随着信息技术的蓬勃发展和广泛应用,基于网络和多媒体技术的公共资源交易电子化平台应运而生并迅速发展。但在2017年,勒索病毒的全球大爆发影响到众多行业,造成严重危害,Facebook信息泄露事件,网络数据被盗用,都说明无论是政治层面,还是经济金融文化层面,“战争、斗争、竞争”的主战场已转移到网络上,这给我国当前正在深入推进的公共资源电子交易信息安全敲响了警钟。在日趋复杂的网络环境和频繁的公共资源电子交易中如何保障信息安全值得探究。
一、公共资源电子交易网络信息安全存在的问题
公共资源交易的发展趋势是电子化,即100%的交易业务都在电子环境下实现,其信息的完整性、可用性、保密性、稳定性和可靠性都需要依赖于电子和网络安全,主要体现在以下两个方面。
(一)网络信息安全方面
1.安全协议问题。安全协议当前还没有全球统一的标准和规范,相对制约了公共资源交易电子化的应用推广。比如在网络层中分别采用IP、ARP、X.25等不同协议,所产生的安全问题就不同。此外,在安全管理方面还存在较大隐患,容易受到黑客攻击。
2.防病毒问题。网络的出现为计算机病毒的传播提供了更快、更好的媒介,很多新型病毒直接以网络为载体进行传播,在公共资源交易电子化平台上怎样有效地防范病毒已迫在眉睫。例如,编制好投标文件后通过互联网上传到服务器等待开标这一投标环节就容易传播病毒。
3.服务器安全问题。装有大量与公共资源交易电子化有关的控件、插件等软件和用户信息的系统服务器是公共资源交易信息化的灵魂,因此,服务器特别容易受到安全威胁,一旦出现安全问题,会造成严重后果。即使介入安全狗等系数高的安全产品,也很难保证传送的数据不被攻击者窥视和篡改,以及阻止非法用户对交易数据库或网络资源的有害访问。
(二)电子化推广应用方面
1.身份的不确定问题。由于公共资源交易电子化的实现需要基于网络架构的信息化平台,在平台上招标、投标、评标三方是不允许见面的,因此带来了三方身份的随机性和不确定性。
2.信息的抵赖问题。公共资源交易电子化应用同传统时期使用纸质招投标一样具有不可抵赖性。部分评委和代理机构在本地招投标或远程异地招投标中会对自己确认的信息进行恶意否认,要求解锁,然后逃避责任。
3.流转信息的修改问题。纸质招投标信息是不可修改的,否则必然会影响到交易各方的文件执行。公共资源交易电子化中流转的招投标信息同样不能修改,以保证招投标文件的严肃性和公平、公正、公开。
二、公共资源交易电子化中的网络信息安全对策
由于网络的开放性、通信协议的安全缺陷、在网络环境中数据信息存储和对其访问与处理的分布性特点,在公共资源电子交易平台上传输的数据信息容易被泄露和被破坏,网络信息受到的安全攻击极为严重,因此采取有用的对策势在必行。
(一)技术对策
1.应用数字证书。数字证书是用来保证信息传输过程中信息的完整性和提供信息发送者身份的认证,应用数字证书可在电子交易中安全方便地实现身份确认。数据传输的安全性、完整性、身份验证机制以及信息交换的不可抵赖性等均可通过CA解决。
2.创建和管理用户账户。用户账户是含有特定用户信息的记录,如用户名、密码以及任何登录限制,它是用户唯一的身份标识。用户账户使得只有受管理的用户才能登录到指定服务器访问资源,或是登录到特定域访问电子交易网络,即通过用户名和密码增加一道安全防盗门。
3.配置防火墙。防火墙是两个不同网络实现互访的控制设备,主要实现对访问的允许、拒绝、监测,通过过滤不安全的服务,阻止非法用户来访问你的网络,阻止他们嵌入、复制、删除你的数据,控制网络内外的信息交流,提供接入控制和审查跟踪,是一种访问控制机制,能够有效地监控电子政务外网和互联网之间的任何活动,保护电子化交易网络相对安全。
4.使用安全审计产品。安全审计产品是对网络和指定系统使用状态进行跟踪记录及综合梳理的工具,能够对公共资源电子交易网络进行动态实时监控,可通过寻找入侵和违规行为,记录平台上发生的点点滴滴,为用户提供取证手段。不但能够监视和控制来自外部的入侵,还能够监视来自内部的违规操作和破坏行为。
(二)管理对策
1.网络病毒防范制度。病毒在网络环境下具有很大的传染性和危害性,除了安装杀毒软件之外,还要及时升级杀毒软件版本并不断更新特征库、及时通报病毒入侵信息、定期不定期查杀病毒等,从而达防范目的。
2.系统运行维护制度。此制度是公共资源电子交易系统能否保持长期安全、稳定运行的基本保证,应由签有保密责任书的专职人员负责,其他任何人不得接触。主要是做好软件和硬件两方面的系统运行维护工作,软件部分由系统开发商负责,硬件部分由公共资源交易中心信息技术部门和硬件供应商共同负责。
3.容灾备份保障制度。作为一个成熟的公共资源电子交易系统,针对数据安全应至少提供两方面的安全保护措施:一是数据在系统内部实现镜像;二是对文件服务器上的重要数据做到在系统流转中的自动备份。通过这两项保护措施为信息安全提供双保险,建立数据容灾备份和恢复的保障机制。
4.保密制度。涉及信息保密、口令或密码保密、网络地址保密、日常管理和系统运行状况保密、工作日志保密等各个方面,对各类保密信息都需要慎重考虑,根据轻重程度划分好不同的保密级别,并制定出相应的公共资源交易电子化保密措施。
三、公共资源交易电子化中的信息安全保障体系
保障网络信息安全必须建立健全有效的安全防范体制,明确网络安全的框架体系、信息系统的设计原则和安全防范的层次结构,分析每个不安全环节,找到安全漏洞。从信息化建设角度考虑,公共资源交易电子化的信息安全保障体系主要包含以下七个方面。
一是信息安全管理责任制。信息安全管理包括确定信息安全的目标、战略,确定和分析安全威胁与风险,明确信息安全需求,制定科学的信息安全策略,选择适当的安全机制,检测各种安全事件并进行处置。按照谁主管谁负责、谁使用谁负责、谁运营谁负责的要求落实信息安全管理责任制,以制度为根本,签订网络与信息安全责任书。
二是信息系统安全风险评估。信息系统安全威胁和风险总是存在的,关键是要及时发现各种安全隐患和漏洞,并及时采取措施加以防范。
三是信息安全等级保护。公共资源交易电子化需要从信息安全实际出发,建立相应的安全保护策略、计划和措施进行等级保护。
四是信息安全监控系统。信息安全监控是及时发现和处置网络攻击、病毒传播,对网络和信息系统实施保护的重要措施。建设信息安全监控系统,在公共资源交易电子化中可提高网络攻击、病毒传播、网络失窃(密)的防范能力。
五是网络信任体系。信息安全保障的目的是解决电子化交易网络空间中信息、各种行为主体身份的真实性与可信性问题,建立网络信任体系是为了维护网络空间有序运转。
六是双设备冗余策略体系。因各种硬件都是有源设备,会发生损坏,这会使系统宕机,无法提供网络信息服务。为解决此类问题,对于公共资源电子交易的网络信息服务,需采取双冗余策略。对网络核心交换机、汇聚交换机、网络服务器、重要链路等关键设备采取双机、双链路策略,主设备出问题时,由辅助设备接替工作,保证电子交易平台不中断服务。
七是应急处置体系。通过应急预案,及时发现、快速响应进行保障。
在计算机网络技术和信息技术快速发展的中国特色社会主义新时代,公共资源交易电子服务系统平台的安全运行,仅仅从技术层面防范是远远不够的,还需建立规范公共资源交易电子化的应用管理体系和成熟的使用环境。随着时间的推移,相信电子化给公共资源交易所带来的利必然大大超过它所产生的弊。
作者:王佩洪
作者单位:红河哈尼族彝族自治州公共资源交易中心
来源:《招标采购管理》