網(wǎng)絡(luò)安全類項目采購需求編制特點分析

康樂 王彤

信息化建設(shè)與網(wǎng)絡(luò)安全建設(shè)背景

“十四五”時期，我國進(jìn)入加快數(shù)字化發(fā)展、建設(shè)數(shù)字中國的新階段。在“十四五”國家信息化規(guī)劃中，習(xí)近平總書記強調(diào)，沒有信息化就沒有現(xiàn)代化。信息化為中華民族帶來了千載難逢的機遇，必須敏銳抓住信息化。

隨著數(shù)字經(jīng)濟(jì)的發(fā)展，數(shù)字技術(shù)與實體經(jīng)濟(jì)進(jìn)一步融合，技術(shù)變革和產(chǎn)業(yè)發(fā)展帶來的網(wǎng)絡(luò)安全風(fēng)險也在升級和加劇，尤其是近年來各類網(wǎng)絡(luò)安全事件頻發(fā)，給個人、企業(yè)乃至國家造成了嚴(yán)重的損失。因此，網(wǎng)絡(luò)安全類項目的招標(biāo)和建設(shè)數(shù)量占信息化總體建設(shè)的比重逐年增加，工信部《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動計劃（2021-2023年）》明確提出，到2023年，我國網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模超過2500億元，電信等重點行業(yè)網(wǎng)絡(luò)安全投入占信息化投入比例不低于10%。

信息化項目與網(wǎng)絡(luò)安全項目招標(biāo)特點

我國信息化項目招標(biāo)始終保持著持續(xù)快速的發(fā)展，呈現(xiàn)出平臺化、生態(tài)化、數(shù)據(jù)化、互聯(lián)網(wǎng)化等特點，其中與網(wǎng)絡(luò)安全相關(guān)的招標(biāo)項目更凸顯出上述特點。這些項目與傳統(tǒng)招標(biāo)項目相比，既包含傳統(tǒng)招投標(biāo)的同質(zhì)性，又存在自身的差異性。如其他項目大多是“建成驗收就代表項目結(jié)束”，而網(wǎng)絡(luò)安全類項目建成后，仍需要大量后續(xù)的工作，如系統(tǒng)優(yōu)化、日常運行、安全監(jiān)測、運維升級、功能開發(fā)等，是一個全生命周期的管理?？紤]到這些變化和不同的特點，結(jié)合2021年7月起實施的《政府采購需求管理辦法》（財庫〔2021〕22號，以下簡稱“22號文”）中對采購需求管理的相關(guān)要求，本文分析了網(wǎng)絡(luò)安全類項目采購需求與評審要求的不同特點及優(yōu)化方式。

網(wǎng)絡(luò)安全類項目采購中的問題

問題一：網(wǎng)絡(luò)安全類項目招標(biāo)的采購需求有哪些不同？

網(wǎng)絡(luò)安全類項目采購與傳統(tǒng)的信息化建設(shè)項目采購有所不同，傳統(tǒng)信息化類采購?fù)ǔ０ㄓ布惒少彛ǚ?wù)器、交換機、路由器、存儲設(shè)備等）、軟件類采購（操作系統(tǒng)、數(shù)據(jù)庫軟件、應(yīng)用類軟件等）與服務(wù)類采購（軟件開發(fā)、系統(tǒng)運維等），在此基礎(chǔ)之上，后者通常還包括軟件和硬件結(jié)合的平臺類解決方案的采購內(nèi)容。由于網(wǎng)絡(luò)安全類解決方案涉及的技術(shù)范疇較廣，各個網(wǎng)絡(luò)安全廠商或投標(biāo)所采用的技術(shù)路線也有很大差異，招標(biāo)人不但要考慮簡單的功能，同時要考慮技術(shù)領(lǐng)先性、開發(fā)成熟度、系統(tǒng)健壯性、系統(tǒng)可維護(hù)性等其他因素，因此，采購需求的確認(rèn)就變得更加復(fù)雜。與傳統(tǒng)信息化采購相比，之所以需要考慮如此多的需求，原因在于我們認(rèn)為網(wǎng)絡(luò)安全的核心就是攻防對抗，沒有攻擊就不存在防護(hù)的必要性，必須先有攻然后有防，因此攻防雙方天然具備不對等性。攻擊者的來源復(fù)雜，有國家與國家之間的對抗，有針對性重點行業(yè)的APT攻擊（高級可持續(xù)性威脅），有大量的黑灰產(chǎn)從業(yè)人員等，其借助資金和技術(shù)優(yōu)勢，在攻擊手段上具備一定的領(lǐng)先性和隱蔽性，導(dǎo)致當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域的攻防不對稱。

結(jié)合上述特點，如何合理制定采購需求？22號文第九條明確提出“采購需求可以直接引用相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)等標(biāo)準(zhǔn)、規(guī)范，也可以根據(jù)項目目標(biāo)提出更高的技術(shù)要求?！睋?jù)此，建議招標(biāo)人在確認(rèn)網(wǎng)絡(luò)安全類項目招標(biāo)需求時，在關(guān)注基礎(chǔ)功能需求的同時，需要考慮更高的技術(shù)要求，包括但不限于投標(biāo)人的綜合實力、技術(shù)領(lǐng)先性、開發(fā)成熟度、開發(fā)人員充足性、服務(wù)機構(gòu)分布等，從而為招標(biāo)人提供網(wǎng)絡(luò)安全防護(hù)技術(shù)的開發(fā)能力和持續(xù)服務(wù)能力，縮小和攻擊者的技術(shù)水平差異，達(dá)到提升用戶安全防護(hù)水平的目的。

問題二：如何確認(rèn)網(wǎng)絡(luò)安全類項目的采購需求？

如問題一所描述，網(wǎng)絡(luò)安全類項目的采購需求的確認(rèn)，需要結(jié)合招標(biāo)人（甲方或最終用戶）的現(xiàn)實需求和未來需求，并按照22號文第十條的規(guī)定和要求執(zhí)行。即采購人可以在確定采購需求前，通過咨詢、論證、問卷調(diào)查等方式開展需求調(diào)查，了解相關(guān)產(chǎn)業(yè)發(fā)展、市場供給、同類采購項目歷史成交信息，可能涉及的運行維護(hù)、升級更新、備品備件、耗材等后續(xù)采購，以及其他相關(guān)情況。面向市場主體開展需求調(diào)查時，選擇的調(diào)查對象一般不少于3個，并應(yīng)當(dāng)具有代表性。

在需求確認(rèn)過程中，除了與潛在投標(biāo)人溝通、討論外，建議增加現(xiàn)場調(diào)研、產(chǎn)品測試比對等更加直接的需求確認(rèn)手段，特別是產(chǎn)品測試對比環(huán)節(jié)，建議作為必要的調(diào)查手段來重點考慮。網(wǎng)絡(luò)安全解決方案相比于傳統(tǒng)的信息化建設(shè)，存在運行環(huán)境復(fù)雜、實現(xiàn)方式多樣、技術(shù)標(biāo)準(zhǔn)不統(tǒng)一等特點，因此，特別需要通過現(xiàn)場測試的手段來考察真實環(huán)境下的產(chǎn)品和解決方案的能力。對于甲方或者最終用戶來說，通過現(xiàn)場測試等手段和方式，招標(biāo)人能夠充分掌握潛在投標(biāo)人的真實實力、技術(shù)水平、產(chǎn)品和解決方案的實際能力、技術(shù)服務(wù)能力等信息，幫助招標(biāo)人更有針對性地提出采購需求，進(jìn)而篩選出更加優(yōu)質(zhì)的潛在投標(biāo)人，并且保證所選擇的技術(shù)方案在招標(biāo)完成后能夠真正滿足自身的安全防護(hù)需求。

問題三：網(wǎng)絡(luò)安全類項目如何確定合理的評審要求？

在確定好真實、有效的采購需求的基礎(chǔ)上，如何制定合理的招標(biāo)評審要求，是接下來要考慮的重點問題，當(dāng)前網(wǎng)絡(luò)安全類項目招標(biāo)通常采用綜合性評審方法，即綜合考慮投標(biāo)人的商務(wù)情況、技術(shù)實力、方案性價比、同業(yè)案例情況、服務(wù)能力等因素。如果按照百分制計算，評標(biāo)分值會按照一定比例分布在商務(wù)部分、技術(shù)部分、報價部分，如表1所示。

合理的招標(biāo)評審因素，是招標(biāo)人對自身采購需求真實和清晰的反饋，并在招標(biāo)采購法律法規(guī)及自身招標(biāo)流程的約束下形成的完整的評審因素列表或清單。這些評審要求能夠反映招標(biāo)人對商務(wù)、技術(shù)、價格等內(nèi)容的側(cè)重點和個性化的具體要求。

22號文第二十一條要求，采用綜合性評審方法的，評審因素應(yīng)當(dāng)按照采購需求和與實現(xiàn)項目目標(biāo)相關(guān)的其他因素確定。不能完全確定客觀指標(biāo)，需由供應(yīng)商提供設(shè)計方案、解決方案或者組織方案的采購項目，可以結(jié)合需求調(diào)查的情況，盡可能明確不同技術(shù)路線、組織形式及相關(guān)指標(biāo)的重要性和優(yōu)先級，設(shè)定客觀、量化的評審因素、分值和權(quán)重。

網(wǎng)絡(luò)安全類項目的建設(shè)需求與傳統(tǒng)信息化項目的需求有很大區(qū)別。除了在業(yè)界已經(jīng)形成相對標(biāo)準(zhǔn)化的產(chǎn)品和解決方案基礎(chǔ)上（譬如防火墻、VPN、IDS入侵檢測、IPS入侵防御等產(chǎn)品），還存在大量與客戶信息化場景密切關(guān)聯(lián)的個性化解決方案，譬如終端管理解決方案、開發(fā)安全解決方案、數(shù)據(jù)安全解決方案、個性化的安全服務(wù)方案等。這些個性化的解決方案并沒有形成相對統(tǒng)一的功能標(biāo)準(zhǔn)和技術(shù)手段，因此，這類個性化的網(wǎng)絡(luò)安全類項目的評審因素，需要綜合考慮方案設(shè)計合理性、技術(shù)路線選擇、未來發(fā)展技術(shù)路線、產(chǎn)品測試效果等。其中，有些可以量化，有些無法量化。無法量化的部分，需要在評審因素中綜合考慮明確的解決方案。以開發(fā)安全解決方案為例，由于招標(biāo)方開發(fā)環(huán)境的不同、使用的開發(fā)語言不同，以及開發(fā)標(biāo)準(zhǔn)和代碼編寫規(guī)范的不同，對產(chǎn)品功能和可實現(xiàn)的程度都有不同的要求，目前業(yè)界并沒有能夠滿足所有客戶需求的開發(fā)安全解決方案，通常都是適應(yīng)于某一些開發(fā)語言和開發(fā)環(huán)境，對開發(fā)規(guī)范的支持通常也集中在普適性的要求上，因此，開發(fā)安全類項目招標(biāo)的評審因素設(shè)置，需要通過詳細(xì)的方案架構(gòu)設(shè)計、定制開發(fā)需求設(shè)計，服務(wù)能力設(shè)計等來考察投標(biāo)人的真實實力和能力，再結(jié)合商務(wù)、報價等評審因素，從潛在候選人中確定合適的中標(biāo)方。

（作者單位：奇安信科技集團(tuán)股份有限公司）

（責(zé)編：彭淑榮）