電子招標投標安全漏洞 必看的八條信息技術(shù)建議

				
發(fā)布時(shí)間:2017-09-25 14:54:32     訪(fǎng)問(wèn)次數:

			

        
		
		
   隨著(zhù)《網(wǎng)絡(luò )安全法》頒布和實(shí)施,網(wǎng)絡(luò )安全問(wèn)題已經(jīng)上升到國家層面。國家將堅持網(wǎng)絡(luò )安全與信息化發(fā)展并重,推進(jìn)網(wǎng)絡(luò )基礎設施建設和互聯(lián)互通,建立健全網(wǎng)絡(luò )安全保障體系,提高網(wǎng)絡(luò )安全保護能力?! ?/span>


  電子招標投標系統是電子政務(wù)的重要組成部分,電子招標投標系統中招標投標主體數據和招標投標過(guò)程數據容易成為互聯(lián)網(wǎng)非法攻擊目標。如何落實(shí)和提升電子招標投標安全防護工作,在當前“互聯(lián)網(wǎng)+”招標采購迅猛發(fā)展的形勢下尤為迫切?! ?/div>

  電子招標投標活動(dòng)分為招標、投標、開(kāi)標、評標、定標五個(gè)主要階段,其中電子招標投標用戶(hù)的身份確認、潛在投標人信息保密、評標委員會(huì )組成信息保密、投標文件防竊取與防篡改、開(kāi)標環(huán)節的防解密失敗、評委評標過(guò)程的防泄密和評標結果防篡改等是重點(diǎn)安全問(wèn)題?! ?/div>

  本文針對電子招標投標活動(dòng)的風(fēng)險和安全問(wèn)題,從信息技術(shù)角度,就如何建立完整安全防御體系、做到事先風(fēng)險防范和事后風(fēng)險控制進(jìn)行論述?!?/div>

  1.信息操作者(主體)的身份合法性  


  1)身份標識與鑒別 


  在電子招標投標技術(shù)規范里要求應對招標人、招標代理機構、投標人、評標專(zhuān)家等登錄用戶(hù)進(jìn)行身份標識與鑒別,并提供身份標識僅有檢查功能。應采用以下措施,確保用戶(hù)身份不易被冒用:  


  a)提供鑒別信息復雜度檢查功能。系統登錄用戶(hù)密碼復雜度檢測,密碼設定過(guò)于簡(jiǎn)單的,系統要有密碼強度提示?! ?/div>

  b)對身份標識與鑒別異常提供保護措施。系統登錄失敗多次之后,自動(dòng)鎖定賬戶(hù),再通過(guò)其他認證手段解鎖?!?/div>

  c)使用CA數字證書(shū)對交易主體身份標識與鑒別。需要進(jìn)行身份標識與鑒別的電子招標投標交易行為包括:遞交資格預審申請文件、遞交投標文件、遞交投標保證金、撤回投標文件、確認開(kāi)標記錄、遞交回執、發(fā)出中標通知書(shū)、簽訂合同(協(xié)議書(shū))等,招標投標主體對這些操作承擔相應法律責任?! ?/div>

  d)采用兩種或兩種以上上述措施組合的鑒別技術(shù)?! ?/div>

  2)電子簽名  


  電子簽名可確保電子招標投標文件的完整性和不可抵賴(lài)性。電子簽名的數字證書(shū)應采用合法CA機構頒發(fā)的證書(shū),并按照國家授時(shí)中心標準時(shí)間源對電子簽名文件生成時(shí)間戳?!?/div>

  電子簽名文件包括:招標公告(資格預審公告)、投標邀請書(shū)、資格預審文件(澄清和修改)、資格預審申請文件(澄清和修改)、資格審查報告、招標文件(澄清和修改)、投標文件(補充、修改、撤回、澄清)、開(kāi)標記錄、評標報告、中標通知書(shū)、合同(協(xié)議書(shū))及簽收回執等具有法律約束力的文件?! ?/div>

  2.信息傳輸過(guò)程的安全性  


  電子招標投標信息傳輸,一是使用SSL協(xié)議進(jìn)行通道加密傳輸,同時(shí)使用公開(kāi)密鑰體質(zhì)和數字證書(shū)技術(shù)保護信息傳輸機密性。二是投標單位名單、評委名單、評標結果等敏感數據采用自定義加密技術(shù)、強化安全。電子招標投標技術(shù)規范對數據接口安全有具體規定,傳輸接入點(diǎn)實(shí)施網(wǎng)絡(luò )邊界安全控制。接口安全控制包括:安全評估、訪(fǎng)問(wèn)控制、入侵檢測、口令認證、安全審計、防惡意代碼、加密等內容?! ?/div>

  數據接口訪(fǎng)問(wèn)應進(jìn)行雙方身份安全認證,確保接口訪(fǎng)問(wèn)安全性。與國家公共服務(wù)平臺數據接口傳輸時(shí),采用雙方白名單互認機制。指定IP才能訪(fǎng)問(wèn)和調用接口,傳輸前進(jìn)行身份驗證確認、再進(jìn)行數據傳輸。從交易平臺到國家公共平臺傳輸通道采用SSL協(xié)議加密?! ?/div>

  3.信息存儲環(huán)節安全性  


  采用加密或其他保護措施確保重要數據存儲保密性。投標人名單、評標專(zhuān)家名單、評標結果等數據,要進(jìn)行加密存儲,避免能夠接觸到后臺數據庫的運維人員在數據庫上直接拷貝或修改數據?! ?/div>

  由于服務(wù)器系統是24小時(shí)不間斷運行,單個(gè)部件發(fā)生故障概率很高。存儲系統中的磁盤(pán)存儲冗余一般至少構建RAID5系統??梢钥紤]將服務(wù)器資源及存儲資源進(jìn)行云托管,進(jìn)一步保障服務(wù)穩定性?,F在很多地方公共資源交易平臺依托第三方提供的政務(wù)云進(jìn)行建設?! ?/div>

  4.數據的備份和災備 


  根據制定的備份策略定期備份數據庫和系統重要的數據文件,以便在故障或災難的情況下恢復信息。要選擇合適的備份地點(diǎn)和備份方法,有條件的應當同時(shí)進(jìn)行異地備份。備份方法為全數據備份,對所有選擇備份的數據進(jìn)行備份。全數據備份比其他備份方式需要更多的時(shí)間和數據存儲容量,但數據恢復更簡(jiǎn)單和更容易。增量備份是對上次備份后所有發(fā)生變化的數據進(jìn)行備份。增量備份比其他方法需要更少的時(shí)間和數據存儲容量,但數據恢復方式最復雜。差異備份是對上一次全數據備份發(fā)生變化的數據進(jìn)行備份,比全數據備份需要更少的時(shí)間和數據存儲容量,比增量備份對數據的恢復更簡(jiǎn)單和容易。一般根據自身系統數據量的大小和存儲設備的容量制定策略,不同備份策略都要兼顧?! ?/div>

  5.日志記錄體系的全面性  


  電子招標投標過(guò)程中事項辦理、審批流轉、數據修改所產(chǎn)生的記錄以及記錄的時(shí)間點(diǎn),均需要完整保存?! ?/div>

  系統版本發(fā)布更新,系統文件替換修改,數據庫文件的還原恢復等針對系統的操作,要經(jīng)過(guò)技術(shù)管理流程的審批和記錄。系統后臺所有管理行為記錄也需要完整記錄,以備日后的監督和審計。實(shí)際操作中,后臺操作日志記錄很多系統往往忽略。生產(chǎn)系統的運維管理操作,可以使用堡壘機進(jìn)行操作審計和記錄。數據庫管理可以通過(guò)數據庫審計系統,監視和分析對數據庫服務(wù)器的各類(lèi)操作行為,并記入審計數據庫中集中進(jìn)行管理?! ?/div>

  6.安全審計管理  


  安全審計管理應滿(mǎn)足以下要求:  


  a)應提供安全審計功能。安全審計范圍應覆蓋系統中每個(gè)用戶(hù)及系統中的所有重要安全事件,如登錄事件、關(guān)鍵數據變更等?! ?/div>

  b)審計記錄的內容應包括事件日期、時(shí)間、發(fā)起者信息、類(lèi)型、描述和結果等?! ?/div>

  c)應提供審計記錄數據查詢(xún)、統計、分析功能?! ?/div>

  d)安全審計人員不能同時(shí)兼任系統管理員?! ?/div>

  e)安全審計系統設備宜獨立部署,以確保數據不被篡改?! ?/div>

  7.硬件系統及網(wǎng)絡(luò )的可靠性  


  不能在互聯(lián)網(wǎng)上直接開(kāi)放運維管理后臺和主機登錄入口??刹捎肰PN通道方式強化網(wǎng)絡(luò )安全,同時(shí)采用抗DDOs攻擊系統、網(wǎng)頁(yè)防篡改保護系統、WAF防火墻、IPS入侵防護系統、數據泄露防護系統等對系統提供安全檢測防護。采用防病毒網(wǎng)關(guān)或殺毒軟件防病毒,并定期查殺病毒。定期對操作系統進(jìn)行漏洞掃描,及時(shí)安裝系統補丁防范安全漏洞?! ?/div>

  由于安全防護投入成本較高,中小型交易平臺由于成本壓力面臨實(shí)施困難的,可以采用諸如UTM、下一代防火墻之類(lèi)的集成多功能的一體化產(chǎn)品降低成本?! ?/div>

  生產(chǎn)環(huán)境需要按照等級保護要求劃分安全區域,需要對外提供服務(wù)的web服務(wù)、應用程序、接口等部署在外網(wǎng)區,系統的數據庫和其他重要的數據文件存儲應在內網(wǎng)區域,互聯(lián)網(wǎng)不能直接訪(fǎng)問(wèn),區域之間用防火墻做邊界隔離?!?/div>

  8.系統安全風(fēng)險測評  


  系統源代碼應做安全審查。由于開(kāi)發(fā)人員水平和經(jīng)驗問(wèn)題,源代碼當中通常會(huì )存在安全漏洞和安全風(fēng)險,容易被互聯(lián)網(wǎng)攻擊者利用。源代碼審查可從源頭上發(fā)現這些漏洞,并進(jìn)行安全整改?! ?/div>

  系統安全檢測包括系統漏洞掃描,以及前面提到的用戶(hù)身份鑒別,防抵賴(lài),還有訪(fǎng)問(wèn)控制,數據完整性、保密性檢查,數據備份與恢復檢查等檢測內容?! ?/div>

  還可以做本地、遠程、網(wǎng)絡(luò )三個(gè)不同層級滲透測試,模擬演練發(fā)生攻擊情況。通過(guò)滲透測試對網(wǎng)站進(jìn)行深度檢測,發(fā)現和挖掘系統中存在的漏洞。

		


				

				
		

	

	












	
	
    • 

    




 

国产普通话对白在线香蕉|92精品午夜福利|动漫精品啪啪一区二区|亚洲精品乱码久久|亚洲色欲色欲WWW在线丝