隨著信息技術(shù)的蓬勃發(fā)展和廣泛應(yīng)用,基于網(wǎng)絡(luò)和多媒體技術(shù)的公共資源交易電子化平臺應(yīng)運(yùn)而生并迅速發(fā)展�����。但在2017年�,勒索病毒的全球大爆發(fā)影響到眾多行業(yè),造成嚴(yán)重危害��,F(xiàn)acebook信息泄露事件��,網(wǎng)絡(luò)數(shù)據(jù)被盜用����,都說明無論是政治層面���,還是經(jīng)濟(jì)金融文化層面,“戰(zhàn)爭��、斗爭����、競爭”的主戰(zhàn)場已轉(zhuǎn)移到網(wǎng)絡(luò)上��,這給我國當(dāng)前正在深入推進(jìn)的公共資源電子交易信息安全敲響了警鐘�。在日趨復(fù)雜的網(wǎng)絡(luò)環(huán)境和頻繁的公共資源電子交易中如何保障信息安全值得探究。
一���、公共資源電子交易網(wǎng)絡(luò)信息安全存在的問題
公共資源交易的發(fā)展趨勢是電子化���,即100%的交易業(yè)務(wù)都在電子環(huán)境下實(shí)現(xiàn),其信息的完整性���、可用性�����、保密性�����、穩(wěn)定性和可靠性都需要依賴于電子和網(wǎng)絡(luò)安全���,主要體現(xiàn)在以下兩個(gè)方面�。
(一)網(wǎng)絡(luò)信息安全方面
1.安全協(xié)議問題�����。安全協(xié)議當(dāng)前還沒有全球統(tǒng)一的標(biāo)準(zhǔn)和規(guī)范���,相對制約了公共資源交易電子化的應(yīng)用推廣���。比如在網(wǎng)絡(luò)層中分別采用IP、ARP�����、X.25等不同協(xié)議��,所產(chǎn)生的安全問題就不同��。此外���,在安全管理方面還存在較大隱患���,容易受到黑客攻擊�����。
2.防病毒問題��。網(wǎng)絡(luò)的出現(xiàn)為計(jì)算機(jī)病毒的傳播提供了更快���、更好的媒介�����,很多新型病毒直接以網(wǎng)絡(luò)為載體進(jìn)行傳播�����,在公共資源交易電子化平臺上怎樣有效地防范病毒已迫在眉睫�����。例如����,編制好投標(biāo)文件后通過互聯(lián)網(wǎng)上傳到服務(wù)器等待開標(biāo)這一投標(biāo)環(huán)節(jié)就容易傳播病毒�����。
3.服務(wù)器安全問題�。裝有大量與公共資源交易電子化有關(guān)的控件��、插件等軟件和用戶信息的系統(tǒng)服務(wù)器是公共資源交易信息化的靈魂�����,因此�,服務(wù)器特別容易受到安全威脅,一旦出現(xiàn)安全問題�,會造成嚴(yán)重后果。即使介入安全狗等系數(shù)高的安全產(chǎn)品�����,也很難保證傳送的數(shù)據(jù)不被攻擊者窺視和篡改�����,以及阻止非法用戶對交易數(shù)據(jù)庫或網(wǎng)絡(luò)資源的有害訪問�。
(二)電子化推廣應(yīng)用方面
1.身份的不確定問題�����。由于公共資源交易電子化的實(shí)現(xiàn)需要基于網(wǎng)絡(luò)架構(gòu)的信息化平臺�����,在平臺上招標(biāo)��、投標(biāo)�����、評標(biāo)三方是不允許見面的�����,因此帶來了三方身份的隨機(jī)性和不確定性。
2.信息的抵賴問題����。公共資源交易電子化應(yīng)用同傳統(tǒng)時(shí)期使用紙質(zhì)招投標(biāo)一樣具有不可抵賴性。部分評委和代理機(jī)構(gòu)在本地招投標(biāo)或遠(yuǎn)程異地招投標(biāo)中會對自己確認(rèn)的信息進(jìn)行惡意否認(rèn)�����,要求解鎖,然后逃避責(zé)任���。
3.流轉(zhuǎn)信息的修改問題����。紙質(zhì)招投標(biāo)信息是不可修改的�,否則必然會影響到交易各方的文件執(zhí)行。公共資源交易電子化中流轉(zhuǎn)的招投標(biāo)信息同樣不能修改���,以保證招投標(biāo)文件的嚴(yán)肅性和公平�、公正����、公開。
二�����、公共資源交易電子化中的網(wǎng)絡(luò)信息安全對策
由于網(wǎng)絡(luò)的開放性���、通信協(xié)議的安全缺陷���、在網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)信息存儲和對其訪問與處理的分布性特點(diǎn)�����,在公共資源電子交易平臺上傳輸?shù)臄?shù)據(jù)信息容易被泄露和被破壞�����,網(wǎng)絡(luò)信息受到的安全攻擊極為嚴(yán)重����,因此采取有用的對策勢在必行�����。
(一)技術(shù)對策
1.應(yīng)用數(shù)字證書�。數(shù)字證書是用來保證信息傳輸過程中信息的完整性和提供信息發(fā)送者身份的認(rèn)證,應(yīng)用數(shù)字證書可在電子交易中安全方便地實(shí)現(xiàn)身份確認(rèn)���。數(shù)據(jù)傳輸?shù)陌踩浴⑼暾?��、身份?yàn)證機(jī)制以及信息交換的不可抵賴性等均可通過CA解決�。
2.創(chuàng)建和管理用戶賬戶。用戶賬戶是含有特定用戶信息的記錄�����,如用戶名��、密碼以及任何登錄限制���,它是用戶唯一的身份標(biāo)識�。用戶賬戶使得只有受管理的用戶才能登錄到指定服務(wù)器訪問資源�����,或是登錄到特定域訪問電子交易網(wǎng)絡(luò)�,即通過用戶名和密碼增加一道安全防盜門。
3.配置防火墻��。防火墻是兩個(gè)不同網(wǎng)絡(luò)實(shí)現(xiàn)互訪的控制設(shè)備���,主要實(shí)現(xiàn)對訪問的允許���、拒絕、監(jiān)測����,通過過濾不安全的服務(wù)��,阻止非法用戶來訪問你的網(wǎng)絡(luò)��,阻止他們嵌入��、復(fù)制�、刪除你的數(shù)據(jù)�,控制網(wǎng)絡(luò)內(nèi)外的信息交流,提供接入控制和審查跟蹤���,是一種訪問控制機(jī)制�,能夠有效地監(jiān)控電子政務(wù)外網(wǎng)和互聯(lián)網(wǎng)之間的任何活動����,保護(hù)電子化交易網(wǎng)絡(luò)相對安全。
4.使用安全審計(jì)產(chǎn)品����。安全審計(jì)產(chǎn)品是對網(wǎng)絡(luò)和指定系統(tǒng)使用狀態(tài)進(jìn)行跟蹤記錄及綜合梳理的工具,能夠?qū)操Y源電子交易網(wǎng)絡(luò)進(jìn)行動態(tài)實(shí)時(shí)監(jiān)控��,可通過尋找入侵和違規(guī)行為��,記錄平臺上發(fā)生的點(diǎn)點(diǎn)滴滴�,為用戶提供取證手段。不但能夠監(jiān)視和控制來自外部的入侵�,還能夠監(jiān)視來自內(nèi)部的違規(guī)操作和破壞行為。
(二)管理對策
1.網(wǎng)絡(luò)病毒防范制度�。病毒在網(wǎng)絡(luò)環(huán)境下具有很大的傳染性和危害性,除了安裝殺毒軟件之外�,還要及時(shí)升級殺毒軟件版本并不斷更新特征庫、及時(shí)通報(bào)病毒入侵信息���、定期不定期查殺病毒等�����,從而達(dá)防范目的���。
2.系統(tǒng)運(yùn)行維護(hù)制度。此制度是公共資源電子交易系統(tǒng)能否保持長期安全�����、穩(wěn)定運(yùn)行的基本保證����,應(yīng)由簽有保密責(zé)任書的專職人員負(fù)責(zé)����,其他任何人不得接觸�����。主要是做好軟件和硬件兩方面的系統(tǒng)運(yùn)行維護(hù)工作�,軟件部分由系統(tǒng)開發(fā)商負(fù)責(zé),硬件部分由公共資源交易中心信息技術(shù)部門和硬件供應(yīng)商共同負(fù)責(zé)��。
3.容災(zāi)備份保障制度�����。作為一個(gè)成熟的公共資源電子交易系統(tǒng)�,針對數(shù)據(jù)安全應(yīng)至少提供兩方面的安全保護(hù)措施:一是數(shù)據(jù)在系統(tǒng)內(nèi)部實(shí)現(xiàn)鏡像;二是對文件服務(wù)器上的重要數(shù)據(jù)做到在系統(tǒng)流轉(zhuǎn)中的自動備份�����。通過這兩項(xiàng)保護(hù)措施為信息安全提供雙保險(xiǎn)��,建立數(shù)據(jù)容災(zāi)備份和恢復(fù)的保障機(jī)制�����。
4.保密制度。涉及信息保密�、口令或密碼保密、網(wǎng)絡(luò)地址保密�、日常管理和系統(tǒng)運(yùn)行狀況保密�、工作日志保密等各個(gè)方面,對各類保密信息都需要慎重考慮�,根據(jù)輕重程度劃分好不同的保密級別,并制定出相應(yīng)的公共資源交易電子化保密措施����。
三、公共資源交易電子化中的信息安全保障體系
保障網(wǎng)絡(luò)信息安全必須建立健全有效的安全防范體制����,明確網(wǎng)絡(luò)安全的框架體系、信息系統(tǒng)的設(shè)計(jì)原則和安全防范的層次結(jié)構(gòu)���,分析每個(gè)不安全環(huán)節(jié)���,找到安全漏洞。從信息化建設(shè)角度考慮�����,公共資源交易電子化的信息安全保障體系主要包含以下七個(gè)方面。
一是信息安全管理責(zé)任制���。信息安全管理包括確定信息安全的目標(biāo)�、戰(zhàn)略��,確定和分析安全威脅與風(fēng)險(xiǎn)���,明確信息安全需求�,制定科學(xué)的信息安全策略��,選擇適當(dāng)?shù)陌踩珯C(jī)制�����,檢測各種安全事件并進(jìn)行處置�����。按照誰主管誰負(fù)責(zé)��、誰使用誰負(fù)責(zé)�、誰運(yùn)營誰負(fù)責(zé)的要求落實(shí)信息安全管理責(zé)任制,以制度為根本����,簽訂網(wǎng)絡(luò)與信息安全責(zé)任書���。
二是信息系統(tǒng)安全風(fēng)險(xiǎn)評估。信息系統(tǒng)安全威脅和風(fēng)險(xiǎn)總是存在的�,關(guān)鍵是要及時(shí)發(fā)現(xiàn)各種安全隱患和漏洞,并及時(shí)采取措施加以防范��。
三是信息安全等級保護(hù)����。公共資源交易電子化需要從信息安全實(shí)際出發(fā)�����,建立相應(yīng)的安全保護(hù)策略��、計(jì)劃和措施進(jìn)行等級保護(hù)�。
四是信息安全監(jiān)控系統(tǒng)。信息安全監(jiān)控是及時(shí)發(fā)現(xiàn)和處置網(wǎng)絡(luò)攻擊��、病毒傳播�,對網(wǎng)絡(luò)和信息系統(tǒng)實(shí)施保護(hù)的重要措施。建設(shè)信息安全監(jiān)控系統(tǒng)�,在公共資源交易電子化中可提高網(wǎng)絡(luò)攻擊�����、病毒傳播��、網(wǎng)絡(luò)失竊(密)的防范能力�。
五是網(wǎng)絡(luò)信任體系����。信息安全保障的目的是解決電子化交易網(wǎng)絡(luò)空間中信息、各種行為主體身份的真實(shí)性與可信性問題�����,建立網(wǎng)絡(luò)信任體系是為了維護(hù)網(wǎng)絡(luò)空間有序運(yùn)轉(zhuǎn)��。
六是雙設(shè)備冗余策略體系����。因各種硬件都是有源設(shè)備,會發(fā)生損壞����,這會使系統(tǒng)宕機(jī),無法提供網(wǎng)絡(luò)信息服務(wù)。為解決此類問題�����,對于公共資源電子交易的網(wǎng)絡(luò)信息服務(wù)��,需采取雙冗余策略�。對網(wǎng)絡(luò)核心交換機(jī)、匯聚交換機(jī)��、網(wǎng)絡(luò)服務(wù)器�、重要鏈路等關(guān)鍵設(shè)備采取雙機(jī)、雙鏈路策略���,主設(shè)備出問題時(shí),由輔助設(shè)備接替工作����,保證電子交易平臺不中斷服務(wù)。
七是應(yīng)急處置體系����。通過應(yīng)急預(yù)案,及時(shí)發(fā)現(xiàn)�����、快速響應(yīng)進(jìn)行保障。
在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和信息技術(shù)快速發(fā)展的中國特色社會主義新時(shí)代�����,公共資源交易電子服務(wù)系統(tǒng)平臺的安全運(yùn)行��,僅僅從技術(shù)層面防范是遠(yuǎn)遠(yuǎn)不夠的����,還需建立規(guī)范公共資源交易電子化的應(yīng)用管理體系和成熟的使用環(huán)境。隨著時(shí)間的推移���,相信電子化給公共資源交易所帶來的利必然大大超過它所產(chǎn)生的弊��。
作者:王佩洪
作者單位:紅河哈尼族彝族自治州公共資源交易中心
來源:《招標(biāo)采購管理》
