當前位置:首頁 > 新聞資訊 > 行業論壇> 正文

                公共資源交易電子化中的網絡信息安全問題及對策

                瀏覽量:2732  發布時間:2019/2/26 10:49:00

                隨著信息技術的蓬勃發展和廣泛應用,基于網絡和多媒體技術的公共資源交易電子化平臺應運而生并迅速發展。但在2017年,勒索病毒的全球大爆發影響到眾多行業,造成嚴重危害,Facebook信息泄露事件,網絡數據被盜用,都說明無論是政治層面,還是經濟金融文化層面,“戰爭、斗爭、競爭”的主戰場已轉移到網絡上,這給我國當前正在深入推進的公共資源電子交易信息安全敲響了警鐘。在日趨復雜的網絡環境和頻繁的公共資源電子交易中如何保障信息安全值得探究。

                一、公共資源電子交易網絡信息安全存在的問題

                公共資源交易的發展趨勢是電子化,即100%的交易業務都在電子環境下實現,其信息的完整性、可用性、保密性、穩定性和可靠性都需要依賴于電子和網絡安全,主要體現在以下兩個方面。

                (一)網絡信息安全方面

                1.安全協議問題。安全協議當前還沒有全球統一的標準和規范,相對制約了公共資源交易電子化的應用推廣。比如在網絡層中分別采用IP、ARP、X.25等不同協議,所產生的安全問題就不同。此外,在安全管理方面還存在較大隱患,容易受到黑客攻擊。

                2.防病毒問題。網絡的出現為計算機病毒的傳播提供了更快、更好的媒介,很多新型病毒直接以網絡為載體進行傳播,在公共資源交易電子化平臺上怎樣有效地防范病毒已迫在眉睫。例如,編制好投標文件后通過互聯網上傳到服務器等待開標這一投標環節就容易傳播病毒。

                3.服務器安全問題。裝有大量與公共資源交易電子化有關的控件、插件等軟件和用戶信息的系統服務器是公共資源交易信息化的靈魂,因此,服務器特別容易受到安全威脅,一旦出現安全問題,會造成嚴重后果。即使介入安全狗等系數高的安全產品,也很難保證傳送的數據不被攻擊者窺視和篡改,以及阻止非法用戶對交易數據庫或網絡資源的有害訪問。

                (二)電子化推廣應用方面

                1.身份的不確定問題。由于公共資源交易電子化的實現需要基于網絡架構的信息化平臺,在平臺上招標、投標、評標三方是不允許見面的,因此帶來了三方身份的隨機性和不確定性。

                2.信息的抵賴問題。公共資源交易電子化應用同傳統時期使用紙質招投標一樣具有不可抵賴性。部分評委和代理機構在本地招投標或遠程異地招投標中會對自己確認的信息進行惡意否認,要求解鎖,然后逃避責任。

                3.流轉信息的修改問題。紙質招投標信息是不可修改的,否則必然會影響到交易各方的文件執行。公共資源交易電子化中流轉的招投標信息同樣不能修改,以保證招投標文件的嚴肅性和公平、公正、公開。

                二、公共資源交易電子化中的網絡信息安全對策

                由于網絡的開放性、通信協議的安全缺陷、在網絡環境中數據信息存儲和對其訪問與處理的分布性特點,在公共資源電子交易平臺上傳輸的數據信息容易被泄露和被破壞,網絡信息受到的安全攻擊極為嚴重,因此采取有用的對策勢在必行。

                (一)技術對策

                1.應用數字證書。數字證書是用來保證信息傳輸過程中信息的完整性和提供信息發送者身份的認證,應用數字證書可在電子交易中安全方便地實現身份確認。數據傳輸的安全性、完整性、身份驗證機制以及信息交換的不可抵賴性等均可通過CA解決。

                2.創建和管理用戶賬戶。用戶賬戶是含有特定用戶信息的記錄,如用戶名、密碼以及任何登錄限制,它是用戶唯一的身份標識。用戶賬戶使得只有受管理的用戶才能登錄到指定服務器訪問資源,或是登錄到特定域訪問電子交易網絡,即通過用戶名和密碼增加一道安全防盜門。

                3.配置防火墻。防火墻是兩個不同網絡實現互訪的控制設備,主要實現對訪問的允許、拒絕、監測,通過過濾不安全的服務,阻止非法用戶來訪問你的網絡,阻止他們嵌入、復制、刪除你的數據,控制網絡內外的信息交流,提供接入控制和審查跟蹤,是一種訪問控制機制,能夠有效地監控電子政務外網和互聯網之間的任何活動,保護電子化交易網絡相對安全。

                4.使用安全審計產品。安全審計產品是對網絡和指定系統使用狀態進行跟蹤記錄及綜合梳理的工具,能夠對公共資源電子交易網絡進行動態實時監控,可通過尋找入侵和違規行為,記錄平臺上發生的點點滴滴,為用戶提供取證手段。不但能夠監視和控制來自外部的入侵,還能夠監視來自內部的違規操作和破壞行為。

                (二)管理對策

                1.網絡病毒防范制度。病毒在網絡環境下具有很大的傳染性和危害性,除了安裝殺毒軟件之外,還要及時升級殺毒軟件版本并不斷更新特征庫、及時通報病毒入侵信息、定期不定期查殺病毒等,從而達防范目的。

                2.系統運行維護制度。此制度是公共資源電子交易系統能否保持長期安全、穩定運行的基本保證,應由簽有保密責任書的專職人員負責,其他任何人不得接觸。主要是做好軟件和硬件兩方面的系統運行維護工作,軟件部分由系統開發商負責,硬件部分由公共資源交易中心信息技術部門和硬件供應商共同負責。

                3.容災備份保障制度。作為一個成熟的公共資源電子交易系統,針對數據安全應至少提供兩方面的安全保護措施:一是數據在系統內部實現鏡像;二是對文件服務器上的重要數據做到在系統流轉中的自動備份。通過這兩項保護措施為信息安全提供雙保險,建立數據容災備份和恢復的保障機制。

                4.保密制度。涉及信息保密、口令或密碼保密、網絡地址保密、日常管理和系統運行狀況保密、工作日志保密等各個方面,對各類保密信息都需要慎重考慮,根據輕重程度劃分好不同的保密級別,并制定出相應的公共資源交易電子化保密措施。

                三、公共資源交易電子化中的信息安全保障體系

                保障網絡信息安全必須建立健全有效的安全防范體制,明確網絡安全的框架體系、信息系統的設計原則和安全防范的層次結構,分析每個不安全環節,找到安全漏洞。從信息化建設角度考慮,公共資源交易電子化的信息安全保障體系主要包含以下七個方面。

                一是信息安全管理責任制。信息安全管理包括確定信息安全的目標、戰略,確定和分析安全威脅與風險,明確信息安全需求,制定科學的信息安全策略,選擇適當的安全機制,檢測各種安全事件并進行處置。按照誰主管誰負責、誰使用誰負責、誰運營誰負責的要求落實信息安全管理責任制,以制度為根本,簽訂網絡與信息安全責任書。

                二是信息系統安全風險評估。信息系統安全威脅和風險總是存在的,關鍵是要及時發現各種安全隱患和漏洞,并及時采取措施加以防范。

                三是信息安全等級保護。公共資源交易電子化需要從信息安全實際出發,建立相應的安全保護策略、計劃和措施進行等級保護。

                四是信息安全監控系統。信息安全監控是及時發現和處置網絡攻擊、病毒傳播,對網絡和信息系統實施保護的重要措施。建設信息安全監控系統,在公共資源交易電子化中可提高網絡攻擊、病毒傳播、網絡失竊(密)的防范能力。

                五是網絡信任體系。信息安全保障的目的是解決電子化交易網絡空間中信息、各種行為主體身份的真實性與可信性問題,建立網絡信任體系是為了維護網絡空間有序運轉。

                六是雙設備冗余策略體系。因各種硬件都是有源設備,會發生損壞,這會使系統宕機,無法提供網絡信息服務。為解決此類問題,對于公共資源電子交易的網絡信息服務,需采取雙冗余策略。對網絡核心交換機、匯聚交換機、網絡服務器、重要鏈路等關鍵設備采取雙機、雙鏈路策略,主設備出問題時,由輔助設備接替工作,保證電子交易平臺不中斷服務。

                七是應急處置體系。通過應急預案,及時發現、快速響應進行保障。

                在計算機網絡技術和信息技術快速發展的中國特色社會主義新時代,公共資源交易電子服務系統平臺的安全運行,僅僅從技術層面防范是遠遠不夠的,還需建立規范公共資源交易電子化的應用管理體系和成熟的使用環境。隨著時間的推移,相信電子化給公共資源交易所帶來的利必然大大超過它所產生的弊。

                作者:王佩洪

                作者單位:紅河哈尼族彝族自治州公共資源交易中心

                來源:《招標采購管理》  

                 

                一集黄色片