隨著信息技術(shù)的蓬勃發(fā)展和廣泛應(yīng)用,基于網(wǎng)絡(luò)和多媒體技術(shù)的公共資源交易電子化平臺(tái)應(yīng)運(yùn)而生并迅速發(fā)展。但在2017年,勒索病毒的全球大爆發(fā)影響到眾多行業(yè),造成嚴(yán)重危害,F(xiàn)acebook信息泄露事件,網(wǎng)絡(luò)數(shù)據(jù)被盜用,都說明無論是政治層面,還是經(jīng)濟(jì)金融文化層面,“戰(zhàn)爭、斗爭、競爭”的主戰(zhàn)場已轉(zhuǎn)移到網(wǎng)絡(luò)上,這給我國當(dāng)前正在深入推進(jìn)的公共資源電子交易信息安全敲響了警鐘。在日趨復(fù)雜的網(wǎng)絡(luò)環(huán)境和頻繁的公共資源電子交易中如何保障信息安全值得探究。
一、公共資源電子交易網(wǎng)絡(luò)信息安全存在的問題
公共資源交易的發(fā)展趨勢(shì)是電子化,即100%的交易業(yè)務(wù)都在電子環(huán)境下實(shí)現(xiàn),其信息的完整性、可用性、保密性、穩(wěn)定性和可靠性都需要依賴于電子和網(wǎng)絡(luò)安全,主要體現(xiàn)在以下兩個(gè)方面。
(一)網(wǎng)絡(luò)信息安全方面
1.安全協(xié)議問題。安全協(xié)議當(dāng)前還沒有全球統(tǒng)一的標(biāo)準(zhǔn)和規(guī)范,相對(duì)制約了公共資源交易電子化的應(yīng)用推廣。比如在網(wǎng)絡(luò)層中分別采用IP、ARP、X.25等不同協(xié)議,所產(chǎn)生的安全問題就不同。此外,在安全管理方面還存在較大隱患,容易受到黑客攻擊。
2.防病毒問題。網(wǎng)絡(luò)的出現(xiàn)為計(jì)算機(jī)病毒的傳播提供了更快、更好的媒介,很多新型病毒直接以網(wǎng)絡(luò)為載體進(jìn)行傳播,在公共資源交易電子化平臺(tái)上怎樣有效地防范病毒已迫在眉睫。例如,編制好投標(biāo)文件后通過互聯(lián)網(wǎng)上傳到服務(wù)器等待開標(biāo)這一投標(biāo)環(huán)節(jié)就容易傳播病毒。
3.服務(wù)器安全問題。裝有大量與公共資源交易電子化有關(guān)的控件、插件等軟件和用戶信息的系統(tǒng)服務(wù)器是公共資源交易信息化的靈魂,因此,服務(wù)器特別容易受到安全威脅,一旦出現(xiàn)安全問題,會(huì)造成嚴(yán)重后果。即使介入安全狗等系數(shù)高的安全產(chǎn)品,也很難保證傳送的數(shù)據(jù)不被攻擊者窺視和篡改,以及阻止非法用戶對(duì)交易數(shù)據(jù)庫或網(wǎng)絡(luò)資源的有害訪問。
(二)電子化推廣應(yīng)用方面
1.身份的不確定問題。由于公共資源交易電子化的實(shí)現(xiàn)需要基于網(wǎng)絡(luò)架構(gòu)的信息化平臺(tái),在平臺(tái)上招標(biāo)、投標(biāo)、評(píng)標(biāo)三方是不允許見面的,因此帶來了三方身份的隨機(jī)性和不確定性。
2.信息的抵賴問題。公共資源交易電子化應(yīng)用同傳統(tǒng)時(shí)期使用紙質(zhì)招投標(biāo)一樣具有不可抵賴性。部分評(píng)委和代理機(jī)構(gòu)在本地招投標(biāo)或遠(yuǎn)程異地招投標(biāo)中會(huì)對(duì)自己確認(rèn)的信息進(jìn)行惡意否認(rèn),要求解鎖,然后逃避責(zé)任。
3.流轉(zhuǎn)信息的修改問題。紙質(zhì)招投標(biāo)信息是不可修改的,否則必然會(huì)影響到交易各方的文件執(zhí)行。公共資源交易電子化中流轉(zhuǎn)的招投標(biāo)信息同樣不能修改,以保證招投標(biāo)文件的嚴(yán)肅性和公平、公正、公開。
二、公共資源交易電子化中的網(wǎng)絡(luò)信息安全對(duì)策
由于網(wǎng)絡(luò)的開放性、通信協(xié)議的安全缺陷、在網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)信息存儲(chǔ)和對(duì)其訪問與處理的分布性特點(diǎn),在公共資源電子交易平臺(tái)上傳輸?shù)臄?shù)據(jù)信息容易被泄露和被破壞,網(wǎng)絡(luò)信息受到的安全攻擊極為嚴(yán)重,因此采取有用的對(duì)策勢(shì)在必行。
(一)技術(shù)對(duì)策
1.應(yīng)用數(shù)字證書。數(shù)字證書是用來保證信息傳輸過程中信息的完整性和提供信息發(fā)送者身份的認(rèn)證,應(yīng)用數(shù)字證書可在電子交易中安全方便地實(shí)現(xiàn)身份確認(rèn)。數(shù)據(jù)傳輸?shù)陌踩?、完整性、身份?yàn)證機(jī)制以及信息交換的不可抵賴性等均可通過CA解決。
2.創(chuàng)建和管理用戶賬戶。用戶賬戶是含有特定用戶信息的記錄,如用戶名、密碼以及任何登錄限制,它是用戶唯一的身份標(biāo)識(shí)。用戶賬戶使得只有受管理的用戶才能登錄到指定服務(wù)器訪問資源,或是登錄到特定域訪問電子交易網(wǎng)絡(luò),即通過用戶名和密碼增加一道安全防盜門。
3.配置防火墻。防火墻是兩個(gè)不同網(wǎng)絡(luò)實(shí)現(xiàn)互訪的控制設(shè)備,主要實(shí)現(xiàn)對(duì)訪問的允許、拒絕、監(jiān)測(cè),通過過濾不安全的服務(wù),阻止非法用戶來訪問你的網(wǎng)絡(luò),阻止他們嵌入、復(fù)制、刪除你的數(shù)據(jù),控制網(wǎng)絡(luò)內(nèi)外的信息交流,提供接入控制和審查跟蹤,是一種訪問控制機(jī)制,能夠有效地監(jiān)控電子政務(wù)外網(wǎng)和互聯(lián)網(wǎng)之間的任何活動(dòng),保護(hù)電子化交易網(wǎng)絡(luò)相對(duì)安全。
4.使用安全審計(jì)產(chǎn)品。安全審計(jì)產(chǎn)品是對(duì)網(wǎng)絡(luò)和指定系統(tǒng)使用狀態(tài)進(jìn)行跟蹤記錄及綜合梳理的工具,能夠?qū)操Y源電子交易網(wǎng)絡(luò)進(jìn)行動(dòng)態(tài)實(shí)時(shí)監(jiān)控,可通過尋找入侵和違規(guī)行為,記錄平臺(tái)上發(fā)生的點(diǎn)點(diǎn)滴滴,為用戶提供取證手段。不但能夠監(jiān)視和控制來自外部的入侵,還能夠監(jiān)視來自內(nèi)部的違規(guī)操作和破壞行為。
(二)管理對(duì)策
1.網(wǎng)絡(luò)病毒防范制度。病毒在網(wǎng)絡(luò)環(huán)境下具有很大的傳染性和危害性,除了安裝殺毒軟件之外,還要及時(shí)升級(jí)殺毒軟件版本并不斷更新特征庫、及時(shí)通報(bào)病毒入侵信息、定期不定期查殺病毒等,從而達(dá)防范目的。
2.系統(tǒng)運(yùn)行維護(hù)制度。此制度是公共資源電子交易系統(tǒng)能否保持長期安全、穩(wěn)定運(yùn)行的基本保證,應(yīng)由簽有保密責(zé)任書的專職人員負(fù)責(zé),其他任何人不得接觸。主要是做好軟件和硬件兩方面的系統(tǒng)運(yùn)行維護(hù)工作,軟件部分由系統(tǒng)開發(fā)商負(fù)責(zé),硬件部分由公共資源交易中心信息技術(shù)部門和硬件供應(yīng)商共同負(fù)責(zé)。
3.容災(zāi)備份保障制度。作為一個(gè)成熟的公共資源電子交易系統(tǒng),針對(duì)數(shù)據(jù)安全應(yīng)至少提供兩方面的安全保護(hù)措施:一是數(shù)據(jù)在系統(tǒng)內(nèi)部實(shí)現(xiàn)鏡像;二是對(duì)文件服務(wù)器上的重要數(shù)據(jù)做到在系統(tǒng)流轉(zhuǎn)中的自動(dòng)備份。通過這兩項(xiàng)保護(hù)措施為信息安全提供雙保險(xiǎn),建立數(shù)據(jù)容災(zāi)備份和恢復(fù)的保障機(jī)制。
4.保密制度。涉及信息保密、口令或密碼保密、網(wǎng)絡(luò)地址保密、日常管理和系統(tǒng)運(yùn)行狀況保密、工作日志保密等各個(gè)方面,對(duì)各類保密信息都需要慎重考慮,根據(jù)輕重程度劃分好不同的保密級(jí)別,并制定出相應(yīng)的公共資源交易電子化保密措施。
三、公共資源交易電子化中的信息安全保障體系
保障網(wǎng)絡(luò)信息安全必須建立健全有效的安全防范體制,明確網(wǎng)絡(luò)安全的框架體系、信息系統(tǒng)的設(shè)計(jì)原則和安全防范的層次結(jié)構(gòu),分析每個(gè)不安全環(huán)節(jié),找到安全漏洞。從信息化建設(shè)角度考慮,公共資源交易電子化的信息安全保障體系主要包含以下七個(gè)方面。
一是信息安全管理責(zé)任制。信息安全管理包括確定信息安全的目標(biāo)、戰(zhàn)略,確定和分析安全威脅與風(fēng)險(xiǎn),明確信息安全需求,制定科學(xué)的信息安全策略,選擇適當(dāng)?shù)陌踩珯C(jī)制,檢測(cè)各種安全事件并進(jìn)行處置。按照誰主管誰負(fù)責(zé)、誰使用誰負(fù)責(zé)、誰運(yùn)營誰負(fù)責(zé)的要求落實(shí)信息安全管理責(zé)任制,以制度為根本,簽訂網(wǎng)絡(luò)與信息安全責(zé)任書。
二是信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估。信息系統(tǒng)安全威脅和風(fēng)險(xiǎn)總是存在的,關(guān)鍵是要及時(shí)發(fā)現(xiàn)各種安全隱患和漏洞,并及時(shí)采取措施加以防范。
三是信息安全等級(jí)保護(hù)。公共資源交易電子化需要從信息安全實(shí)際出發(fā),建立相應(yīng)的安全保護(hù)策略、計(jì)劃和措施進(jìn)行等級(jí)保護(hù)。
四是信息安全監(jiān)控系統(tǒng)。信息安全監(jiān)控是及時(shí)發(fā)現(xiàn)和處置網(wǎng)絡(luò)攻擊、病毒傳播,對(duì)網(wǎng)絡(luò)和信息系統(tǒng)實(shí)施保護(hù)的重要措施。建設(shè)信息安全監(jiān)控系統(tǒng),在公共資源交易電子化中可提高網(wǎng)絡(luò)攻擊、病毒傳播、網(wǎng)絡(luò)失竊(密)的防范能力。
五是網(wǎng)絡(luò)信任體系。信息安全保障的目的是解決電子化交易網(wǎng)絡(luò)空間中信息、各種行為主體身份的真實(shí)性與可信性問題,建立網(wǎng)絡(luò)信任體系是為了維護(hù)網(wǎng)絡(luò)空間有序運(yùn)轉(zhuǎn)。
六是雙設(shè)備冗余策略體系。因各種硬件都是有源設(shè)備,會(huì)發(fā)生損壞,這會(huì)使系統(tǒng)宕機(jī),無法提供網(wǎng)絡(luò)信息服務(wù)。為解決此類問題,對(duì)于公共資源電子交易的網(wǎng)絡(luò)信息服務(wù),需采取雙冗余策略。對(duì)網(wǎng)絡(luò)核心交換機(jī)、匯聚交換機(jī)、網(wǎng)絡(luò)服務(wù)器、重要鏈路等關(guān)鍵設(shè)備采取雙機(jī)、雙鏈路策略,主設(shè)備出問題時(shí),由輔助設(shè)備接替工作,保證電子交易平臺(tái)不中斷服務(wù)。
七是應(yīng)急處置體系。通過應(yīng)急預(yù)案,及時(shí)發(fā)現(xiàn)、快速響應(yīng)進(jìn)行保障。
在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和信息技術(shù)快速發(fā)展的中國特色社會(huì)主義新時(shí)代,公共資源交易電子服務(wù)系統(tǒng)平臺(tái)的安全運(yùn)行,僅僅從技術(shù)層面防范是遠(yuǎn)遠(yuǎn)不夠的,還需建立規(guī)范公共資源交易電子化的應(yīng)用管理體系和成熟的使用環(huán)境。隨著時(shí)間的推移,相信電子化給公共資源交易所帶來的利必然大大超過它所產(chǎn)生的弊。
作者:王佩洪
作者單位:紅河哈尼族彝族自治州公共資源交易中心
來源:《招標(biāo)采購管理》