关于“数据中心机房建设”招标文件质疑的回复

各投标人：

数据中心机房建设（项目编号：WJCG*******）招标文件的质疑已收悉，现答复如下：

1、招标要求：投标人同时具有ISO9001质量管理体系认证，ISO 27001信息安全管理体系认证证书，ISO 20000信息技术服务管理体系认证证书，ITSS信息技术服务运行维护标准符合性证书（壹级），CRCC信息安全服务资质证书，得5分，缺1项扣1分，扣完为止。

质疑：投标人综合实力要求的ITSS资质、CRCC信息安全服务资质证书不能作为限制或者有意屏蔽潜在投标人，根据中华人民共和国招投标法要求资质不得作为或限制潜在投标人参与竞标，破坏招投标市场的公平、公正市场，强烈建议删除此资质还招投标市场公平、公正。建议删除。

回复：投标人综合实力要求的ITSS资质、CCRC信息安全服务资质证书属于综合评审得分项，并非资格条款，无阻挠和限制供应商自由进入本地区和本行业的政府采购市场。并且，ITSS、CCRC国内主流厂商均有该认证资质，引入该项要求作为评定标准，要求参与项目的厂商具有丰富的技术及售后服务能力，能够更好的为本次项目服务，无限制、排斥投标人的行为。按原招标文件执行。

2、招标要求：考虑到本项目中涉及医院业务系统数据迁移，投标人为医疗软件制造厂商（具有自主知识产权的HIS\LIS\PACS\电子病历\集成平台产品）得5分，缺1项扣1分，扣完为止。

质疑：本次招标项目是一个硬件采购项目，而该要求一定程度上限制了潜在投标人竞标，有意提高采购标准，有严重的控标指向嫌疑，破坏招投标市场的公平、公正市场，违反了中华人民共和国政府采购法第七十一条：采购人、采购代理机构有下列情形之一的，责令限期改正，给予警告，可以并处罚款，对直接负责的主管人员和其他直接责任人员，由其行政主管部门或者有关机关给予处分，并予通报：（一）应当采用公开招标方式而擅自采用其他方式采购的；（二）擅自提高采购标准的；（三）以不合理的条件对供应商实行差别待遇或者歧视待遇的；（四）在招标采购过程中与投标人进行协商谈判的；（五）中标、成交通知书发出后不与中标、成交供应商签订采购合同的；（六）拒绝有关部门依法实施监督检查的。

建议修改为：投标人拥有医疗行业数据中心项目建设业绩的加5分；

回复：本次硬件采购项目是医院软件信息化的基础保障，离不开与业务软件整体集成，从而实现硬件效益最大化。招标人希望参与项目的厂商具有HIS/LIS等信息化业务系统建设经验，为保证项目的建设质量和实现项目总体建设目标。因此招标文件并没有具体的针对性和倾向性，不存在限制、排斥投标人的行为。按原招标文件执行。

3、招标要求：投标人具有信息系统集成壹级资质证书得5分,贰级得2分，其他不得分。

质疑：根据国务院“放管服”改革要求，“计算机信息系统集成企业资质认定”己于2014年由国务院明令取消，任何组织和机构不得继续实施。存在上述问题的应立即纠正，确保国务院的“放管服”改革要求落实到位：该证书已改由中国电子联合协会颁发，不具备官方公信力，如2014年以后成立的公司未取得该资质证书，应当是合格投标人，不应否决其投标。一定程度上限制了潜在投标人的参与。建议删除。

回复：依据评分标准描述，属于综合评审得分项，并非资格条款，不满足此条评分标准，不会否决投标人投标。所以不存在限制潜在投标人的参与。同时国务院取消的对该资质的是审批事项，并未取消计算机信息系统集成资质证书，评审之前发放的证书在有效期内继续有效，并且国内从事医疗行业的实力公司均有该资质，不存在限制、排斥投标人的行为。按原招标文件执行。

4、招标要求：（4）投标人具有CMMI5级认证证书得5分，CMMI4级及以下得2分。(5)投标人为该项目配备的项目经理须同时具备PMP认证和中国电子信息行业联合会颁发的项目经理资质的得5分，提供不全不得分。

质疑：该资质、证书要求目前市场上除了上海金仕达卫宁软件科技有限公司能完全满足，其他潜在投标人公司无法完全满足；《政府采购货物和服务招标投标管理办法》第二十一条：招标文件不得要求或者标明特定的投标人或者产品，以及含有倾向性或者排斥潜在投标人的其他内容。第六十八条招标采购单位有下列情形之一的，责令限期改正，给予警告，可以按照有关法律规定并处罚款，对直接负责的上管人员和其他直接责任人员，由其行政主管部门或者有关机关依法给予处分，并予通报；（四）以不合理的要求限制或者排斥潜在投标供应商，对潜在投标供应商实行差别待遇或者歧视待遇，或者招标文件指定特定的供应商、含有倾向性或者排斥潜在投标供应商的其他内容的；

因此我公司认为此次项目招标严重违反招标法的公平、公正的原则，具有严重的供应商倾向性，我公司保留向有关上级部门投诉的权利。

建议：对投标要求予以更改，让各潜在投标人公平参与。

回复：本次招标涉及医院患者隐私数据管理，对整体系统的安全稳定运行起到决定性作用，所以需要对投标厂商及配备的项目经理严格要求，需取得国际及国内通行的相关权威认证，符合相关规定和实际要求。全国通过CMMI级评估的公司数量众多，且CMMI各个级别均可得分。无限制、排斥投标人的行为。按原招标文件执行。

5、招标要求：投标人具备丰富的本地化信息系统建设经验，提供安徽省内三甲医院案例合同复印件，每提供1家得2分，最高得10分。（合同正文或附件等有效证明材料中必须包含信息系统硬件设备集成等内容。）（投标人应提供所有相应的合同关键页（包括但不限于首页、合同项目内容及签字盖章页）及能证明医院等级的网站截图等复印件，并标明使用单位的联系方式备查。）

质疑：本次项目招标人为望江县医院为二甲综合医院，而招标要求提供三甲医院案例，故意提高采购标准，屏蔽部分潜在投标人，违反了中华人民共和国政府采购法第七十一条：采购人、采购代理机构有下列情形之一的，责令限期改正，给予警告，可以并处罚款，对直接负责的主管人员和其他直接责任人员，由其行政主管部门或者有关机关给予处分，并予通报：（一）应当采用公开招标方式而擅自采用其他方式采购的；（二）擅自提高采购标准的；（三）以不合理的条件对供应商实行差别待遇或者歧视待遇的；（四）在招标采购过程中与投标人进行协商谈判的；（五）中标、成交通知书发出后不与中标、成父供应商签计采购合同的；（六）拒绝有关部门依法实施监督检查的。

建议修改为：投标人具备丰富的本地化信息系统建设经验，提供安徽省内二甲及以上医院案例合同夏印件，每提供1家得2分，最高得10分。（合同正文或附件等有效证明材料中必须包含信息系统硬件设备集成等内容。）（投标人应提供所有相应的合同关键页（包括但不限于首页、合同项目内容及签字盖章页）及能证明医院等级的网站截图等复印件，并标明使用单位的联系方式备查。）

回复：本次招标涉及医院患者隐私数据管理，对医疗系统的安全稳定运行起到决定性作用，所以需要对投标厂商严格要求。我院为望江县最大的综合性医院，正在逐步按照三级医院标准不断提高医院内涵质量建设，需评选出具有经验丰富、服务专业的供应商来进行合作。业绩是反映投标厂商实力的重要指标之一；投标厂商具有三甲医院的业绩，且三甲医院的建设经验越丰富，说明其实力被医疗机构认可度更高，更加具备建设医疗信息化集成的能力。按原招标文件执行。

6、招标要求：为保证投标人后期技术力量及服务及时性，因此要求投标人在安徽省设有固定的售后服务机构及稳定的技术服务团队，安徽本地人力投入量不得少于 200 人（含200人，提供2019年度（从2019年1月份开始）连续两月的员工本地社保缴纳证明材料）。

提供超过200人（含200人）社保的得5分，不提供或者提供人数达不到要求的不得分。

质疑：按照此招标文件要求，医疗行业的集成公司目前能综合满足该要求只有上海金仕达卫宁软件科技有限公司，故意设定限制条件提高采购标准，具有严重的指定和偏向性，严重的违背了招标的公平公正性，明显违反《中华人民共和国政府采购法实施条例》：第二十条采购人或者采购代理机构有下列情形之一的，属于以不合理的条件对供应商实行差别待遇或者歧视待遇：（二）设定的资格、技术、商务条件与采购项目的具体特点和实际需要不相适应或者与合同履行无关；（三）采购需求中的技术、服务等要求指向特定供应商、特定产品；（四）以特定行政区域或者特定行业的业绩、奖项作为加分条件或者中标、成交条件；（六）限定或者指定特定的专利、商标、品牌或者供应商；

建议修改为：为保证投标人后期技术力量及服务及时性，因此要求投标人在安徽省设有固定的售后服务机构及稳定的技术服务团队，安徽本地人力投入量不得少于10人，（含10人，提供2019年度（从2019年1月份开始)连续两月的员工本地社保缴纳证明材料），列出服务人员名单，不提供或者提供人数达不到要求的不得分。

回复：本次项目的本地化服务要求属于综合评审得分项，非资格条款，无阻挠和限制供应商自由进入本地区和本行业的政府采购市场。另外本项目是医院核心数据中心建设，对医院数据安全起到至关重要作用，售后服务机构的地点及服务规模直接影响到售后服务的质量、效率以及售后服务稳定性；无限制、排斥投标人的行为。按原招标文件执行。

7、出口防火墙 参数1：厂商CVE漏洞发现数超过120个，请给出漏洞发现列表（CVE编号，漏洞描述）；

质疑：漏洞发现的功能主要体现的是厂商漏洞挖掘能力，能力主要体现在入侵防御、漏洞扫描等设备上，并非防火墙上的主要体现，对于专业做防火墙的厂商来说明显有屏蔽嫌疑，而且能够满足该要求的厂商不足三家，违反了招投标法的要求，建议删除该参数；

回复：本次采购为下一代防火墙，部署在网络边界，包含防病毒与入侵防御模块，主要功能做边界隔离访问控制，抵御外部边界的病毒与入侵。对医院单位网络安全非常重要。Cve漏洞数量能够有效检验厂家入侵防御能力。此处可作为验证厂商提供下一代防火墙的入侵防御模块的抵御能力。此条参数维持不变。按原招标文件执行。

8、出口防火墙 参数2：3.支持外发信息的控制，可实现对BBS发帖的限制和关键字过滤；可实现发送微博信息的限制和关键字过滤；可实现对WEB邮件的收发限制和关键字过滤，要求支持5种以上的web邮件系统。支持对主流数据库基于用户的细粒度权限控制，实现对数据库服务器的保护（需提供功能截图证明并加盖投标人公章）。

质疑：对BBS发帖的限制和关键字过滤：可实现发送微博信息的限制和关键字过滤等相关功能是上网行为管理的功能，并且防火墙所特有的功能，WEB邮件的收发限制和关键字过滤是邮件安全网关的主要功能，以上均能非防火墙的功能要求，而且开启的话也是大大降低防火墙的性能，是控标参数。建议删除。

回复：医院单位与外联单位经过防火墙联通，目前医院单位与外联单位存在邮件通信，防火墙此功能为医院单位必要功能，不存在开启功能后大大降低性能。按原招标文件执行。

9、出口防火墙 参数3：产品资质：产品需入围Gartner 2019 年网络防火墙魔力象限；产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》，要求为三级；产品具有中国信息安全测评中心颁发的《信息技术产品安全测评证书》，级别EAL4+；产品具有中国国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》；中国信息安全测评中心颁发的信息安全产品自主原创证明；中国信息安全认证中心的《中国国家信息安全产品认证证书》，要求为三级。提供以上有效期内证明，原件扫描件或者复印件加盖投标人公章。

质疑：经过市场调研发现同时满足以上所有资质要求的厂商不足三家，违反了招投标法的要求，为了确保招投标的公平合理，建议将参数调整为“产品资质：产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产口销售许可证》，要求为三级：产品具有中国信息安全测评中心颁发的《信息技术产品安全测评证书》，级别EAL4+：产品具有中国国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》；中国信息安全测评中心颁发的信息安全产品自主原创证明；中国信息安全认证中心的《中国国家信息安全产品认证证书》，要求为三级。提供以上有效期内证明，原件扫描件或者复印作加盖投标人公章”；

回复：Gartner 魔力象限是评估安全厂商综合实力的重要体现，并具有广泛性，主流防火墙安全厂家，山石网科，奇安信，360等厂商均入围2019garner 魔力象限，且满足本次参数要求的所有资质证书，为保证医院单位选择优秀产品与厂家，按原招标文件执行。

10、出口防火墙 参数4：厂商资质：设备厂商是GA/T 1177-2014（信息安全技术 第二代防火墙安全技术要求）标准起草单位；国家级网络安全应急服务支撑单位；具备CISSP授权培训资格，提供 (ISC)2 官方授权培训服务提供商证书；《信息安全服务资质证书（安全工程类三级）》。提供以上有效期内证明，原件扫描件或者复印件加盖投标人公章。

质疑：CISSP授权培训资格与防火墙的采购有何直接关系，而且CISSP资质是国外资质，并且国内资质，该条参数明显为控标参数，可以改成国内认证的授权培训资格，建议参数调整为“设备厂商是GA/T 1177-2014（信息安全技术第二代防火墙安全技术要求）标准起草单位；国家级网络安全应急服务支撑单位；具备CISP授权培训资格：《信息安全服务资质证书（安全工程类三级）》。提供以上有效期内证明，原件扫描件或者复印件加盖投标人公意”；

回复：目前cisp为信息安全服务的的基础入门证书，部分小型安全厂商也拥有cisp授权培训资格，不能综合体现厂商实力。而cissp为国际认证，对厂商要求较高，能体现出厂商的综合实力，帮助医院单户选择优质产品与厂家，多家厂商如天融信，蓝盾等都均可满足此资质，按原招标文件执行。

11、日志审计 参数1：支持安全页面（SSL）证书下载；（提供相关产品截图证明并加盖投标人公章）；

质疑：安全页面（SSL)证书下载一般在用于串接设备做SSL加解密使用，并且旁路设备日志审计的功能，该功能在日志审计设备上无使用价值，也是典型的控标参数，建议删除该参数：

回复：该功能并非用于串接设备做加解密使用，由于浏览器对 HTTPS 服务的非授权机构授权证书不信任，浏览器会弹出信任警告，通过安全页面（SSL）证书认证，方可使其信任该页面，该功能并非无价值。按原招标文件执行。

12、日志审计 参数2：支持自定义三层业务策略：支持通过该策略配置，识别数据库三层架构中用户信息；（提供产品页面截图证明并加盖投标人公章）

质疑：该功能与日志审计产品产品功能毫无关系，对于日志审计的产品策略配置、日志存储和日志分析无关，是典型的控标参数，不满足三个厂商，为保证招投标的公平公正，建议删除该条参数。

回复：三层业务策略属于日志审计的核心功能，可以针对数据库三层数据做审计，并且能够审计到一些中间件，例如tomcat，符合医院单位的实际需求，并且根据市场调研，主流的设备厂商均可满足。按原招标文件执行。

13、数据库审计 参数1：支持与上网行为管理设备的上网日志做结合分析，通过全面分析展示泄密内容、数据泄密轨迹、外发文件内容，并通过视图化的直观展现；（投标时须提供相关证明材料，包括但不限于检测报告、功能截图、官网截图）

质疑：该功能要求具有典型的控标嫌疑，屏蔽了专业的数据库审计厂商，很多专业的数据库审计厂商无上网行为管理设备，该功能必须同一品牌下才可使用，而且根据市场调研，满足该功能要求的厂商不足三家，为保证招投标的公平公章，建议删除该条参数。

回复：该功能能良好检测主机是否失陷或存在风险访问。要求结合上网日志、数据库日志做数据泄密分析为正常思路逻辑，且符合等保审计要求，并且主流厂商都可以满足与上网行为管理设备的上网日志做结合分析。按原招标文件执行。

14、数据库审计 参数2：支持与本次所投防火墙联动，准确阻断和防止webshell攻击，防止造成数据库泄密；（投标时须提供相关证明材料，包括但不限于检测报告、功能截图、官网截图）

质疑：该功能要求具有典型的控标嫌疑，屏蔽了专业的数据库审计厂商，很多专业的数据库审计厂商无防火墙设备，该功能必须同一品牌下才可使用，而且根据市场调研，满足该功能要求的厂商不足三家，为保证招投标的公平公章，建议删除该条参数。

回复：WebShell后门具有隐蔽性,一般有隐藏在正常文件中并修改参数完成隐藏和执行脚本，造成数据泄密，为最基本、最常见的攻击手段之一，缺乏经验的管理人员难以发现，为保障医疗数据的高安全性及高可用性，按原招标文件执行。

15、数据库审计 参数3：支持数据库访问可视化和威胁分析，可以提供数据库系统、业务系统、运维人员、互联网接入之间的访问关系以及交互式分析，可以通过多维度展示具体人员、具体事件、具体内同、高危操作、登录失败、访问次数的视图，可通过自定义交互分析设置正常访问和异常访问视图、数据库泄密分析、数据库风险、外发数据人员、受攻击业务系统、风险总次数这几个维度实时监控内网数据威胁态势方便快速溯源。（投标时须提供相关证明材料，包括但不限于检测报告、功能截图、官网截图）

质疑：该功能参数为某厂商独有功能，是典型的控标参数，可以通过多维度展示具体人员、具体事件、具体内同、高危操作、登录失败、访问次数的视图功能为某厂商独有，每个数据库审计审计厂商都有自己独有的视图，且各厂商视图均不相同，不能以某一个厂商的标准作为参数，违反招投标的公平公正，鉴于以上说明，建议删除该条参数。

回复：考虑到数据库有一定运维专业水平要求，故此参数对可视化提出了相关要求，针对具体人员、事件、高危操作等进行分析以及视图化结果展示，从正异常访问、泄密、系统风险等多个维度提出了态势展示方便快速溯源的需求，主流数据库审计厂商均具备相关能力。按原招标文件执行。

16、备份一体机 参数1：6、为方便远程维护管理，要求配置带外管理模块，实现远程对一体机设备查看硬件状态及电源管理；

质疑：远程管理的目的和带外管理模块没有直接关系，这里较为牵强。建议修改为Web管理访问，能够在内网环境中任意电脑中进行https登录即可完成远程维护管理。

回复：针对提出“远程管理的目的和带外管理模块没有直接关系”，而常规远程设备管理一般通过带内完成，如使用的WEB控制、远程桌面、ssh，交换机的telnet等，这些都是基于设备操作系统来对设备进行管理和维护。当系统出现问题时则无法进行远程维护，此时一是现场处理，另外的方法则是使用设备提供的带外管理接口。带外管理是基于硬件的一种管理方式，使用专用硬件模块或特殊的远程管理卡提供管理接口，通过专用的数据通道对设备进行远程维护和管理，完全独立于设备操作系统之外，甚至可以在设备关机状态下进行远程监控与管理。目前绝大部分IDC机房中设备都会提供带外管理接口，部分网络设备也提供的带外管理接口。如果仅参考你方的建议只采用web管理访问，那么当设备处于关机上电等情况下就必须进行现场处理无法进行远程操作，会对维护造成不便，你方所建议的通过web进行远程管理本身就是系统的基本功能，但不能涵盖所有远程维护管理要求。同时招标要求中也已明确了需要实现web对系统方面的管理配置要求，按原招标文件执行。

17、备份一体机 参数2：11、文件系统的块级备份功能扩展到数据库，能实现对大型数据库做永久增量+合成全备份，解决大型数据库全备份时间窗口太长的问题，提供逻辑表的恢复和即时恢复功能，为用户的恢复提供了便利性和实效性；

质疑：要求恢复提供便利性和实效性，和采用怎么备份没关系，应该是怎么恢复有关系。建议修改为：1、应提供多种恢复方式，能够在较短时间恢复业务。灾备系统自带虚拟化应急接管系统，无需额外配置应急服务器即可自建虑拟机，可配置多个应急接管业务主机同时接管多个业务系统：2、提供支持在任意品牌/技术/芯片组的X86物理机、虚拟机和云主机之间配置热备HA架构，原机正常提供业务服务、备机Standby，且按策路和原机保持数据同步。原机故障时可秒级业务切换到备机，保障业务服务的连续性。3、无预置任何目标机环境（日标机无操作系统、目标机和原机操作系统不一致、目标机无应用系统、目标机无数据库等）下，能够将备份的Vmware虚拟机自动化的恢复到其他物理机和其他品牌虚拟机上，千兆网络环境下RTO小于15分钟；

回复：技术要求是针对虚拟化系统的备份指标，而该技术指标是针对数据库应用进行的针对性保护，为减少数据库备份而引起的对数据库性能影响故要求有效减少备份时间窗口，同时考虑在数据库恢复时并不是所有场景都需要进行全库恢复，只需恢复其中的某些数据表，故要求系统支持数据库逻辑表恢复提升业务恢复时效性。而你方来函中的技术建议是针对虚拟机级别的数据保护要求，与数据库应用级别数据保护概念不同，按原招标文件执行。

18、备份一体机 参数3：13、支持多种模式防止勒索病毒对数据的破坏，客户端软件定时检查蜜罐文件，防止任何非备份进程修改备份磁盘上的数据；

建议修改为：提供CDP持续数据保护功能，实时备份磁盘鱼任意时刻的状态，备份时间粒度最小可达微秒级（百万分之一秒）实现RPO趋近于0，且对被保护服务器性能影响小于1%。

回复：招标技术中已明确需要“防止任何非备份进程修改备份磁盘上的数据”而不是防止医院端数据被勒索病毒感染，备份是数据的最后一道生命线，如果备份数据都被勒索病毒影响，那么将对用户造成巨大的损失，CDP技术可以实现持续数据保护功能并可以做到数据回退，但是如何避免勒索病毒感染CDP目标端上的数据，你方建议的CDP技术针对前端生产数据的保护，该技术指标是强调针对已备份数据的安全性防护，两者要求防护对象不同。按原招标文件执行。

另外，商务标（30分）

修改为：

 

望江县医院

望江县项目咨询管理有限公司

2019年12月20日