密碼安全控件招標書.doc常熟農(nóng)商銀行

1、江蘇常熟農(nóng)村商業(yè)銀行股份有限公司招標編號：江蘇常熟農(nóng)村商業(yè)銀行股份有限公司 密碼安全控件項目招標書江蘇常熟農(nóng)村商業(yè)銀行股份有限公司二o一五年十一月十一日申 明本招標文件專用于江蘇常熟農(nóng)村商業(yè)銀行股份有限公司本次密碼安全控件項目進行招標，江蘇常熟農(nóng)村商業(yè)銀行股份有限公司對本招標文件及招標文件內(nèi)容享有解釋權(quán)。參加投標單位即視為無條件同意本申明并保證對本招標文件可能涉及的江蘇常熟農(nóng)村商業(yè)銀行股份有限公司商業(yè)秘密予以保密，除經(jīng)江蘇常熟農(nóng)村商業(yè)銀行股份有限公司書面同意外，任何單位和個人不得為參與本產(chǎn)品投標以外的目的而出版、復(fù)制、傳播、銷售及使用本招標文件。第一部分 投標函根據(jù)江蘇常熟農(nóng)村商業(yè)銀行股份有限

2、公司業(yè)務(wù)發(fā)展的需求，現(xiàn)就江蘇常熟農(nóng)村商業(yè)銀行股份有限公司密碼安全控件項目進行招標：1.招標編號：2.招標人：江蘇常熟農(nóng)村商業(yè)銀行股份有限公司3.項目實施地點：常熟市新世紀大道58號4.發(fā)放標書時間：北京時間 2015年 11月 11日5.投標截止時間：北京時間 2015年 11月 17日 6.招標人聯(lián)系方式：江蘇常熟農(nóng)村商業(yè)銀行股份有限公司地址：江蘇省常熟市新世紀大道58號郵政編碼：215500聯(lián)系人：盧少清電話號碼術(shù)聯(lián)系人： 劉輝電話號碼蘇常熟農(nóng)村商業(yè)銀行股份有限公司第二部分 招標說明一、總體說明（1） 適用范圍本招標文件僅適用于江

3、蘇常熟農(nóng)村商業(yè)銀行股份有限公司（以下簡稱“常熟農(nóng)商銀行”）密碼安全控件項目而進行的公開招標。（2） 定義1.“招標人”系指組織本次招標的招標機構(gòu)：常熟農(nóng)商銀行。2.“投標人”系指遵守招標文件要求并向招標人提交投標文件的法人單位。3.“設(shè)備（系統(tǒng)）”系指投標人按招標文件規(guī)定，須向招標人提供的設(shè)備、軟件系統(tǒng)、備品備件、工具、手冊及其他有關(guān)技術(shù)資料和材料。4.“服務(wù)”系指招標文件規(guī)定投標人須承擔的技術(shù)服務(wù)、運輸、安裝調(diào)試、人員培訓(xùn)、售后服務(wù)和其他類似的義務(wù)。5.“招標文件”系指本文件及其附件，如招標人對招標文件及其附件進行有效的修改或澄清則該修改和澄清構(gòu)成招標文件不可分割的一部分。6.“投標文件”系

4、指投標人按照招標文件要求編寫，并向招標人遞交的有效的文字說明、表格、圖表等文件，如投標人對投標文件進行有效的補充、修改、澄清或說明則該補充、修改、澄清和說明構(gòu)成投標文件不可分割的一部分。7“無效的投標文件”指屬于下列情況之一者，將作為無效處理：1) 投標文件未按招標文件的要求密封；2) 投標文件未蓋公章或未經(jīng)法定代表人（或授權(quán)代理人）簽字；3) 投標文件未按招標文件規(guī)定的格式、內(nèi)容和要求填寫；4) 在投標文件截止期后送達或是通過電報、電話、電傳、傳真投標文件；5) 投標文件字跡模糊不清無法辨認的。6) 投標人在投標文件中提供虛假信息的。7) 投標文件未送達指定地點，指定接收人。（3） 對投標人

5、的要求1. 投標方必須為具有獨立企業(yè)法人資格，具有合法名稱、組織機構(gòu)、固定的辦公場所，注冊資本要求不少于 100萬元人民幣（或等值外幣），注冊時間不少于 2 年，且具有良好的技術(shù)力量、商業(yè)信譽和售后服務(wù)體系的設(shè)備（系統(tǒng)）分銷商、廠商。2. 投標商需具有原廠授權(quán)、認證資格，并具有一定數(shù)量的獲得認證的工程師。3. 投標人必須具有良好的經(jīng)濟和技術(shù)實力，能夠按時提交招標人要求的交付件，并能夠及時地提供招標人要求的優(yōu)質(zhì)服務(wù)。4. 投標人近三年來簽署過類似合同、承擔過類似項目及成功案例，案例數(shù)不少于3個。投標人應(yīng)具備相應(yīng)實施資格。5. 投標人必須具有良好的銀行資信和商業(yè)信譽，沒有違法、違約記錄，不處于被責

6、令停業(yè)，財產(chǎn)被接管、凍結(jié)、破產(chǎn)等非正常經(jīng)營狀態(tài)。6. 投標人不得聯(lián)合第三方共同投標，否則取消投標資格；且不允許中標后將本招標進行分包、轉(zhuǎn)包。7. 對標的物中包含的第三方產(chǎn)品和服務(wù)，要求投標方出具第三方授權(quán)書（包括產(chǎn)品、服務(wù)功能和價格），招標人保留對該第三方資格認定及與其直接簽署合同的權(quán)利。（4） 投標費用投標人應(yīng)自行承擔與參加投標有關(guān)的全部費用，招標人在任何情況下無義務(wù)和責任承擔上述費用。（5） 招標文件的解釋及咨詢本招標文件的解釋權(quán)屬招標人。對本次招標有任何詢問，請與常熟農(nóng)商銀行本次招標聯(lián)系人聯(lián)系。二、投標文件說明（一）要求1.投標人應(yīng)仔細閱讀招標文件的所有內(nèi)容，按招標文件的要求提供投標文件

7、，并保證所提供的全部資料的真實性，以使其投標對招標文件作出實質(zhì)性響應(yīng)，否則，其投標可能被拒絕。2.除非有特殊要求，招標文件不單獨提供招標設(shè)備（系統(tǒng)）或服務(wù)使用地的自然環(huán)境、氣候條件、公用設(shè)施等情況，投標人被視為熟悉上述情況。（二）投標文件的組成投標文件應(yīng)包括但不限于下列所選文件：1. 法定代表人身份證明或法定代表人授權(quán)委托書（法定代表人參加投標，不用此委托書）2. 投標書必須按照本招標文件第四部分附件的格式要求制作，未經(jīng)招標人書面同意，該格式不允許作任何修改。3. 投標價格一覽表應(yīng)包括投標報價、維護承諾、其他重要補充事項等內(nèi)容。4. 服務(wù)內(nèi)容描述投標人必須對“招標項目要求”逐個或分塊地作出實質(zhì)

8、性響應(yīng)，其響應(yīng)應(yīng)與招標文件內(nèi)容采用相同的順序，對每個需求的響應(yīng)必須遵循如下規(guī)則：（1）重復(fù)該需求；（2）用“是/否”來表明該需求是否被滿足；（3）簡要描述如何滿足該需求，如果該響應(yīng)在投標文件其他部分有詳述，可在該處簡單應(yīng)答，但必須給出確切的位置索引；（4）解釋投標文件或投標方案與招標項目需求之間的偏差，用數(shù)量來表示的需求，必須用確切的數(shù)量單位來響應(yīng)。5. 項目實施計劃應(yīng)根據(jù)對項目需求的理解，提出詳細、切實可行的項目實施計劃及方案。6. 售后服務(wù)計劃應(yīng)說明售后服務(wù)的內(nèi)容、形式、收費標準；維護單位名稱、地點、人員；服務(wù)響應(yīng)時間等，并應(yīng)包含免費維護期及期外的售后服務(wù)計劃。7. 投標人情況簡介應(yīng)包含投

9、標人基本情況與背景資料、業(yè)務(wù)經(jīng)營情況、最近三年類似相關(guān)項目實施情況、及投標人最新的經(jīng)過審計的財務(wù)報表、相關(guān)內(nèi)控制度及連續(xù)性方案等。8. 投標人資格證明文件包括（1）投標人營業(yè)執(zhí)照復(fù)印件；（2）若分公司參加投標的，需總公司的正式授權(quán)書（即簽訂合同只與有法人資格的公司簽訂）。9. 其他（1）投標方實施其它銀行此產(chǎn)品案例的合同復(fù)印件或加蓋單位公章的產(chǎn)品定單；（2）投標人自愿提供的其他全部文件；（3）優(yōu)惠條款的說明等。（三）投標文件的簽署及規(guī)定1.投標人應(yīng)準備一份正本， 兩 份副本，一份電子文檔。在每一份投標文件上要明確注明“正本”或“副本”字樣，若正本和副本有差異以正本為準。2.投標文件正本和副本須

10、統(tǒng)一用a4紙打印裝訂并由投標人法定代表人或授權(quán)代理人在正本封面上簽章處簽字并加蓋公章、騎縫章。3.除投標人對錯漏處作必要修改外，投標文件中不許有加行、涂抹或改寫。如有修改錯漏處，必須由投標人法定代表人或授權(quán)代理人簽字并加蓋公章。三、投標文件的遞交（一）投標文件的密封和遞交1. 投標人應(yīng)將投標文件的正本和副本分別用非透明文件袋密封，在封簽處加蓋公章，并標明投標人名稱、正本或副本、招標編號、投標產(chǎn)品名稱。2. 每一密封信封上注明“于開標前不準啟封”的字樣。3. 投標價格表及其它各種承諾均須有法定代表人（或其委托的全權(quán)代表人）的簽字、日期并加蓋公章。4. 投標文件須標注頁碼：封面后的第一頁為標書的目

11、錄，整本標書須標注統(tǒng)一的頁碼，成功案例合同等復(fù)印件可以手工填上統(tǒng)一的頁碼。（二）投標文件的修改和撤回1. 投標人在提交投標文件后可對其投標文件進行補充、修改或撤回，但招標人須在投標截止時間之前收到該補充、修改或撤回的書面通知，該通知須經(jīng)投標人的法定代表人或授權(quán)代理人簽字并加蓋公章。2. 投標人對投標文件進行補充、修改的書面材料或撤回的通知應(yīng)按本招標文件規(guī)定進行編寫、密封、標注和遞送，并注明“補充/修改投標文件”或“撤回投標”字樣。3. 投標截止時間以后不得對投標文件進行修改或補充。4、 開標和評標（一）開標此次招標采用以下方式：1. 本次招標進行現(xiàn)場開標，開標時間與開標地點由招標人另行通知。2

12、. 所有投標人均應(yīng)派代表人和項目（技術(shù)）負責人到場參加開標，投標人代表應(yīng)出示代表投標人參加開標的授權(quán)證明及本人身份證明。3. 由項目經(jīng)理講標，如中標則由講標項目經(jīng)理現(xiàn)場負責此項目，不允許更換項目經(jīng)理。（二）評標因素會1. 招標人根據(jù)具體招標項目分類對每一個投標條件進行比較。對其內(nèi)容進行分析比較：1) 投標價格；2) 投標方整體實力及成功案例總數(shù)；3) 投標方技術(shù)方案、成功案例分析及產(chǎn)品特制設(shè)計；4) 投標方技術(shù)實力（研發(fā)人員、售后服務(wù)能力）；5) 投標方的資信情況和履約能力；6) 投標方提供的其他優(yōu)惠條件。（三）投標文件的審查l.開標后，招標人將組織審查投標文件是否完整，是否有計算錯誤，文件是

13、否恰當?shù)睾炇稹?.在對投標文件進行詳細評估之前，招標人將依據(jù)投標人提供的資格證明文件審查投標人的財務(wù)、技術(shù)和生產(chǎn)能力。如果確定投標人無能力提供設(shè)備（系統(tǒng)）和技術(shù)支持，其投標將被拒絕。3.招標人將確定每一投標是否對招標文件的要求作出了實質(zhì)性的響應(yīng)，而沒有明顯的偏離或保留。4.招標人判斷投標文件的響應(yīng)性僅基于投標文件本身而不靠外部證據(jù)。5.招標人將拒絕被確定為非實質(zhì)性響應(yīng)的投標，投標人不能通過修正或撤銷不符之處而使其投標成為實質(zhì)性響應(yīng)的投標。（四）投標文件的澄清1. 為有助于對投標文件進行審查、評估和比較，評標期間，投標人法定代表人或授權(quán)代理人及其他有關(guān)人員應(yīng)當?shù)群蛸|(zhì)疑。招標人有權(quán)向投標人質(zhì)疑并請

14、投標人澄清其投標內(nèi)容。投標人有責任按照招標人通知的時間、地點、方式指派專人進行答疑和澄清。2. 澄清應(yīng)是書面的，并由法定代表人或其授權(quán)代理人簽字。3. 投標人的澄清文件是投標文件的組成部分，并取代投標文件中被澄清的部分。4. 投標文件的澄清不得對投標內(nèi)容進行實質(zhì)性修改。（五）評標工作1. 招標人將按照公開、公平、公正的原則對待所有投標方。2. 評標是招標工作的重要環(huán)節(jié)，評標工作在招標人內(nèi)獨立進行。3. 招標人不承諾報價最低者為中標者。4. 在投標、開標期間，投標人不得向招標人詢問情況，不得進行旨在影響評標結(jié)果的活動，招標人保留對投標人進行疑問咨詢的權(quán)力。5. 在投標、評標過程中，如有投標人聯(lián)合

15、故意抬高報價或其他不正當行為，招標人有權(quán)中止投標或評標。6. 江蘇常熟農(nóng)村商業(yè)銀行股份有限公司保留對本次招標的最終解釋權(quán)。五、中標與簽署合同（一）定標原則1招標人不承諾向投標方披露招標過程中任何細節(jié)，包括中標或落標原因。（二）中標通知1.定標后，招標人將發(fā)出中標通知。2.對落標的投標人不再另行發(fā)出落標通知。3.中標通知將作為招標人與中標人簽訂合同的依據(jù)之一。（三）簽訂合同1. 招標人將按照招標文件和投標人的投標文件與中標人簽訂書面合同，簽訂合同之前，雙方需對合同的具體細節(jié)進行商談。2. 招標人對有關(guān)內(nèi)容有權(quán)作出必要的細化和補充，但有關(guān)細化和補充不得背離招標文件和投標文件的實質(zhì)性內(nèi)容。3. 招標

16、文件、中標方的投標文件及其澄清文件等，均為簽訂合同的依據(jù)。第三部分 招標項目要求一、招標概要1、對我行現(xiàn)有各系統(tǒng)的密碼輸入進行規(guī)范安全輸入，同時為了響應(yīng)國密改造要求，擬對本行密碼控件統(tǒng)一招標，本次招標涉及采購版本：pc版、客戶端版、微信版。2、本次招標報價：投標人可以對每一個版本報價（pc版、客戶端版、微信版），也可整體報價。3、本項目采用綜合評分法進行評標，評標規(guī)則不向投標人公開，投標人參與投標即視為無條件接受評標小組依據(jù)已擬定的評標規(guī)則進行獨立評標。二、項目的具體要求1、密碼安全控件報價總體要求1.1 報價須包含稅費等達到正常使用用途而產(chǎn)生的一切費用；1.2 投標貨幣統(tǒng)一為人民幣報價，單位

17、為元；1.3 報價欄項目中如出現(xiàn)數(shù)字0，則視為報價為零；如出現(xiàn)空白，視為未響應(yīng)；1.4 報價格式詳見附件3開標一覽表；2、建設(shè)周期本項目需要公司提供至少三個版本：pc版、微信版、客戶端版，實施周期為2015年11月至2015年12月，2015年12月正式上線。 產(chǎn)品需支持我行現(xiàn)用網(wǎng)銀系統(tǒng)、手機銀行系統(tǒng)、直銷銀行系統(tǒng)、積分商城系統(tǒng)、oa系統(tǒng)、村鎮(zhèn)銀行網(wǎng)銀系統(tǒng)等相關(guān)系統(tǒng)的無縫對接。 支持的操作系統(tǒng)：windows全部版本操作系統(tǒng)及以后新發(fā)布的全部windows系統(tǒng)；手機銀行安卓版和ios版以及今后發(fā)布的所有升級版本；mac操作系統(tǒng)全部版本以及今后發(fā)布的所有升級版本。 支持的瀏覽器：常見的ie、谷歌

18、、火狐、safari、360、遨游、百度、獵豹、qq、搜狗等各種瀏覽器全部兼容和支持。支持在我行以及下屬機構(gòu)的全部正常使用。性能參數(shù)：序號設(shè)備名稱簡要配置及參數(shù)1密碼控件1 安全控件技術(shù)需求必須支持國密算法及rsa國際算法1.1鍵盤輸入保護安全控件應(yīng)具有防范惡意代碼獲取鍵盤輸入的能力，即使在已被植入了惡意代碼（比如rootkits類），仍然能保護輸入的敏感信息不被泄露。需能防范如下幾種記錄方式：1)利用windows hooks技術(shù)（日志鉤子、鍵盤鉤子）記錄用戶鍵盤輸入2)通過鍵盤狀態(tài)輪詢（getasynkeystate、getkeystate、getrawinputdata）記錄用戶鍵盤輸入

19、3)通過directx方式記錄用戶鍵盤輸入4)通過inline hook、object hook技術(shù)記錄用戶鍵盤輸入5)利用標準設(shè)備過濾技術(shù)記錄用戶鍵盤輸入6)利用鍵盤設(shè)備端口訪問技術(shù)（i8042）記錄用戶鍵盤輸入7)利用鍵盤中斷截取技術(shù)（idt、ioapic）記錄用戶鍵盤輸入8)* usb鍵盤輸入保護能力的要求：防止通過hidusb過濾驅(qū)動和irp hook技術(shù)記錄用戶鍵盤輸入（*此項為本次招標關(guān)鍵性條款）1.2其他安全保護1)ie com接口保護功能能防止惡意代碼通過ie com接口讀取、篡改輸入控件內(nèi)容及客戶端腳本代碼。2)腳本注入保護功能防止惡意代碼通過腳本注入技術(shù)讀取、篡改輸入控件內(nèi)

20、容3)進程保護功能采用進程保護技術(shù)，防止進程讀寫等防止windows消息偽造類軟件的欺騙4)防止用戶無意泄密禁用編輯指令和功能鍵的命令5)關(guān)鍵敏感數(shù)據(jù)加密密碼等敏感信息輸入后應(yīng)立即加密，敏感信息在應(yīng)用層保持端到端加密，即保證數(shù)據(jù)在從源點到終點的過程中始終以密文形式存在，不能顯示敏感信息的明文。不能在內(nèi)存中被導(dǎo)出用戶輸入的敏感信息。6)對于使用擾碼技術(shù)的控件，應(yīng)確保擾碼不能輕易被去除7)安全控件臨時文件不應(yīng)出現(xiàn)敏感信息；安全控件禁止在身份認證結(jié)束后存儲敏感信息，防止敏感信息的泄露。8)如使用額外的加密措施對通訊進行加密，要求達到強效加密標準，對于基于密鑰系統(tǒng)（例如3des）的加密方式，密鑰長度應(yīng)

21、不低于128位，對于基于因子的公用密鑰算法（例如rsa）的加密方式，密鑰長度應(yīng)不低于2048位。9)要求加密傳輸過程中一次一密，禁止使用固定密鑰。10）要求具備防調(diào)試、放截屏、防重放攻擊。11)移動終端客戶端安全控件要求：a)客戶端程序應(yīng)提供敏感信息機密性、完整性保護功能，例如采取隨機布放按鍵位置、防范鍵盤竊聽技術(shù)、計算mac校驗碼等措施。b)客戶端程序應(yīng)采取代碼混淆等技術(shù)手段，防范攻擊者對客戶端程序的調(diào)試、分析和篡改。c)客戶端程序開發(fā)設(shè)計過程中應(yīng)注意規(guī)避各終端平臺存在的安全漏洞，例如，按鍵輸入記錄、自動拷屏機制、文檔顯示緩存等。d)ios系統(tǒng)安全控件具備擴展提供檢測設(shè)備是否越獄的能力，an

22、droid系統(tǒng)安全控件具備擴展提供是否root檢測、鍵盤記錄惡意代碼檢測、錄截屏代碼檢測機制的能力。1.3控件自我保護1)安全控件應(yīng)具備抗逆向、反匯編、防止跟蹤調(diào)試的能力。如有內(nèi)置密鑰，不能泄露。2)防止惡意代碼讀取內(nèi)存中的用戶敏感信息，篡改程序代碼，截獲交易數(shù)據(jù)。1.4 穩(wěn)定性 1)控件系統(tǒng)需具有良好的穩(wěn)定性，保證7*24小時穩(wěn)定運行。2)控件系統(tǒng)需具備完善的災(zāi)備機制，在系統(tǒng)出現(xiàn)問題時，可做到快速切換。3)控件系統(tǒng)需具有完善的應(yīng)急響應(yīng)機制，包括完善的應(yīng)急預(yù)案、穩(wěn)定的應(yīng)急響應(yīng)隊伍等。1.5 用戶體驗1)支持密碼強度檢測；2)支持自定義字體、前景色、背景色、邊框顏色；3)支持自定義輸入長度限制（

23、最大長度、最小長度）；4)安全控件可以做到一鍵安裝；5)支持機器指紋獲取（pc端：客戶端的cpu、硬盤序列號、主板bios序列、網(wǎng)卡mac地址，移動端：android系統(tǒng)包括imei/imsi、無線網(wǎng)卡mac地址等關(guān)鍵軟硬件信息，ios系統(tǒng)包括nsuuid等關(guān)鍵軟硬件信息）且需要在各個系統(tǒng)下穩(wěn)定實現(xiàn)采集；6)用戶安裝完成后不需要重啟操作系統(tǒng)和瀏覽器即可使用；7)控件框支持基本的編輯功能，包括方向鍵、插入、刪除等；8)控件不得對用戶輸入的字符（如“/”等符號）有限制或者不支持；9)ios安全控件支持與cocoa原生輸入控件無縫替換；10)ios與android系統(tǒng)客戶端程序集成的安全控件，需支持

24、原生ui框架與內(nèi)嵌頁面兩種應(yīng)用場景；11)移動終端安全控件需支持多套鍵盤ui布局方式，提供客戶化定制服務(wù)；1.6兼容性1)安全控件應(yīng)和其他銀行的安全控件不沖突，并可以綠色卸載；2)安全控件支持以下windows操作系統(tǒng)：windows xp、vista、windows 7、windows 8，支持windows7/8等32位與64位系統(tǒng)等全部windows系統(tǒng)。 3)安全控件支持windows操作系統(tǒng)下的瀏覽器：ie6、ie7、ie8、ie9、ie10、ie11及其他ie內(nèi)核瀏覽器（遨游瀏覽器、360安全瀏覽器等）；火狐、chrome、opera、safari等非ie內(nèi)核瀏覽器； 4)安全控件

25、支持mac os x 10.5以上操作系統(tǒng)，并支持mac os x上的多種主流瀏覽器，如火狐、chrome、opera、safari等；5)安全控件能支持最新的ios與android系統(tǒng)版本，保證穩(wěn)定運行；6)針對未來新版本windows操作系統(tǒng)及瀏覽器應(yīng)能夠提供升級服務(wù)。7)客戶端安全程序應(yīng)該能夠兼容現(xiàn)有主流殺毒軟件和第三方客戶端安全防護軟件，包括但不限于江民殺毒軟件、金山毒霸、諾頓及360安全衛(wèi)士等；8)客戶端安全程序（安全控件）和操作系統(tǒng)的其他正常應(yīng)用程序保持兼容，不存在沖突問題；9)安全控件系統(tǒng)本身需具有良好的容錯性，做到不間斷的穩(wěn)定運行。1.7版本控制安全控件需要能夠?qū)崿F(xiàn)自動化的版本

26、控制，例如版本檢測及升級安裝、版本升級的回退機制等。1.8服務(wù)器端運行環(huán)境、部署及系統(tǒng)需求1)服務(wù)器端程序的接口調(diào)用需簡單易用，并具有良好的可擴展性。2)能夠支持tcp/ip通訊協(xié)議，支持長鏈接、短鏈接、同步異步等通訊方式，并支持常用的中間件。3)服務(wù)器端程序需支持.net、java、c+等主流平臺。4)服務(wù)器端程序可根據(jù)性能處理要求，靈活擴展，支持服務(wù)器群集部署。5)安全控件對原有業(yè)務(wù)的處理響應(yīng)時間增長原則上控制在0.1秒以內(nèi)。6)服務(wù)器端程序需運行穩(wěn)定，支持7*24小時不間斷運行。7)系統(tǒng)發(fā)生故障時能夠快速切換備機，并及時恢復(fù)，同時提供系統(tǒng)故障前預(yù)警信息。8)具有系統(tǒng)資源回收能力，避免系統(tǒng)

27、長時間運行后逐漸消耗系統(tǒng)資源（如內(nèi)存泄漏）而引起系統(tǒng)崩潰；9)如需使用硬件加密設(shè)備，優(yōu)先使用我行已有硬件加密設(shè)備。如使用專用設(shè)備，需提供設(shè)備在銀行業(yè)使用案例。1.9 其他需求1)客戶端安全控件應(yīng)提供有相關(guān)資質(zhì)的第三方中立測試機構(gòu)的安全檢測報告。2)投標人需給出相應(yīng)平臺的壓力性能指標，并確保整個系統(tǒng)的安全性、可靠性及高效運行。3)投標人須在方案建議書中詳細介紹系統(tǒng)的架構(gòu)和實現(xiàn)方案。4)開發(fā)語言應(yīng)為主流開發(fā)語言，如java、c、c+、c#、.net等。5)投標方提供的安全控件產(chǎn)品應(yīng)支持國密算法，包括sm2/sm3/sm4；并能提供產(chǎn)品滿足符合性測試要求。3、業(yè)務(wù)/功能需求詳見附件5業(yè)務(wù)需求/實施范

28、圍4、招標范圍詳見附件6招標范圍要求5、技術(shù)需求詳見附件7技術(shù)需求7、其他招標要求詳見附件8其他招標要求第四部分 附件附件1：投標書投 標 書致：江蘇常熟農(nóng)村商業(yè)銀行股份有限公司根據(jù)貴方 招標書，投標人 （投標人名稱）提供相關(guān)文件并做出以下承諾：1、 招標文件規(guī)定的全部文件正本一份，副本 份，電子文檔一份。 二、投標人同意如下：1投標人完全接受招標文件中的內(nèi)容，并將按招標文件的規(guī)定履行義務(wù)，按相關(guān)法律法規(guī)履行我方的全部責任。2.投標人己詳細審查全部招標文件，包括修改文件以及全部參考資料和有關(guān)附件，無其他不明事項。3.投標人同意招標人要求的相關(guān)數(shù)據(jù)或資料，完全理解招標人在招標文件中確定的評標原則

29、和程序，理解貴方不一定要接受最低報價的投標。三、投標方保證投標文件中所有關(guān)于投標資格的文件，證明陳述均是真實的、準確的。若有違背，投標方愿意承擔由此而產(chǎn)生的一切后果。與本投標有關(guān)的一切正式信函請使用以下地址：地址： 郵編： 電話： 傳真： 投標人法定代表人姓名、職務(wù)（印刷體）： 投標人名稱： 單位公章： 法定代表人或授權(quán)代理人簽字： 日期： 年 月 日附件2：法人代表授權(quán)委托書法人代表授權(quán)委托書本授權(quán)書申明：（投標人公司名稱）（投標人公司注冊地點）法定代表人（姓名）經(jīng)合法授權(quán)，特代表本公司（以下稱“投標人”）任命：（姓名）為正式的合法代理人，并授權(quán)該代理人在有關(guān)的投標工作中，以投標人的名義簽署

30、投標書、簽署合同并處理與此有關(guān)的一切事務(wù)。特簽字如下，以資證明。投標人單位公章：投標人法定代表人（授權(quán)人）簽字蓋章：日期：附件3：投標價格一覽表（單獨密封）投標價格一覽表一、報價表投標人名稱： 貨幣單位：為人民幣元序號項目名稱產(chǎn)品 名 稱投標報價1密碼安全控件pc版密碼安全控件￥手機客戶端密碼安全控件￥微信端密碼安全控件合計（總報價）￥2合理化建議及優(yōu)惠條件3自全部需求上線之日起計，免費維護期為_ 年，之后每年的付費維保費用為￥_（或者按總價格的百分之幾）。4后續(xù)開發(fā)人月單價參考行內(nèi)標準。（第二期）投 標 人（法人公章）：法定代表人（或授權(quán)代表人）：日 期：附件4：投標人情況簡介投標人情況簡介

31、1.名稱和概況：a投標人名稱： b地址： 郵編： 傳真電話： c成立日期或注冊日期： d法定代表人或主要負責人姓名： 2財務(wù)數(shù)據(jù)：a. 注冊資本： 3業(yè)績或服務(wù)的情況：a. 年至今國內(nèi)外主要用戶的名稱和地址： b. 本次投標或服務(wù)在國內(nèi)金融行業(yè)的應(yīng)用情況（如有的話）：4. 年至今投標人是否受到過監(jiān)管機關(guān)的處罰？是否有重大涉訴法律糾紛？如有，請列明原因及相關(guān)情況。5.所屬集團（如有的話）： 6.其它情況（組織、機構(gòu)、技術(shù)力量、參與本產(chǎn)品的實施人員情況等） 附件5：業(yè)務(wù)需求/實施范圍 支持與我行現(xiàn)有網(wǎng)銀系統(tǒng)、手機銀行系統(tǒng)、直銷銀行系統(tǒng)、積分商城系統(tǒng)、oa系統(tǒng)、村鎮(zhèn)銀行網(wǎng)銀系統(tǒng)等系統(tǒng)的無縫對接。 支

32、持的操作系統(tǒng)：windows全部版本操作系統(tǒng)及以后新發(fā)布的全部windows系統(tǒng)；手機銀行安卓版和ios版以及今后發(fā)布的所有升級版本；mac操作系統(tǒng)全部版本以及今后發(fā)布的所有升級版本。 支持的瀏覽器：常見的ie、谷歌、火狐、safari、360、遨游、百度、獵豹、qq、搜狗等各種瀏覽器全部兼容和支持。支持在我行以及下屬機構(gòu)的全部正常使用。整體項目實施時間計劃 整體實施周期計劃為：2015年11月-2015年12月，2015年12月份上線運行。附件6：招標范圍要求整體項目招標的內(nèi)容僅為應(yīng)用軟件部分。要求中所出現(xiàn)的系統(tǒng)軟硬件，不在本次招標范圍之內(nèi)，僅供投標方參考。但投標方須在投標書中給出系統(tǒng)架構(gòu)的

33、整體設(shè)計方案及軟硬件建議配置，并說明解決方案中需要的所有硬件和軟件的類型和版本，并標明是否可復(fù)用我行所提供的軟硬件、是否需要單獨配置，以及硬件上需要安裝或運行的軟件產(chǎn)品，并填寫系統(tǒng)軟硬件分項清單，作為系統(tǒng)軟硬件選型參考和整體解決方案的評估。表：系統(tǒng)軟硬件配置分項清單用途詳細配置參考型號數(shù)量操作系統(tǒng)數(shù)據(jù)庫中間件數(shù)據(jù)庫服務(wù)器應(yīng)用服務(wù)器其他服務(wù)器附件7：技術(shù)需求招標方對于項目的技術(shù)方面需求，詳見附件11技術(shù)需求清單。投標方應(yīng)在該清單上，針對每一條需求，注明其系統(tǒng)現(xiàn)有的標準功能是否能滿足、或部分滿足，或無法滿足該需求。對于回答“完全滿足”的，應(yīng)在投標技術(shù)方案中，說明投標方的產(chǎn)品是如何滿足招標方要求的，

34、并在本清單中列明其在投標技術(shù)方案書中所對應(yīng)的章節(jié)位置；對于“部分滿足”或“無法滿足”的功能，投標方應(yīng)在投標技術(shù)方案中，說明將采取何種技術(shù)解決方案滿足招標方的技術(shù)要求，同時在該清單中注明需進行客戶化改造的功能，以及功能改造和新功能開發(fā)所需要的人月時間，并簡要說明估算依據(jù)。在該清單所列需求之外，投標方可提出其他認為必要的評論/意見，包括特色業(yè)務(wù)功能。投標方應(yīng)在投標技術(shù)方案中，提供相關(guān)技術(shù)方案的實例說明，具體描述實現(xiàn)方案的框架、界面截圖和流程展示，否則視為無效應(yīng)標內(nèi)容。附件8：其他招標要求對于本項目所有子包的要求如下：1、項目實施要求招標方在項目實施方面的需求，詳見附件11項目實施要求清單。投標方應(yīng)

35、在該清單上針對每一條需求，注明其是否能承諾做到。對于承諾能做到的，應(yīng)在該清單中簡要說明采取什么方案和措施來滿足；對于無法承諾的需求，投標方需注明原因及建議的解決措施。投標方在該文件上，可以提出其他認為必要的評論/意見。投標方應(yīng)在投標技術(shù)方案的項目實施管理方案中，詳細說明采取什么方案和措施來滿足相關(guān)要求，以確保項目實施全過程的組織、協(xié)調(diào)、監(jiān)督、跟蹤、評價、質(zhì)量驗收等順利進行，否則視為無效應(yīng)標內(nèi)容。2、培訓(xùn)與售后服務(wù)要求招標方在培訓(xùn)與售后服務(wù)的需求，詳見附件13培訓(xùn)及售后服務(wù)需求清單。投標方應(yīng)在該清單上針對每一條需求，注明其是否能承諾做到。對于承諾能做到的，應(yīng)在該清單中簡要說明采取什么方案和措施來

36、滿足；對于無法承諾的需求，投標方需注明原因及建議的解決措施。投標方在該文件上可以提出其他認為必要的評論/意見。投標方應(yīng)在投標技術(shù)方案的培訓(xùn)與售后服務(wù)方案中，詳細說明采取什么方案和措施來滿足相關(guān)要求，否則視為無效應(yīng)標內(nèi)容。3投標書內(nèi)容要求投標方的投標技術(shù)方案資料，還應(yīng)包含以下內(nèi)容（并入技術(shù)文件）：3.1 系統(tǒng)概述，系統(tǒng)的特點及優(yōu)勢；3.2 系統(tǒng)整體架構(gòu)圖與說明，系統(tǒng)所需運行環(huán)境（包括所需配置的硬件/軟件）；3.3 如果投標方產(chǎn)品需要集成其他產(chǎn)品商的產(chǎn)品，請描述如何實現(xiàn)；3.4 基于投標方產(chǎn)品的項目實施方案，以及項目實施過程的難點與重點，并描述如何控制。如果投標方計劃采取產(chǎn)品差異化分析和設(shè)計方法，

37、應(yīng)詳細描述其具體的操作過程和流程。3.5 明確合理可行的整體測試和驗收方案，最好能有模擬測試、回歸測試和壓力測試的工具軟件和解決方案；3.6 說明如何進行二次開發(fā)，以及對源碼和開發(fā)文檔的處理方法；3.7 按招標書要求填寫的各種附件；3.8 投標方認為需要提交的其他資料。3.9 投標方須提供項目經(jīng)理、主要參與技術(shù)人員及管理人員清單，格式見附件10項目人員要求：主要技術(shù)及管理人員一覽表；3.10 投標方需按附件4投標方基本信息表填寫投標方的基本信息，并按附件9投標方近三年已完成或正在實施的與招標內(nèi)容相同或相似項目一覽表填寫成功案例信息，并提供合同關(guān)鍵頁的復(fù)印件；4其他要求招標方要求中標方采用進招標

38、方現(xiàn)場開發(fā)實施的方式，由招標方提供開發(fā)場地和必要的軟件開發(fā)用pc，中標方應(yīng)根據(jù)實際情況自備必要的設(shè)備。根據(jù)標書中業(yè)務(wù)、技術(shù)要求，對本標書中的設(shè)備、軟件產(chǎn)品等方面配置或要求中出現(xiàn)不合理或不完整的表述，投標方有責任和義務(wù)在投標文件當中提出補充修改方案。中標方應(yīng)提出生產(chǎn)環(huán)境和開發(fā)、測試環(huán)境的軟硬件配置和安裝要求，指導(dǎo)并協(xié)助招標方完成安裝工作，對生產(chǎn)環(huán)境和開發(fā)、測試環(huán)境提供技術(shù)支持。附件9：投標方近三年已完成或正在實施的與招標內(nèi)容相同或相似項目一覽表年度項目名稱項目內(nèi)容項目工期項目單位單位規(guī)模項目單位聯(lián)系人聯(lián)系電話合同關(guān)鍵頁復(fù)印件在標書中的章節(jié)（或頁碼）注：近三年的起始計算日期為2012年1月1日。投

39、 標 人（法人公章）：法定代表人（或授權(quán)代表人）：日 期：附件10：項目人員要求序號角色實施團隊要求滿足與否響應(yīng)內(nèi)容位置1項目經(jīng)理在投標時提供項目經(jīng)理的候選人2本科以上學(xué)歷及5年及以上工作經(jīng)驗，需提供證明材料。3具有3年以上軟件項目管理經(jīng)驗，需提供證明材料。4具有2個以上銀行業(yè)務(wù)類項目管理經(jīng)驗，需提供證明材料。5具有項目管理資質(zhì)證書，需提供證明材料。6對于不符合條件的項目經(jīng)理，招標人有權(quán)要求中標人更換項目經(jīng)理，直至項目經(jīng)理符合條件。7項目成員在投標時提供項目成員的候選人，且候選人不少于4個.8項目成員不少于 2 人9具有2 年軟件開發(fā)經(jīng)驗的項目成員不少于 4人，需提供證明材料。10具有銀行業(yè)務(wù)

40、系統(tǒng)實施經(jīng)驗的項目成員不少于 4 人，需提供證明材料。11所有項目成員必須具有二年以上工作經(jīng)驗。12對于不符合條件的項目成員，招標人有權(quán)要求中標人更換項目項目成員，直至項目成員符合條件。填寫說明：1）“滿足與否”一列可填寫“滿足”、“部分滿足”及“不滿足”四種，填寫該三項之外的內(nèi)容，視為“不滿足”； 2）“響應(yīng)內(nèi)容位置”是指針對實施團隊要求響應(yīng)的詳細說明內(nèi)容在標書中的位置，如章節(jié)或頁碼。未在該列說明位置或在所說的位置沒有對應(yīng)的響應(yīng)內(nèi)容或響應(yīng)內(nèi)容并未能闡明滿足實施團隊要求的，則視為“不滿足”。在該列已標注“n/a”的，則表示不用填寫當前行的該列。投 標 人（法人公章）：法定代表人（或授權(quán)代表人）

41、：日 期：附表1：主要技術(shù)與管理人員一覽表角色姓名公司職務(wù)工作年限參與階段/主要工作預(yù)計現(xiàn)場實施人月項目負責人項目經(jīng)理需求分析系統(tǒng)設(shè)計軟件工程師投 標 人（法人公章）：法定代表人（或授權(quán)代表人）：日 期：附表2：主要技術(shù)與管理人員一覽表姓 名年 齡畢業(yè)學(xué)校學(xué) 歷專 業(yè)工作年限現(xiàn)所在部門職務(wù)/職稱項目角色項目負責人/項目顧問/項目經(jīng)理/需求分析/系統(tǒng)分析/軟件開發(fā)(工程師)/測試/qa等（說明：如果一人兼任多個角色，重要角色排先）專業(yè)資質(zhì)&認證專業(yè)技能簡介達到熟練或精通程度的相關(guān)技術(shù)專業(yè)技能，如： 軟件開發(fā)語言/平臺（框架）/工具 系統(tǒng)(需求)分析設(shè)計工具 項目管理、軟件工程與質(zhì)量體系 操作系統(tǒng)

42、、中間件軟件（應(yīng)用、管理維護，性能調(diào)優(yōu)） 數(shù)據(jù)庫（操作與管理維護、存儲過程、性能調(diào)優(yōu)） 其它認為有可能應(yīng)用于本項目的技能或特長，如：測試、美工方面的技能工作經(jīng)歷(最近5年)范例：1、 2008.7今, xxxxx公司，xxx職務(wù)/崗位 (時間倒序)2、 2003.112008.7, 參加起/止日期近3年參加的類似項目名稱項目角色備注范例：2009.5 2010.9xxxx客戶xxxx項目名稱咨詢顧問如項目過多，列出最近的5個項目即可。投 標 人（法人公章）：法定代表人（或授權(quán)代表人）：日 期：附件11：技術(shù)需求清單二、技術(shù)需求清單（投標人公章）序號分類技術(shù)需求描述滿足與否響應(yīng)內(nèi)容位置1第三方安

43、全認證證明需要對投標產(chǎn)品進行安全掃描，并提供具有第三方資質(zhì)認證的相關(guān)安全掃描文檔。并提供公司產(chǎn)品通過相關(guān)安全認證單位認證后公布在官網(wǎng)的信息鏈接。2架構(gòu)1.提供完整的系統(tǒng)架構(gòu)、軟件架構(gòu)、網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計，描述各設(shè)備的配置和工作內(nèi)容、方式等；2. 如采用b/s架構(gòu)，系統(tǒng)應(yīng)支持ie 7.0及以上版本及firefox等主流瀏覽器。3操作系統(tǒng)系統(tǒng)應(yīng)支持多種主流硬件和操作系統(tǒng)平臺（支持windows全部系列操作系統(tǒng)、mac操作系統(tǒng)等操作系統(tǒng)，支持常見的ie、chrome、火狐、百度、遨游、360等各種pc瀏覽器和手機瀏覽器）。4數(shù)據(jù)庫若系統(tǒng)有使用數(shù)據(jù)庫，須采用db2數(shù)據(jù)庫。5中間件若系統(tǒng)有使用中間件，需支持主

44、流中間件。6二次開發(fā)平臺系統(tǒng)應(yīng)提供方便易用、適用于本系統(tǒng)的二次開發(fā)平臺及完整的技術(shù)文檔，可以對系統(tǒng)進行二次開發(fā)及維護。二次開發(fā)平臺提供修改的范圍應(yīng)涵蓋前臺業(yè)務(wù)界面、界面控制邏輯、后臺業(yè)務(wù)邏輯、業(yè)務(wù)工作流程以及新功能擴展等。7性能指標1.系統(tǒng)服務(wù)端：支持不少于1000個用戶的并發(fā)處理；系統(tǒng)批處理耗費時間應(yīng)低于3秒。2.系統(tǒng)客戶端：客戶輸入不會出現(xiàn)卡頓、光標消失、無法輸入、藍屏等極端情況，影響客戶正常輸入。8可靠性和穩(wěn)定性系統(tǒng)設(shè)計和開發(fā)時應(yīng)充分考慮數(shù)據(jù)處理的高效性，滿足大用戶并發(fā)數(shù)據(jù)的處理，并保證數(shù)據(jù)傳輸?shù)陌踩浴?安全指標1、系統(tǒng)提供完整的應(yīng)用系統(tǒng)安全控制方案，保證交易的保密性、交易的數(shù)據(jù)完整性

45、、交易的不可否認性及交易數(shù)據(jù)的防篡改；2、系統(tǒng)應(yīng)充分考慮網(wǎng)絡(luò)方面的安全性要求。10擴展性1.應(yīng)用系統(tǒng)應(yīng)具備模塊化、參數(shù)化和插件式特征；2.系統(tǒng)提供靈活體系架構(gòu)，具有性能擴展能力，支持通過增加服務(wù)器的方式進行任意擴展，可隨業(yè)務(wù)發(fā)展和性能要求而方便地擴展；3.解決方案應(yīng)充分考慮本系統(tǒng)與其它外部系統(tǒng)或行內(nèi)系統(tǒng)集成的必要性與方案；4.系統(tǒng)應(yīng)很靈活地配置新業(yè)務(wù)管理，業(yè)務(wù)功能和管理功能及系統(tǒng)配置提供高度參數(shù)化，方便靈活；11可維護性1.系統(tǒng)應(yīng)提供易操作、人性化的運行維護菜單，通過界面方式進行服務(wù)起停、批量處理、系統(tǒng)運行監(jiān)控等功能；2.系統(tǒng)應(yīng)具備完善可靠的災(zāi)難應(yīng)急、恢復(fù)方案。12與其他系統(tǒng)的對接1.系統(tǒng)支持

46、與行內(nèi)加密平臺等系統(tǒng)的對接和交互，支持各個行內(nèi)系統(tǒng)提供的數(shù)據(jù)下行和上行接口；2.系統(tǒng)支持通過數(shù)據(jù)文件、socket、中間件等方式與其他系統(tǒng)對接，報文類型支持各種常用報文，如定長報文、xml報文等。n/a13日志要求1.建立完備的系統(tǒng)日志、應(yīng)用日志、錯誤日志，系統(tǒng)服務(wù)啟動、系統(tǒng)服務(wù)停止操作等均應(yīng)登記日志記錄；2.日志的記錄信息應(yīng)該做到完整、條理清晰，同時應(yīng)充分考慮跟蹤定位問題的高效和便利；14監(jiān)控功能系統(tǒng)應(yīng)充分考慮系統(tǒng)日常運行的維護和監(jiān)控，提供完善的運維監(jiān)控功能，并在系統(tǒng)運行異常時支持多渠道的實時報警。15版本管理1.采用主流的版本管理工具，所有可供發(fā)布的配置文件、腳本文件、應(yīng)用文件均應(yīng)納入版本

47、管理；2.系統(tǒng)開發(fā)時必須至少具備三套版本，即開發(fā)版本、業(yè)務(wù)測試版本和上線版本；3.系統(tǒng)應(yīng)充分考慮版本管理的可靠性和便利性，對于需要多個手工步驟操作的發(fā)布過程，必須提供自動化工具整合整個發(fā)布過程。16數(shù)據(jù)歸檔和清理系統(tǒng)提供對于日志文件、臨時文件、數(shù)據(jù)庫表數(shù)據(jù)的定時歸檔和清理。定時歸檔和清理應(yīng)支持自定義策略，包括但不限于歸檔時間點、保留期限、文件大小、業(yè)務(wù)條件等。17接口服務(wù)提供服務(wù)接口，并通過api的方式暴露給第三方使用。填寫說明：1）“滿足與否”一列可填寫“滿足”、“二次開發(fā)后滿足”、“部分滿足”及“不滿足”四種，填寫該四項之外的內(nèi)容，視為“不滿足”；2）“響應(yīng)內(nèi)容位置”是指針對技術(shù)需求響應(yīng)的

48、詳細說明內(nèi)容在標書中的位置，如章節(jié)或頁碼。未在該列說明位置或在所說的位置沒有對應(yīng)的響應(yīng)內(nèi)容或響應(yīng)內(nèi)容并未能闡明滿足技術(shù)需求的，則視為“不滿足”。在該列已標注“n/a”的，則表示不用填寫當前行的該列。投 標 人（法人公章）： 法定代表人（或授權(quán)代表人）：日 期：附件12：項目實施要求清單序號項目實施要求滿足與否響應(yīng)內(nèi)容位置1實施周期不能超過2個月。投標人在投標時提供按此周期實施的項目總體計劃，并分析計劃的可行性。2除涉及底層平臺的改造外，所有的二次開發(fā)工作必須是在招標人現(xiàn)場進行，不能存在在投標人場所進行二次開發(fā)的情況。n/a3投標人在投標時提出本項目（注：當前項目的名稱）與我行其他系統(tǒng)實現(xiàn)對接的

49、技術(shù)方案。4招標文件的總體需求只是招標人提煉出來的框架性要求，招標人和中標人在項目實施啟動后必須進行業(yè)務(wù)及技術(shù)方面詳細的需求差異化分析，由中標人負責編寫并形成完整的業(yè)務(wù)需求與技術(shù)需求。招標人有權(quán)對項目實施全過程進行監(jiān)督，并對無法實現(xiàn)的要求進行處罰，具體細則經(jīng)雙方溝通后在合同內(nèi)約定。n/a5系統(tǒng)上線后，中標人須負責系統(tǒng)運行性能的調(diào)優(yōu)工作，直至系統(tǒng)性能符合系統(tǒng)運行的要求。n/a6在系統(tǒng)上線前，中標人須向招標人進行技術(shù)培訓(xùn)，完成知識轉(zhuǎn)移，在投標時給出初步的培訓(xùn)計劃n/a7如因中標人的程序漏洞造成本系統(tǒng)在維護期內(nèi)出現(xiàn)重大故障而不能對外提供服務(wù)及出現(xiàn)資金風險，中標人應(yīng)快速、免費提供補丁程序及升級說明文檔，修正缺陷，且中標人有權(quán)向中標人追究責任及索賠經(jīng)濟損失。n/a8中標人提交的測試方案必須通過