前段时间“勒索病毒”肆虐,利用网络漏洞进行数据挟持,造成了很大的损失,给人们敲响了网络安全的警钟,网络安全问题已经上升到国家层面。如何建立健全网络安全保障体系,提高网络安全保护能力?是每个国家、每个行业必须思考的问题。

中国正在大力推行“互联网+”战略,电子招投标作为“互联网+”招标采购领域的重要应用,对于提升中国经济效率极其重要。而电子招投标系统连通政府、企业、及各类机构的交易环节,是整个市场交易的核心系统之一,其中各类招投标主体的数据、招标投标过程中的数据,很容易成为互联网非法攻击目标。如何落实和提升电子招投标安全防护工作,保障数据安全?在当前“互联网+”招标采购迅猛发展的形势下尤为迫切。

深圳数研院电子招投标

一套完整的电子招投标系统包括招标、投标、开标、评标、定标五个主要流程,每个环节都存在被攻击的漏洞,如用户身份确认、投标文件保密、开标环节解密、评委评标过程防泄密和评标结果防篡改等是重点安全问题。针对上述问题,本文从5个方面为您提供建立完整安全防御体系的策略。

第一、用户的身份合法性识别

首先,进行身份标识与鉴别。在电子招投标技术规范里要求应对招标人、招标代理机构、投标人、评标专家等登录用户进行身份标识与鉴别,并提供身份标识唯一性检查功能。应采用密码强度提示、多次登录失败锁定账户、CA数字证书识别等措施,确保用户身份不易被冒用。其次,强化电子签名。电子签名的数字证书应采用合法CA机构颁发的证书,并按照国家授时中心标准时间源对电子签名文件生成时间戳。

第二,保障信息传输过程的安全性

目前的信息传输过程,一是使用SSL协议进行通道加密传输,同时使用公开密钥体质和数字证书技术保护信息传输机密性。二是投标单位名单、评委名单、评标结果等敏感数据采用自定义加密技术、强化安全。电子招投标技术规范对数据接口安全有具体规定,传输接入点实施网络边界安全控制。接口安全控制包括:安全评估、访问控制、入侵检测、口令认证、安全审计、防恶意代码、加密等内容。

第三,保障信息存储环节安全性

采用加密或其他保护措施确保重要数据存储保密性。投标人名单、评标专家名单、评标结果等数据,要进行加密存储,避免能够接触到后台数据库的运维人员在数据库上直接拷贝或修改数据。同事,存储系统中的磁盘存储冗余需要至少构建RAID5系统,或者可以考虑将服务器资源及存储资源进行云托管,进一步保障服务稳定性。

第四,进行数据的备份和灾备

制定完善的备份策略,定期备份数据库和系统中重要的数据文件,以便在故障或灾难的情况下恢复信息。此外,要选择合适的备份地点和备份方法,有条件的应当同时进行异地备份,备份方法建议采用全数据备份,对所有选择备份的数据进行备份。特殊情况,可以根据自身系统数据量的大小和存储设备的容量制定策略,制定不同备份策略。

第五,保障日志记录体系的全面性

电子招投标过程中事项办理、审批流转、数据修改所产生的记录以及记录的时间点,均需要完整保存。此外,电子招投标系统版本发布更新,系统文件替换修改,数据库文件的还原恢复等针对系统的操作,要经过技术管理流程的审批和记录,系统后台所有管理行为记录也需要完整记录,以备日后的监督和审计。

在实际操作中,后台操作日志记录很多系统往往忽略。因此,生产系统的运维管理操作,可以使用堡垒机进行操作审计和记录;数据库管理可以通过数据库审计系统,监视和分析对数据库服务器的各类操作行为,并记入审计数据库中集中进行管理。

上述安全漏洞防范方法,只是简略的介绍,越是大型企业的电子招投标系统,涉及到安全措施越复杂,对系统开发商的能力要求更加严格。深圳数研院天诚招投标系统,致力于为中国大型集团企业提供专业的电子招采解决方案,大型项目运作经验成熟,安全应对策略丰富而完善,是您值得信赖的选择。

深圳数研院招投标系统,定制高安全度的电子招采解决方案

深圳数研院天诚招投标系统,是一款专为政府机关、大型集团企业、招标代理机构开发的电子招投标软件,深受南方电网、华侨城集团、海尔集团、中国铁建等500强企业的青睐,拥有丰富的开发实施经验,成熟的系统功能构建,完善的售后服务。深圳数研院天诚招投标系统,致力于为各类市场主体搭建电子招标采购平台,欢迎合作洽谈。百度搜索“天诚招投标系统”,进官网了解更多详情。

深圳数研院天诚招投标系统以《中华人民共和国招标法》为依据,遵循《电子招投标办法》,覆盖电子招投标业务全过程,包括:信息管理、供应商服务、费用管理、招标管理、专家管理、评标管理、定标管理、异常监督、档案管理、决策分析等。