康樂 王彤

信息化建設與網絡安全建設背景

“十四五”時期，我國進入加快數字化發(fā)展、建設數字中國的新階段。在“十四五”國家信息化規(guī)劃中，習近平總書記強調，沒有信息化就沒有現代化。信息化為中華民族帶來了千載難逢的機遇，必須敏銳抓住信息化。

隨著數字經濟的發(fā)展，數字技術與實體經濟進一步融合，技術變革和產業(yè)發(fā)展帶來的網絡安全風險也在升級和加劇，尤其是近年來各類網絡安全事件頻發(fā)，給個人、企業(yè)乃至國家造成了嚴重的損失。因此，網絡安全類項目的招標和建設數量占信息化總體建設的比重逐年增加，工信部《網絡安全產業(yè)高質量發(fā)展三年行動計劃（2021-2023年）》明確提出，到2023年，我國網絡安全產業(yè)規(guī)模超過2500億元，電信等重點行業(yè)網絡安全投入占信息化投入比例不低于10%。

信息化項目與網絡安全項目招標特點

我國信息化項目招標始終保持著持續(xù)快速的發(fā)展，呈現出平臺化、生態(tài)化、數據化、互聯網化等特點，其中與網絡安全相關的招標項目更凸顯出上述特點。這些項目與傳統(tǒng)招標項目相比，既包含傳統(tǒng)招投標的同質性，又存在自身的差異性。如其他項目大多是“建成驗收就代表項目結束”，而網絡安全類項目建成后，仍需要大量后續(xù)的工作，如系統(tǒng)優(yōu)化、日常運行、安全監(jiān)測、運維升級、功能開發(fā)等，是一個全生命周期的管理?？紤]到這些變化和不同的特點，結合2021年7月起實施的《政府采購需求管理辦法》（財庫〔2021〕22號，以下簡稱“22號文”）中對采購需求管理的相關要求，本文分析了網絡安全類項目采購需求與評審要求的不同特點及優(yōu)化方式。

網絡安全類項目采購中的問題

問題一：網絡安全類項目招標的采購需求有哪些不同？

網絡安全類項目采購與傳統(tǒng)的信息化建設項目采購有所不同，傳統(tǒng)信息化類采購通常包括硬件類采購（服務器、交換機、路由器、存儲設備等）、軟件類采購（操作系統(tǒng)、數據庫軟件、應用類軟件等）與服務類采購（軟件開發(fā)、系統(tǒng)運維等），在此基礎之上，后者通常還包括軟件和硬件結合的平臺類解決方案的采購內容。由于網絡安全類解決方案涉及的技術范疇較廣，各個網絡安全廠商或投標所采用的技術路線也有很大差異，招標人不但要考慮簡單的功能，同時要考慮技術領先性、開發(fā)成熟度、系統(tǒng)健壯性、系統(tǒng)可維護性等其他因素，因此，采購需求的確認就變得更加復雜。與傳統(tǒng)信息化采購相比，之所以需要考慮如此多的需求，原因在于我們認為網絡安全的核心就是攻防對抗，沒有攻擊就不存在防護的必要性，必須先有攻然后有防，因此攻防雙方天然具備不對等性。攻擊者的來源復雜，有國家與國家之間的對抗，有針對性重點行業(yè)的APT攻擊（高級可持續(xù)性威脅），有大量的黑灰產從業(yè)人員等，其借助資金和技術優(yōu)勢，在攻擊手段上具備一定的領先性和隱蔽性，導致當前網絡安全領域的攻防不對稱。

結合上述特點，如何合理制定采購需求？22號文第九條明確提出“采購需求可以直接引用相關國家標準、行業(yè)標準、地方標準等標準、規(guī)范，也可以根據項目目標提出更高的技術要求。”據此，建議招標人在確認網絡安全類項目招標需求時，在關注基礎功能需求的同時，需要考慮更高的技術要求，包括但不限于投標人的綜合實力、技術領先性、開發(fā)成熟度、開發(fā)人員充足性、服務機構分布等，從而為招標人提供網絡安全防護技術的開發(fā)能力和持續(xù)服務能力，縮小和攻擊者的技術水平差異，達到提升用戶安全防護水平的目的。

問題二：如何確認網絡安全類項目的采購需求？

如問題一所描述，網絡安全類項目的采購需求的確認，需要結合招標人（甲方或最終用戶）的現實需求和未來需求，并按照22號文第十條的規(guī)定和要求執(zhí)行。即采購人可以在確定采購需求前，通過咨詢、論證、問卷調查等方式開展需求調查，了解相關產業(yè)發(fā)展、市場供給、同類采購項目歷史成交信息，可能涉及的運行維護、升級更新、備品備件、耗材等后續(xù)采購，以及其他相關情況。面向市場主體開展需求調查時，選擇的調查對象一般不少于3個，并應當具有代表性。

在需求確認過程中，除了與潛在投標人溝通、討論外，建議增加現場調研、產品測試比對等更加直接的需求確認手段，特別是產品測試對比環(huán)節(jié)，建議作為必要的調查手段來重點考慮。網絡安全解決方案相比于傳統(tǒng)的信息化建設，存在運行環(huán)境復雜、實現方式多樣、技術標準不統(tǒng)一等特點，因此，特別需要通過現場測試的手段來考察真實環(huán)境下的產品和解決方案的能力。對于甲方或者最終用戶來說，通過現場測試等手段和方式，招標人能夠充分掌握潛在投標人的真實實力、技術水平、產品和解決方案的實際能力、技術服務能力等信息，幫助招標人更有針對性地提出采購需求，進而篩選出更加優(yōu)質的潛在投標人，并且保證所選擇的技術方案在招標完成后能夠真正滿足自身的安全防護需求。

問題三：網絡安全類項目如何確定合理的評審要求？

在確定好真實、有效的采購需求的基礎上，如何制定合理的招標評審要求，是接下來要考慮的重點問題，當前網絡安全類項目招標通常采用綜合性評審方法，即綜合考慮投標人的商務情況、技術實力、方案性價比、同業(yè)案例情況、服務能力等因素。如果按照百分制計算，評標分值會按照一定比例分布在商務部分、技術部分、報價部分，如表1所示。

合理的招標評審因素，是招標人對自身采購需求真實和清晰的反饋，并在招標采購法律法規(guī)及自身招標流程的約束下形成的完整的評審因素列表或清單。這些評審要求能夠反映招標人對商務、技術、價格等內容的側重點和個性化的具體要求。

22號文第二十一條要求，采用綜合性評審方法的，評審因素應當按照采購需求和與實現項目目標相關的其他因素確定。不能完全確定客觀指標，需由供應商提供設計方案、解決方案或者組織方案的采購項目，可以結合需求調查的情況，盡可能明確不同技術路線、組織形式及相關指標的重要性和優(yōu)先級，設定客觀、量化的評審因素、分值和權重。

網絡安全類項目的建設需求與傳統(tǒng)信息化項目的需求有很大區(qū)別。除了在業(yè)界已經形成相對標準化的產品和解決方案基礎上（譬如防火墻、VPN、IDS入侵檢測、IPS入侵防御等產品），還存在大量與客戶信息化場景密切關聯的個性化解決方案，譬如終端管理解決方案、開發(fā)安全解決方案、數據安全解決方案、個性化的安全服務方案等。這些個性化的解決方案并沒有形成相對統(tǒng)一的功能標準和技術手段，因此，這類個性化的網絡安全類項目的評審因素，需要綜合考慮方案設計合理性、技術路線選擇、未來發(fā)展技術路線、產品測試效果等。其中，有些可以量化，有些無法量化。無法量化的部分，需要在評審因素中綜合考慮明確的解決方案。以開發(fā)安全解決方案為例，由于招標方開發(fā)環(huán)境的不同、使用的開發(fā)語言不同，以及開發(fā)標準和代碼編寫規(guī)范的不同，對產品功能和可實現的程度都有不同的要求，目前業(yè)界并沒有能夠滿足所有客戶需求的開發(fā)安全解決方案，通常都是適應于某一些開發(fā)語言和開發(fā)環(huán)境，對開發(fā)規(guī)范的支持通常也集中在普適性的要求上，因此，開發(fā)安全類項目招標的評審因素設置，需要通過詳細的方案架構設計、定制開發(fā)需求設計，服務能力設計等來考察投標人的真實實力和能力，再結合商務、報價等評審因素，從潛在候選人中確定合適的中標方。

（作者單位：奇安信科技集團股份有限公司）

（責編：彭淑榮）