滁州市敬梓中學圖書管理系統(tǒng)及設備采購更正公告

一、項目基本情況

原公告的采購項目編號：cznqcg******-**0

原公告的采購項目名稱：滁州市敬梓中學圖書管理系統(tǒng)及設備采購

首次公告日期：****年**月**日

二、更正信息

更正事項：采購文件

更正內(nèi)容：質(zhì)疑事項1、招標文件第二項貨物需求中序號1、2、3、4、8、9、**、** 項貨物技術參數(shù)及要求標注“▲”的參數(shù)，每滿足或優(yōu)于一項指標，得2分，共**項，共計**分。是否符經(jīng)過市場調(diào)研符合三家供應商及以上。

2、《中華人民共和國政府采購法實施條例(國務院令第**8號)》第二十條采購人或者采購代理機構有下列情形之一的,屬于以不合理的條件對供應商實行差別待遇或者歧視待遇:(三)采購需求中的技術、服務等要求指向特定供應商、特定產(chǎn)品?！吨腥A人民共和國招標投標法實施條例》第三十二條。(七)以其他不合理條件限制、排斥潛在投標人或者投標人。建議:取消招標評分中要求的檢測報告、證明材料。為了保證產(chǎn)品的生產(chǎn)質(zhì)量，可以在招標文件中要求承諾供貨后提供，更符合業(yè)主及招標要求。請招標方合理設置招標要求，給廣大小微企業(yè)一個公平參與競爭的機會。

質(zhì)疑回復1：1、本項目經(jīng)過調(diào)研符合三家及以上供應商，滿足市場充分競爭。

2、檢測報告或者相關證明是出于對本項目產(chǎn)品質(zhì)量的需要。本項目要求的檢測報告或相關證明材料為證明采購產(chǎn)品的質(zhì)量與性能，與本項目的具體特點和實際需求相適應。要求提供的檢測報告或相關證明材料為加分項，并非限制性條款，無任何排斥性和歧視性，符合中華人民共和國財政部令第**號《政府采購貨物和服務招標投標管理辦法》第五十五條：“評審因素的設定應當與投標人所提供貨物服務的質(zhì)量相關，包括投標報價、技術或者服務水平、履約能力、售后服務等”的規(guī)定。綜上不存在采購需求中的技術、服務等要求指向特定供應商、特定產(chǎn)品以及以其他不合理條件限制、排斥潛在投標人或者投標人情況。

質(zhì)疑事項2、▲采用多層架構的 B/S（瀏覽器/服務器）模式，基于 JAVAEE架構標準進行開發(fā)設計。系統(tǒng)需采用 MD5 加密用戶信息，并且支持 SSL 的 **8 位數(shù)字安全證書，HTTPS 的加密傳輸和 MD5加密保證用戶信息在網(wǎng)上從瀏覽器到服務器之間傳遞的安全和存儲在數(shù)據(jù)庫中的安全。（提供第三方檢測機構出具的證明材料掃描件）。

一、MD5 加密用于用戶敏感信息存儲存在嚴重安全隱患，不符合現(xiàn)行安全標準

1. MD5 算法已被國際公認存在安全缺陷，易遭受碰撞攻擊、彩虹表破解等手段破解，無法保障用戶敏感信息（如密碼、身份證號等）的存儲安全，不符合《信息安全技術網(wǎng)絡安全等級保護基本要求》（GB/T****9）中對敏感信息存儲加密的安全規(guī)范。

2. 現(xiàn)行行業(yè)主流做法是采用 bcrypt、Argon2、PBKDF2 等帶鹽值的強哈希算法存儲用戶密碼等敏感信息，MD5 算法因安全性不足，已被多個安全標準明確禁止用于敏感信息存儲，參數(shù)中聲稱 “MD5 加密保證存儲安全” 與當前信息安全技術發(fā)展現(xiàn)狀相悖。

二、SSL 協(xié)議及 **8 位加密表述不嚴謹，未符合傳輸層安全的主流要求

1. SSL 協(xié)議（尤其是 SSLv3 及以下版本）存在已知高危漏洞（如POODLE 漏洞），目前已被行業(yè)淘汰，主流傳輸層安全依賴 TLS 協(xié)議（TLS 1.2 及以上版本），參數(shù)中僅提及 “SSL 的 **8 位數(shù)字安全證書”，未明確支持 TLS 協(xié)議及合規(guī)版本，可能導致傳輸層存在安全風險。

三、HTTPS 加密傳輸?shù)陌踩蟛煌暾?，存在合?guī)風險

1. 未明確 TLS 協(xié)議的最低版本要求（如 TLS 1.0/1.1 已被多個國家和行業(yè)禁止使用），僅依賴 SSL **8 位證書無法保障傳輸層的合規(guī)性和安全性。

2. 未提及對 HTTPS 部署的關鍵安全配置要求（如禁用 HTTP 明文傳輸、配置 HSTS 協(xié)議防止降級攻擊等），僅強調(diào)加密算法和證書，忽略了傳輸層安全的完整配置，可能導致實際部署后仍存在安全漏洞。

綜上所述，本條參數(shù)存在明顯技術偏差與合規(guī)缺陷，無法滿足當前網(wǎng)絡安全標準對傳輸層安全的基本要求。本條參數(shù)要求提供的第三方檢測證明材料無實際性意義，建議刪除。

質(zhì)疑回復2：該參數(shù)嚴格符合《信息安全技術網(wǎng)絡安全等級保護基本要求》（GB/T****9-****）核心規(guī)范，標準明確要求“敏感信息需采用不可逆加密存儲”，并未禁止MD5在復合架構中的合理應用。行業(yè)禁止的是“無防護的單一MD5加密”，而非MD5的合規(guī)性組合使用。故本條請按照招標文件要求執(zhí)行。

質(zhì)疑事項3、2.5為保證資源運營的安全，須具有專業(yè)資質(zhì)的人員負責，平臺運營單位的運營人員中級編輯職稱或以上的要求不低于三人。提供中級編輯證書復印件。資源營安全的核心是保障平臺數(shù)據(jù)安全、系統(tǒng)穩(wěn)定、防攻擊防泄露，需具備網(wǎng)絡安全、信息安全、數(shù)據(jù)安全等專業(yè)能力的人員負責。而 “中級編輯職稱” 聚焦于內(nèi)容編輯、文字審核等內(nèi)容生產(chǎn)領域，與安全運營所需的專業(yè)技能無直接關聯(lián)，無法證明人員具備保障平臺安全的實操能力。該條參數(shù)存在不合理性，建議刪除。

質(zhì)疑回復3：依據(jù)國家新聞出版總署規(guī)章《出版專業(yè)技術人員職業(yè)資格管理規(guī)定》第一章第二條規(guī)定：國家對在報紙、期刊、圖書、音像、電子、網(wǎng)絡出版單位從事出版專業(yè)技術工作的人員實行職業(yè)資格制度，對職業(yè)資格實行登記注冊管理。本規(guī)定所稱出版專業(yè)技術人員包括在圖書、非新聞性期刊、音像、電子、網(wǎng)絡出版單位內(nèi)承擔內(nèi)容加工整理、裝幀和版式設計等工作的編輯人員和校對人員，以及在報紙、新聞性期刊出版單位從事校對工作的專業(yè)技術人員。設備運營維護包含硬件、軟件、資源的維護，借閱機的核心內(nèi)容為數(shù)字資源是重中之重，具有資質(zhì)的編輯人員上傳和審核內(nèi)容符合國家對于電子出版物管理的要求。故本條請按照招標文件要求執(zhí)行。

質(zhì)疑事項4：2.6 提供數(shù)字內(nèi)容投送云平臺信息系統(tǒng)安全等級保護第三級備案證明。未明確備案主體與系統(tǒng)關聯(lián)性以及備案證明對應的系統(tǒng)需與 “數(shù)字內(nèi)容投送云平臺” 在功能范圍、數(shù)據(jù)處理規(guī)模、部署架構上完全一致，證明材料效力存疑，需明確參數(shù)要求，應提供 2 級及以上信息系統(tǒng)建設和服務能力等級證書。

質(zhì)疑回復4：數(shù)字內(nèi)容投送云平臺信息系統(tǒng)安全等級保護第三級備案證明，是數(shù)字資源資源借閱機在數(shù)字化環(huán)境下信息安全的重要依據(jù)。隨著信息技術的快速發(fā)展，信息安全問題日益突出。數(shù)字資源借閱機涉及大量的數(shù)字內(nèi)容投送和展示，其信息安全直接關系到圖書館及用戶的合法權益。要求提供該證明，是為了確保所采購的系統(tǒng)在信息安全方面達到國家規(guī)定的標準，能夠有效防范信息安全風險，保障系統(tǒng)的正常運行和數(shù)據(jù)的安全。是基于采購項目的實際需求和合同履行的必要條件，不存在排他性或指向性。故本條請按照招標文件要求執(zhí)行。

更正日期：****年**月9日

三、其他補充事宜

此更正公告視同招標文件的組成部分，與招標文件具有同等法律效力。請各潛在供應商及時查看下載。給各潛在供應商帶來不便，敬請諒解！如因供應商不及時查看，造成后果由供應商自行承擔。

四、凡對本次公告內(nèi)容提出詢問，請按以下方式聯(lián)系。

1.采購人信息

名稱：滁州市敬梓中學

地址：滁州市敬梓中學（仁義路**號）

聯(lián)系方式：**********9

2.采購代理機構信息

名稱：安徽凱吉通工程咨詢有限公司

地址：滁州市南譙區(qū)世貿(mào)大廈A座8樓

聯(lián)系方式：**********2

3.項目聯(lián)系方式

項目聯(lián)系人：陶中義

電話：**********2