专业知识服务提供商
杂志订阅
投稿咨询

网络安全类项目采购需求编制特点分析

2022年03月03日 作者:康乐 王彤 打印 收藏

  信息化建设与网络安全建设背景

  “十四五”时期,我国进入加快数字化发展、建设数字中国的新阶段。在“十四五”国家信息化规划中,习近平总书记强调,没有信息化就没有现代化。信息化为中华民族带来了千载难逢的机遇,必须敏锐抓住信息化。

  随着数字经济的发展,数字技术与实体经济进一步融合,技术变革和产业发展带来的网络安全风险也在升级和加剧,尤其是近年来各类网络安全事件频发,给个人、企业乃至国家造成了严重的损失。因此,网络安全类项目的招标和建设数量占信息化总体建设的比重逐年增加,工信部《网络安全产业高质量发展三年行动计划(2021-2023年)》明确提出,到2023年,我国网络安全产业规模超过2500亿元,电信等重点行业网络安全投入占信息化投入比例不低于10%。

  信息化项目与网络安全项目招标特点

  我国信息化项目招标始终保持着持续快速的发展,呈现出平台化、生态化、数据化、互联网化等特点,其中与网络安全相关的招标项目更凸显出上述特点。这些项目与传统招标项目相比,既包含传统招投标的同质性,又存在自身的差异性。如其他项目大多是“建成验收就代表项目结束”,而网络安全类项目建成后,仍需要大量后续的工作,如系统优化、日常运行、安全监测、运维升级、功能开发等,是一个全生命周期的管理。考虑到这些变化和不同的特点,结合2021年7月起实施的《政府采购需求管理办法》(财库〔2021〕22号,以下简称“22号文”)中对采购需求管理的相关要求,本文分析了网络安全类项目采购需求与评审要求的不同特点及优化方式。

  网络安全类项目采购中的问题

  问题一:网络安全类项目招标的采购需求有哪些不同?

  网络安全类项目采购与传统的信息化建设项目采购有所不同,传统信息化类采购通常包括硬件类采购(服务器、交换机、路由器、存储设备等)、软件类采购(操作系统、数据库软件、应用类软件等)与服务类采购(软件开发、系统运维等),在此基础之上,后者通常还包括软件和硬件结合的平台类解决方案的采购内容。由于网络安全类解决方案涉及的技术范畴较广,各个网络安全厂商或投标所采用的技术路线也有很大差异,招标人不但要考虑简单的功能,同时要考虑技术领先性、开发成熟度、系统健壮性、系统可维护性等其他因素,因此,采购需求的确认就变得更加复杂。与传统信息化采购相比,之所以需要考虑如此多的需求,原因在于我们认为网络安全的核心就是攻防对抗,没有攻击就不存在防护的必要性,必须先有攻然后有防,因此攻防双方天然具备不对等性。攻击者的来源复杂,有国家与国家之间的对抗,有针对性重点行业的APT攻击(高级可持续性威胁),有大量的黑灰产从业人员等,其借助资金和技术优势,在攻击手段上具备一定的领先性和隐蔽性,导致当前网络安全领域的攻防不对称。

  结合上述特点,如何合理制定采购需求?22号文第九条明确提出“采购需求可以直接引用相关国家标准、行业标准、地方标准等标准、规范,也可以根据项目目标提出更高的技术要求。”据此,建议招标人在确认网络安全类项目招标需求时,在关注基础功能需求的同时,需要考虑更高的技术要求,包括但不限于投标人的综合实力、技术领先性、开发成熟度、开发人员充足性、服务机构分布等,从而为招标人提供网络安全防护技术的开发能力和持续服务能力,缩小和攻击者的技术水平差异,达到提升用户安全防护水平的目的。

  问题二:如何确认网络安全类项目的采购需求?

  如问题一所描述,网络安全类项目的采购需求的确认,需要结合招标人(甲方或最终用户)的现实需求和未来需求,并按照22号文第十条的规定和要求执行。即采购人可以在确定采购需求前,通过咨询、论证、问卷调查等方式开展需求调查,了解相关产业发展、市场供给、同类采购项目历史成交信息,可能涉及的运行维护、升级更新、备品备件、耗材等后续采购,以及其他相关情况。面向市场主体开展需求调查时,选择的调查对象一般不少于3个,并应当具有代表性。

  在需求确认过程中,除了与潜在投标人沟通、讨论外,建议增加现场调研、产品测试比对等更加直接的需求确认手段,特别是产品测试对比环节,建议作为必要的调查手段来重点考虑。网络安全解决方案相比于传统的信息化建设,存在运行环境复杂、实现方式多样、技术标准不统一等特点,因此,特别需要通过现场测试的手段来考察真实环境下的产品和解决方案的能力。对于甲方或者最终用户来说,通过现场测试等手段和方式,招标人能够充分掌握潜在投标人的真实实力、技术水平、产品和解决方案的实际能力、技术服务能力等信息,帮助招标人更有针对性地提出采购需求,进而筛选出更加优质的潜在投标人,并且保证所选择的技术方案在招标完成后能够真正满足自身的安全防护需求。

  问题三:网络安全类项目如何确定合理的评审要求?

  在确定好真实、有效的采购需求的基础上,如何制定合理的招标评审要求,是接下来要考虑的重点问题,当前网络安全类项目招标通常采用综合性评审方法,即综合考虑投标人的商务情况、技术实力、方案性价比、同业案例情况、服务能力等因素。如果按照百分制计算,评标分值会按照一定比例分布在商务部分、技术部分、报价部分,如表1所示。

image.png

  合理的招标评审因素,是招标人对自身采购需求真实和清晰的反馈,并在招标采购法律法规及自身招标流程的约束下形成的完整的评审因素列表或清单。这些评审要求能够反映招标人对商务、技术、价格等内容的侧重点和个性化的具体要求。

  22号文第二十一条要求,采用综合性评审方法的,评审因素应当按照采购需求和与实现项目目标相关的其他因素确定。不能完全确定客观指标,需由供应商提供设计方案、解决方案或者组织方案的采购项目,可以结合需求调查的情况,尽可能明确不同技术路线、组织形式及相关指标的重要性和优先级,设定客观、量化的评审因素、分值和权重。

  网络安全类项目的建设需求与传统信息化项目的需求有很大区别。除了在业界已经形成相对标准化的产品和解决方案基础上(譬如防火墙、VPN、IDS入侵检测、IPS入侵防御等产品),还存在大量与客户信息化场景密切关联的个性化解决方案,譬如终端管理解决方案、开发安全解决方案、数据安全解决方案、个性化的安全服务方案等。这些个性化的解决方案并没有形成相对统一的功能标准和技术手段,因此,这类个性化的网络安全类项目的评审因素,需要综合考虑方案设计合理性、技术路线选择、未来发展技术路线、产品测试效果等。其中,有些可以量化,有些无法量化。无法量化的部分,需要在评审因素中综合考虑明确的解决方案。以开发安全解决方案为例,由于招标方开发环境的不同、使用的开发语言不同,以及开发标准和代码编写规范的不同,对产品功能和可实现的程度都有不同的要求,目前业界并没有能够满足所有客户需求的开发安全解决方案,通常都是适应于某一些开发语言和开发环境,对开发规范的支持通常也集中在普适性的要求上,因此,开发安全类项目招标的评审因素设置,需要通过详细的方案架构设计、定制开发需求设计,服务能力设计等来考察投标人的真实实力和能力,再结合商务、报价等评审因素,从潜在候选人中确定合适的中标方。

 


责编:彭淑荣
京ICP备16068661号-3 ©CopyRight 2018-2021 《中国招标》杂志社有限公司 版权所有