首頁行業(yè)動態(tài) 電子招標(biāo)投標(biāo)系統(tǒng)安全風(fēng)險分析及應(yīng)對措施

電子招標(biāo)投標(biāo)系統(tǒng)安全風(fēng)險分析及應(yīng)對措施

2018年04月13日11:21 

編者按:電子招標(biāo)投標(biāo)系統(tǒng)作為電子政務(wù)的重要組成部分,需要確保電子招標(biāo)投標(biāo)過程的安全性,而系統(tǒng)內(nèi)的招標(biāo)投標(biāo)主體的數(shù)據(jù)信息和招標(biāo)投標(biāo)過程中產(chǎn)生的重要數(shù)據(jù)信息容易成為互聯(lián)網(wǎng)的非法攻擊目標(biāo),文章提出,應(yīng)從信息技術(shù)和管理制度兩個方向入手,建立一個完整的安全防御體系。通過必要的安全架構(gòu)、技術(shù)和安全管理制度,做到事前防范和事后的風(fēng)險控制。

隨著《網(wǎng)絡(luò)安全法》的正式頒布和實施,網(wǎng)絡(luò)安全問題已經(jīng)上升到國家層面。電子招標(biāo)投標(biāo)系統(tǒng)作為電子政務(wù)的重要組成部分,需要確保電子招標(biāo)投標(biāo)過程的安全性,而系統(tǒng)內(nèi)的招標(biāo)投標(biāo)主體的數(shù)據(jù)信息和招標(biāo)投標(biāo)過程中產(chǎn)生的重要數(shù)據(jù)信息容易成為互聯(lián)網(wǎng)的非法攻擊目標(biāo),如何將安全防護工作落到實處,在當(dāng)前形勢下尤為迫切。

中國招標(biāo)公共服務(wù)平臺已經(jīng)與200多家電子招標(biāo)投標(biāo)交易平臺實施了數(shù)據(jù)對接,在與交易平臺溝通業(yè)務(wù)的過程中,很多交易平臺表達了在安全建設(shè)過程中的困惑,部分交易平臺的安全防護建設(shè)現(xiàn)狀令人擔(dān)憂。為此,平臺公司組織了安全專家就電子招標(biāo)投標(biāo)平臺的安全問題進行了專項研究,本文將結(jié)合電子招標(biāo)投標(biāo)全流程和大家分享這方面的經(jīng)驗。

電子招標(biāo)投標(biāo)全流程的主要節(jié)點分為招標(biāo)、投標(biāo)、開標(biāo)、評標(biāo)、定標(biāo)五個主要階段,其中招標(biāo)公告信息中招標(biāo)內(nèi)容和資格條件的確認(rèn)、確保投標(biāo)單位信息的保密、評標(biāo)專家的抽取和名單的保密、投標(biāo)文件內(nèi)容的防竊取與防篡改、開標(biāo)環(huán)節(jié)的防解密失敗、評標(biāo)過程中的防泄密和評標(biāo)結(jié)果防篡改是電子招標(biāo)投標(biāo)工作中的重點安全問題,總結(jié)五大環(huán)節(jié)中需要解決的風(fēng)險點,主要可以歸為六類問題,即:電子招標(biāo)投標(biāo)用戶的身份確認(rèn)問題、投標(biāo)報名階段投標(biāo)人的名單泄露風(fēng)險、專家抽取環(huán)節(jié)專家名單的泄露風(fēng)險、投標(biāo)文件的防竊取和防篡改問題、開標(biāo)環(huán)節(jié)的防解密失敗風(fēng)險以及評委評標(biāo)過程的防泄密和評標(biāo)結(jié)果的防篡改問題。

針對以上需要解決的風(fēng)險和問題,我們需要從信息技術(shù)和管理制度兩個方向入手,建立一個完整的安全防御體系。通過必要的安全架構(gòu)、技術(shù)和安全管理制度,做到事前防范和事后的風(fēng)險控制。

一、信息技術(shù)安全

(一)信息操作者(主體)的身份合法性

1.身份標(biāo)識與鑒別

在《電子招標(biāo)投標(biāo)系統(tǒng)技術(shù)規(guī)范》中要求應(yīng)對招標(biāo)人、招標(biāo)代理機構(gòu)、投標(biāo)人、評標(biāo)專家等登錄用戶進行身份標(biāo)識與鑒別,并提供身份標(biāo)識唯一性檢查功能。應(yīng)采用以下措施,確保用戶身份不易被冒用:

(1)提供鑒別信息復(fù)雜度檢查功能。比如系統(tǒng)登錄用戶的密碼復(fù)雜度檢測,要有密碼強度提示。

(2)對身份標(biāo)識與鑒別異常提供保護措施。比如在系統(tǒng)登錄失敗多次后,應(yīng)自動鎖定賬戶,再通過其他認(rèn)證手段進行解鎖。

網(wǎng)友熱評