关于医院计算机信息安全等级保护系统采购项目质疑函的答复函

table {border-spacing:0}

一、质疑供应商基本信息

质疑供应商：****点击查看

地址：****点击查看市**区金**路8号**名苑小区1栋1单元

邮编：547000

法定代表人：韦永荣

联系电话：189****点击查看2227

二、质疑项目基本情况

质疑项目名称：医院计算机信息安全等级保护系统采购项目

质疑项目编号：****点击查看

三、质疑答复函内容

我公司于2025年9月2日17时10****点击查看公司以现场****点击查看医院计算机信息安全等级保护系统采购项目（项目编号：****点击查看，以下简称本项目）的质疑函原件一份，****点击查看公司高度重视，并第一时间将该质疑函报采购人。我公司根据《政府采购质疑和投诉办法》（财政部令第94号），****点击查看公司的质疑事项答复如下：

（一）针对质疑函中提出的“质疑事项一：磋商文件要求的项目要求及技术需求具有偏向性，以不合理的条件（采购需求中的技术、服务等要求指向特定供应商、特定产品）对供应商实行差别待遇或者歧视待遇”答复如下：

1、针对 “质疑事项一”中的“（一）质疑参数分项1”回复如下：

（1）机柜空间与部署兼容性要求：医院现有机房机柜空间有限，且需统一规划网络架构。设备尺寸（如1U/2U）直接影响机柜内设备布局、散热及线缆管理。若设备尺寸超出限定范围，可能导致无法安装或影响其他设备运行稳定性。

（2）性能与功能的匹配性：不**全设备对硬件**（如CPU、内存、接口密度）的要求差异较大。例如，防火墙需更大机箱容纳多业务模块，而轻量级设备可简化配置以满足中小型网络需求。限定规格旨在确保设备性能与功能满足实际场景需求，避免因过度压缩硬件空间导致性能瓶颈。

（3）行业标准与兼容性：本参数设定参考了《信息安全技术 网络安全设备技术要求》（GB/T 20988-2007）及行业通用标准，确保设备接口、功耗等参数与现有网络架构兼容。符合医院对核心业务系统的高可靠性要求。

本项目****点击查看医院实际需求编制，并经公开征集及市场调研论证后设定，参数要求反应采购人实际需求。根据财政部关于印发《政府采购需求管理办法》的通知（财库（2021）22号）第七条“采购需求应当……符合采购项目特点和实际需要”的规定，采购人有权根据采购项目特点和实际需要，设置采购需求中的“技术参数”，并不具有倾向性、排他性，****点击查看公司所述的具有偏向性，以不合理的条件（采购需求中的技术、服务等要求指向特定供应商、特定产品）对供应商实行差别待遇或者歧视待遇。

因此，贵公司的质疑事项缺乏事实依据，该质疑事项不成立。

2、针对 “质疑事项一”中的“（二）质疑参数分项2”回复如下：

（1）漏洞特征库是下一代防火墙的核心防护基础，直接影响设备对已知威胁的识别能力。根据《信息安全技术 网络安全漏洞管理规范》（GB/T 30276-2020），漏洞库需覆盖主流高危漏洞，且需定期更新以应对新型攻击手法。

经核查，华为、**三、迪普等厂商的下一代防火墙产品均满足该参数，具体举证如下：

华为HiSecEngine USG6600F USG6700F系列AI防火墙官网截图：

华为官网彩页链接：

https://e.huawei.com/cn/material/enterprise/****点击查看89939cf****点击查看194dd570d1c589b67

**三官网彩页截图：

**三H3C SecPath F1000-AI系列防火墙官网链接：

图1：https://www.****点击查看.com/cn/Products_And_Solution/Proactive_Security/Product_Series/Border_Security/FW_VPN/F1000/F1000-AI/

图2：https://www.****点击查看.com/cn/d_202508/****点击查看877_30003_0.htm

图3：https://www.****点击查看.com/cn/d_202508/****点击查看457_30003_0.htm

迪普官网DPtech FW1000系列防火墙截图：

迪普官网链接：https://www.****点击查看.com/index.php?m=content c=index a=show catid=647 id=46
（2）主动防御价值：针对当前的网络安全形势，主动防御能力能有效应对未知威胁和高级威胁攻击，云蜜罐通过部署高仿真诱饵，实时捕获攻击行为并溯源攻击者，是《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》中“主动防御”能力的核心体现。医院院系统（如HIS、PACS）面临勒索病毒、数据窃取等高风险攻击，云蜜罐可快速感知内网横向渗透行为，为业务系统提供“隔离缓冲区”

根据《网络安全法》第二十一条及《医疗卫生机构网络安全管理办法》，需对账号权限进行动态管控，防止越权访问和内部泄露。覆盖账号创建、权限分配、行为审计、异常阻断全流程，避免因账号滥用导致的数据泄露。

经调研，以下厂商产品均满足参数要求：

华为USG6600E系列AI防火墙：

官网链接：https://e.huawei.com/cn/material/enterprise/40ad8ce73b****点击查看2187e2ac069ddfeed8

启明星辰天清汉马防火墙：

官网链接：https://www.****点击查看.cn/new_type/Webyyfhq/

奇安信企业级防火墙：

官网链接：

https://www.****点击查看.com//detail/rid/67

**三H3C SecPath F3200-I 防火墙：

**三官网链接：

https://www.****点击查看.com/cn/d_202304/****点击查看237_30005_0.htm

华为HiSecEngineUSG6600F USG6700F系列AI防火墙：

华为官网彩页链接：

https://e.huawei.com/cn/material/enterprise/****点击查看89939cf****点击查看194dd570d1c589b67

深信服 下一代防火墙系列：

深信服官网链接：https://www.****点击查看.cn/sangfor-security/ngfw

本项目****点击查看医院实际需求编制，并经公开征集及市场调研论证后设定，参数要求反应采购人实际需求。根据财政部关于印发《政府采购需求管理办法》的通知（财库（2021）22号）第七条“采购需求应当……符合采购项目特点和实际需要”的规定，采购人有权根据采购项目特点和实际需要，设置采购需求中的“技术参数”，并不具有倾向性、排他性，****点击查看公司所述的具有偏向性，以不合理的条件（采购需求中的技术、服务等要求指向特定供应商、特定产品）对供应商实行差别待遇或者歧视待遇。

因此，贵公司的质疑事项缺乏事实依据，该质疑事项不成立。

3、针对 “质疑事项一”中的“（三）质疑参数分项2”回复如下：

根据GB/T20281-2020，需满足“攻击防护”要求，包括防病毒、防僵尸网络、勒索病毒防护等（条款6.1.4）。且医院网络需同时防护业务系统与内网基础设施。勒索病毒常通过内网横向渗透，需网络层阻断能力，与HTTP流量检测形成互补。且经调查目前国内有不少于三家产品（下已列明）能满足以上要求，并不具有倾向性、排他性，****点击查看公司所述的指向特定供应商或特定产品。

华为HiSecEngineUSG6600F USG6700F系列AI防火墙：

华为官网链接：https://e.huawei.com/cn/material/enterprise/****点击查看89939cf****点击查看194dd570d1c589b67

**三防火墙：

链接：

https://www.****点击查看.com/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Videos/Technical_Introduction_Videos/Video-10947/?CHID=854065

https://www.****点击查看.com/cn/d_202301/****点击查看701_30005_0.htm

深信服下一代防火墙：

官网链接：

https://support.****点击查看.cn/productDocument/read?product_id=13 version_id=676 category_id=176249

本项目****点击查看医院实际需求编制，并经公开征集及市场调研论证后设定，参数要求反应采购人实际需求。根据财政部关于印发《政府采购需求管理办法》的通知（财库（2021）22号）第七条“采购需求应当……符合采购项目特点和实际需要”的规定，采购人有权根据采购项目特点和实际需要，设置采购需求中的“技术参数”，并不具有倾向性、排他性，****点击查看公司所述的具有偏向性，以不合理的条件（采购需求中的技术、服务等要求指向特定供应商、特定产品）对供应商实行差别待遇或者歧视待遇。

因此，贵公司的质疑事项缺乏事实依据，该质疑事项不成立。

4、针对 “质疑事项一”中的“（四）质疑参数分项3”回复如下：

第一，未违反“禁止限定品牌”原则：磋商文件未指定品牌名称，仅要求“产品与平台为同一品牌”，目的是确保技术兼容性和运维一致性，根据《网络安全法》第二十一条，医院需建立安全监测与防护体系，统一管理平台可降低多品牌设备协同运维的复杂性（如日志聚合、威胁溯源）。第二，技术兼容性的必要性：安全感知管理平台需对接防火墙、上网行为管理等设备的日志与告警信息，统一品牌可减少API接口适配成本（如奇安信、华为等厂商提供标准化SDK）；并且同一品牌设备支持统一安全策略下发（如访问控制规则同步），避免跨品牌策略冲突导致防护漏洞。第三，实际需求：因为医院数据的敏感性，HIS、PACS等系统需实现端到端防护，统一管理平台可集中监控异常流量。《医疗卫生机构网络安全管理办法》明确要求建立“可感知、可阻断、可溯源”的安全体系，统一平台是必要技术支撑。

本项目****点击查看医院实际需求编制，并经公开征集及市场调研论证后设定，参数要求反应采购人实际需求。根据财政部关于印发《政府采购需求管理办法》的通知（财库（2021）22号）第七条“采购需求应当……符合采购项目特点和实际需要”的规定，采购人有权根据采购项目特点和实际需要，设置采购需求中的“技术参数”，并不具有倾向性、排他性，****点击查看公司所述的具有偏向性，以不合理的条件（采购需求中的技术、服务等要求指向特定供应商、特定产品）对供应商实行差别待遇或者歧视待遇。

因此，贵公司的质疑事项缺乏事实依据，该质疑事项不成立。

（二）针对质疑函中提出的“质疑事项二：磋商文件要求的（2）技术性能分具有偏向性，以不合理的条件（采购需求中的技术、服务等要求指向特定供应商、特定产品）对供应商实行 差别待遇或者歧视待遇”答复如下：

1、针对 “质疑事项二”中的“（一）质疑参数分项1”回复如下：

（1）CMMI5认证表明厂商具备持续优化研发流程的能力，可降低因软件缺陷导致的系统故障风险（如误报漏报威胁情报、数据泄露等），****点击查看医院7×24小时运行的网络安全系统至关重要。HIS、电子病历等系统需高可靠性防护，CMMI5认证厂商在代码审查、漏洞修复等环节的规范化管理（如需求追溯、测试覆盖率控制）能提升产品稳定性。《GB/T 22239-2019 等保2.0》要求安全产品需通过第三方检测认证，CMMI5认证可作为厂商研发能力的辅助证明；国家卫健委《医疗卫生机构网络安全管理办法》明确要求“优先选择技术成熟、服务能力强的供应商”，CMMI5认证是评估厂商综合能力的重要参考。

采购人可根据采购项目的特点和需要编制采购文件，所设置的证书、人员数量配置是为了保证服务质量，服务供应商需具备相应的团队实力，可视为供应商具有更强的服务能力，能为采购人提供更高更好的服务质量。该评分办法由采购人根据采购项目的实际情况设置，符合采购项目的特点及采购人的实际需求，****点击查看政府采购的相关规定，贵公司的质疑事项缺乏事实依据。

（2）医院HIS、电子病历、远程医疗等系统逐步迁移至云端，业务安全威胁（如数据泄露、API接口攻击）成为核心风险点。《医疗卫生机构网络安全管理办法》明确要求“建立**全防护体系”，CS-CMMI5认证是评估厂商**全能力成熟度的国际权威标准；CS-CMMI5认证要求厂商具备**全威胁检测、数据加密等能力，与态势感知平台需防护的云环境威胁直接相关。医院需防范云平台中的勒索病毒横向渗透（如攻击PACS影像存储系统）、API接口滥用等风险，CS-CMMI5认证厂商在云流量分析、容器安全检测等方面具备技术优势。本次需求态****点击查看医院业务架构，认证要求确保厂商掌握多云环境下的威胁溯源能力。

采购人可根据采购项目的特点和需要编制采购文件，所设置的证书、人员数量配置是为了保证服务质量，服务供应商需具备相应的团队实力，可视为供应商具有更强的服务能力，能为采购人提供更高更好的服务质量。该评分办法由采购人根据采购项目的实际情况设置，符合采购项目的特点及采购人的实际需求，****点击查看政府采购的相关规定，贵公司的质疑事项缺乏事实依据。

（3）第一，医疗行业安全威胁的紧迫性：医院HIS、电子病历、影像系统存储大量患者隐私数据，是勒索病毒、APT攻击的主要目标。2024****点击查看医院因防火墙未识别新型勒索病毒变种，导致PACS影像系统瘫痪36小时。第二，《医疗卫生机构网络安全管理办法》明确要求“建立未知威胁检测机制”，GB/T20281-2020虽未直接定义该指标，但要求防火墙需具备持续威胁情报更新能力（条款6.3.2），未知威胁检测是该能力的核心体现。第三，GB/T20281-2020第6.2.4条要求防火墙需支持“异常流量检测”，而未知威胁检测（如零日漏洞利用、加密流量恶意行为）属于异常流量范畴，检测机构可基于标准扩展测试方法出具报告。第四，行业实践：**部计算机信息系统****点击查看检验中心已将未知威胁检测纳入《防火墙产品安全技术鉴定规范》（2024版），作为高风险网络设备的必检项。且根据《网络安全法》第二十三条，网****点击查看**部、国家认监委认可机构的检测认证。****点击查看**部计算机所、****点击查看中心等）均属于《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录》内单位，符合《政府采购法实施条例》第二十条要求。

采购人可根据采购项目的特点和需要编制采购文件，所设置的证书、人员数量配置是为了保证服务质量，服务供应商需具备相应的团队实力，可视为供应商具有更强的服务能力，能为采购人提供更高更好的服务质量。该评分办法由采购人根据采购项目的实际情况设置，符合采购项目的特点及采购人的实际需求，****点击查看政府采购的相关规定，贵公司的质疑事项缺乏事实依据。

因此，贵公司的质疑事项缺乏事实依据，该质疑事项不成立。

（三）针对质疑函中提出的“质疑事项三：磋商文件要求的（3）项目实施方案具有偏向性，以不合理的条件（采购需求中的技术、服务等要求指向特定供应商、特定产品）对供应商实行 差别待遇或者歧视待遇”答复如下：

1、针对 “质疑事项三”中的“质疑3”回复如下：

PMP认证虽为国际认证，但其知识体系（如风险管理、干系人管理）与医疗行业网络安全项目需求高度契合。医疗项目常涉及多部门协作（如信息科、临床科室、第三方服务商），PMP认证可确保项目经理具备跨领域协调能力；医院需防护患者隐私数据泄露、勒索病毒攻击等高风险场景，CISP认证（注册信息安全专业人员）要求掌握数据安全防护、等保合规、应急响应等核心能力，与《医疗卫生机构网络安全管理办法》要求直接相关。国家卫健委《医疗健康数据安全标准》明确要求安全服务商团队中至少2人持有CISP证书，以确保数据安全防护的专业性。医疗网络安全项目需协调HIS厂商、临床科室、后勤保障部门，PMP认证项目经理可运用敏捷管理方法（如Scrum）快速响应需求变更（如疫情防控系统紧急上线）。医院需通过等保2.0二级测评，CISP认证团队能精准制定防护策略。

采购人可根据采购项目的特点和需要编制采购文件，所设置的证书、人员数量配置是为了保证服务质量，服务供应商需具备相应的团队实力，可视为供应商具有更强的服务能力，能为采购人提供更高更好的服务质量。该评分办法由采购人根据采购项目的实际情况设置，符合采购项目的特点及采购人的实际需求，****点击查看政府采购的相关规定，你公司的质疑事项缺乏事实依据。

因此，贵公司的质疑事项缺乏事实依据，该质疑事项不成立。

四、综上所述，贵公司的质疑事项（一）、（二）、（三）缺乏事实依据，根据中华人民**国财政部令第94号《政府采购质疑和投诉办法》的有关规定，贵公司的质疑事项不成立。

如质疑人对本质疑答复不满意，可以在答复期满后十五****点击查看政府****点击查看管理部门投诉。****点击查看公司工作的关心和支持！

****点击查看集团有限公司

2025年9月5日

附件信息: