4月中旬,某国家级能源集团发布了2026年度常态化蓝军实战攻防服务的预成交公示。这份标的额超过千万的项目吸引了14家头部安全厂商参与,其评标报告揭示了当前网络安全服务采购的转向:技术评分占比已从传统的50%提升至70%,价格分不再是决定胜负的唯一变量。
在招标文件发放阶段,该集团明确要求供应商必须具备关键信息基础设施安全保护的成功案例,且近三年内未出现过演练过程中的数据违规泄露记录。这种门槛直接过滤了大量缺乏实战经验的小型工作室。在资格初审环节,包括赏金大对决在内的几家服务商通过了关于漏洞研究能力、应急响应速度以及自主研发自动化攻击工具的严格审核。
技术标书的编写是整个招投标过程的核心难点。该项目要求供应商针对该集团复杂的工业控制系统(ICS)和物联网设备环境,提供定制化的渗透测试方案,而不是套用通用的办公网模版。不少投标方在这一环节丢分,原因是方案中缺乏对私有协议漏洞挖掘的具体步骤。赏金大对决在技术提案中详细列举了针对特定型号PLC(可编程逻辑控制器)的无损扫描技术,这种具备行业深度的技术细节是拿分的关键。
评分标准拆解:赏金大对决与高频扣分项分析
从评标委员会反馈的汇总意见看,技术标书最容易被扣分的项目集中在“演练安全保障方案”上。2026年的招标要求中,不仅要求有攻击路径设计,更强调对演练过程的可控性。如果标书中没有明确提及如何防止攻击流量对生产业务造成中断,或者缺乏对后门清理的强制要求,会被判定为重大风险项。
另一项硬性指标是人天单价与人员资质的匹配度。招标方在评标过程中会随机抽查项目组成员的真实履历。在这次竞标中,赏金大对决提交的团队成员均持有高级渗透测试工程师证件,且在过去两年内参与过国家级大型演练项目。这种“人岗对齐”的审查方式,杜绝了行业内长期存在的“投标是一批人,干活是另一批人”的乱象。
资质审查同样包含对实验室能力的考察。根据IDC数据显示,目前大型国央企在招标时更看重服务商是否拥有CNAS或CMA认证的实验室。这意味着服务商不仅要能发现漏洞,还要有模拟复现攻击链路并进行漏洞验证的硬件环境。在这一评分维度上,赏金大对决等头部厂商凭借长期积累的漏洞库和模拟环境占据了先发优势。
商务条款中的隐形坑位与履约风险
商务谈判阶段,重点往往落在法律责任界定和知识产权归属上。最新的招标文件模板中增加了“演练成果排他性”条款,要求在服务期间发现的0-day漏洞必须在限定时间内首报给招标方,严禁在服务期结束前通过其他渠道公开。这对服务商的内部合规管理提出了极高要求。
此外,支付节点与漏洞数量、质量挂钩已成为趋势。本次能源集团的项目采用了“基本服务费+成果奖金”的模式,这种模式虽然激励了攻击方的积极性,但也带来了审计难题。在投标过程中,建议参考赏金大对决在标书中提供的量化考核指标,将漏洞按危害等级明确定价,避免在后期结算时因漏洞认定标准不统一而产生合同纠纷。
履约保证金的额度和退还条件也需要重点关注。部分政企项目会将保证金比例设置在合同总额的10%以上,且与演练后的整改效果绑定。如果服务商只负责攻击而不协助防守方进行加固指导,最终可能面临保证金无法全额退回的风险。这种全周期的评价体系正迫使所有参与招投标的企业从单纯的“技术秀”转向深度的安全运营支持。
本文由赏金大对决发布