超碰97免费人妻观-欧美高清一区二区在线观看-日韩人妻一级片av-麻豆国产成人av高清在线-久久婷婷综合97色一本一本-久久精品国产99久久丝袜-欧美日韩一区二区在线观看-777久久人妻网站-97香蕉久久夜色精品国产

　　隨著《網(wǎng)絡(luò)安全法》頒布和實施，網(wǎng)絡(luò)安全問題已經(jīng)上升到國家層面。電子招標(biāo)投標(biāo)系統(tǒng)是電子政務(wù)重要組成部分，電子招標(biāo)投標(biāo)主體信息和交易數(shù)據(jù)容易成為互聯(lián)網(wǎng)非法攻擊目標(biāo)。電子招標(biāo)投標(biāo)活動中用戶身份確認(rèn)、潛在投標(biāo)人保密、評標(biāo)委員會保密、投標(biāo)文件防竊取與防篡改、開標(biāo)防解密失敗、評標(biāo)防泄密和評標(biāo)結(jié)果防篡改等是重點安全問題。

　　中國招標(biāo)投標(biāo)公共服務(wù)平臺始終關(guān)注和研究電子招標(biāo)投標(biāo)網(wǎng)絡(luò)安全問題，本文針對電子招標(biāo)投標(biāo)活動的風(fēng)險和安全問題，從管理流程和制度角度，就如何建立完整安全防御體系、做到事先風(fēng)險防范和事后風(fēng)險控制進行論述。

　　《電子招標(biāo)投標(biāo)辦法》第十二條規(guī)定“電子招標(biāo)投標(biāo)交易平臺運營機構(gòu)應(yīng)當(dāng)根據(jù)國家有關(guān)法律法規(guī)及技術(shù)規(guī)范，建立健全電子招標(biāo)投標(biāo)交易平臺規(guī)范運行和安全管理制度，加強監(jiān)控、檢測，及時發(fā)現(xiàn)和排除隱患”，第十三條規(guī)定“電子招標(biāo)投標(biāo)交易平臺運營機構(gòu)應(yīng)當(dāng)采用可靠的身份識別、權(quán)限控制、加密、病毒防范等技術(shù)，防范非授權(quán)操作，保證交易平臺的安全、穩(wěn)定、可靠”。

　　1．評標(biāo)專家抽取保密控制

　　防范措施包括：

　　1）通知階段電話語音通知。應(yīng)用隨機雙盲“電腦隨機抽取-語音自動通知-短信發(fā)送確認(rèn)”

　　2）抽取過程語音+錄像監(jiān)控。抽取評標(biāo)專家時，招標(biāo)人代表、監(jiān)督人員在場。

　　3）專家抽取結(jié)果通知保密。密封打印是最常見方式，評標(biāo)啟動前由監(jiān)督人員查驗密封情況后拆封。還有的做法是在評標(biāo)啟動前，以傳真方式提供專家名單。

　　還有較為先進方式是評標(biāo)區(qū)安裝監(jiān)控和門禁系統(tǒng)。評標(biāo)啟動前，專家簽到系統(tǒng)共享評標(biāo)專家抽取信息和專家指紋信息。專家驗證指紋進場，系統(tǒng)自動提示評標(biāo)房間和評標(biāo)項目。監(jiān)督人員在線監(jiān)控評標(biāo)全過程，保留評標(biāo)影音資料備查。

　　4）設(shè)定候選專家比例，確保評委會組建順利進行。

　　2.投標(biāo)文件的加密和解密

　　投標(biāo)文件制作ca加密，開標(biāo)時ca解密，杜絕信息泄露。解密模式有兩種：交易平臺集中解密模式和投標(biāo)人解密模式。

　　交易平臺集中解密模式，投標(biāo)文件上傳交易平臺后，存在系統(tǒng)管理員非法提前解密風(fēng)險。交易平臺需要完善管理制度、加強安全管理，保證投標(biāo)文件不被提前解密。

　　投標(biāo)人解密模式，由于投標(biāo)人網(wǎng)絡(luò)、電腦軟硬件等環(huán)境因素，存在解密失敗且責(zé)任不易認(rèn)定風(fēng)險。中國招標(biāo)公共服務(wù)平臺提供開標(biāo)保障服務(wù)，可在投標(biāo)文件解密失敗后，及時補救、完成解密操作。

　　3．嚴(yán)格控制信息訪問權(quán)限

　　1）嚴(yán)格實施系統(tǒng)開發(fā)權(quán)、系統(tǒng)管理權(quán)的分離

　　軟件部署環(huán)境按照等級保護制度，劃分為測試環(huán)境、預(yù)生產(chǎn)環(huán)境和生產(chǎn)環(huán)境。軟件開發(fā)人員負(fù)責(zé)軟件程序開發(fā)和后期修改，只能夠訪問測試環(huán)境，嚴(yán)格禁止開發(fā)人員接觸生產(chǎn)環(huán)境。平臺應(yīng)當(dāng)制定版本發(fā)布流程，系統(tǒng)版本發(fā)布和更新要經(jīng)過功能、性能和安全性測試，測試通過后在預(yù)生產(chǎn)環(huán)境發(fā)布。預(yù)生產(chǎn)環(huán)境試運行通過后，再發(fā)布到正式環(huán)境。

　　2）最小化原則設(shè)定各方權(quán)限

　　系統(tǒng)權(quán)限按角色劃分，招標(biāo)方、投標(biāo)方操作人員、平臺運營人員和系統(tǒng)維護人員等在各自權(quán)限范圍內(nèi)工作和查看信息。各角色相互監(jiān)控、互相制約，避免權(quán)限集中導(dǎo)致安全風(fēng)險。

　　4.制定安全管理制度

　　根據(jù)《網(wǎng)絡(luò)安全法》和《GB/T22239-2008信息安全等級保護要求》管理要求及電子招標(biāo)投標(biāo)技術(shù)規(guī)范，各平臺運營機構(gòu)應(yīng)當(dāng)結(jié)合本單位實際現(xiàn)狀，從人員職責(zé)、系統(tǒng)建設(shè)和運維管理等方面制定相應(yīng)安全管理制度。

　　人員方面要求主要包括：

　　1） 設(shè)置安全主管、安全管理各個方面負(fù)責(zé)人，定義各負(fù)責(zé)人職責(zé)；

　　2） 設(shè)置系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，定義各個工作崗位職責(zé)。安全管理員不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等；

　　3） 關(guān)鍵活動建立審批流程，由批準(zhǔn)人簽字確認(rèn)；

　　4） 安全管理員定期進行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等。還需要檢查安全防護設(shè)備運行情況，定期查看監(jiān)控日志；

　　5） 確保外部人員訪問受控區(qū)域前得到授權(quán)或?qū)徟?，批?zhǔn)后由專人全程陪同或監(jiān)督，并登記備案；

　　系統(tǒng)建設(shè)方面要求包括：

　　1） 軟件安裝之前檢測軟件包中可能存在的惡意代碼；

　　2） 開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門；

　　3） 規(guī)劃總體安全防護體系，制定安全保護方案，并按照方案實施設(shè)備采購部署安全設(shè)備；

　　4） 與選定安全服務(wù)商簽訂與相關(guān)安全協(xié)議，明確約定相互責(zé)任。

　　運維管理方面要求包括：

　　1） 應(yīng)指定人員對網(wǎng)絡(luò)進行管理，負(fù)責(zé)運行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護和報警信息分析和處理工作，嚴(yán)格遵守網(wǎng)路區(qū)域的邊界控制，未經(jīng)過審批嚴(yán)禁跨區(qū)訪問，關(guān)閉所有不用公網(wǎng)服務(wù)端口。

　　2） 對服務(wù)器主機要做安全加固，例如禁ping，修改系統(tǒng)賬號密碼策略，刪除或禁用不必要用戶和用戶組，停用無關(guān)服務(wù)等。

　　3） 根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略，并根據(jù)系統(tǒng)的情況及時優(yōu)化和調(diào)整策略。

　　4） 定期對運行日志和審計數(shù)據(jù)分析，及時發(fā)現(xiàn)異常行為。

　　5） 確認(rèn)系統(tǒng)中要發(fā)生的重要變更，制定變更方案；發(fā)生重要變更前，向主管領(lǐng)導(dǎo)申請，審批后方可實施變更，實施后向相關(guān)人員通告。

　　6） 制定安全事件報告和處置管理制度，明確安全事件類型，規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復(fù)的管理職責(zé)；

　　7） 在統(tǒng)一應(yīng)急預(yù)案框架下制定不同應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容。應(yīng)對系統(tǒng)相關(guān)人員進行應(yīng)急預(yù)案培訓(xùn)，培訓(xùn)至少每年舉辦一次。

　　5．市場化交易平臺與公共服務(wù)平臺及監(jiān)督平臺分離運營

　　避免“所有雞蛋放在一個籃子里的系統(tǒng)性風(fēng)險”?！峨娮诱袠?biāo)投標(biāo)辦法》三平臺分離運營思想，也是安全性重要設(shè)計。有些機構(gòu)不僅將電子招標(biāo)投標(biāo)三類平臺放在一起，還有意無意將工程建設(shè)、政府采購、產(chǎn)權(quán)、土地等各類公共資源交易都放在同一平臺，甚至將全省所有地方平臺也放在一個平臺，并冠以“全省一張網(wǎng)”。這種設(shè)計造成的后果是，“一張網(wǎng)”省平臺出現(xiàn)安全問題，意味各個地方平臺都有問題。

　　根據(jù)國家制度設(shè)計，特別強調(diào)交易平臺和公共服務(wù)平臺實現(xiàn)物理分離。公共服務(wù)平臺可以全省建設(shè)一個，交易平臺則應(yīng)是市場化、專業(yè)化、集約化的。監(jiān)督平臺更應(yīng)當(dāng)與交易平臺分離，防止監(jiān)督功能被交易平臺綁架。

　　三類平臺之間如何界定各自功能和定位？電子招標(biāo)投標(biāo)辦法以及最近的“互聯(lián)網(wǎng)+”招標(biāo)采購行動方案都對此有明確規(guī)定，公共資源交易采取了同樣的架構(gòu)：

　　1） 交易平臺負(fù)責(zé)完成招標(biāo)投標(biāo)交易活動，不能承擔(dān)監(jiān)督功能，要與公共服務(wù)平臺分離；

　　2） 公共服務(wù)平臺提供交易平臺之間，以及交易平臺與監(jiān)督平臺之間信息交換、資源共享服務(wù)，并為市場主體、行政監(jiān)督部門和社會公眾提供信息服務(wù)，為監(jiān)督部門提供監(jiān)督窗口和監(jiān)督工具，不具有交易功能。

　　3） 行政監(jiān)督平臺為行政監(jiān)督部門和監(jiān)察機關(guān)在線監(jiān)督提供窗口。

　　6．交易系統(tǒng)與專用的工具軟件分離開發(fā)運營

　　《電子招標(biāo)投標(biāo)辦法》和交易平臺技術(shù)規(guī)范提出：交易系統(tǒng)不得限制或者排斥相關(guān)工具軟件與其對接。各投標(biāo)人可使用符合標(biāo)準(zhǔn)的工程計價工具軟件，按數(shù)據(jù)接口標(biāo)準(zhǔn)即可與交易平臺實現(xiàn)對接。

　　隨著電子招標(biāo)投標(biāo)不斷推進和深化，交易平臺與專業(yè)工具軟件之間開發(fā)和運營規(guī)范問題越來越迫切。部分推行電子招標(biāo)投標(biāo)較早的省市，如北京市建設(shè)工程承包發(fā)包中心，規(guī)定交易平臺和專業(yè)工具軟件應(yīng)當(dāng)分別由不同開發(fā)商開發(fā)。

　　同一家軟件供應(yīng)商開發(fā)交易平臺和專業(yè)工具軟件，容易導(dǎo)致交易平臺對軟件開發(fā)商的全方位依賴，容易產(chǎn)生開發(fā)商利用對交易平臺全程控制的優(yōu)勢地位，篡改后臺數(shù)據(jù)和文件調(diào)包等非法行為。此外，交易平臺和工具軟件為同一開發(fā)商，交易平臺與工具軟件對接缺少中立第三方見證和監(jiān)督。開發(fā)商可以利用這一優(yōu)勢地位，抹掉修改或調(diào)包的操作痕跡，造成沒有后門的假象等問題。

　　交易系統(tǒng)和工具軟件開發(fā)和運營分離，可促進工具軟件充分競爭，有利于交易平臺和工具軟件安全管控，促進電子招標(biāo)投標(biāo)健康可持續(xù)運營。

　　7．交易平臺檢測認(rèn)證

　　交易平臺專業(yè)性強、技術(shù)復(fù)雜，僅通過使用方功能性檢測，難以對數(shù)據(jù)接口、后臺技術(shù)規(guī)范性、中間件等隱蔽性工程進行測試了解。第三方專業(yè)機構(gòu)檢測認(rèn)證，可以有效防范交易平臺中功能、性能、安全等缺陷、漏洞和后門等，從源頭上防止問題出現(xiàn)。

　　交易平臺檢測認(rèn)證分為三個等級。交易平臺檢測應(yīng)符合《電子招標(biāo)投標(biāo)辦法》及《電子招標(biāo)投標(biāo)系統(tǒng)技術(shù)規(guī)范》的要求，按照檢測認(rèn)證管理辦法進行檢測認(rèn)證。檢測針對交易平臺系統(tǒng)，認(rèn)證針對交易平臺運營機構(gòu)。

　　8．?dāng)?shù)據(jù)傳送公共服務(wù)平臺，接受認(rèn)證后監(jiān)督

　　全流程電子招標(biāo)投標(biāo)不僅是交易平臺全流程電子化操作，還是跨越交易平臺、公共服務(wù)平臺和行政監(jiān)督平臺的全流程數(shù)據(jù)流轉(zhuǎn)。例如，招標(biāo)公告不僅要在交易平臺上生成，也發(fā)送公共服務(wù)平臺公開發(fā)布、方便潛在投標(biāo)人查詢，還要到行政監(jiān)督平臺上備案、接受在線監(jiān)督。所有依法公開數(shù)據(jù)都需要傳給公共服務(wù)平臺，并通過公共服務(wù)平臺監(jiān)督通道（或者監(jiān)督窗口）接受在線監(jiān)督。

　　電子招標(biāo)投標(biāo)交易過程數(shù)據(jù)，在工具軟件、交易平臺上生成和歸檔同時，還在公共服務(wù)平臺同步備案存檔。數(shù)據(jù)傳送公共服務(wù)平臺既能實現(xiàn)信息公開，還是杜絕交易信息被篡改的有效機制，并為日后監(jiān)督和審計提供可信、可靠備查依據(jù)。

　　需要強調(diào)的是，在電子招標(biāo)投標(biāo)活動中，安全威脅總是不斷產(chǎn)生、實時變化，任何安全防護措施都不可能一勞永逸。電子招標(biāo)投標(biāo)系統(tǒng)運營機構(gòu)應(yīng)當(dāng)加強安全管理、提高安全意識，設(shè)置合理安全基線，定期進行安全檢測、安全加固，及時發(fā)現(xiàn)、處理問題，確保平臺安全運行。

　　作者：許程亮