滁州市敬梓中學(xué)圖書(shū)管理系統(tǒng)及設(shè)備采購(gòu)更正公告

一、項(xiàng)目基本情況

原公告的采購(gòu)項(xiàng)目編號(hào)：cznqcg******-**0

原公告的采購(gòu)項(xiàng)目名稱：滁州市敬梓中學(xué)圖書(shū)管理系統(tǒng)及設(shè)備采購(gòu)

首次公告日期：****年**月**日

二、更正信息

更正事項(xiàng)：采購(gòu)文件

更正內(nèi)容：質(zhì)疑事項(xiàng)1、招標(biāo)文件第二項(xiàng)貨物需求中序號(hào)1、2、3、4、8、9、**、** 項(xiàng)貨物技術(shù)參數(shù)及要求標(biāo)注“▲”的參數(shù)，每滿足或優(yōu)于一項(xiàng)指標(biāo)，得2分，共**項(xiàng)，共計(jì)**分。是否符經(jīng)過(guò)市場(chǎng)調(diào)研符合三家供應(yīng)商及以上。

2、《中華人民共和國(guó)政府采購(gòu)法實(shí)施條例(國(guó)務(wù)院令第**8號(hào))》第二十條采購(gòu)人或者采購(gòu)代理機(jī)構(gòu)有下列情形之一的,屬于以不合理的條件對(duì)供應(yīng)商實(shí)行差別待遇或者歧視待遇:(三)采購(gòu)需求中的技術(shù)、服務(wù)等要求指向特定供應(yīng)商、特定產(chǎn)品?！吨腥A人民共和國(guó)招標(biāo)投標(biāo)法實(shí)施條例》第三十二條。(七)以其他不合理?xiàng)l件限制、排斥潛在投標(biāo)人或者投標(biāo)人。建議:取消招標(biāo)評(píng)分中要求的檢測(cè)報(bào)告、證明材料。為了保證產(chǎn)品的生產(chǎn)質(zhì)量，可以在招標(biāo)文件中要求承諾供貨后提供，更符合業(yè)主及招標(biāo)要求。請(qǐng)招標(biāo)方合理設(shè)置招標(biāo)要求，給廣大小微企業(yè)一個(gè)公平參與競(jìng)爭(zhēng)的機(jī)會(huì)。

質(zhì)疑回復(fù)1：1、本項(xiàng)目經(jīng)過(guò)調(diào)研符合三家及以上供應(yīng)商，滿足市場(chǎng)充分競(jìng)爭(zhēng)。

2、檢測(cè)報(bào)告或者相關(guān)證明是出于對(duì)本項(xiàng)目產(chǎn)品質(zhì)量的需要。本項(xiàng)目要求的檢測(cè)報(bào)告或相關(guān)證明材料為證明采購(gòu)產(chǎn)品的質(zhì)量與性能，與本項(xiàng)目的具體特點(diǎn)和實(shí)際需求相適應(yīng)。要求提供的檢測(cè)報(bào)告或相關(guān)證明材料為加分項(xiàng)，并非限制性條款，無(wú)任何排斥性和歧視性，符合中華人民共和國(guó)財(cái)政部令第**號(hào)《政府采購(gòu)貨物和服務(wù)招標(biāo)投標(biāo)管理辦法》第五十五條：“評(píng)審因素的設(shè)定應(yīng)當(dāng)與投標(biāo)人所提供貨物服務(wù)的質(zhì)量相關(guān)，包括投標(biāo)報(bào)價(jià)、技術(shù)或者服務(wù)水平、履約能力、售后服務(wù)等”的規(guī)定。綜上不存在采購(gòu)需求中的技術(shù)、服務(wù)等要求指向特定供應(yīng)商、特定產(chǎn)品以及以其他不合理?xiàng)l件限制、排斥潛在投標(biāo)人或者投標(biāo)人情況。

質(zhì)疑事項(xiàng)2、▲采用多層架構(gòu)的 B/S（瀏覽器/服務(wù)器）模式，基于 JAVAEE架構(gòu)標(biāo)準(zhǔn)進(jìn)行開(kāi)發(fā)設(shè)計(jì)。系統(tǒng)需采用 MD5 加密用戶信息，并且支持 SSL 的 **8 位數(shù)字安全證書(shū)，HTTPS 的加密傳輸和 MD5加密保證用戶信息在網(wǎng)上從瀏覽器到服務(wù)器之間傳遞的安全和存儲(chǔ)在數(shù)據(jù)庫(kù)中的安全。（提供第三方檢測(cè)機(jī)構(gòu)出具的證明材料掃描件）。

一、MD5 加密用于用戶敏感信息存儲(chǔ)存在嚴(yán)重安全隱患，不符合現(xiàn)行安全標(biāo)準(zhǔn)

1. MD5 算法已被國(guó)際公認(rèn)存在安全缺陷，易遭受碰撞攻擊、彩虹表破解等手段破解，無(wú)法保障用戶敏感信息（如密碼、身份證號(hào)等）的存儲(chǔ)安全，不符合《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T****9）中對(duì)敏感信息存儲(chǔ)加密的安全規(guī)范。

2. 現(xiàn)行行業(yè)主流做法是采用 bcrypt、Argon2、PBKDF2 等帶鹽值的強(qiáng)哈希算法存儲(chǔ)用戶密碼等敏感信息，MD5 算法因安全性不足，已被多個(gè)安全標(biāo)準(zhǔn)明確禁止用于敏感信息存儲(chǔ)，參數(shù)中聲稱 “MD5 加密保證存儲(chǔ)安全” 與當(dāng)前信息安全技術(shù)發(fā)展現(xiàn)狀相悖。

二、SSL 協(xié)議及 **8 位加密表述不嚴(yán)謹(jǐn)，未符合傳輸層安全的主流要求

1. SSL 協(xié)議（尤其是 SSLv3 及以下版本）存在已知高危漏洞（如POODLE 漏洞），目前已被行業(yè)淘汰，主流傳輸層安全依賴 TLS 協(xié)議（TLS 1.2 及以上版本），參數(shù)中僅提及 “SSL 的 **8 位數(shù)字安全證書(shū)”，未明確支持 TLS 協(xié)議及合規(guī)版本，可能導(dǎo)致傳輸層存在安全風(fēng)險(xiǎn)。

三、HTTPS 加密傳輸?shù)陌踩蟛煌暾?，存在合?guī)風(fēng)險(xiǎn)

1. 未明確 TLS 協(xié)議的最低版本要求（如 TLS 1.0/1.1 已被多個(gè)國(guó)家和行業(yè)禁止使用），僅依賴 SSL **8 位證書(shū)無(wú)法保障傳輸層的合規(guī)性和安全性。

2. 未提及對(duì) HTTPS 部署的關(guān)鍵安全配置要求（如禁用 HTTP 明文傳輸、配置 HSTS 協(xié)議防止降級(jí)攻擊等），僅強(qiáng)調(diào)加密算法和證書(shū)，忽略了傳輸層安全的完整配置，可能導(dǎo)致實(shí)際部署后仍存在安全漏洞。

綜上所述，本條參數(shù)存在明顯技術(shù)偏差與合規(guī)缺陷，無(wú)法滿足當(dāng)前網(wǎng)絡(luò)安全標(biāo)準(zhǔn)對(duì)傳輸層安全的基本要求。本條參數(shù)要求提供的第三方檢測(cè)證明材料無(wú)實(shí)際性意義，建議刪除。

質(zhì)疑回復(fù)2：該參數(shù)嚴(yán)格符合《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T****9-****）核心規(guī)范，標(biāo)準(zhǔn)明確要求“敏感信息需采用不可逆加密存儲(chǔ)”，并未禁止MD5在復(fù)合架構(gòu)中的合理應(yīng)用。行業(yè)禁止的是“無(wú)防護(hù)的單一MD5加密”，而非MD5的合規(guī)性組合使用。故本條請(qǐng)按照招標(biāo)文件要求執(zhí)行。

質(zhì)疑事項(xiàng)3、2.5為保證資源運(yùn)營(yíng)的安全，須具有專業(yè)資質(zhì)的人員負(fù)責(zé)，平臺(tái)運(yùn)營(yíng)單位的運(yùn)營(yíng)人員中級(jí)編輯職稱或以上的要求不低于三人。提供中級(jí)編輯證書(shū)復(fù)印件。資源營(yíng)安全的核心是保障平臺(tái)數(shù)據(jù)安全、系統(tǒng)穩(wěn)定、防攻擊防泄露，需具備網(wǎng)絡(luò)安全、信息安全、數(shù)據(jù)安全等專業(yè)能力的人員負(fù)責(zé)。而 “中級(jí)編輯職稱” 聚焦于內(nèi)容編輯、文字審核等內(nèi)容生產(chǎn)領(lǐng)域，與安全運(yùn)營(yíng)所需的專業(yè)技能無(wú)直接關(guān)聯(lián)，無(wú)法證明人員具備保障平臺(tái)安全的實(shí)操能力。該條參數(shù)存在不合理性，建議刪除。

質(zhì)疑回復(fù)3：依據(jù)國(guó)家新聞出版總署規(guī)章《出版專業(yè)技術(shù)人員職業(yè)資格管理規(guī)定》第一章第二條規(guī)定：國(guó)家對(duì)在報(bào)紙、期刊、圖書(shū)、音像、電子、網(wǎng)絡(luò)出版單位從事出版專業(yè)技術(shù)工作的人員實(shí)行職業(yè)資格制度，對(duì)職業(yè)資格實(shí)行登記注冊(cè)管理。本規(guī)定所稱出版專業(yè)技術(shù)人員包括在圖書(shū)、非新聞性期刊、音像、電子、網(wǎng)絡(luò)出版單位內(nèi)承擔(dān)內(nèi)容加工整理、裝幀和版式設(shè)計(jì)等工作的編輯人員和校對(duì)人員，以及在報(bào)紙、新聞性期刊出版單位從事校對(duì)工作的專業(yè)技術(shù)人員。設(shè)備運(yùn)營(yíng)維護(hù)包含硬件、軟件、資源的維護(hù)，借閱機(jī)的核心內(nèi)容為數(shù)字資源是重中之重，具有資質(zhì)的編輯人員上傳和審核內(nèi)容符合國(guó)家對(duì)于電子出版物管理的要求。故本條請(qǐng)按照招標(biāo)文件要求執(zhí)行。

質(zhì)疑事項(xiàng)4：2.6 提供數(shù)字內(nèi)容投送云平臺(tái)信息系統(tǒng)安全等級(jí)保護(hù)第三級(jí)備案證明。未明確備案主體與系統(tǒng)關(guān)聯(lián)性以及備案證明對(duì)應(yīng)的系統(tǒng)需與 “數(shù)字內(nèi)容投送云平臺(tái)” 在功能范圍、數(shù)據(jù)處理規(guī)模、部署架構(gòu)上完全一致，證明材料效力存疑，需明確參數(shù)要求，應(yīng)提供 2 級(jí)及以上信息系統(tǒng)建設(shè)和服務(wù)能力等級(jí)證書(shū)。

質(zhì)疑回復(fù)4：數(shù)字內(nèi)容投送云平臺(tái)信息系統(tǒng)安全等級(jí)保護(hù)第三級(jí)備案證明，是數(shù)字資源資源借閱機(jī)在數(shù)字化環(huán)境下信息安全的重要依據(jù)。隨著信息技術(shù)的快速發(fā)展，信息安全問(wèn)題日益突出。數(shù)字資源借閱機(jī)涉及大量的數(shù)字內(nèi)容投送和展示，其信息安全直接關(guān)系到圖書(shū)館及用戶的合法權(quán)益。要求提供該證明，是為了確保所采購(gòu)的系統(tǒng)在信息安全方面達(dá)到國(guó)家規(guī)定的標(biāo)準(zhǔn)，能夠有效防范信息安全風(fēng)險(xiǎn)，保障系統(tǒng)的正常運(yùn)行和數(shù)據(jù)的安全。是基于采購(gòu)項(xiàng)目的實(shí)際需求和合同履行的必要條件，不存在排他性或指向性。故本條請(qǐng)按照招標(biāo)文件要求執(zhí)行。

更正日期：****年**月9日

三、其他補(bǔ)充事宜

此更正公告視同招標(biāo)文件的組成部分，與招標(biāo)文件具有同等法律效力。請(qǐng)各潛在供應(yīng)商及時(shí)查看下載。給各潛在供應(yīng)商帶來(lái)不便，敬請(qǐng)諒解！如因供應(yīng)商不及時(shí)查看，造成后果由供應(yīng)商自行承擔(dān)。

四、凡對(duì)本次公告內(nèi)容提出詢問(wèn)，請(qǐng)按以下方式聯(lián)系。

1.采購(gòu)人信息

名稱：滁州市敬梓中學(xué)

地址：滁州市敬梓中學(xué)（仁義路**號(hào)）

聯(lián)系方式：**********9

2.采購(gòu)代理機(jī)構(gòu)信息

名稱：安徽凱吉通工程咨詢有限公司

地址：滁州市南譙區(qū)世貿(mào)大廈A座8樓

聯(lián)系方式：**********2

3.項(xiàng)目聯(lián)系方式

項(xiàng)目聯(lián)系人：陶中義

電話：**********2