编者按:电子招标投标系统作为电子政务的重要组成部分,需要确保电子招标投标过程的安全性,而系统内的招标投标主体的数据信息和招标投标过程中产生的重要数据信息容易成为互联网的非法攻击目标,文章提出,应从信息技术和管理制度两个方向入手,建立一个完整的安全防御体系。通过必要的安全架构、技术和安全管理制度,做到事前防范和事后的风险控制。
随着《网络安全法》的正式颁布和实施,网络安全问题已经上升到国家层面。电子招标投标系统作为电子政务的重要组成部分,需要确保电子招标投标过程的安全性,而系统内的招标投标主体的数据信息和招标投标过程中产生的重要数据信息容易成为互联网的非法攻击目标,如何将安全防护工作落到实处,在当前形势下尤为迫切。
中国招标公共服务平台已经与200多家电子招标投标交易平台实施了数据对接,在与交易平台沟通业务的过程中,很多交易平台表达了在安全建设过程中的困惑,部分交易平台的安全防护建设现状令人担忧。为此,平台公司组织了安全专家就电子招标投标平台的安全问题进行了专项研究,本文将结合电子招标投标全流程和大家分享这方面的经验。
电子招标投标全流程的主要节点分为招标、投标、开标、评标、定标五个主要阶段,其中招标公告信息中招标内容和资格条件的确认、确保投标单位信息的保密、评标专家的抽取和名单的保密、投标文件内容的防窃取与防篡改、开标环节的防解密失败、评标过程中的防泄密和评标结果防篡改是电子招标投标工作中的重点安全问题,总结五大环节中需要解决的风险点,主要可以归为六类问题,即:电子招标投标用户的身份确认问题、投标报名阶段投标人的名单泄露风险、专家抽取环节专家名单的泄露风险、投标文件的防窃取和防篡改问题、开标环节的防解密失败风险以及评委评标过程的防泄密和评标结果的防篡改问题。
针对以上需要解决的风险和问题,我们需要从信息技术和管理制度两个方向入手,建立一个完整的安全防御体系。通过必要的安全架构、技术和安全管理制度,做到事前防范和事后的风险控制。
一、信息技术安全
(一)信息操作者(主体)的身份合法性
1.身份标识与鉴别
在《电子招标投标系统技术规范》中要求应对招标人、招标代理机构、投标人、评标专家等登录用户进行身份标识与鉴别,并提供身份标识唯一性检查功能。应采用以下措施,确保用户身份不易被冒用:
(1)提供鉴别信息复杂度检查功能。比如系统登录用户的密码复杂度检测,要有密码强度提示。
(2)对身份标识与鉴别异常提供保护措施。比如在系统登录失败多次后,应自动锁定账户,再通过其他认证手段进行解锁。
(3)使用CA数字证书对交易主体的身份进行标识与鉴别。需要进行身份标识与鉴别的电子招标投标交易行为包括:递交资格预审申请文件、递交投标文件、递交投标保证金、撤回投标文件、确认开标记录、递交回执、发出中标通知书、签订合同(协议书)等需要招标投标主体承担相应法律责任的电子招标投标行为。
(4)采用两种或两种以上上述措施进行组合鉴别技术。
2.电子签名
通过电子签名来确保电子招标投标文件的完整性和不可抵赖性。电子签名使用的数字证书应采用合法的CA机构颁发的证书,提供按照国家授时中心的标准时间源对需要电子签名的文件生成时间戳的功能。
应使用电子签名的文件包括:招标公告(资格预审公告)、投标邀请书、资格预审文件(澄清和修改)、资格预审申请文件(澄清和修改)、资格审查报告、招标文件(澄清和修改)、投标文件(补充、修改、撤回、澄清)、开标记录、评标报告、中标通知书、合同(协议书)及相关文件的签收回执等具有法律约束力的文件。
(二)信息传输过程的安全性
对于招标投标的信息传输,一是使用SSL协议进行通道加密传输,同时使用公开密钥体质和数字证书技术保护信息传输的机密性;二是对于投标单位名单、评委名单、评标结果等敏感数据采用自定义的加密技术。《电子招标投标系统技术规范》中对于数据接口的安全要求有具体规定,在传输的接入点实施网络边界安全控制, 接口的安全控制应包括:安全评估、访问控制、入侵检测、口令认证、安全审计、防恶意代码、加密等内容。
数据接口访问应进行双方身份安全认证,确保接口访问的安全性。比如在和国家公共服务平台数据接口进行传输时,首先采用双方白名单互认机制,指定IP才能访问和调用接口,传输前先进行身份验证确认,再进行数据传输,从交易平台到国家公共平台的传输通道采用SSL协议加密。
(三)信息存储环节的安全性
采用加密或其他保护措施确保重要数据存储的保密性。对于投标人的名单、评标专家名单、评标结果等数据,要进行加密存储,避免能够接触到后台数据库的运维人员在数据库上直接拷贝或修改数据。
由于服务器系统是24小时不间断运行,单个部件发生故障的概率很高,特别是存储系统中的磁盘,存储冗余一般至少构建RAID5系统,也可以考虑将服务器资源及存储资源进行云托管,进一步保障服务的稳定性。现在很多地方的公共资源交易平台就是依托第三方提供的政务云建设的。
(四)数据的备份
根据制定的备份策略,定期备份数据库和系统重要的数据文件,以便在故障或灾难的情况下恢复信息。
要选择合适的备份地点和备份方法,有条件的应当同时进行异地备份。在备份方法上,全数据备份是对所有选择备份的数据进行备份。全数据备份比其他备份方式需要更多的时间和数据存储容量,但它是数据恢复最简单和最容易的方法。增量备份是对上次备份后所有发生变化的数据进行备份。增量备份比其他方法需要更少的时间和数据存储容量,但它的数据恢复方式最复杂。差异备份对上一次全数据备份发生变化的数据进行备份。它比全数据备份需要更少的时间和数据存储容量,比增量备份对数据的恢复更简单和更容易。一般根据自身系统数据量的大小和存储设备的难易制定策略,不同备份策略都要兼顾到。
(五)日志记录体系的全面性
在业务流程中要记录电子招标投标全过程关于事项办理、审批流转、数据修改所产生的记录以及记录的时间点,都需要完整地保存在系统里。
对于系统版本发布更新、系统文件的替换修改、数据库文件的还原恢复等针对系统的操作,要经过技术管理流程的审批和记录。对于系统后台的所有管理行为记录,也需要完整地记录在日志里,以备日后的监督和审计。实际操作中,后台的操作日志记录往往是被很多系统所忽略的。对于生产系统的运维管理操作,可以使用堡垒机进行操作审计和记录;对于数据库的管理,可以通过数据库审计系统,监视和分析对数据库服务器的各类操作行为,并记入审计数据库中集中进行管理。
(六)安全审计管理
安全审计管理应满足以下要求:
(1)应提供安全审计功能。安全审计范围应覆盖系统中的每个用户及系统中的所有重要安全事件,如登录事件、关键数据变更等。
(2)审计记录的内容应包括事件的日期、时间、发起者信息、类型、描述和结果等。
(3)应提供审计记录数据的查询、统计、分析功能。
(4)安全审计人员不能同时兼任系统管理员。
(5)安全审计系统设备宜独立部署,以确保数据不被篡改。
(七)硬件系统及网络的可靠性
不能在互联网上直接开放运维管理后台和主机的登录入口,可以采用VPN通道的方式强化网络安全,同时采用抗DDoS攻击系统、网页防篡改保护系统、WAF防火墙、IPS入侵防护系统、数据泄露防护系统等为系统提供安全检测防护。采用防病毒网关或杀毒软件防病毒,并定期查杀病毒。定期对操作系统进行漏洞扫描,及时安装系统补丁,防范安全漏洞。
由于安全防护的投入成本较高,中小型交易平台在实施时由于成本压力造成实施困难,可以采用诸如UTM、下一代防火墙之类的集成多功能的一体化产品来降低实施成本。
对于生产环境,要按照等级保护的要求划分安全区域,需要对外提供服务的web服务、应用程序、接口等部署在外网区,系统的数据库和其他重要的数据文件存储应在内网区域,互联网不能直接访问,区域之间要用防火墙作边界隔离。
(八)系统安全风险测评
要对系统的源代码做安全审查。由于开发人员的水平和经验问题,源代码当中通常会存在一些安全漏洞和安全风险,在互联网上容易被攻击者利用,源代码审查要从源头上发现这些漏洞并进行安全整改。
系统的安全检测,包括系统漏洞扫描、用户身份鉴别、抗抵赖、访问控制、数据的完整性、保密性检查,数据备份与恢复检查等检测内容。
还可以做本地、远程、网络三个不同层级的渗透测试,模拟演练发生攻击的情况,通过渗透测试对网站进行深度检测,发现和挖掘系统中存在的漏洞。
二、管理流程和制度
《公共资源交易管理办法》中没有对信息安全做相关的规定,但是在《电子招标投标办法》第十二条和第十三条中做出了相关规定。
(一)评标专家抽取的保密性控制
专家抽取环节最担心的问题是名单泄露,在统一的评标专家随机抽取系统建设中,主要有以下几个措施:
(1)通知阶段引用电话语音通知,随机双盲,“电脑随机抽取—语音自动通知—短信发送确认”的流程。
(2)抽取过程应采用“语音+录像监控”的方法抽取评标专家时,应有招标人代表、监督部门监督人员同时在场。
(3)目前有很多种专家抽取结果通知的方式,但普遍采用的是密封打印。开标结束后打印,在到达评标时间后,由监督人员查验密封情况后拆封。还有一些专家库的做法是到达评标时间后,传真专家名单到评标现场。
比较先进的做法是评标区安装监控和门禁系统,专家签到系统在评标前共享评标专家抽取信息和专家的指纹信息,专家验证指纹进场,并自动提示专家进入哪间评标室评什么标。监督人员可以在另外的房间通过视频监控系统全程监督,并保留评标过程的影音资料。
4.候选专家资源人数要在抽取系统中有一个比例限制,要确保候选专家资源充足。
(二)投标文件的加密和解密
投标人制作投标文件后采用CA加密,开标时用CA解密,杜绝过程中的信息泄露。交易平台普遍采用两种解密模式:交易中心集中解密和投标人分别参与解密。
采用集中解密的方式,存在安全风险。文件上传到交易平台后,可能会发生系统管理员非法提前解密,需要通过管理制度加强技术安全管理,以保证投标文件不被提前解密,控制风险。
投标人参与解密模式,由于投标人网络、电脑等环境因素,存在解密失败风险,且责任不易认定。国家公共服务平台提供开标保障服务,在投标文件解密失败后,投标人使用国家公共服务平台提供的开标保障服务,可以及时补救,完成解密操作。
(三)信息访问权限的严格控制
1.严格分离系统开发权和系统管理权
等级保护制度对于软件的部署环境划分为测试环境、预生产环境和生产环境。软件开发人员负责软件程序的开发和后期修改,他们只能够访问测试环境,不能拥有生产环境的访问权限。要制定版本发布流程,对于系统的版本发布和更新要经过功能、性能和安全性的测试,测试通过后由运维人员在预生产环境发布,预生产环境试运行通过后,再发布到正式环境,严格禁止开发人员接触到生产环境。
2.采用最小化原则,设定系统使用各方的权限
按角色划分系统权限,招标方、投标方的操作人员,平台运营人员和系统维护人员等各司其职,每个角色只能在自己的权限范围内查看自己分内的信息,各角色之间又能相互监控,避免权限过于集中导致的安全风险。
(四)制定安全管理制度
可以根据《网络安全法》和《信息安全技术信息系统安全等级保护基本要求》GB/T22239-2008中的管理要求部分以及《电子招标投标系统技术规范》的第8.2章节,结合本单位的实际现状,从机构、人员、系统建设和运维管理等方面制定相应的安全管理制度。
1.人员方面要求
(1)设计安全主管、安全管理各个方面的负责人,并定义各负责人职责。
(2)设计系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。安全管理员不能兼任网络管理员、系统管理员、数据库管理员等。
(3)针对关键活动建立审批流程,并由批准人签字确认。
(4)安全管理员应定期进行安全检查,检查内容包括:系统日常运行、系统漏洞和数据备份等情况。另外,还需要检查安全防护设备的运行情况,定期查看监控日志。
(5)确保在外部人员访问受控区域前得到授权或审批,批准后由专人全程陪同或监督,并登记备案。
2.系统建设方面的要求
(1)在软件安装之前检测软件包中可能存在的恶意代码。
(2)要求开发单位提供软件源代码,并审查软件中可能存在的后门。
(3)规划总体安全防护体系,制定安全保护方案,并按照方案实施设备采购,部署安全设备。
(4)与选定的安全服务商签订与安全相关的协议,明确约定相关责任。
3.运维管理方面的要求
(1)应指定人员对网络进行管理,负责运行日志、网络监控记录的日常维护、报警信息分析和处理工作,严格遵守网络区域的边界控制,未经过审批严禁跨区访问,关闭所有不用的公网服务端口。
(2)对服务器主机要做安全加固,例如禁ping,修改系统账号密码策略,删除或禁用不必要的用户和用户组,停用无关的服务等。
(3)根据业务需求和系统安全分析确定系统的访问控制策略,并根据系统的情况及时优化和调整策略。
(4)定期对运行日志和审计数据进行分析,以便及时发现异常行为。
(5)应确认系统中要发生的重要变更,并制定相应的变更方案。系统发生重要变更前,向主管领导申请,审批后方可实施变更,并在实施后向相关人员通告。
(6)制定安全事件报告和处置管理制度,明确安全事件类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责。
(7)在统一的应急预案框架下制定不同事件的应急预案。应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容。应对系统相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次。
(五)市场化交易平台与公共服务平台及监督平台分离运营
避免“所有的鸡蛋都放在一个篮子里”产生的系统性风险,《电子招标投标办法》中设计的三平台分离运营的思想,也是安全性考虑的一个重要设计。目前有些开发单位不仅将电子招标投标三大平台放在一起,有意无意地将工程建设、政府采购、产权、土地等各类公共资源都放在一个平台里,甚至将全省所有的地方也都放在一个平台里,并冠以“全省一张网”,这种设计造成的结果是,如果这个省的“这张网”的平台安全出现问题,那么也就意味整个省就全部出现问题。
国家制度设计里,无论是电子招标投标系统,还是公共资源交易平台的电子化,一直都特别强调交易平台和公共服务平台一定要物理分离,公共服务平台(公共资源交易平台也称“电子服务系统”)可以全省建设一个,但交易平台则应是市场化、专业化、集约化的。监督平台更应当与交易平台分离,避免监督平台嵌入交易平台中,防止监督功能被交易平台绑架。
三大平台之间如何界定各自功能和定位?《电子招标投标办法》以及最近的《“互联网+招标采购”行动方案(2017-2019年)》,都对这个问题有明确的规定,公共资源交易采取了同样的架构:
(1)交易平台负责完成招标投标交易活动,不能承担监督功能,要与公共服务平台分离。
(2)公共服务平台提供交易平台之间,以及交易平台与监督平台之间信息交换、资源共享服务,并为市场主体、行政监督部门和社会公众提供信息服务,不得具有交易功能,可以为监督部门提供监督窗口和监督工具。交易平台枢纽,公共信息载体,身份互认桥梁,行政监管依托,国家电子招标投标公共服务平台有义务为地方公共服务平台建设提供技术和信息资源支持。
(3)行政监督平台负责完成行政监督部门和监察机关在线监督电子招标投标活动,不能承担交易功能。
(六)交易系统与专用的工具软件分离开发运营
《电子招标投标管理办法》和《交易平台技术规范》中,对交易平台与专业工具软件之间的关系问题,做了接口的技术性要求,即:
交易系统不得限制或者排斥符合技术规范规定的工具软件与其对接。如各投标人编制投标文件时可以使用自己已经购买的符合标准的工程计价系统的工具软件,只要符合交易平台公布的数据接口标准,即可与交易平台实现数据对接交换。
而随着电子招标投标工作的不断推进和深化,解决交易平台与专业工具软件之间的开发和运营问题也越来越迫切,一些推行电子招标投标比较早的地方,如北京市建设工程承包发包中心就规定,交易平台和专业的工具软件分别由不同的开发商开发。
之所以这样要求就是因为交易平台和专业工具软件,如果都是由同一家软件供应商开发,就容易导致交易平台对软件开发商的全流程依赖,难以防范开发商的开发人员利用交易平台全程控制的技术地位,篡改后台数据和文件调包等非法行为。
此外,由于交易平台和工具软件是同一开发商开发,那么平台与工具软件对接这个关系环节缺少中立的第三方监督,那么该开发商就可以利用这一技术地位,抹掉修改或调包的操作痕迹,造成没有后门的假象等问题。
将交易系统和工具软件的开发和运营分离,不仅形成工具软件的充分市场竞争,更有利于交易平台和工具软件的安全管控,从而促进电子招标投标的健康可持续运营。
(七)交易平台须通过检测认证
由于交易平台专业性强、技术复杂,仅通过使用者的功能性检测,难以对数据接口、后台技术规范性、中间件等隐蔽性工程进行测试了解。因此,通过第三方专业机构的检测认证,可以有效地将交易平台中存在的功能、性能、安全等缺陷、漏洞和后门等提早发现出来,从源头上防止问题的发生。
国家对交易平台的检测有明确要求,即应符合《电子招标投标办法》及《电子招标投标系统技术规范》的要求,并按照检测认证管理办法,进行检测认证。
交易平台的检测认证有一星二星三星三个等级,有关检测认证的内容、方法和流程在已经发布的检测认证管理办法里都有详细规定。
注意检测是针对交易平台系统而言,认证是针对交易平台运营机构而言。
(八)数据信息传送公共服务平台接受认证后监督
实现电子招标投标的全流程,不仅包括交易平台上的全流程,也包括跨越交易平台、公共服务平台和行政监督平台的全流程。例如,招标公告不仅要在交易平台上生成,也要到公共服务平台指定媒体上公开,还要到行政监督平台上备案接受在线监督,也就是说招标公告要跨越三大平台实现全流程。
除了依法依规公开的数据传送公共服务平台履行公开,并通过公共服务平台提供的监督通道(或者监督窗口)接受认证后在线监督外,在安全性上也有好处和必要。
电子招标投标交易过程中的信息,按法律法规约定的时间节点上不仅在工具软件、交易平台上生成和归档,同时也要在物理分离的独立的公共服务平台进行同步备案存档,既达到了《电子招标投标办法》里面要求的信息公开要求,也从根本上杜绝了交易信息被开发商或者内部技术人员篡改的第三方备份机制,为日后的监督和审计提供了可信、可靠的备查机制。
本文最后需要强调的是,安全威胁总是实时变化的,任何系统的安全防护措施都不是一劳永逸的,需要平台的运营主体加强安全管理和安全运维的意识,设置适合自己平台的安全基线,定期进行安全检测、安全加固,及时处理发现的问题,确保交易平台的安全运行。
作者:许程亮,中国招标公共服务平台
来源:《招标采购管理》