网络安全大标将花落谁家？

关注兰花豆说网络安全，了解更多网络安全知识

7月15日发布采购意向公告，如果招标最迟时间是8月31日，只有45天的时间来准备，招标的内容还是非常多的，包括部署态势感知、资产网络安全风险管控、网站安全监测等安全设备。整个产品形态来说就是通用功能+定制功能开发，所以说预算金额才会这么高。像这种通用+定制功能的招标项目，作为招标单位如何来验证厂商的是否满足要求了，其实是一个很大的考验和难点。那么这种项目在招标的参数里面就要明确，哪些是通用功能需要满足的，哪些是需要定制开发满足的，必须得注明清楚，不然在这么短的时间内，厂商不一定能开发完成，即使能开发完成，也不一定能满足实际要求，因为没有在实际环境中进行验证和测试。要么这个项目就是提前厂商做好了的，招标可能只是个形式而已。

如果这种项目，不是相关厂商提前介入，提前开发好的，那必须在招标中注明哪些是通用功能，哪些是定制功能。通用功能必须进行前期POC验证和测试，定制功能必须招标的时候做详细的澄清，提供设计图和业务逻辑图，关键性的代码实现。这45天，说实话，时间还是很紧张的。像这种网安类项目，特别是平台类项目，招标前或招标中不做详细的测试和验证，是很容易弄虚作假或串标围标行为的，这样导致的后果就是项目落地不好看，很难达到预期效果，这是为什么会出现很多平台类项目烂尾的情况，厂商应收账款增加和坏账计提比例增加的原因。

政府类的这种招标项目，一般采取公开招标方式，由当地代理机构牵头负责招标，专家从专家库中抽取或者内部指定，这些专家很多是理论型专家，对产品本身没有深入研究，评标的时候看的是厂商提供的文档和截图，像平台类产品的功能截图，一般通过PS或直接更改前端代码实现来造假，实际业务的内部逻辑一塌糊涂，很容易蒙混过关。这也是我一直的观点，平台类产品在招标过程中，也必须做POC测试，定制功能要提供原型设计图、业务逻辑图，关键点的代码实现等，要不然就是前期有公司介入了，开发了一些功能，这样就会有失公平性原则，甚至违背采购法和招投标法。

总之，平台类的项目招标，大部分涉及到通用功能和定制功能，招标方为了保证公平公正招投标，就必须在招标文件中进行详细说明哪些是通用功能，哪些是定制功能。通过功能必须做测试验证，由专家打分。定制功能必须提供论证说明和推演，由专家打分。如果不这样做，就会存在招投标漏洞，厂商会想尽办法进行答标。对甲方来说，在项目建设过程中，可能会出现有的厂商牛吹到位了，事情其实是做不到位的。因此，作为甲方必须重视招投标环节的测试验证工作，不是大厂商会吹牛的厂商就一定能把事情做得好，要提供同台竞技的场地，让厂商之间进行公平竞争，只有这样，网络安全行业的乱象才会得到根治，厂商之间才会真正比拼技术，而不是为了拿标去弄虚作假。只有这样，网络安全行业才会越来越健康，发展越来越好，真正从客户业务实际出发，做服务于客户需求的产品。我们呼吁抑制不正当的市场竞争行为，真正以公平公正的原则，做好产品和项目。

湛江市网络安全协调指挥平台建设项目的大标究竟花落谁家，我们拭目以待，静候佳音。

• 历史文章