中国邮政集团有限公司重庆市分公司信息网二级骨干网新增防火墙

答疑文件

中国邮政集团有限公司重庆市分公司信息网二级骨干网新增防火墙收到以下问题，现就潜在投标人提出问题的答复，发布如下：

问题1:技术要求中：技术需求 6、2、 ★千兆电口不少于8个，SFP口不少于8个，SFP+口不少于2个（以上接口均为独立物理接口，非Combo口），USB3.0不少于1个,提供一个独立带外管理1000M RJ45电接口；单台要求实配要2个10G SFP+多模光模块和8个SFP多模千兆光模块。为保障整机稳定性，所有接口为原始板载接口，非扩展插槽方式。质疑说明：如此夸张的原始板载明显偏离正常技术逻辑，为保障整机稳定性的依据无符合行业技术标准。技术要求中： 17、支持初始化的自动启动部署，可灵活迁移，按需弹性调整，持通过RESTAPI、支持Fwaas解决方案、支持RestfulAPI、支持Netconf等管理集成；支持图形化数据包路径检测工具，将数据包处理流程图形化的展示出来，以便故障排查，支持U盘开局，支持多配置文件备份。质疑说明：此参数与防火墙实际用途无关，构成明显倾向性和排他性，应删除。

答复1： 1、此要求为业务和运维实际需求。且符合项目具体特点和实际需要，目前国内多家主流厂商均可满足该业务需求，无品牌倾向和限制，各潜在投标人均可根据招标文件要求参与投标。 2、此要求对于提高设备的管理效率和运维便捷性以及实施部署有重要作用，符合项目具体特点和实际需要，各潜在投标人均可根据招标文件要求参与投标。

问题2：针对标书中第五章 技术需求中防火墙基本要求“千兆电口不少于8个，SFP口不少于8个，SFP+口不少于2个（以上接口均为独立物理接口，非Combo口），USB3.0不少于1个,提供一个独立带外管理1000M RJ45电接口；单台要求实配要2个10G SFP+多模光模块和8个SFP多模千兆光模块。为保障整机稳定性，所有接口为原始板载接口，非扩展插槽方式。”其中要求所有接口均为原始板载接口，通过和市面知名安全厂商如奇安信、天融信、华为、深信服、绿盟等沟通，标准产品接口必须定制化交付才能满足参数，因为严重怀疑此参数为某防火墙厂商独有款，具有非常明显的排他性，建议撤回本次招标，重新修订合理的基本要求。

答复2：此要求为我方业务和运维实际需求。且符合项目具体特点和实际需要，目前国内多家主流厂商均可满足该业务需求，无品牌倾向和限制，各潜在投标人均可根据招标文件要求参与投标。

问题3：一、质疑事项具体内容质疑事项：我公司认为采购项目名称：中国邮政集团有限公司重庆市分公司信息网二级骨干网新增防火墙项目的采购文件内容使我公司合法权益受到损害，现向贵单位提出书面质疑。望有关单位予以受理。事实依据1：根据招标文件“第五章 商务及技术需求中二、技术需求”防火墙设备参数规格内容：1. 基本要求中：5、所投产品采用前后通风的散热系统设计。上述参数要求产品存在明显唯一指向性，系华为技术有限公司独有参数，存在对供应商实行差别或歧视待遇，违法违规，符合《重庆市政府采购常见违法违规行为清单》中对供应商实行差别待遇或歧视待遇部分第9条：采购需求中的技术、服务等要求指向特定供应商、特定产品。此参数限制了充分竞争，遏制了技术的先进性及产品的优势性。

事实依据2：根据招标文件“第五章 商务及技术需求中二、技术需求”防火墙设备参数规格内容：2. 技术要求中： 4、★支持策略自学习，垃圾策略清理，支持聚合策略，策略助手支持生成基于服务的安全策略，安全策略支持导入/导出防火墙策略重复与冗余规则检测策略的服务元素，可直接配置端口和协议。经调研，这条参数系华为技术有限公司独有参数，此条参数要求产品存在明显唯一指向性，存在对供应商实行差别或歧视待遇，违法违规，符合《重庆市政府采购常见违法违规行为清单》中对供应商实行差别待遇或歧视待遇部分第9条：采购需求中的技术、服务等要求指向特定供应商、特定产品。此参数限制了充分竞争，遏制了技术的先进性及产品的优势性。

事实依据3：根据招标文件“第五章 商务及技术需求中二、技术需求”防火墙设备参数规格内容：10. ★支持IPv4以及IPv6路由能力，需要支持OSPF、BGP、RIP、ISIS等路由协议，同时支持策略路由以及ISP路由并内置多运营商路由表。ISIS协议用于在电信运营商网络中进行路由选择，对于绝大多数防火墙厂商来说，并不支持ISIS协议，此条参数要求存在明显偏向性，存在对供应商实行差别或歧视待遇，违法违规，符合《重庆市政府采购常见违法违规行为清单》中对供应商实行差别待遇或歧视待遇部分第9条：采购需求中的技术、服务等要求指向特定供应商、特定产品。此参数限制了充分竞争，遏制了技术的先进性及产品的优势性。

事实依据4：根据招标文件“第三章 评标办法” 商务得分内容：

1.满足GB/T 17626.5-2019 《电磁兼容试验和测量技术浪涌（冲击）抗扰度试验》。并提供由CNAS或符合CNAS《能力验证提供者认可准则》要求的检测报告文件；若为第三方检测机构，则提供检测机构在CNAS网站可下载的机构认证证书和机构详细信息，满足得3分，否则不得分。（提供相关证明材料并加盖原厂公章）防火墙是一种网络安全设备，用于监控和控制网络流量，以保护网络免受未经授权的访问、恶意攻击和数据泄露等威胁。它可以检测和过滤进出网络的数据包，根据预定义的安全策略进行访问控制和流量管理。电磁兼容试验和浪涌（冲击）抗扰度试验是对电子设备的电磁兼容性进行评估的一种方法。这些试验旨在确定设备在电磁环境中的抗干扰能力，以确保设备在正常运行时不会受到电磁辐射或电磁干扰的影响。二者并无实际强关联，参数存在明显唯一指向性，存在对供应商实行差别或歧视待遇，违法违规，符合《重庆市政府采购常见违法违规行为清单》中对供应商实行差别待遇或歧视待遇部分第9条：采购需求中的技术、服务等要求指向特定供应商、特定产品。此参数限制了充分竞争，遏制了技术的先进性及产品的优势性。

答复3：1、 根据我方冷通道封闭机房气流组织形式，机房温控和机柜通风的要求以符合节能减排。本项目招标文件根据《中华人民共和国招标投标法》等有关法律、法规和规章的规定，严格遵守“公平、公开、公正”的原则进行编制，且符合项目具体特点和实际需要，无品牌倾向和限制，各潜在投标人均可根据招标文件要求参与投标。 2、此要求为实际运维需要，该功能各大主流厂商均可满足。本项目招标文件根据《中华人民共和国招标投标法》等有关法律、法规和规章的规定，严格遵守“公平、公开、公正”的原则进行编制，且符合项目具体特点和实际需要，无品牌倾向和限制，各潜在投标人均可根据招标文件要求参与投标。3、条目所列协议均为通用的动态路由协议，我方现网中使用多种路由协议，包括且不限于ISIS路由协议，该要求符合项目具体特点和实际需要，无品牌倾向和限制，各潜在投标人均可根据招标文件要求参与投标。4、电磁兼容试验和浪涌（冲击）抗扰度试验是对电子设备的电磁兼容性进行评估的一种方法。这些试验旨在确定设备在电磁环境中的抗干扰能力，以确保设备在正常运行时不会受到电磁辐射或电磁干扰的影响。根据我方部署环境要求产品具备以上能力并有相关检测报告用于产品的可靠性佐证。目前有多家主流安全厂商产品通过该测试。本项目招标文件根据《中华人民共和国招标投标法》等有关法律、法规和规章的规定，严格遵守“公平、公开、公正”的原则进行编制，且符合项目具体特点和实际需要，无品牌倾向和限制，各潜在投标人均可根据招标文件要求参与投标。

问题4：质疑参数：第五章 商务及技术需求-二、技术需求-防火墙设备规格参数-1-基本要求

2、★千兆电口不少于8个，SFP口不少于8个，SFP+口不少于2个（以上接口均为独立物理接口，非Combo口），USB3.0不少于1个,提供一个独立带外管理1000M RJ45电接口；单台要求实配要2个10G SFP+多模光模块和8个SFP多模千兆光模块。为保障整机稳定性，所有接口为原始板载接口，非扩展插槽方式。质疑理由：在防火墙等网络安全设备中，为节约用户采购成本，均为不同型号的防火墙设置不同数量的网络接口，若用户需要更多接口，通过预制扩展插槽扩展网络接口是当前普遍的安全厂商解决方案。且扩展插槽作为当前各厂商普遍解决方案，其稳定性早已在多年的安全采购市场中经受过大量用户考验，不存在整机不稳定风险，同时扩展接口也能够灵活应对未来接口扩展需求，为更优解决方案。此条参数明显不合理。

修改建议：建议删除“为保障整机稳定性，所有接口为原始板载接口，非扩展插槽方式。”此描述。同时我方将保留向有关部门举报的权利

答复4：此要求根据我方业务和实际运维得出结论,各大主流厂商均可满足该业务需求。本项目招标文件根据《中华人民共和国招标投标法》等有关法律、法规和规章的规定，严格遵守“公平、公开、公正”的原则进行编制，且符合项目具体特点和实际需要，无品牌倾向和限制，各潜在投标人均可根据招标文件要求参与投标。

问题5：质疑参数：2.2.3-商务得分-设备电磁兼容抗干扰测试证明（3分）

满足GB/T 17626.5-2019 《电磁兼容试验和测量技术浪涌（冲击）抗扰度试验》。并提供由CNAS或符合CNAS《能力验证提供者认可准则》要求的检测报告文件；若为第三方检测机构，则提供检测机构在CNAS网站可下载的机构认证证书和机构详细信息，满足得3分，否则不得分。（提供相关证明材料并加盖原厂公章）质疑理由：当前各安全厂商具备严格且全面的质量管控和设备制造标准要求，其生产设备均经过浪涌抗干扰等测试。在各安全设备均能能够满足用户要求的前提下，在招标文件中继续将该检测报告文件作为加分项依据明显违反了政府采购法实施条例第二十条规定。且GB/T 17626.5-2019 《电磁兼容试验和测量技术浪涌（冲击）抗扰度试验》作为设备本身物理设备质量测试，通过该测试仅代表设备本身质量无问题，与本次招标要求中的技术功能要求无关，设置该参数存在明显不合理。法律依据：

（1）《中华人民共和国政府采购法实施条例》第二十条:采购人或者采购代理机构有下列情形之一的，属于以不合理的条件对供应商实行差别待遇或者歧视待遇:(一)就同一采购项目向供应商提供有差别的项目信息;(二)设定的资格、技术、商务条件与采购项目的具体特点和实际需要不相适应或者与合同履行无关;(三)采购需求中的技术、服务等要求指向特定供应商、特定产品。…(八)以其他不合理条件限制或者排斥潜在供应商。修改建议：建议删除该条参数。

答复5：电磁兼容试验和浪涌（冲击）抗扰度试验是对电子设备的电磁兼容性进行评估的一种方法。这些试验旨在确定设备在电磁环境中的抗干扰能力，以确保设备在正常运行时不会受到电磁辐射或电磁干扰的影响。根据我方部署环境要求产品具备以上能力并有相关检测报告用于产品的可靠性佐证。目前有多家主流安全厂商产品通过该测试。本项目招标文件根据《中华人民共和国招标投标法》等有关法律、法规和规章的规定，严格遵守“公平、公开、公正”的原则进行编制，且符合项目具体特点和实际需要，无品牌倾向和限制，各潜在投标人均可根据招标文件要求参与投标。

问题6：质疑参数：2.2.3-商务得分-供应链安全管理体系认证（3分）

投标产品厂商针对供应商具备严格的管控并能保障供应链安全，投标产品厂商获得供应链安全管理体系认证（ISO 28000），得3分。（提供证书复印件及以上证书在全国认证认可信息公共服务平台的备案查询截图，截图须体现证书编号，证书最新签发时间需在本次招标公告首次发布时间之前）。质疑理由：经我司查证，满足供应链安全管理体系认证（ISO 28000）及CVE 认证合作伙伴（Partner）两项的安全厂商仅有华为及山石两家，该参数存在明显恶意控标行为，目的旨在以该不合理条件限制或者排斥潜在供应商，违反政府采购法实施条例第二十条规定。法律依据：（1）《中华人民共和国政府采购法实施条例》第二十条:采购人或者采购代理机构有下列情形之一的，属于以不合理的条件对供应商实行差别待遇或者歧视待遇:(一)就同一采购项目向供应商提供有差别的项目信息;(二)设定的资格、技术、商务条件与采购项目的具体特点和实际需要不相适应或者与合同履行无关;(三)采购需求中的技术、服务等要求指向特定供应商、特定产品。…(八)以其他不合理条件限制或者排斥潜在供应商。修改建议：

建议删除该条参数。

答复6：根据我方本次采购设备在生产运行中的重要性，要求厂商对供应链厂商具备一定的安全管理能力，以确保产品质量稳定并具备相关资质佐证。目前国内有多家厂商通过该认证体系。本项目招标文件根据《中华人民共和国招标投标法》等有关法律、法规和规章的规定，严格遵守“公平、公开、公正”的原则进行编制，且符合项目具体特点和实际需要，无品牌倾向和限制，各潜在投标人均可根据招标文件要求参与投标。 CVE 是国际著名权威的安全漏洞库，也是对已知漏洞和安全缺陷的标准化名称的列表，它是一个由企业界、政府界和学术界综合参与的国际性组织，采取一种非盈利的组织形式，其使命是为了能更加快速而有效地鉴别、发现和修复软件产品的安全漏洞，目前国内大多数主流安全厂商也以CVE漏洞进行命名。正是由于目前大多数高级攻击和恶意攻击都源自国外，企业第一时间掌握国外攻击动向和国家国产化战略要求并不冲突，网络安全攻击不区分国内国外。目前CVE的Partner认证中，根据我方本次采购设备在生产运行中的重要性，要求本次采购的安全产品具备相应得漏洞兼容性，在其他条件相同情况下择优选择。目前国内多家主流安全产品均满足此项要求。本项目招标文件根据《中华人民共和国招标投标法》等有关法律、法规和规章的规定，严格遵守“公平、公开、公正”的原则进行编制，且符合项目具体特点和实际需要，无品牌倾向和限制，各潜在投标人均可根据招标文件要求参与投标。

问题7：质疑参数：2.2.3-商务得分-产品信息安全认证证书（3分）

所投产品获得由中国信息安全测评中心颁发的《国家信息安全测评信息技术产品安全测评证书》，EAL4+（或者EAL4增强级）及以上得3分质疑理由：《国家信息安全测评信息技术产品安全测评证书》信息技术产品分级评估是指依据国家标准 GB/T 18336—2015《信息技术 安全技术 信息技术安全评估准则》，综合考虑产品的预期应用环境，通过对信息技术产品的整个生命周期，包括技术、开发、管理、交付等部分进行全面的安全性评估和测试，验证产品的保密性、完整性和可用性程度，确定产品对其预期应用而言是否足够安全，以及在使用中隐含的安全风险是否可以容忍，产品是否满足相应评估保障级的要求。该证书要求与本次所招标产品实际功能和需求无关，存在排他性。法律依据：（1）《中华人民共和国政府采购法实施条例》第二十条:采购人或者采购代理机构有下列情形之一的，属于以不合理的条件对供应商实行差别待遇或者歧视待遇:(一)就同一采购项目向供应商提供有差别的项目信息;(二)设定的资格、技术、商务条件与采购项目的具体特点和实际需要不相适应或者与合同履行无关;(三)采购需求中的技术、服务等要求指向特定供应商、特定产品。修改建议：建议删除该条参数。

答复7：中国信息安全测评中心是我国专门从事信息技术安全测试和风险评估的权威职能机构。信息安全测评采用第三方专业、权威职能机构组织的国家信息安全测评结果，本次采购的产品属于安全类产品，与中国信息安全测评密切相关，同时根据我方本次采购设备在生产运行中的重要性，要求本次招标的安全产品在产品管理、功能、稳定性方面达到国家信息安全测评一定标准，在其他条件相同情况下择优选择。本项目招标文件根据《中华人民共和国招标投标法》等有关法律、法规和规章的规定，严格遵守“公平、公开、公正”的原则进行编制，且符合项目具体特点和实际需要，无品牌倾向和限制，各潜在投标人均可根据招标文件要求参与投标。

问题8：质疑参数：2.2.3-商务得分-产品信息安全认证证书（3分）

所投产品获得由中国信息安全测评中心颁发的《国家信息安全测评信息技术产品安全测评证书》，EAL4+（或者EAL4增强级）及以上得3分质疑理由：《国家信息安全测评信息技术产品安全测评证书》信息技术产品分级评估是指依据国家标准 GB/T 18336—2015《信息技术 安全技术 信息技术安全评估准则》，综合考虑产品的预期应用环境，通过对信息技术产品的整个生命周期，包括技术、开发、管理、交付等部分进行全面的安全性评估和测试，验证产品的保密性、完整性和可用性程度，确定产品对其预期应用而言是否足够安全，以及在使用中隐含的安全风险是否可以容忍，产品是否满足相应评估保障级的要求。该证书要求与本次所招标产品实际功能和需求无关，存在排他性。法律依据：（1）《中华人民共和国政府采购法实施条例》第二十条:采购人或者采购代理机构有下列情形之一的，属于以不合理的条件对供应商实行差别待遇或者歧视待遇:(一)就同一采购项目向供应商提供有差别的项目信息;(二)设定的资格、技术、商务条件与采购项目的具体特点和实际需要不相适应或者与合同履行无关;(三)采购需求中的技术、服务等要求指向特定供应商、特定产品。修改建议：建议删除该条参数。

答复8：中国信息安全测评中心是我国专门从事信息技术安全测试和风险评估的权威职能机构。信息安全测评采用第三方专业、权威职能机构组织的国家信息安全测评结果，本次采购的产品属于安全类产品，与中国信息安全测评密切相关，同时根据我方本次采购设备在生产运行中的重要性，要求本次招标的安全产品在产品管理、功能、稳定性方面达到国家信息安全测评一定标准，在其他条件相同情况下择优选择。本项目招标文件根据《中华人民共和国招标投标法》等有关法律、法规和规章的规定，严格遵守“公平、公开、公正”的原则进行编制，且符合项目具体特点和实际需要，无品牌倾向和限制，各潜在投标人均可根据招标文件要求参与投标。

问题:9：质疑参数：2.2.3-商务得分-兼容性认证（2分）投标厂商下一代防火墙通过国际 “CVE组织”（“Common Vulnerabilities & Exposures”通用漏洞披露）安全漏洞库严格的兼容性标准评审，厂商为CVE 认证合作伙伴（Partner），提供CVE防火墙兼容性认证证书及厂商合作伙伴信息可在CVE网站查询截图（提供有效证书复印件，并加盖原厂公章）。质疑理由：

CVE组织作为国外网络安全评估机构，且CVE是由美国国土安全部 (dhs) 网络安全和信息保证办公室 (OCSIA) 赞助的机构。在本次项目中，依据国家国产化信创战略要求，在国内拥有CNVD、CNNVD等多个权威漏洞认证机构的前提下，依旧选择采用国外安全机构的认证是否有失偏颇，且是否违反了财政部第87号令《政府采购货物和服务招标投标管理办法》-第十七条中的相关规定。且当前CVE的国内Partner认证中，网络安全厂商仅有山石一家，该评分项在无其它情形的情况下是否违反了政府采购法实施条例第二十条规定的情形。证明链接：https://www.cve.org/PartnerInformation/ListofPartners

法律依据:（1）《政府采购货物和服务招标投标管理办法》第十七条：采购人、采购代理机构不得将投标人的注册资本、资产总额、营业收入、从业人员、利润、纳税额等规模条件作为资格要求或者评审因素，也不得通过将除进口货物以外的生产厂家授权、承诺、证明、背书等作为资格要求，对投标人实行差别待遇或者歧视待遇。（2）《中华人民共和国政府采购法实施条例》第二十条:采购人或者采购代理机构有下列情形之一的，属于以不合理的条件对供应商实行差别待遇或者歧视待遇:(一)就同一采购项目向供应商提供有差别的项目信息;(二)设定的资格、技术、商务条件与采购项目的具体特点和实际需要不相适应或者与合同履行无关;(三)采购需求中的技术、服务等要求指向特定供应商、特定产品。修改建议:建议修改为产品制造商应是中国国家信息安全漏洞库（CNNVD）或国家信息安全漏洞共享平台（CNVD）技术支撑成员及提供CNNVD兼容性认证证书。

答复9： CVE 是国际著名权威的安全漏洞库，也是对已知漏洞和安全缺陷的标准化名称的列表，它是一个由企业界、政府界和学术界综合参与的国际性组织，采取一种非盈利的组织形式，其使命是为了能更加快速而有效地鉴别、发现和修复软件产品的安全漏洞，目前国内大多数主流安全厂商也以CVE漏洞进行命名。正是由于目前大多数高级攻击和恶意攻击都源自国外，企业第一时间掌握国外攻击动向和国家国产化战略要求并不冲突，网络安全攻击不区分国内国外。目前CVE的Partner认证中，根据我方本次采购设备在生产运行中的重要性，要求本次采购的安全产品具备相应得漏洞兼容性，在其他条件相同情况下择优选择。目前国内多家主流安全产品均满足此项要求。本项目招标文件根据《中华人民共和国招标投标法》等有关法律、法规和规章的规定，严格遵守“公平、公开、公正”的原则进行编制，且符合项目具体特点和实际需要，无品牌倾向和限制，各潜在投标人均可根据招标文件要求参与投标。

问题10：质疑参数：3. 投标人资格要求（3）投标人所投产品具有中国网络安全审查技术与认证中心颁发的 《IT产品信息安全认证证书》或中国信息安全测评中心颁发的《国家信息安全测评信息技术产品安全测评证书》，级别为EAL3及以上。质疑理由：

经调查EAL3级别的《IT产品信息安全认证证书》的标准和技术要求为：GB/T 18336-2015《信息技术 安全技术 信息技术安全评估准则》 CCRC-EAL-TR-007-2018《防火墙产品安全技术要求（评估保障级3增强级）》，《国家信息安全测评信息技术产品安全测评证书》的测评标准为：GB/T 18336-2015《信息技术 安全技术 信息技术安全评估准则》。两个证书的测评标准并不完全一致，不能认同为同等级别、范围或者类型的认证证书。

此外，该类型证书，是确定产品对其预期应用而言是否足够安全，以及在使用中隐含的安全风险是否可以容忍，产品是否满足相应评估保障级的要求，与本次所采购的产品功能没有任何关系和关联，因此不能作为门槛限制，存在排他性。

答复10：中国信息安全测评中心颁发的 《IT产品信息安全认证证书》或者中国网络安全审查技术与认证中心颁发的《国家信息安全测评信息技术产品安全测评证书》都是国家是我国专门从事信息技术安全测试和风险评估的权威职能机构。GB/T 18336作为信息技术产品测评的基础性标准，长期以来在信息安全领域受到广泛关注和高度认可，基于GB/T 18336开展的产品测评，切实提高了我国信息技术产品技术能力和安全水平。作为使用单位，使用符合国家权威机构认证的产品，符合国家对于相关安全标准不断更新的初衷。目前，国内多家主流安全产品均满足此项要求。

问题11:质疑函项目名称：中国邮政集团有限公司重庆市分公司信息网二级骨干网新增防火墙招标编号：dxzb-06-2023-A1498投诉单位：中国邮政集团有限公司重庆市分公司

投诉事项1：招标文件中第三章评标办法中商务部分中“兼容性认证（2分） 投标厂商下一代防火墙通过国际 “CVE组织”（“Common Vulnerabilities & Exposures”通用漏洞披露）安全漏洞库严格的兼容性标准评审，厂商为CVE 认证合作伙伴（Partner），提供CVE防火墙兼容性认证证书及厂商合作伙伴信息可在CVE网站查询截图（提供有效证书复印件，并加盖原厂公章）。得2分。” “CVE组织”它由美国国土安全部资助，主要关注公开发布的软件漏洞。一方面中国邮政集团作为国有独资公司，不应以国外某些安全组织任认证作为商务加分项，应替换为国内同等类别的如国家信息安全漏洞共享平台等进行参考，属于以不合理的条件限制和排斥潜在供应商。投诉事项2：招标文件中第三章评标办法中商务部分中“防火墙安全技术测评（3分） 满足GB/T 20281-2020《信息安全技术防火墙安全技术要求和测试评价方法》(增强级)和认证实施规则（CNCA-CCIS-2018和CNCA-11C-075:2009）的要求，提供由CNAS或符合CNAS《能力验证提供者认可准则》要求的的证书文件和检测报告文件；若为第三方检测机构，则提供检测机构在CNAS网站可下载的机构认证证书和机构详细信息，满足得3分，否则不得分。

（须提供相关证明文件并加盖原厂公章）”属于以不合理的条件限制和排斥潜在供应商，同时满足GB/T 20281-2020、CNCA-CCIS-2018、CNCA-11C-075:2009的要求同时送检的防火墙厂商才能得3分，该参数具有明显倾向性。投诉事项3：招标文件中第五章商务及技术需求中“二、技术需求 6、★配置防病毒功能，支持基于流模式的病毒过滤，可对SMB\IMAP等协议传输的病毒以及不少于5层压缩病毒文件进行检出，支持杀毒白名单设置，支持勒索病毒检测与防御功能，针对勒索病毒攻击设置专项安全策略，支持手动添加、删除病毒特征，要求本地病毒特征库规模≥330万，支持手动添加、删除病毒特征。”（技术需求中带★标识的技术参数，1项不满足作无效投标处理）该参数中要求可对SMB\IMAP等协议传输的病毒以及不少于5层压缩病毒文件进行检出及本地病毒特征库规模≥330万，不少于5层和特征库规模≥330万此条内容没有任何依据，具有明显的产商倾向性。结合以上投诉事项，表明投标文件无论是商务部分还是技术部分都具有明显的厂商倾向性，建议该项目废标。

答复11：1、 CVE 是国际著名权威的安全漏洞库，也是对已知漏洞和安全缺陷的标准化名称的列表，它是一个由企业界、政府界和学术界综合参与的国际性组织，采取一种非盈利的组织形式，其使命是为了能更加快速而有效地鉴别、发现和修复软件产品的安全漏洞，目前国内大多数主流安全厂商也以CVE漏洞进行命名。正是由于目前大多数高级攻击和恶意攻击都源自国外，企业第一时间掌握国外攻击动向和国家国产化战略要求并不冲突，网络安全攻击不区分国内国外。目前CVE的Partner认证中，国内多家主流安全产品均满足此项要求。

2、根据我方本次采购设备在生产运行中的重要性，要求本次采购的安全产品满足GB/T 20281-2020《信息安全技术防火墙安全技术要求和测试评价方法》(增强级)及认证实施规则（CNCA-CCIS-2018和CNCA-11C-075:2009），目前多个品牌产品均可以满足该条目要求。该条目符合项目具体特点和实际需要，无品牌倾向和限制，各潜在投标人均可根据招标文件要求参与投标。

3、 病毒防控是保障生产正常稳定运行的重要措施，根据我方本次采购设备在生产运行中的重要性，此项要求为实际所需，国内多家主流安全产品均满足此项要求。

问题12：质疑函项目名称：中国邮政集团有限公司重庆市分公司信息网二级骨干网新增防火墙招标编号：dxzb-06-2023-A1498投诉单位：中国邮政集团有限公司重庆市分公司

投诉事项1：招标文件中第三章评标办法中商务部分中“兼容性认证（2分） 投标厂商下一代防火墙通过国际 “CVE组织”（“Common Vulnerabilities & Exposures”通用漏洞披露）安全漏洞库严格的兼容性标准评审，厂商为CVE 认证合作伙伴（Partner），提供CVE防火墙兼容性认证证书及厂商合作伙伴信息可在CVE网站查询截图（提供有效证书复印件，并加盖原厂公章）。得2分。” “CVE组织”它由美国国土安全部资助，主要关注公开发布的软件漏洞。一方面中国邮政集团作为国有独资公司，不应以国外某些安全组织任认证作为商务加分项，应替换为国内同等类别的如国家信息安全漏洞共享平台等进行参考，属于以不合理的条件限制和排斥潜在供应商。投诉事项2：招标文件中第三章评标办法中商务部分中“防火墙安全技术测评（3分） 满足GB/T 20281-2020《信息安全技术防火墙安全技术要求和测试评价方法》(增强级)和认证实施规则（CNCA-CCIS-2018和CNCA-11C-075:2009）的要求，提供由CNAS或符合CNAS《能力验证提供者认可准则》要求的的证书文件和检测报告文件；若为第三方检测机构，则提供检测机构在CNAS网站可下载的机构认证证书和机构详细信息，满足得3分，否则不得分。

（须提供相关证明文件并加盖原厂公章）”属于以不合理的条件限制和排斥潜在供应商，同时满足GB/T 20281-2020、CNCA-CCIS-2018、CNCA-11C-075:2009的要求同时送检的防火墙厂商才能得3分，该参数具有明显倾向性。投诉事项3：招标文件中第五章商务及技术需求中“二、技术需求 6、★配置防病毒功能，支持基于流模式的病毒过滤，可对SMB\IMAP等协议传输的病毒以及不少于5层压缩病毒文件进行检出，支持杀毒白名单设置，支持勒索病毒检测与防御功能，针对勒索病毒攻击设置专项安全策略，支持手动添加、删除病毒特征，要求本地病毒特征库规模≥330万，支持手动添加、删除病毒特征。”（技术需求中带★标识的技术参数，1项不满足作无效投标处理）该参数中要求可对SMB\IMAP等协议传输的病毒以及不少于5层压缩病毒文件进行检出及本地病毒特征库规模≥330万，不少于5层和特征库规模≥330万此条内容没有任何依据，具有明显的产商倾向性。结合以上投诉事项，表明投标文件无论是商务部分还是技术部分都具有明显的厂商倾向性，建议该项目废标。结合以上投诉事项，表明投标文件无论是商务部分还是技术部分都具有明显的厂商倾向性，建议该项目废标。

答复12：1、 CVE 是国际著名权威的安全漏洞库，也是对已知漏洞和安全缺陷的标准化名称的列表，它是一个由企业界、政府界和学术界综合参与的国际性组织，采取一种非盈利的组织形式，其使命是为了能更加快速而有效地鉴别、发现和修复软件产品的安全漏洞，目前国内大多数主流安全厂商也以CVE漏洞进行命名。正是由于目前大多数高级攻击和恶意攻击都源自国外，企业第一时间掌握国外攻击动向和国家国产化战略要求并不冲突，网络安全攻击不区分国内国外。目前CVE的Partner认证中，国内多家主流安全产品均满足此项要求。

2、根据我方本次采购设备在生产运行中的重要性，要求本次采购的安全产品满足GB/T 20281-2020《信息安全技术防火墙安全技术要求和测试评价方法》(增强级)及认证实施规则（CNCA-CCIS-2018和CNCA-11C-075:2009），目前多个品牌产品均可以满足该条目要求。该条目符合项目具体特点和实际需要，无品牌倾向和限制，各潜在投标人均可根据招标文件要求参与投标。

3、 病毒防控是保障生产正常稳定运行的重要措施，根据我方本次采购设备在生产运行中的重要性，此项要求为实际所需，国内多家主流安全产品均满足此项要求。

特此通知。

已发出的招标文件与答疑文件有不一致的地方，以答疑文件发布为准。答疑文件作为招标文件的组成部分，与招标文件具有同等效力。

招标人：中国邮政集团有限公司重庆市分公司

招标代理机构：鼎信项目管理咨询有限公司

*开通会员可解锁*