—3.1采购需求表：防病毒网关中的技术参数与要求“3.支持WEB控制功能模块，包括URL访问分类管理、网页关键字过滤、http文件下载类型管理等功能（提供产品功能截图证明，并加盖投标人鲜章）”。
质疑答复：防病毒网关具备web应用控制模块，或者防火墙（含防病毒功能）具备web应用控制模块，通过互联网关键词搜索，在市场上有安恒、亚信、网御星云等多家企业都满足。
综上，符合政府采购法的要求，不存在排他性，因此保持原招标文件参数。
十四、质疑内容：第四章招标项目技术、服务及其他要求—3.1采购需求表：防病毒网关中的技术参数与要求“10.★支持阻断TCP连接的功能（提供如国家信息安全测评中心、公安部信息安全产品检测中心、国家知识产权局等任一家国家权威机构或合法的第三方机构相关证明材料，并加盖投标人鲜章或提供国家相关机构证明材料，并加盖投标人鲜章）”。
质疑答复：防病毒网关或防火墙（含防病毒功能）都具备TCP连接阻断的功能，该需求符合《信息安全技术防火墙安全技术要求和测评评价方法》（GB/T20281-2015）相应的规定。通过互联网关键词搜索，在市场上有天融信、绿盟、深信等多家企业都满足。
综上，符合政府采购法的要求，不存在排他性，因此保持原招标文件参数。
十五、质疑内容：第四章招标项目技术、服务及其他要求—3.1采购需求表：防病毒网关中的技术参数与要求“13.★支持基于网络数据流的网络病毒检测（提供如国家信息安全测评中心、公安部信息安全产品检测中心、国家知识产权局等任一家国家权威机构或合法的第三方机构相关证明材料，并加盖投标人鲜章或提供国家相关机构证明材料，并加盖投标人鲜章）”。
质疑答复：防病毒网关的定位就是对网络数据流（如FTP，HTTP，POP3等）进行病毒查杀。该需求符合《信息安全技术防火墙安全技术要求和测评评价方法》（GB/T20281-2015）中6.3.1.2.4 恶意代码防护防火墙并具备有恶意代码检测功能，具体技术要求如下：a)不支持恶意代码检测。如蠕虫病毒、后门木马，网页挂马等，传播方式至少包括http、IM、FTP、邮件，实现针对各种协议的病毒流量的监测。b)并具备恶意网站过滤的功能。内置恶意网站库并能够及时更新及自定义恶意网站，恶意网站对成人类型，赌博类型等非法或不良网站形成分类。c）并能够检测并拦截HTTP网页和电子邮件携带的恶意代码”之规定。满足条件的企业查询渠道同第一条质疑答复内容。
综上，该需求符合政府采购法，不存在排他性。保持原招标文件参数。
十六、质疑内容：第五章评分办法--4.3综合评分明细表--4综合实力:“1.投标人具有质量管理体系认证证书（ISO9001）、职业健康安全管理认证证书（OHSAS118001）、信息技术服务管理体系认证证书（IS020000、每少一项扣0.5分，扣完为止”。
质疑答复：
1、该评分项未通过注册资本金、资产总额、营业收入、从业人员、利润、纳税额等限制中小企业投标，且评分项中专门设有中小企业扶持加分项，不存在阻挠和限制中小企业自由进入本地区和本行业的政府采购市场的情况。
2、职业健康安全管理体系是世界贸易组织（WTO）“公平竞争”基本原则的体现，我国作为WTO成员国，理应推广职业健康安全管理体系。健康管理体系认证是对企业生产管理实力及产品质量具备权威认定，目前国内较多企业具备该资质，符合政府采购法的要求，不存在排他性，因此保持原招标文件关于该部分描述。
十七、质疑内容：第五章评分办法--4.3综合评分明细表--4合实力:2.投标人具备软件成熟度CMMI5证书的得1分，投标人具备软件成熟度CMMI4证书的得0.5分，不提供不得分。
质疑答复：本项目是城市级信用平台的建设，关乎我市政务、产业、与民生等各领域，各类信用信息和信用评价结果将服务和应用于对企业、个人和社会组织的联合奖惩、行政审批、分级分类监管等重要工作中，不容出错，所以本项目要求承建商必须拥有较强的软件开发、建模实施及数据分析能力。本项目在履约能力中对投标人具备软件成熟度级别设置为评分项，是为了保障项目顺利实施。所设置的评定条件完全符合本项目建设需求，因此维持原要求内容。
十八、质疑内容：第五章评分办法--4.3综合评分明细表--5履能力:1.所有投标产品须具有元数据仓储系统、信用大数据采集处理平台、互联网大数据采集监测管理平台、信用大数据可视化应用平台、身份及访问管理系统WEB通用报表平台软件，软件著作权证书和相应的第三方测试报告复印件（测试机构需具备CNAS认证资格，原件备查）附在投标文件中并加盖鲜章，每提供1个著作权及第三方测试报告复印件得0.5分，最多得3分。复印件模糊、不清楚、未加盖鲜章不得分。
质疑答复：
1、“元数据仓储系统”是本项目数据库建设中元数据库中最重要的系统之一，“信用大数据采集处理平台”是基于各类异构信用大数据资源，利用数据报表、多维分析、模型预测、关联分析、数据挖掘、可视化分析等技术，构建大数据监管分析模型，对信用数据加载并进行汇总、统计、监测、分析、挖掘，及时掌握信用主体经营行为、特征与规律的重要保证。本项目招标文件中所列的软件著作权证书均是本平台建设过程中所必需的核心产品，且都是目前通用软件产品，与项目建设实际需求密切相关。
2、眉山市社会信用信息共享平台建设项目并未限定特定区域或者特定行业。软件著作权证书并非业绩、奖项。
3、软件著作权证书是属于知识产权，是通过审核和登记并被国家认可。此招标文件中所列的软件著作权证书是考察投标人有、无软件开发能力的有力证明。软件著作权证书的提供也是对于项目使用方来说，不会产生因第三方提出侵犯其专利权、商标权或其它知识产权而引起的法律和经济纠纷。本项目招标文件中设立软件著作权证书作为加分项的要求是合理的，并无限制或者排斥潜在供应商。 4、该部门描述的第三方测试报告是指由CNAS认可的检测机构对于软件检测后形成的报告。第三方测试报告体现了对软件的功能、兼容性、安全性、可靠性、易用性、资源利用率、效率、用户文档等方面进行的测试和认证，可有效证明被测试软件的功能满足项目需求，符合国家相关标准法规，系统运行安全可靠。
综上所述，符合政府采购法的要求，因此保持原招标文件关于该部分描述。
十九、质疑内容：第五章评分办法—4.3综合评分明细表—履约能力：2.互联网WEB防火墙的生产企业在国家信息安全漏洞共享平台（CNVD）企业单位原创积分2500分以上（含2500分）的得5分，2000分（含2000分）至2499分得2分，1000分（含1000分）至1999分的得1分，其余不得分（提供国家信息安全漏洞共享平台CNVD官网链接截图证明，并加盖投标人鲜章）。
质疑答复：
1、该评分项不是废标项，是加减分项。
2、国家信息安全漏洞共享平台（CNVD）企业单位原创积分排名，并不属于《中华人民共和国政府采购法实施条例》第二十条：设定的资格、技术、商务条件与采购项目的具体特点和实际需要不相适应或者与合同履行无关。国家信息安全漏洞共享平台（CNVD）是国家网络安全权威平台，采购的安全产品希望产品生产企业安全实力越强越好，在国家信息安全漏洞共享平台（CNVD）上持续提交安全漏洞越多，说明产品的生产企业漏洞挖掘能力越强。
此项评分标准，既体现客户对安全的重视，也不违背政府采购相关政策法规。
二十、质疑内容：第五章评分办法—4.3综合评分明细表—5履约能力：项目组成员应至少包括：项目经理、运维经理、项目技术团队。（1）项目经理要求：具有信息系统项目管理师（高级）认证证书得1分，具有系统集成项目管理工程师（中级）认证证书得0.5分。（2）运维经理要求：投标人拟派运维经理具有信息系统管理师（高级）认证证书和系统分析师认证证书。同时具备两项资质的得1分，只有一项不得分。（3）技术团队要求：根据投标人为本项目配置专门的项目技术团队，其中具有系统架构设计师（高级）不少于1人；具有高级软件工程师不少于1人；具有CISP认证资质不少于1人；具有互联网技术认证（中级及以上通信专业职业资格证书）不少于1人，最多得2分，不满足每一项扣0.5分。（以上要求需提供人员名单、身份证、相应证书（如有提供）、本单位2019年连续6个月的社保证明材料盖单位公章）
质疑答复：
1、本项目涉及社会信用管理各个领域，且技术要求较高、较为复杂，实施过程中协调事项多，项目经理需要具备成体系的项目管理知识、具备项目进度、质量、各类风险的管控能力；本项目建设的核心是软件开发，在实施项目组成员中要求的信息系统项目管理师（高级）、系统分析师、系统架构设计师、高级软件工程师等均是依据本项目实施与管理要求而设定，且招标文件中所要求的人员资质属于全国计算机技术与软件专业技术资格（水平）认证。相应资格证书可证明项目组成员具有本项目的开发与实施工作能力。
2、计算机技术与软件专业技术资格（水平）考试是由国家人力资源和社会保障部、工业和信息化部领导下的国家级考试，其目的是科学、公正地对全国计算机与软件专业技术人员进行职业资格、专业技术资格认定和专业技术水平。考试合格者将颁发由中华人民共和国人力资源和社会保障部、工业和信息化部用印的计算机技术与软件专业技术资格（水平）证书，证书在全国范围内有效。通过考试获得证书的人员，表明其已具备从事相应专业岗位工作的水平和能力。并且计算机软件资格考试全国统一实施后，不再进行计算机技术与软件相应专业和级别的专业技术职务任职资格评审工作。招标文件中信息系统项目管理师属于高级认证，而系统集成项目管理师属于中级认证。相应资格考试，可通过四川省人力资源和社会保障厅人事考试专栏进行查询。
综上所述，根据质疑的问题，我委对采购文件三处内容进行了修改，其余质疑问题因缺乏事实依据，质疑不成立。如对本质疑答复不满意，根据《政府采购质疑和投诉办法》规定，可以在答复期满后十五个工作日内向眉山市财政局投诉。
眉山市发展和改革委员会
2019年10月29日

附件:

• 附件