南京招标投标云网
南京招标投标协会主办
南京招标投标云网
南京招标投标协会主办
电子招标投标系统安全风险分析与控制
□文/抚顺石化公司招标中心 孙义
电子招标投标系统作为通过网络部署应用的电子信息系统,需要确保其数据的保密性和安全性。而招投标业务本身涉及大量的强保密性数据和高敏感度信息容易成为不法分子进行非法攻击的对象,严重影响招标工作开展,损害投标人利益。如何将安全防护工作落到实处,利用技术手段和管理控制对电子招投标系统进行安全管理,在当前形势下尤为迫切。
电子招标投标全流程的主要节点分为招标、投标、开标、评标、定标五个主要环节。总结五大环节中需要解决的风险点,主要可以归为六类问题,即:电子招标投标用户的身份确认问题、投标报名阶段投标人的名单泄露风险、专家抽取环节专家名单的泄露风险、投标文件的防窃取和防篡改问题、开标环节的防解密失败风险以及评委评标过程的防泄密和评标结果的防篡改问题。
针对以上需要解决的风险和问题,需要从信息技术和管理制度两个方向人手,建立一个完整的安全防御体系,保障系统在安全可控的环境下运行。
电子招标系统安全分析
(一)系统用户身份认证
系统应对投保人、招标人、招标机构以及其他功能权限的系统用户进行身份验证和识别,确保系统账号的唯一性和安全性。
(1)系统账号应符合中油信息管理系统账号复杂度要求,并定期对密码进行更改以确保账号的安全性。
(2)系统账号登录设置防盗识别码,每次登录系统自动刷新识别码,确保用户的操作行为正常。
(3)对登录异常的账号设定登录阀值,超过三次的登录失败,用户账号将被锁定,需重新进行手机认证才能对账号进行解锁。
(4)使用UK数字密钥对投标人和招标机构的系统用户进行身份认证。UK经过银行等专业部门对投标人的各项资质进行审核后进行发放,UK做为投标人身份鉴定的唯一标识供投标人用户登录系统后进行投标文件加密、电子签章、付款等主要功能。内部招标机构由直管的集团招标部门发放UK,来作为招标机构的身份认证,供招标机构管理人员登录系统进行招标文件签章、中标通知书签章等操作。
(二)电子签名
电子签名是通过电子手写板,在招标过程中对相关的文件在电子招标系统内进行相关人员确认签字的操作。电子签名使用的数字密钥应采用合法的CA机构颁发的证书,电子签名是识别用户身份、确认执行操作的重要手段,有不可抵赖性和高安全性的优点。
使用电子签名的文件包括:招标公告(资格预审公告)、投标邀请书、资格预审文件(澄清和修改)、资格预审申请文件(澄清和修改)、资格审查报告、招标文件(澄清和修改)、投标文件(补充、修改、撤回、澄清)、开标记录、评标报告、中标通知书、合同(协议书)及相关文件的签收回执等具有法律约束力的文件。
(三)系统数据存储
采用加密或其他技术措施确保信息数据在存储过程中的安全性。重要的数据需要进行加密存储,如投标文件、评标结果、中标结果等高敏感信息数据需设定专门的加密存储,以防止信息技术人员从后台数据库获得相关信息,提高数据的安全性。
电子招投标系统为高频度、高时效性信息系统,其对系统平稳性要求较高,这就要求系统部署的硬件,平台具有较高的可靠性和平稳性。尤其是存储系统中的磁盘,存储冗余一般至少构建RAID5系统,也可以考虑将服务器资源及存储资源进行云托管,进一步保障服务的稳定性和安全性。
(四)系统数据备份
由于电子招标系统内数据的高敏感性和重要性,需根据系统数据量大小制定合适的系统数据备份策略,定期备份数据库和系统重要的数据文件,做到数据冗余存储,以便需要的时候进行数据无损、实时的恢复.确保系统数据安全。
要选择合适的备份地点和备份方法,有条件的应当同时进行异地备份。在备份方法上,全数据备份是对所有意捧备份的数据进行备份。全数据备份比其他备份方式需要更多的时间和数据存储容量,但它是数据恢复最简单和最容易的方法。增量备份是对上次备份后所有发生变化的数据进行备份。增量备份比其他方法需要更少的时间和数据存储容量,但它的数据恢复方式最复杂。差异备份对上一次全数据备份发生变化的数据进行备份。它比全数据备份需要更少的时间和数据存储容量,比增量备份对数据的恢复更简单和更容易。一段根据自身系统数据量的大小和存储设备的难易裁定策略,不同备份策略都要兼顾到。
(五)系统病毒防护及网络安全
系统应部署集中化的防病毒安全软件,并定期查杀病毒。定期对操作系统进行漏洞扫描,及时安装系统补丁.防范安全漏洞。
不能在互联网上直接开放运维管理后台和主机的登录入口,可以采用VPN通道的方式强化网络安全,同时采用抗DDoS攻击系统、网页防篡改保护系统、 WAF防火墙、IPS入侵防护系统、数据泄露防护系统等为系统提供安全检测防护。
由于安全防护的投入成本较高,中小型交易平台在实施时由于成本压力造成实施困难,可以采用诸如UTM、下一代防火墙之类的集成多功能的一体化产品来降低实施成本。
对于生产环境,要按照等级保护的要求划分安全区域,需要对外提供服务的WEB服务、应用程序、接口等部署在外网区,系统的数据库和其他重要的数据文件存储应在内网区域,互联网不能直接访问,区域之间要用防火墙作边界隔离。
(六)系统日志管理
在业务流程中要记录电子招标投标全过程关于事项办理、审批流转、数据修改所产生的记录以及记录的时间点,这些都需要完整地保存在系统里以便对系统的运行状态做全面分析。
对于系统版本发布更新、系统文件的替换修改、数据库文件的还原恢复等针对系统的操作,要经过技术管理流程的审批和记录。对于系统后台的所有管理行为记录,也需要完整地记录在日志里,以备日后的监督和审计。对于生产系统的运维管理操作,可以使用堡垒机进行操作审计和记录;对于数据库的管理,可以通过数据库审计系统,监视和分析对数据库服务器的各类操作行为,并记入审计数据库中集中进行管理。
(七)系统安全风险测试
定期对系统源代码、数据库、操作系统、网络等方面进行安全风险检测,以便及时发现存在的漏洞和风险并做处理。
系统的安全检测,包括系统漏洞扫描、用户身份鉴别、访问控制、数据的完整性、保密性检查,数据备份与恢复检查等检测内容。
还可以做本地、远程、网络三个不同层级的渗透测试,模拟演练发生攻击的情况,通过渗透测试对网站进行深度检测,发现和挖掘系统中存在的漏洞。
招投标管理控制机制
(一)招投标文件的保密性
投标人制作投标文件后采用投标人UK密钥加密上传,开标后,招标人使用招标人UK密钥对上传的投标文件进行解密,双方使用各自不同的加密UK密钥对文件进行加密解密操作,杜绝过程中的信息泄露,保证文件安全。
招标机构一般采用开标日集中解密公示的方式进行开标解密,采用集中解密的方式也存在安全风险。文件上传到交易平台后,可能会发生系统管理员非法提前解密,这需要系统设计时按照法律法规要求,严格对招标业务流程各节点进行控制,以保证投标文件不被提前解密,控制风险。
系统针对解密失败的风险也提供了补救措施,投标人可以手动上传已经过加密处理的投标文件至招标系统进行重新解密,所有文件解密成功后方可进行开标公示。
(二)评审专家名单的保密性
评审委员会专家组成名单是招标评审活动中一个重要的保密性环节,是招标法律法规严格约束的重点内容,应用电子招标系统专家随机抽取可以很好地解决评审专家名单保密性问题,主要有以下几个措施:
(1)根据项目所属分类选取对应分类抽取,提交后系统转入语音自动应答系统无需人工干预,系统自动发送语音邀请电话和邀请短信,专家自行应答,整个过程全封闭进行,电子招标系统只对应答结果进行确认。
(2)抽取方法和逻辑按照中国石油电子招标投标管理制度关于专家抽取办法执行。
(3)目前有两种专家抽取结果通知的方式,一是专家到达现场,等待开标结束后由招标管理人员现场打印评标信息。另一种是专家到达现场后,通过专家签到机自助打印评标信息。
比较先进的做法是评标区安装监控和门禁系统,专家签到系统在评标前共享评标专家抽取信息和专家的指纹信息,专家验证指纹进场,并自动提示专家进入哪间评标室评什么标。监督人员可以在另外的房间通过视频监控系统全程监督,并保留评标过程的影音资料。
(4)候选专家资源人数要在抽取系统中有一个比例限制,要确保候选专家资源充足。当系统抽取专家人数高于候选专家人数二分之一时,系统无法抽取,保障系统随机性原则。
(三)评审结果的保密性
评标纪律管理,非评审专家不得进入评标室。
制度管控,中标结果发布前应履行评审专家保密原则。评标专家不得以口述、电话、传真、书信等方式将有关的评标内容(投标文件、评标情况、评标方式及进度等)透露给未参加评标的人员(包括亲属、朋友、同事等)和未参加评标的各级领导,不得擅自对外公布评标的一切情况。不能向评委所在单位汇报评标情况,当本单位领导主动询问时应不予答复。
评标过程中的评标文件、资料及各种表格等只限于存评标规定的场所使用,不得外带,不得复印;不得将评标资料带回家;评标中产生的废纸、废表格、废草稿等,要集中存放,由会务组统一销毁。
(四)权限控制
系统按照角色不同,招标机构、投标人、系统管理人员等划分不同的操作权限,对相应的系统操作界面和操作范围进行控制,并根据业务角色的分工将系统设定为两个不同的操作台界面,对使用人权限进行管控。平台运营人员和系统维护人员等各司其职,每个角色只能在自己的权限范围内查看自己分内的信息,各角色之间又能相互监控,避免权限过于集中导致的安全风险。
(五)审批流程控制
系统根据法律法规及招标管理制度要求,对招标机构应用系统时涉及重要把关的流程环节进行审批节点控制,如公告发布、招标文件澄清、招标结果公示等重要节点。防止业务承办人员个人行为直接生效对招标流程造成影响,系统强制对这些内控关键点进行管控,增加了招标流程的安全性。
(责编;冯君)