院内公开招标文件
(最低评标价法)
——重庆市人民医院云WAF系统建设项目
根据重庆市财政局发布的《(略)年政府集中采购目录和限额标准》(渝财规((略))(略)号)文件要求,经重庆市人民医院(略)年第9次院长办公会审议决定立项,通过组织院内公开招标(最低评标价法)的方式,确定供应商。
一、投标人须知
(一)采购人的名称和地址
名称:(略)
地址:(略)
(二)项目金额
项目最高限价:(略)
(三)项目期限
合同签订之日起,(略)日内完成交货、安装、调试和上线运行。
(四)投标人资格要求
1、一般资格条件
①具有独立承担民事责任的能力;
②具有良好的商业信誉和健全的财务会计制度;
③具有履行合同所必需的设备和专业技术能力;
④有依法缴纳税收和社会保障资金的良好记录;
⑤参加政府采购活动前三年内,在经营活动中没有重大违法记录;
⑥法律、行政法规规定的其他条件。
(以上资格条件在递交投标文件时以书面承诺方式提供佐证)
2、特定资格条件
无
(五)投标人资质证明材料要求
1、营业执照、税务登记证、组织机构代码证复印件(三证合一仅提供营业执照)。
2、法定代表人资格证明。
3、法定代表人身份证复印件。
4、开户许可证复印件。
5、法定代表人授权委托书以及被授权人身份证复印件(若是法定代表人直接参与投标,则不需要提供)。
(六)招标文件的获取和投标文件的递交
1、凡有意参加本项目投标者,(略)年(略)月(略)日至(略)年(略)月(略)日,每日工作时间(9时至(略)时、(略)时至(略)时),在采购人两江新院医学装备处办公室1(住院部二楼),递交投标文件。
逾期送达的或者未送达指定地点的,视为拒绝本项目招标,采购人亦不予接收。
投标人应将投标文件正本和副本分别用档案袋密封(并在封口处加盖公司骑缝章),并注明投标业务名称、联系人、联系方式及正本(1份)和副本(1份)。
如果未进行密封和标记,采购人对投标人的误投不负责任。
2、开标定标时间:(略)
开标定标地点:(略)
(七)评标程序、评标标准及定标办法
1、评标程序:(略)
2、评标方法:(略)
①投标人实质性响应《院内公开招标(最低评标价法)文件》,竞价产品(或服务)完全符合招标文件技术参数(或服务需求)和商务要求;否则,丧失中标资格。
②投标人的报价分为两次报价,均不得超过最高限价;否则,丧失中标资格。第一次报价制作在投标文件里向采购人递交;第二次报价是在开标现场向采购人采购工作组进行优化的差异性表述后,当场在采购人准备的“第二次报价单”上填写本项目的最终报价(第二次报价的价格,只能等于或低于第一次报价的价格,否则,丧失中标资格)及优化的差异性表述,填写完毕后交由采购人采购工作组进行合议。
③“第二次报价单”报价最低的投标人,暂定为中标第一候选人,并依次排序候选;相同报价时,优化的差异性表述“最优”者被暂定为中标第一候选人。采购人采购工作组将采购排序暂定结果向医院决策会议进行请示。
④根据医院决策会议结论,确定投标人并在医院官网进行公示。
(八)其他
1、根据重庆市财政局发布的《(略)年政府集中采购目录和限额标准》(渝财规((略))(略)号)文件规定,本采购项目属于“政府集中采购目录以外,采购限额标准以下的采购项目”,不适用《中华人民共和国政府采购法》及其实施条例的有关规定,而由采购人按照单位内控制度自行组织实施分散采购(自行采购)。
2、针对本《院内公开招标(最低评标价法)文件》及分散采购(自行采购)过程中发生的任何理解歧义和一切疑问,解释权均归采购人行使。
3、投标人应保证其《投标人资格条件符合承诺》、《投标人资质证明材料》、投标文件所作承诺及现场承诺的真实性;否则,采购人任何时候均可单方面解除合同并追究其违约责任。
4、投标人履约行为应遵守相关法律法规规章及政策。
投标人履约行为造成(包括但不限于)投标人人员工伤工亡及财产损失、造成采购人或第三人人身损害、财产损失或权益损失等,由投标人承担法律责任(民事责任、行政责任、刑事责任)。
5、投标人履约行为导致的任何纠纷、质疑、投诉等任何争议的洽商应对及责任调查,由投标人承担。
6、凡本项目合同履行过程中发生的一切争议,双方应首先友好协商解决,如不能解决,则提交采购人所在地人民法院按中华人民共和国有关法律法规及诉讼程序处理,诉讼费由败诉方承担。
(九)联系方式
项目联系人:(略)
联系电话:(略)
提交资料前,务必将报名信息表同时发送至以下两个邮箱:
(略)@qq.com,CGHYB@cghhospital.org
报名信息表:
二、技术需求
总体要求 | | 提供1年云WAF服务。要求供应商云WAF系统从云端对各类针对Web应用的安全威胁进行实时防御,包括对医院微信公众号、OA、官网等互联网业务系统的安全防护。 |
序号 | 功能名称 | 技术需求明细 |
1 | 品牌要求 | 国产品牌,非OEM产品。 |
2 | 授权数量 | ≥(略)个域名管理授权(含一级域名、二级域名)。 |
3 | WEB攻击防护 | 实现对各类OWASP TOP攻击的防护,能识别和阻断SQL注入攻击、命令注入、跨站脚本攻击、Cookie 注入攻击、文件包含攻击、LDAP注入、XPATH注入、Struts2命令执行攻击等常见的WEB攻击,防止网站敏感信息泄露。支持ASP木马、JSP木马、PHP木马、一句话木马、菜刀工具等多种形式的WEB Shell后门的上传防护。提供支撑证明材料。 |
4 | 扫描防护 | 实现对Burpsuite、啊D、明小子、Nikto、Appscan、Awvs、Pangolin等扫描器的扫描防护。 |
5 | 绕过攻击防护 | 实现对HTTP参数污染、(略)截断、URL编码绕过、Unicode编码绕过、 ASCII码绕过、字符串拼接绕过、hex编码绕过、大小写混杂字符绕过、多空格绕过、注释串绕过等多种绕过攻击防护。 |
6 | DDoS攻击防护 | 提供≥(略)Gbps的DDoS攻击共享型防护,对SYN Flood、Frag Flood、ACK Flood、UDP Flood、ICMP Flood攻击等常见的流量型DDOS攻击进行清洗。 |
7 | 高防DNS | 提供≥(略)Gbps高防DNS,防范针对DNS服务器的攻击。 |
8 | 挑战漏洞(CC)攻击防护 | 可配置响应时间阈值,按照服务器响应时间对访问源进行CC攻击判断,响应时间超出阈值后,对攻击源进行JS防御或图片验证防御。 |
| | 提供≥8万QPS的CC攻击防护,可配置流量阈值,根据进入云平台流量大小来对攻击进行CC攻击判断,即攻击流量超出流量阈值后,对攻击源进行HTTP协议验证、JS防御或图片验证防御。 |
| | 可配置并发数阈值,根据源站总并发连接数和访问源单IP并发连接数对攻击进行CC判断,并发连接数超出并发连接数阈值后,对攻击源进行自动防御、JS防御或图片验证防御。 |
| | 具备强制缓存功能,当触发CC攻击防护时,可对用户自定义配置的URL按照选定的类型进行缓存(如样式、JS、图片、静态HTML、首页、多媒体文件、文档类型、压缩文件等),保证相关内容仍可正常对外访问。 |
9 | CDN缓存加速 | 将待访问的内容缓存于访问者浏览器,用户无需请求服务器即可完成对网站页面文件的访问,实现浏览器缓存加速, |
| | 实现对CSS、JS、图片、静态HTML、首页、多媒体文件、文档类型、压缩文件等类型进行缓存。 |
| | 实现按照最小响应时间、最优访问服务等智能缓存算法为用户自动选择缓存节点机房。 |
(略) | 网站防盗链 | 对在特定时间段内某IP地址、IP地址段是否能够访问特定URL进行访问控制。 |
| | 对图片、音频、视频、压缩文件、可执行文件等内容进行防盗链访问控制。允许设置IP地址段例外策略。 |
(略) | 地理位置访问控制 | 实现基于国内外地理位置进行IP地址访问控制,可精确到国家和国内各个省份,能够基于IP地址添加例外访问黑白名单。 |
(略) | 敏感词过滤 | 具备URL、敏感词内容用户自定义功能,对响应方向进行检测,当响应内容包含自定义敏感信息时,则可对内容进行告警、替换、阻断和重定向动作。 |
| | 内置完备的敏感词信息库,其防护策略可主动监测网站首页有无敏感词,如果存在即产生告警。 |
(略) | 自定义页面防护 | 可自定义防护页面功能,当检测到4、5开头的响应码时可自动跳转到指定URL。 |
(略) | 一键关站 | 实现外部流量对源站的访问快速关闭功能,并自定义网站响应内容,避免网站因突发安全事件产生不良影响。可指定关站响应码或者制定响应页面,默认响应(略)。 |
(略) | 服务器信息防泄漏 | 服务器敏感信息泄露防护,包括服务器类型、服务器版本、敏感路径等信息泄露,以及网站源码泄露等。 |
(略) | 高级HTTP访问控制 | 对包含特定的USER-Agent字段内容的访问进行访问控制。 |
(略) | 服务器IP隐藏 | 具备服务器隐身功能,黑客无法获取服务器真实IP地址,防止黑客对服务器的各种攻击。 |
(略) | 登录账号认证 | 实现登录账号的多种形式的认证,如密码、验证码、短信验证等,确保登录安全。 |
(略) | 网页快照 | 在页面不可访问时自动提供网站快照,实现永久在线。 |
(略) | 三权分立 | 根据可配置超级管理员、普通管理员、审计管理员等管理员角色。超级管理员可以创建其他所有管理员并拥有系统最高权限;普通注册管理员只可以查看并配置自己域名的权限;审计管理员智能审计配置及日志报表。 |
(略) | WEB防护白名单 | 实现细粒度的WEB防护配置,可针对Web安全漏洞类型设置白名单,当设置生效后,针对某URL的该类WEB攻击不再防护。 |
(略) | 安全日志报表 | 实现网站访问次数统计,访问IP数统计,PV数统计,漏洞攻击数统计、CC攻击数统计等攻击访问统计。每个二级域名有独有的攻击访问统计报表。WEB攻击日志至少包含攻击类型、攻击IP、IP归属地、攻击URL,攻击次数等。 |
| | 实现自定义时间段的报表功能,能直观显示本周及历史周网站遭受的WEB攻击、CC攻击等攻击情况。支持月度简报功能,能每月定时向指定邮箱发送月度简报,展示网站安全防护情况。 |
(略) | 安全托管服务 | 提供7*(略)小时技术支持服务,包括安全信息咨询、业务接入配置、日志分析建议、防护策略优化、业务监控预警、安全事件响应等全方位的业务安全托管服务。 |
(略) | 适配性和兼容性 | 投标人所投产品需完全适配院方业务应用场景,合同履约前允许采购人对中标候选产品进行功能和兼容性测试。 |
(略) | 其他 | 提供≥6千QPS正常业务请求并发,≥(略)TB正常业务流量,≥(略)GB的Web访问日志下载流量。 |
(略) | 资质 | 1、所投产品拥有自主知识产权,具有国家版权局颁发的“计算机软件著作权登记证书”; 2、产品厂商具备较强安全服务能力,具备国测信息安全服务资质-安全工程类(三级)证书。 以上资质提供支撑证明材料。 |
(略) | 售后服务 | 服务周期:(略) |
三、商务要求
(一)报价要求
请各投标人仔细查阅“技术需求”后进行准确报价,总价不得超过本项目最高限价。本次报价须为人民币报价,包含:(略)
(二)验收方式
1、完成云WAF系统建设,安装、调试,试运行正常,由采购人主管部门(信息处)组织专家验收,确认建设内容、系统功能和性能,验收合格后,双方在验收记录单上签字确认。
2、验收记录单将作为合同付款的依据。
(三)付款方式
1、自验收合格后,采购人在(略)个工作日内向中标人支付合同总金额的(略)%。采购人支付合同款时,中标人需提供双方填写的项目验收合格单作为支付依据。
2、质保期满后,经信息处再次确认建设内容、系统功能和性能是否满足合同要求。经确认合格后,采购人于(略)个工作日内再向中标人无息支付合同总金额剩余的5%。
3、中标人每次结算须出具正规发票,采购人支付方式为转账支付。
(四)质保期及售后服务
1、质保期
自合同签订之日起,质保期为1年。
2、售后服务
①服务期内,中标人需保障云WAF系统在防范针对WEB攻击方面的安全有效性,确保采购人各类WEB应用免受攻击。
②质保期内,需提供系统功能模块、系统版本等的免费升级服务。
③如出现云WAF系统故障等突发事件,中标人应按照采购人要求立即进行处置,及时向采购人汇报处理进度。一般故障1小时内完成故障处置,并恢复系统正常。严重故障需2小时内完成故障处置,并恢复系统正常。
④质保期内,在国家重大节日、重大会议、采购人开展攻防演练活动等特殊时期,需根据采购人要求安排技术人员现场值守,提供免费重保服务。
⑤服务期内,服务人工费免费(含交通、住宿、服务工时等),服务所涉及的一切工具、配件和耗材等均为免费。
⑥服务期内提供专人专线7×(略)小时服务、专属售后服务工程师。
⑦中标人服务人员应严格遵守纪律,不得违反采购人机房管理、网络与安全、信息保密等制度。
(五)争议解决
凡投标人与采购人签订的合同执行过程中发生的一切争议,投标人与采购人应首先友好协商解决,如不能解决,则提交项目所在地有管辖权的人民法院按中华人民共和国的有关法律法规及诉讼程序处理,诉讼费由败诉方承担。
(六)其他
1、投标人须遵守作业操作规程、安全规章制度及相关法律法规。在投标人制作及成果交付过程中,如发生工伤事故或财产损失的,或因投标人合同行为造成他人人身财产损害及权益受损的,由投标人承担责任;因投标人合同行为造成的各种行政处罚等一切责任和费用等,均由投标人自行承担。
2、在投标人履约过程中、因投标人履约行为导致的任何纠纷或投诉、任何争议责任的调查确定及承担,均由投标人自行应对和负责。
3、投标人必须在投标文件中对以上条款和服务承诺明确列出,承诺内容必须达到本篇及招标文件其他条款的要求。
(略)年(略)月(略)日