電子招標(biāo)投標(biāo)系統(tǒng)安全風(fēng)險(xiǎn)分析及應(yīng)對(duì)措施

編者按：電子招標(biāo)投標(biāo)系統(tǒng)作為電子政務(wù)的重要組成部分，需要確保電子招標(biāo)投標(biāo)過程的安全性，而系統(tǒng)內(nèi)的招標(biāo)投標(biāo)主體的數(shù)據(jù)信息和招標(biāo)投標(biāo)過程中產(chǎn)生的重要數(shù)據(jù)信息容易成為互聯(lián)網(wǎng)的非法攻擊目標(biāo)，文章提出，應(yīng)從信息技術(shù)和管理制度兩個(gè)方向入手，建立一個(gè)完整的安全防御體系。通過必要的安全架構(gòu)、技術(shù)和安全管理制度，做到事前防范和事后的風(fēng)險(xiǎn)控制。

隨著《網(wǎng)絡(luò)安全法》的正式頒布和實(shí)施，網(wǎng)絡(luò)安全問題已經(jīng)上升到國(guó)家層面。電子招標(biāo)投標(biāo)系統(tǒng)作為電子政務(wù)的重要組成部分，需要確保電子招標(biāo)投標(biāo)過程的安全性，而系統(tǒng)內(nèi)的招標(biāo)投標(biāo)主體的數(shù)據(jù)信息和招標(biāo)投標(biāo)過程中產(chǎn)生的重要數(shù)據(jù)信息容易成為互聯(lián)網(wǎng)的非法攻擊目標(biāo)，如何將安全防護(hù)工作落到實(shí)處，在當(dāng)前形勢(shì)下尤為迫切。

中國(guó)招標(biāo)公共服務(wù)平臺(tái)已經(jīng)與200多家電子招標(biāo)投標(biāo)交易平臺(tái)實(shí)施了數(shù)據(jù)對(duì)接，在與交易平臺(tái)溝通業(yè)務(wù)的過程中，很多交易平臺(tái)表達(dá)了在安全建設(shè)過程中的困惑，部分交易平臺(tái)的安全防護(hù)建設(shè)現(xiàn)狀令人 擔(dān) 憂 。 為此 ， 平臺(tái)公司組織了安全專家就電子招標(biāo)投標(biāo)平臺(tái)的安全問題進(jìn)行了專項(xiàng)研究，本文將結(jié)合電子招標(biāo)投標(biāo)全流程和大家分享這方面的經(jīng)驗(yàn)。

電子招標(biāo)投標(biāo)全流程的主要節(jié)點(diǎn)分為招標(biāo)、投標(biāo)、開標(biāo)、評(píng)標(biāo)、定標(biāo)五個(gè)主要階段，其中招標(biāo)公告信息中招標(biāo)內(nèi)容和資格條件的確認(rèn)、確保投標(biāo)單位信息的保密、評(píng)標(biāo)專家的抽取和名單的保密、投標(biāo)文件內(nèi)容的防竊取與防篡改、開標(biāo)環(huán)節(jié)的防解密失敗、評(píng)標(biāo)過程中的防泄密和評(píng)標(biāo)結(jié)果防篡改是電子招標(biāo)投標(biāo)工作中的重點(diǎn)安全問題，總結(jié)五大環(huán)節(jié)中需要解決的風(fēng)險(xiǎn)點(diǎn)，主要可以歸為六類問題，即：電子招標(biāo)投標(biāo)用戶的身份確認(rèn)問題、投標(biāo)報(bào)名階段投標(biāo)人的名單泄露風(fēng)險(xiǎn)、專家抽取環(huán)節(jié)專家名單的泄露風(fēng)險(xiǎn)、投標(biāo)文件的防竊取和防篡改問題、開標(biāo)環(huán)節(jié)的防解密失敗風(fēng)險(xiǎn) 以及 評(píng)委評(píng)標(biāo)過程的防泄密和評(píng)標(biāo)結(jié)果的防篡改問題。

針對(duì)以上需要解決的風(fēng)險(xiǎn)和問題，我們需要從信息技術(shù)和管理制度兩個(gè)方向入手，建立一個(gè)完整的安全防御體系。通過必要的安全架構(gòu)、技術(shù)和安全管理制度，做到事前防范和事后的風(fēng)險(xiǎn)控制。

一、信息技術(shù)安全

（一）信息操作者（主體）的身份合法性

1. 身份標(biāo)識(shí)與鑒別

在 《 電子招標(biāo)投標(biāo) 系統(tǒng) 技術(shù)規(guī)范 》中 要求應(yīng)對(duì)招標(biāo)人、招標(biāo)代理機(jī)構(gòu)、投標(biāo)人、評(píng)標(biāo)專家等登錄用戶進(jìn)行身份標(biāo)識(shí)與鑒別，并提供身份標(biāo)識(shí)唯一性檢查功能。應(yīng)采用以下措施，確保用戶身份不易被冒用：

（1）提供鑒別信息復(fù)雜度檢查功能 。 比如系統(tǒng)登錄用戶的密碼復(fù)雜度檢測(cè)，要有密碼強(qiáng)度提示。

（2）對(duì)身份標(biāo)識(shí)與鑒別異常提供保護(hù)措施 。 比如在系統(tǒng)登錄失敗多次后， 應(yīng) 自動(dòng)鎖定賬戶，再通過其他認(rèn)證手段 進(jìn)行 解鎖。

（3）使用CA數(shù)字證書對(duì)交易主體 的 身份 進(jìn)行 標(biāo)識(shí)與鑒別。需要進(jìn)行身份標(biāo) 識(shí)與鑒別的電子招標(biāo)投標(biāo)交易行為包括：遞交資格預(yù)審申請(qǐng)文件、遞交投標(biāo)文件、遞交投標(biāo)保證金、撤回投標(biāo)文件、確認(rèn)開標(biāo)記錄、遞交回執(zhí)、發(fā)出中標(biāo)通知書、簽訂合同（協(xié)議書）等需要招標(biāo)投標(biāo)主體承擔(dān)相應(yīng)法律責(zé)任的電子招標(biāo)投標(biāo)行為。

（4）采用兩種或兩種以上上述措施 進(jìn)行 組合鑒別技術(shù)。

2. 電子簽名

通過電子簽名來確保電子招標(biāo)投標(biāo)文件的完整性和不可抵賴性。電子簽名使用的數(shù)字證書應(yīng)采用合 法的CA機(jī)構(gòu)頒發(fā)的證書，提供按照國(guó)家授時(shí)中心的標(biāo)準(zhǔn)時(shí)間源對(duì)需要電子簽名的文件生成時(shí)間戳的功能。

應(yīng)使用電子簽名的文件包括：招標(biāo)公告（資格預(yù)審公告）、投標(biāo)邀請(qǐng)書、資格預(yù)審文件（澄清和修改）、資格預(yù)審申請(qǐng)文 件（澄清和修改）、資格審查報(bào)告、招標(biāo)文件（澄清和修改）、投標(biāo)文件（補(bǔ)充、修改、撤回、澄清）、開標(biāo)記錄、評(píng)標(biāo)報(bào)告、中標(biāo)通知書、合同（協(xié)議書）及相關(guān)文件的簽收回執(zhí)等具有法律約束力的文件。

（二）信息傳輸過程的安全性

對(duì)于招標(biāo)投標(biāo)的信息傳輸，一是使用SSL協(xié)議進(jìn)行通道加密傳輸，同時(shí)使用公開密鑰體質(zhì)和數(shù)字證書技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性；二是對(duì)于投標(biāo)單位名單、評(píng)委名單、評(píng)標(biāo)結(jié)果等敏感數(shù)據(jù)采用自定義的加密技術(shù)。 《 電子招標(biāo)投標(biāo) 系統(tǒng) 技術(shù)規(guī)范 》中 對(duì)于數(shù)據(jù)接口的安全要求有具體規(guī)定，在傳輸?shù)慕尤朦c(diǎn)實(shí)施網(wǎng)絡(luò)邊界安全控制， 接口的安全控制應(yīng)包括：安全評(píng)估、訪問控制、入侵檢測(cè)、口令認(rèn)證、安全審計(jì)、防惡意代碼、加密等內(nèi)容。

數(shù)據(jù)接口訪問應(yīng)進(jìn)行雙方身份安全認(rèn)證，確保接口訪問的安全性。比如在和國(guó)家公共服務(wù)平臺(tái)數(shù)據(jù)接口 進(jìn)行 傳輸時(shí)，首先采用雙方白名單互認(rèn)機(jī)制，指定IP才能訪問和調(diào)用接口，傳輸前先進(jìn)行身份驗(yàn)證確認(rèn) ， 再進(jìn)行數(shù)據(jù)傳輸，從交易平臺(tái)到國(guó)家公共平臺(tái)的傳輸通道采用SSL協(xié)議加密。

（三）信息存儲(chǔ)環(huán)節(jié)的安全性

采用加密或其他保護(hù)措施確保重要數(shù)據(jù)存儲(chǔ)的保密性。對(duì)于投標(biāo)人的名單、評(píng)標(biāo)專家名單、評(píng)標(biāo)結(jié)果等數(shù)據(jù)，要進(jìn)行加密存儲(chǔ)，避免能夠接觸到后臺(tái)數(shù)據(jù)庫(kù)的運(yùn)維人員在數(shù)據(jù)庫(kù)上直接拷貝或修改數(shù)據(jù)。

由于服務(wù)器系統(tǒng)是24小時(shí)不間斷運(yùn)行，單個(gè)部件發(fā)生故障的概率很高，特別是存儲(chǔ)系統(tǒng)中的磁盤，存儲(chǔ)冗余一般至少構(gòu)建RAID5系統(tǒng)，也可以考慮將服務(wù)器資源及存儲(chǔ)資源進(jìn)行云托管，進(jìn)一步保障服務(wù)的穩(wěn)定性 。 現(xiàn)在很多地方的公共資源交易平臺(tái) 就 是依托第三方提供的政務(wù)云建設(shè)的。

（四）數(shù)據(jù)的備份

根據(jù)制定的備份策略 ， 定期備份數(shù)據(jù)庫(kù)和系統(tǒng)重要的數(shù)據(jù)文件，以便在故障或?yàn)?zāi)難的情況下恢復(fù)信息。

要選擇合適的備份地點(diǎn)和備份方法，有條件的應(yīng)當(dāng)同時(shí)進(jìn)行異地備份。在備份方法上，全數(shù)據(jù)備份 是 對(duì)所有選擇備份的數(shù)據(jù)進(jìn)行備份。全數(shù)據(jù)備份比其他備份方式需要更多的時(shí)間和數(shù)據(jù)存儲(chǔ)容量，但它是數(shù)據(jù)恢復(fù)最簡(jiǎn)單和 最 容易的方法。增量備份是對(duì)上次備份后所有發(fā)生變化的數(shù)據(jù)進(jìn)行備份。增量備份比其他方法需要更少的時(shí)間和數(shù)據(jù)存儲(chǔ)容量，但它的數(shù)據(jù)恢復(fù)方式最復(fù)雜。差異備份對(duì)上一次全數(shù)據(jù)備份發(fā)生變化的數(shù)據(jù)進(jìn)行備份。它比全數(shù)據(jù)備份需要更少的時(shí)間 和數(shù)據(jù)存儲(chǔ)容量，比增量備份對(duì)數(shù)據(jù)的恢復(fù)更簡(jiǎn)單和 更 容易。一般根據(jù)自身系統(tǒng)數(shù)據(jù)量的大小和存儲(chǔ)設(shè)備的 難 易制定策略，不同備份策略都要兼顧到。

（五）日志記錄體系的全面性

在業(yè)務(wù)流程中要記錄電子招標(biāo)投標(biāo)全過程關(guān)于事項(xiàng)辦理、審批流轉(zhuǎn)、數(shù)據(jù)修改所產(chǎn)生的記錄以及記錄的時(shí)間點(diǎn)，都需要完整 地 保存在系統(tǒng)里。

對(duì)于系統(tǒng)版本發(fā)布更新 、 系統(tǒng)文件的替換修改 、 數(shù)據(jù)庫(kù)文件的還原恢復(fù)等針對(duì)系統(tǒng)的操作 ， 要經(jīng)過技術(shù)管理流程的審批和記錄。對(duì)于系統(tǒng)后臺(tái)的所有管理行為記錄 ， 也需要完整 地 記錄在日志里，以備日后的監(jiān)督和審計(jì)。實(shí)際操作中 ， 后臺(tái)的操作日志記錄往往是 被 很多系統(tǒng) 所 忽略的 。 對(duì)于生產(chǎn)系統(tǒng)的運(yùn)維管理操作 ， 可以使用堡壘機(jī)進(jìn)行操作審計(jì)和記錄 ； 對(duì)于數(shù)據(jù)庫(kù)的管理 ， 可以通過數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，監(jiān)視和分析對(duì)數(shù)據(jù)庫(kù)服務(wù)器的各類操作行為，并記入審計(jì)數(shù)據(jù)庫(kù)中集中進(jìn)行管理。

（六）安全審計(jì)管理

安全審計(jì)管理應(yīng)滿足以下要求：

（1） 應(yīng)提供安全審計(jì)功能。安全審計(jì)范圍應(yīng)覆蓋系統(tǒng)中的每個(gè)用戶及系統(tǒng)中的所有重要安全事件，如登錄事件、關(guān)鍵數(shù)據(jù)變更等。

（ 2 ） 審計(jì)記錄的內(nèi)容應(yīng)包括事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等。

（ 3 ） 應(yīng)提供審計(jì)記錄數(shù)據(jù)的查詢、統(tǒng)計(jì)、分析功能。

（ 4 ） 安全審計(jì)人員不能同時(shí)兼任系統(tǒng)管理員。

（ 5 ） 安全審計(jì)系統(tǒng)設(shè)備宜獨(dú)立部署，以確保數(shù)據(jù)不被篡改。

（七）硬件系統(tǒng)及網(wǎng)絡(luò)的可靠性

不能在互聯(lián)網(wǎng)上直接開放運(yùn)維管理后臺(tái)和主機(jī)的登錄入口，可以采用VPN通道的方式強(qiáng)化網(wǎng)絡(luò)安全，同時(shí)采用抗DDoS攻擊系統(tǒng)、網(wǎng)頁防篡改保護(hù)系統(tǒng)、WAF防火墻、IPS入侵防護(hù)系統(tǒng)、數(shù)據(jù)泄露防護(hù)系統(tǒng)等 為 系統(tǒng)提供安全檢測(cè)防護(hù)。采用防病毒網(wǎng)關(guān)或殺毒軟件防病毒，并定期查殺病毒。定期對(duì)操作系統(tǒng)進(jìn)行漏洞掃描，及時(shí)安裝系統(tǒng)補(bǔ)丁 ， 防范安全漏洞。

由于安全防護(hù)的投入成本較高，中小型交易平臺(tái)在實(shí)施時(shí)由于成本壓力造成實(shí)施困難，可以采用諸如UTM、下一代防火墻之類的集成多功能的一體化產(chǎn)品來降低實(shí)施成本。

對(duì)于生產(chǎn)環(huán)境 ， 要按照等級(jí)保護(hù)的要求劃分安全區(qū)域，需要對(duì)外提供服務(wù)的web服務(wù)、應(yīng)用程序、接口等部署在外網(wǎng)區(qū)，系統(tǒng)的數(shù)據(jù)庫(kù)和其他重要的數(shù)據(jù)文件存儲(chǔ)應(yīng)在內(nèi)網(wǎng)區(qū)域，互聯(lián)網(wǎng)不能直接訪問，區(qū)域之間要用防火墻 作 邊界隔離。

（八）系統(tǒng)安全風(fēng)險(xiǎn)測(cè)評(píng)

要對(duì)系統(tǒng)的源代碼做安全審查。由于開發(fā)人員的水平和經(jīng)驗(yàn)問題，源代碼當(dāng) 中通常會(huì)存在一些安全漏洞和安全風(fēng)險(xiǎn)，在互聯(lián)網(wǎng)上容易被攻擊者利用，源代碼審查要從源頭上發(fā)現(xiàn)這些 漏洞并進(jìn)行安全整改。

系統(tǒng)的安全檢測(cè)，包括系統(tǒng)漏洞掃描、用戶身份鑒別、抗抵賴、訪問控制、數(shù)據(jù)的完整性、保密性檢查，數(shù)據(jù)備份與恢復(fù)檢查等檢測(cè)內(nèi)容。

還可以做本地、遠(yuǎn)程、網(wǎng)絡(luò)三個(gè)不同層級(jí)的滲透測(cè)試，模擬演練發(fā)生攻擊的情況，通過滲透測(cè)試對(duì)網(wǎng)站進(jìn)行深度檢測(cè)，發(fā)現(xiàn)和挖掘系統(tǒng)中存在的漏洞。

二、管理流程和制度

《 公共資源交易管理辦法 》 中沒有對(duì)信息安全 做 相關(guān)的規(guī)定， 但是在《 電子招標(biāo)投標(biāo)辦法 》 第十二條 和第十三條中做出了相關(guān)規(guī)定。

（一） 評(píng)標(biāo)專家抽取的保密性控制

專家抽取環(huán)節(jié)最擔(dān)心的問題是名單泄露，在統(tǒng)一的評(píng)標(biāo)專家隨機(jī)抽取系統(tǒng)建設(shè)中，主要有以下幾個(gè)措施：

（ 1 ） 通知階段引用電話語音通知，隨機(jī)雙盲， “ 電腦隨機(jī)抽取—語音自動(dòng)通知—短信發(fā)送確認(rèn) ” 的流程 。

（ 2 ） 抽取過程 應(yīng)采用 “ 語音+錄像監(jiān)控 ” 的方法 抽取評(píng)標(biāo)專家時(shí) ， 應(yīng)有招標(biāo)人代表、監(jiān)督部門監(jiān)督人員同時(shí)在場(chǎng)。

（ 3 ） 目前有很多種專家抽取結(jié)果通知 的 方式， 但 普遍采用的是密封打印 。 開標(biāo)結(jié)束后打印，在到達(dá)評(píng)標(biāo)時(shí)間后，由監(jiān)督人員查驗(yàn)密封情況后拆封 。 還有一些專家?guī)斓淖龇ㄊ堑竭_(dá)評(píng)標(biāo)時(shí)間后，傳真專家名單到評(píng)標(biāo)現(xiàn)場(chǎng)。

比較先進(jìn)的做法是評(píng)標(biāo)區(qū)安裝監(jiān)控和門禁系統(tǒng)，專家簽到系統(tǒng)在評(píng)標(biāo)前共享評(píng)標(biāo)專家抽取信息和專家的指紋信息，專家驗(yàn)證指紋進(jìn)場(chǎng)，并自動(dòng)提示專家進(jìn)入哪間評(píng)標(biāo)室評(píng)什么標(biāo)。監(jiān)督人員可以在另外的房間通過視頻監(jiān)控系統(tǒng)全程監(jiān)督，并保留評(píng)標(biāo)過程的影音資料。

4. 候選專家資源人數(shù)要在抽取系統(tǒng)中有一個(gè)比例限制，要確保候選專家資源充足。

（二）投標(biāo)文件的加密和解密

投標(biāo)人制作投標(biāo)文件后采用CA加密，開標(biāo)時(shí)用CA解密，杜絕過程中的信息泄露。交易平臺(tái)普遍采用兩種解密模式：交易中心集中解密和投標(biāo)人分別參與 解密 。

采用集中解密的方式，存在安全風(fēng)險(xiǎn) 。 文件上傳到交易平臺(tái)后，可能會(huì)發(fā)生系統(tǒng)管理員非法提前解密，需要通過管理制度加強(qiáng)技術(shù)安全管理 ， 以保證投標(biāo)文件不被提前解密，控制風(fēng)險(xiǎn)。

投標(biāo)人參與解密模式，由于投標(biāo)人網(wǎng)絡(luò)、電腦等環(huán)境因素，存在解密失敗風(fēng)險(xiǎn)， 且責(zé)任不易認(rèn)定。國(guó)家公共服務(wù)平臺(tái)提供開標(biāo)保障服務(wù)，在投標(biāo)文件解密失敗后，投標(biāo)人使用國(guó)家公共服務(wù)平臺(tái)提供的開標(biāo)保障服務(wù)，可以及時(shí)補(bǔ)救 ， 完成解密操作。

（三）信息訪問權(quán)限的嚴(yán)格控制

1. 嚴(yán)格分離系統(tǒng)開發(fā)權(quán) 和 系統(tǒng)管理權(quán)

等級(jí)保護(hù)制度對(duì)于軟件的部署環(huán)境劃分 為 測(cè)試環(huán)境、預(yù)生產(chǎn)環(huán)境和生產(chǎn)環(huán)境 。 軟件開發(fā)人員負(fù)責(zé)軟件程序的開發(fā)和后期修改，他們只能夠訪問測(cè)試環(huán)境，不能擁有生產(chǎn)環(huán)境的訪問權(quán)限。要制定版本發(fā)布流程，對(duì)于系統(tǒng)的版本發(fā)布和更新要經(jīng)過功能、性能和安全性的測(cè)試，測(cè)試通過后由運(yùn)維人員在預(yù)生產(chǎn)環(huán)境發(fā)布，預(yù)生產(chǎn)環(huán)境試運(yùn)行通過后，再發(fā)布到正式環(huán)境，嚴(yán)格禁止開發(fā)人員接觸到生產(chǎn)環(huán)境。

2. 采用最小化原則 ， 設(shè)定系統(tǒng)使用各方的權(quán)限

按角色劃分系統(tǒng)權(quán)限，招標(biāo)方、投標(biāo)方的操作人員，平臺(tái)運(yùn)營(yíng)人員和系統(tǒng)維護(hù)人員等各司其職，每個(gè)角色只能在自己的權(quán)限范圍內(nèi)查看自己 分 內(nèi)的信息，各角色之間又能相互監(jiān)控，避免權(quán)限過于集中導(dǎo)致的安全風(fēng)險(xiǎn)。

（四）制定安全管理制度

可以根據(jù)《網(wǎng)絡(luò)安全法》和《 信息安全 技術(shù)信息系統(tǒng)安全 等級(jí)保護(hù) 基本 要求》 GB/T22239-2008中的管理要求部分以及 《 電子招標(biāo)投標(biāo) 系統(tǒng) 技術(shù)規(guī)范 》 的 第 8.2 章節(jié)，結(jié)合本單位的實(shí)際現(xiàn)狀，從機(jī)構(gòu)、人員、系統(tǒng)建設(shè)和運(yùn)維管理等方面制定相應(yīng)的安全管理制度。

1. 人員方面要求

（1）設(shè)計(jì)安全主管、安全管理各個(gè)方面的負(fù)責(zé)人，并定義各負(fù)責(zé)人職責(zé) 。

（2）設(shè)計(jì)系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個(gè)工作崗位的職責(zé)。安全管理員不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員等 。

（3）針對(duì)關(guān)鍵活動(dòng)建立審批流程，并由批準(zhǔn)人簽字確認(rèn) 。

（4）安全管理員應(yīng)定期進(jìn)行安全檢查，檢查內(nèi)容包括 ： 系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。另外 ， 還需要檢查安全防護(hù)設(shè)備的運(yùn)行情況，定期查看監(jiān)控日志 。

（5）確保在外部人員訪問受控區(qū)域前得到授權(quán)或?qū)徟鷾?zhǔn)后由專人全程陪同或監(jiān)督，并登記備案 。

2. 系統(tǒng)建設(shè)方面的要求

（1）在軟件安裝之前檢測(cè)軟件包中可能存在的惡意代碼 。

（2）要求開 發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門 。

（3）規(guī)劃總體安全防護(hù)體系，制定安全保護(hù)方案，并按照方案實(shí)施設(shè)備采購(gòu) ， 部署安全設(shè)備 。

（4）與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責(zé)任。

3. 運(yùn)維管理方面的要求

（1）應(yīng)指定人員對(duì)網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù) 、 報(bào)警信息分析和處理工作，嚴(yán)格遵守網(wǎng) 絡(luò) 區(qū)域的邊界控制，未經(jīng)過審批嚴(yán)禁跨區(qū)訪問，關(guān)閉所有不用的公網(wǎng)服務(wù)端口。

（2）對(duì)服務(wù)器主機(jī)要做安全加固，例如禁ping，修改系統(tǒng)賬號(hào)密碼策略，刪除或禁用不必要的用戶和用戶組，停用無關(guān)的服務(wù)等。

（3）根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系 統(tǒng)的訪問控制策略，并根據(jù)系統(tǒng)的情況及時(shí)優(yōu)化和調(diào)整策略。

（4）定 期對(duì)運(yùn)行日志和審計(jì)數(shù)據(jù)進(jìn)行分析，以便及時(shí)發(fā)現(xiàn)異常行為。

（5）應(yīng)確認(rèn)系統(tǒng)中要發(fā)生的重要變更，并制定相應(yīng)的變更方案 。 系統(tǒng)發(fā)生重要變更前，向主管領(lǐng)導(dǎo)申請(qǐng)，審批后方可實(shí)施變更，并在實(shí)施后向相關(guān)人員通告。

（6）制定安全事件報(bào)告和處置管理制度，明確安全事件類型，規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)的管理職責(zé) 。

（7）在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案 。 應(yīng)急預(yù)案框架應(yīng)包括啟動(dòng)應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容 。 應(yīng)對(duì)系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次。

（五）市場(chǎng)化交易平臺(tái)與公共服務(wù)平臺(tái)及監(jiān)督平臺(tái)分離運(yùn)營(yíng)

避免 “ 所有的雞蛋都放在一個(gè)籃子里 ” 產(chǎn)生的系統(tǒng)性風(fēng)險(xiǎn) ，《 電子招標(biāo)投標(biāo)辦法 》 中設(shè)計(jì)的三平臺(tái)分離運(yùn)營(yíng)的思想，也是安全性考慮的一個(gè)重要設(shè)計(jì)。目前有些開發(fā)單位不僅將電子招標(biāo)投標(biāo)三大平臺(tái)放在一起，有意無意地將工程建設(shè)、政府采購(gòu)、產(chǎn)權(quán)、土地等各類公共資源都放在一個(gè)平臺(tái)里，甚至將全省所有的地方也都放在一個(gè)平臺(tái)里，并冠以 “ 全省一張網(wǎng) ” ，這種設(shè)計(jì)造成的結(jié)果是，如果這個(gè)省的 “ 這張網(wǎng) ” 的平臺(tái)安全出現(xiàn)問題，那么也就意味整個(gè)省就全部 出現(xiàn) 問題。

國(guó)家制度設(shè)計(jì)里，無論是電子招標(biāo)投標(biāo)系統(tǒng)，還是公共資源交易平臺(tái)的電子化，一直都特別強(qiáng)調(diào)交易平臺(tái)和公共服務(wù)平臺(tái)一定要物理分離，公共服務(wù)平臺(tái)（公共資源交易平臺(tái)也稱 “ 電子服務(wù)系統(tǒng) ” ）可以全省建設(shè)一個(gè)，但交易平臺(tái)則應(yīng)是市場(chǎng)化、專業(yè)化、集約化的。監(jiān)督平臺(tái)更應(yīng)當(dāng)與交易平臺(tái)分離，避免監(jiān)督平臺(tái)嵌入交易平臺(tái)中，防止監(jiān)督功能被交易平臺(tái)綁架。

三大平臺(tái)之間如何界定各自功能和定位？ 《 電子招標(biāo)投標(biāo)辦法 》 以及最近的 《 “ 互聯(lián)網(wǎng)+招標(biāo)采購(gòu) ” 行動(dòng)方案 （2017-2019年）》 ，都對(duì)這個(gè)問題有明確的規(guī)定，公共資源交易采取了同樣的架構(gòu)：

（ 1 ） 交易平臺(tái)負(fù)責(zé)完成招標(biāo)投標(biāo)交易活動(dòng)，不能承擔(dān)監(jiān)督功能，要與公共服務(wù)平臺(tái)分離 。

（ 2 ） 公共服務(wù)平臺(tái)提供交易平臺(tái)之間，以及交易平臺(tái)與監(jiān)督平臺(tái)之間信息交換、資源共享服務(wù)，并為市場(chǎng)主體、行政監(jiān)督部門和社會(huì)公眾提供信息服務(wù)，不得具有交易功能，可以為監(jiān)督部門提供監(jiān)督窗口和監(jiān)督工具。交易平臺(tái)樞紐，公共信息載體，身份互認(rèn)橋梁，行政監(jiān)管依托，國(guó)家電子招標(biāo)投標(biāo)公共服務(wù)平臺(tái)有義務(wù)為地方公共服務(wù)平臺(tái)建設(shè)提供技術(shù)和信息資源支持。

（ 3 ） 行政監(jiān)督平臺(tái)負(fù)責(zé)完成行政監(jiān)督部門和監(jiān)察機(jī)關(guān)在線監(jiān)督電子招標(biāo)投標(biāo)活動(dòng)，不能承擔(dān)交易功能。

（六）交易系統(tǒng)與專用的工具軟件分離開發(fā)運(yùn)營(yíng)

《 電子招標(biāo)投標(biāo)管理辦法 》 和 《 交易平臺(tái)技術(shù)規(guī)范 》 中，對(duì)交易平臺(tái)與專業(yè)工具軟件之間的關(guān)系問題， 做 了接口的技術(shù)性要求，即：

交易系統(tǒng)不得限制或者排斥符合技術(shù)規(guī)范規(guī)定的工具軟件與其對(duì)接。如各投標(biāo)人編制投標(biāo)文件時(shí)可以使用自己已經(jīng)購(gòu)買的符合標(biāo)準(zhǔn)的工程計(jì)價(jià)系統(tǒng)的工具軟件，只要符合交易平臺(tái)公布的數(shù)據(jù)接口標(biāo)準(zhǔn) ， 即可與交易平臺(tái)實(shí)現(xiàn)數(shù)據(jù)對(duì)接交換。

而隨著電子招標(biāo)投標(biāo)工作的不斷推進(jìn)和深化，解決交易平臺(tái)與專業(yè)工具軟件之間的開發(fā)和運(yùn)營(yíng)問題也越來越迫切，一些推行電子招標(biāo)投標(biāo)比較早的地方，如北京市建設(shè)工程承包發(fā)包中心就規(guī)定 ， 交易平臺(tái)和專業(yè)的工具軟件分別由不同的開發(fā)商開發(fā)。

之所以這樣要求就是因?yàn)榻灰灼脚_(tái)和專業(yè)工具軟件，如果都是由同一家軟件供應(yīng)商開發(fā)，就容易導(dǎo)致交易平臺(tái)對(duì)軟件開 發(fā)商的全流程依賴，難以防范開發(fā)商的開發(fā)人員利用交易平臺(tái)全程控制的技術(shù)地位，篡改后臺(tái)數(shù)據(jù)和文件調(diào)包等非法行為。

此外，由于交易平臺(tái)和工具軟件是同一開發(fā)商開發(fā)，那么平臺(tái)與工具軟件對(duì)接這個(gè)關(guān)系環(huán)節(jié)缺少中立的第三方監(jiān)督，那么該開發(fā)商就可以利用這一技術(shù)地位，抹掉修改或調(diào)包的操作痕跡，造成沒有后門的假象等問題。

將交易系統(tǒng)和工具軟件 的 開發(fā)和運(yùn)營(yíng)分離，不僅形成工具軟件的充分市場(chǎng)競(jìng)爭(zhēng)，更有利于交易平臺(tái)和工具軟件的安全管控，從而促進(jìn)電子招標(biāo)投標(biāo)的健康可持續(xù)運(yùn)營(yíng)。

（七）交易平臺(tái) 須 通過檢測(cè)認(rèn)證

由于交易平臺(tái)專業(yè)性強(qiáng)、技術(shù)復(fù)雜，僅通過使用者的功能性檢測(cè)，難以對(duì)數(shù)據(jù)接口、后臺(tái)技術(shù)規(guī)范性、中間件等隱蔽性工程進(jìn)行測(cè)試了解 。 因此，通過第三方專業(yè)機(jī)構(gòu)的檢測(cè)認(rèn)證，可以有效地將交易平臺(tái)中存在的功能、性能、安全等缺陷、漏洞和后門等提早發(fā)現(xiàn)出來，從源頭上防止問題的發(fā)生。

國(guó)家 對(duì) 交易平臺(tái)的檢測(cè)有明確要求，即應(yīng)符合《電子招標(biāo)投標(biāo)辦法》及《電子招標(biāo)投標(biāo)系統(tǒng)技術(shù)規(guī)范》的要求，并按照檢測(cè)認(rèn)證管理辦法，進(jìn)行檢測(cè)認(rèn)證。

交易平臺(tái)的檢測(cè)認(rèn)證有一星二星三星三個(gè)等級(jí)，有關(guān)檢測(cè)認(rèn)證的內(nèi)容、方法和流程在已經(jīng)發(fā)布的檢測(cè)認(rèn)證管理辦法里都有詳細(xì)規(guī)定。

注意檢測(cè)是針對(duì)交易平臺(tái)系統(tǒng)而言，認(rèn)證是針對(duì)交易平臺(tái)運(yùn)營(yíng)機(jī)構(gòu)而言。

（八）數(shù)據(jù)信息傳送公共服務(wù)平臺(tái)接受認(rèn)證后監(jiān)督

實(shí)現(xiàn)電子招標(biāo)投標(biāo)的全流程，不僅包括交易平臺(tái)上的全流程，也包括跨越交易平臺(tái)、公共服務(wù)平臺(tái)和行政監(jiān)督平臺(tái)的全流程。例如，招標(biāo)公告不僅要在交易平臺(tái)上生成，也要到公共服務(wù)平臺(tái)指定媒體上公開，還要到行政監(jiān)督平臺(tái)上備案接受在線監(jiān)督，也就是說招標(biāo)公告要跨越三大平臺(tái)實(shí)現(xiàn)全流程。

除了依法依規(guī)公開的數(shù)據(jù)傳送公共服務(wù)平臺(tái)履行公開 ， 并通過公共服務(wù)平臺(tái)提供的監(jiān)督通道（或者監(jiān)督窗口）接受認(rèn)證后在線監(jiān)督外，在安全性上也有好處和必要 。

電子招標(biāo)投標(biāo)交易過程中的信息，按法律法規(guī)約定的時(shí)間節(jié)點(diǎn)上不僅在工具軟件、交易平臺(tái)上生成和歸檔，同時(shí)也 要 在物理分離的獨(dú)立的公共服務(wù)平臺(tái)進(jìn)行同步備案存檔，既達(dá)到了 《 電子招標(biāo)投標(biāo)辦法 》 里面要求的信息公開要求，也從根本上杜絕了交易信息被開發(fā)商或者內(nèi)部技術(shù)人員篡改的第三方備份機(jī)制，為日后的監(jiān)督和審計(jì)提供了可信 、 可靠的備查機(jī)制。

本文最后需要強(qiáng)調(diào)的是，安全威脅總是實(shí)時(shí)變化的，任何系統(tǒng)的安全防護(hù)措施都不是一勞永逸的，需要平臺(tái)的運(yùn)營(yíng)主體加強(qiáng)安全管理和安全運(yùn)維的意識(shí)，設(shè)置適合自己平臺(tái)的安全基線，定期進(jìn)行安全檢測(cè)、安全加固，及時(shí)處理發(fā)現(xiàn)的問題，確保交易平臺(tái)的安全運(yùn)行。

作者： 許程亮， 中國(guó)招標(biāo)公共服務(wù)平臺(tái)

來源：《招標(biāo)采購(gòu)管理》