日韩欧美国产卡一不卡-亚洲国产成人高潮高清视频-久久一区二区三区快色-老熟妇一区二区三区啪啪

業(yè)務(wù)研究

  • 當(dāng)前位置:首頁
  • 業(yè)務(wù)研究

電子招標(biāo)投標(biāo)平臺安全——這些制度建了嗎?

  • 來源: 中國招標(biāo)投標(biāo)公共服務(wù)平臺
  • 時間:2017-09-22

  隨著《網(wǎng)絡(luò)安全法》頒布和實施,網(wǎng)絡(luò)安全問題已經(jīng)上升到國家層面。電子招標(biāo)投標(biāo)系統(tǒng)是電子政務(wù)重要組成部分,電子招標(biāo)投標(biāo)主體信息和交易數(shù)據(jù)容易成為互聯(lián)網(wǎng)非法攻擊目標(biāo)。電子招標(biāo)投標(biāo)活動中用戶身份確認(rèn)、潛在投標(biāo)人保密、評標(biāo)委員會保密、投標(biāo)文件防竊取與防篡改、開標(biāo)防解密失敗、評標(biāo)防泄密和評標(biāo)結(jié)果防篡改等是重點安全問題。

  中國招標(biāo)投標(biāo)公共服務(wù)平臺始終關(guān)注和研究電子招標(biāo)投標(biāo)網(wǎng)絡(luò)安全問題,本文針對電子招標(biāo)投標(biāo)活動的風(fēng)險和安全問題,從管理流程和制度角度,就如何建立完整安全防御體系、做到事先風(fēng)險防范和事后風(fēng)險控制進行論述。

  《電子招標(biāo)投標(biāo)辦法》第十二條規(guī)定“電子招標(biāo)投標(biāo)交易平臺運營機構(gòu)應(yīng)當(dāng)根據(jù)國家有關(guān)法律法規(guī)及技術(shù)規(guī)范,建立健全電子招標(biāo)投標(biāo)交易平臺規(guī)范運行和安全管理制度,加強監(jiān)控、檢測,及時發(fā)現(xiàn)和排除隱患”,第十三條規(guī)定“電子招標(biāo)投標(biāo)交易平臺運營機構(gòu)應(yīng)當(dāng)采用可靠的身份識別、權(quán)限控制、加密、病毒防范等技術(shù),防范非授權(quán)操作,保證交易平臺的安全、穩(wěn)定、可靠”。

  1.評標(biāo)專家抽取保密控制

  防范措施包括:

  1)通知階段電話語音通知。應(yīng)用隨機雙盲“電腦隨機抽取-語音自動通知-短信發(fā)送確認(rèn)”

  2)抽取過程語音+錄像監(jiān)控。抽取評標(biāo)專家時,招標(biāo)人代表、監(jiān)督人員在場。

  3)專家抽取結(jié)果通知保密。密封打印是最常見方式,評標(biāo)啟動前由監(jiān)督人員查驗密封情況后拆封。還有的做法是在評標(biāo)啟動前,以傳真方式提供專家名單。

  還有較為先進方式是評標(biāo)區(qū)安裝監(jiān)控和門禁系統(tǒng)。評標(biāo)啟動前,專家簽到系統(tǒng)共享評標(biāo)專家抽取信息和專家指紋信息。專家驗證指紋進場,系統(tǒng)自動提示評標(biāo)房間和評標(biāo)項目。監(jiān)督人員在線監(jiān)控評標(biāo)全過程,保留評標(biāo)影音資料備查。

  4)設(shè)定候選專家比例,確保評委會組建順利進行。

  2.投標(biāo)文件的加密和解密

  投標(biāo)文件制作ca加密,開標(biāo)時ca解密,杜絕信息泄露。解密模式有兩種:交易平臺集中解密模式和投標(biāo)人解密模式。

  交易平臺集中解密模式,投標(biāo)文件上傳交易平臺后,存在系統(tǒng)管理員非法提前解密風(fēng)險。交易平臺需要完善管理制度、加強安全管理,保證投標(biāo)文件不被提前解密。

  投標(biāo)人解密模式,由于投標(biāo)人網(wǎng)絡(luò)、電腦軟硬件等環(huán)境因素,存在解密失敗且責(zé)任不易認(rèn)定風(fēng)險。中國招標(biāo)公共服務(wù)平臺提供開標(biāo)保障服務(wù),可在投標(biāo)文件解密失敗后,及時補救、完成解密操作。

  3.嚴(yán)格控制信息訪問權(quán)限

  1)嚴(yán)格實施系統(tǒng)開發(fā)權(quán)、系統(tǒng)管理權(quán)的分離

  軟件部署環(huán)境按照等級保護制度,劃分為測試環(huán)境、預(yù)生產(chǎn)環(huán)境和生產(chǎn)環(huán)境。軟件開發(fā)人員負(fù)責(zé)軟件程序開發(fā)和后期修改,只能夠訪問測試環(huán)境,嚴(yán)格禁止開發(fā)人員接觸生產(chǎn)環(huán)境。平臺應(yīng)當(dāng)制定版本發(fā)布流程,系統(tǒng)版本發(fā)布和更新要經(jīng)過功能、性能和安全性測試,測試通過后在預(yù)生產(chǎn)環(huán)境發(fā)布。預(yù)生產(chǎn)環(huán)境試運行通過后,再發(fā)布到正式環(huán)境。

  2)最小化原則設(shè)定各方權(quán)限

  系統(tǒng)權(quán)限按角色劃分,招標(biāo)方、投標(biāo)方操作人員、平臺運營人員和系統(tǒng)維護人員等在各自權(quán)限范圍內(nèi)工作和查看信息。各角色相互監(jiān)控、互相制約,避免權(quán)限集中導(dǎo)致安全風(fēng)險。

  4.制定安全管理制度

  根據(jù)《網(wǎng)絡(luò)安全法》和《GB/T22239-2008信息安全等級保護要求》管理要求及電子招標(biāo)投標(biāo)技術(shù)規(guī)范,各平臺運營機構(gòu)應(yīng)當(dāng)結(jié)合本單位實際現(xiàn)狀,從人員職責(zé)、系統(tǒng)建設(shè)和運維管理等方面制定相應(yīng)安全管理制度。

  人員方面要求主要包括:

  1) 設(shè)置安全主管、安全管理各個方面負(fù)責(zé)人,定義各負(fù)責(zé)人職責(zé);

  2) 設(shè)置系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位,定義各個工作崗位職責(zé)。安全管理員不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等;

  3) 關(guān)鍵活動建立審批流程,由批準(zhǔn)人簽字確認(rèn);

  4) 安全管理員定期進行安全檢查,檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等。還需要檢查安全防護設(shè)備運行情況,定期查看監(jiān)控日志;

  5) 確保外部人員訪問受控區(qū)域前得到授權(quán)或?qū)徟鷾?zhǔn)后由專人全程陪同或監(jiān)督,并登記備案;

  系統(tǒng)建設(shè)方面要求包括:

  1) 軟件安裝之前檢測軟件包中可能存在的惡意代碼;

  2) 開發(fā)單位提供軟件源代碼,并審查軟件中可能存在的后門;

  3) 規(guī)劃總體安全防護體系,制定安全保護方案,并按照方案實施設(shè)備采購部署安全設(shè)備;

  4) 與選定安全服務(wù)商簽訂與相關(guān)安全協(xié)議,明確約定相互責(zé)任。

  運維管理方面要求包括:

  1) 應(yīng)指定人員對網(wǎng)絡(luò)進行管理,負(fù)責(zé)運行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護和報警信息分析和處理工作,嚴(yán)格遵守網(wǎng)路區(qū)域的邊界控制,未經(jīng)過審批嚴(yán)禁跨區(qū)訪問,關(guān)閉所有不用公網(wǎng)服務(wù)端口。

  2) 對服務(wù)器主機要做安全加固,例如禁ping,修改系統(tǒng)賬號密碼策略,刪除或禁用不必要用戶和用戶組,停用無關(guān)服務(wù)等。

  3) 根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略,并根據(jù)系統(tǒng)的情況及時優(yōu)化和調(diào)整策略。

  4) 定期對運行日志和審計數(shù)據(jù)分析,及時發(fā)現(xiàn)異常行為。

  5) 確認(rèn)系統(tǒng)中要發(fā)生的重要變更,制定變更方案;發(fā)生重要變更前,向主管領(lǐng)導(dǎo)申請,審批后方可實施變更,實施后向相關(guān)人員通告。

  6) 制定安全事件報告和處置管理制度,明確安全事件類型,規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復(fù)的管理職責(zé);

  7) 在統(tǒng)一應(yīng)急預(yù)案框架下制定不同應(yīng)急預(yù)案,應(yīng)急預(yù)案框架應(yīng)包括啟動應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容。應(yīng)對系統(tǒng)相關(guān)人員進行應(yīng)急預(yù)案培訓(xùn),培訓(xùn)至少每年舉辦一次。

  5.市場化交易平臺與公共服務(wù)平臺及監(jiān)督平臺分離運營

  避免“所有雞蛋放在一個籃子里的系統(tǒng)性風(fēng)險”?!峨娮诱袠?biāo)投標(biāo)辦法》三平臺分離運營思想,也是安全性重要設(shè)計。有些機構(gòu)不僅將電子招標(biāo)投標(biāo)三類平臺放在一起,還有意無意將工程建設(shè)、政府采購、產(chǎn)權(quán)、土地等各類公共資源交易都放在同一平臺,甚至將全省所有地方平臺也放在一個平臺,并冠以“全省一張網(wǎng)”。這種設(shè)計造成的后果是,“一張網(wǎng)”省平臺出現(xiàn)安全問題,意味各個地方平臺都有問題。

  根據(jù)國家制度設(shè)計,特別強調(diào)交易平臺和公共服務(wù)平臺實現(xiàn)物理分離。公共服務(wù)平臺可以全省建設(shè)一個,交易平臺則應(yīng)是市場化、專業(yè)化、集約化的。監(jiān)督平臺更應(yīng)當(dāng)與交易平臺分離,防止監(jiān)督功能被交易平臺綁架。

  三類平臺之間如何界定各自功能和定位?電子招標(biāo)投標(biāo)辦法以及最近的“互聯(lián)網(wǎng)+”招標(biāo)采購行動方案都對此有明確規(guī)定,公共資源交易采取了同樣的架構(gòu):

  1) 交易平臺負(fù)責(zé)完成招標(biāo)投標(biāo)交易活動,不能承擔(dān)監(jiān)督功能,要與公共服務(wù)平臺分離;

  2) 公共服務(wù)平臺提供交易平臺之間,以及交易平臺與監(jiān)督平臺之間信息交換、資源共享服務(wù),并為市場主體、行政監(jiān)督部門和社會公眾提供信息服務(wù),為監(jiān)督部門提供監(jiān)督窗口和監(jiān)督工具,不具有交易功能。

  3) 行政監(jiān)督平臺為行政監(jiān)督部門和監(jiān)察機關(guān)在線監(jiān)督提供窗口。

  6.交易系統(tǒng)與專用的工具軟件分離開發(fā)運營

  《電子招標(biāo)投標(biāo)辦法》和交易平臺技術(shù)規(guī)范提出:交易系統(tǒng)不得限制或者排斥相關(guān)工具軟件與其對接。各投標(biāo)人可使用符合標(biāo)準(zhǔn)的工程計價工具軟件,按數(shù)據(jù)接口標(biāo)準(zhǔn)即可與交易平臺實現(xiàn)對接。

  隨著電子招標(biāo)投標(biāo)不斷推進和深化,交易平臺與專業(yè)工具軟件之間開發(fā)和運營規(guī)范問題越來越迫切。部分推行電子招標(biāo)投標(biāo)較早的省市,如北京市建設(shè)工程承包發(fā)包中心,規(guī)定交易平臺和專業(yè)工具軟件應(yīng)當(dāng)分別由不同開發(fā)商開發(fā)。

  同一家軟件供應(yīng)商開發(fā)交易平臺和專業(yè)工具軟件,容易導(dǎo)致交易平臺對軟件開發(fā)商的全方位依賴,容易產(chǎn)生開發(fā)商利用對交易平臺全程控制的優(yōu)勢地位,篡改后臺數(shù)據(jù)和文件調(diào)包等非法行為。此外,交易平臺和工具軟件為同一開發(fā)商,交易平臺與工具軟件對接缺少中立第三方見證和監(jiān)督。開發(fā)商可以利用這一優(yōu)勢地位,抹掉修改或調(diào)包的操作痕跡,造成沒有后門的假象等問題。

  交易系統(tǒng)和工具軟件開發(fā)和運營分離,可促進工具軟件充分競爭,有利于交易平臺和工具軟件安全管控,促進電子招標(biāo)投標(biāo)健康可持續(xù)運營。

  7.交易平臺檢測認(rèn)證

  交易平臺專業(yè)性強、技術(shù)復(fù)雜,僅通過使用方功能性檢測,難以對數(shù)據(jù)接口、后臺技術(shù)規(guī)范性、中間件等隱蔽性工程進行測試了解。第三方專業(yè)機構(gòu)檢測認(rèn)證,可以有效防范交易平臺中功能、性能、安全等缺陷、漏洞和后門等,從源頭上防止問題出現(xiàn)。

  交易平臺檢測認(rèn)證分為三個等級。交易平臺檢測應(yīng)符合《電子招標(biāo)投標(biāo)辦法》及《電子招標(biāo)投標(biāo)系統(tǒng)技術(shù)規(guī)范》的要求,按照檢測認(rèn)證管理辦法進行檢測認(rèn)證。檢測針對交易平臺系統(tǒng),認(rèn)證針對交易平臺運營機構(gòu)。

  8.?dāng)?shù)據(jù)傳送公共服務(wù)平臺,接受認(rèn)證后監(jiān)督

  全流程電子招標(biāo)投標(biāo)不僅是交易平臺全流程電子化操作,還是跨越交易平臺、公共服務(wù)平臺和行政監(jiān)督平臺的全流程數(shù)據(jù)流轉(zhuǎn)。例如,招標(biāo)公告不僅要在交易平臺上生成,也發(fā)送公共服務(wù)平臺公開發(fā)布、方便潛在投標(biāo)人查詢,還要到行政監(jiān)督平臺上備案、接受在線監(jiān)督。所有依法公開數(shù)據(jù)都需要傳給公共服務(wù)平臺,并通過公共服務(wù)平臺監(jiān)督通道(或者監(jiān)督窗口)接受在線監(jiān)督。

  電子招標(biāo)投標(biāo)交易過程數(shù)據(jù),在工具軟件、交易平臺上生成和歸檔同時,還在公共服務(wù)平臺同步備案存檔。數(shù)據(jù)傳送公共服務(wù)平臺既能實現(xiàn)信息公開,還是杜絕交易信息被篡改的有效機制,并為日后監(jiān)督和審計提供可信、可靠備查依據(jù)。

  需要強調(diào)的是,在電子招標(biāo)投標(biāo)活動中,安全威脅總是不斷產(chǎn)生、實時變化,任何安全防護措施都不可能一勞永逸。電子招標(biāo)投標(biāo)系統(tǒng)運營機構(gòu)應(yīng)當(dāng)加強安全管理、提高安全意識,設(shè)置合理安全基線,定期進行安全檢測、安全加固,及時發(fā)現(xiàn)、處理問題,確保平臺安全運行。

  作者:許程亮