隨著信息技術(shù)的蓬勃發(fā)展和廣泛應(yīng)用，公共資源交易平臺(tái)的電子化、智能化程度不斷提升，市縣“一張網(wǎng)”的工作格局基本形成，與此同時(shí)，信息化安全相對薄弱問題也開始凸顯。2017年，勒索病毒全球大爆發(fā)使諸多行業(yè)遭受危害，F(xiàn)acebook信息泄露，網(wǎng)絡(luò)數(shù)據(jù)被盜用，充分說明無論是政治、經(jīng)濟(jì)還是文化層面，競爭的主戰(zhàn)場已悄然轉(zhuǎn)換至網(wǎng)絡(luò)上。2021年12月，某市公共資源交易平臺(tái)因云端服務(wù)器突發(fā)異常而導(dǎo)致評標(biāo)中斷，且持續(xù)3天未能恢復(fù)正常，造成了嚴(yán)重?fù)p失。在日趨復(fù)雜的網(wǎng)絡(luò)環(huán)境下，公共資源交易的信息化安全問題值得探究。筆者結(jié)合全流程電子化招投標(biāo)，對交易平臺(tái)的信息安全問題作初步探討，并提出相應(yīng)對策，供同行參考借鑒。

　　常見問題

　　全流程電子化招投標(biāo)完全依賴于網(wǎng)絡(luò)，常見的安全隱患主要來自于兩個(gè)方面，即網(wǎng)絡(luò)信息和電子化應(yīng)用。

　　網(wǎng)絡(luò)信息方面

　　一是安全協(xié)議不完備。當(dāng)前，公共資源交易安全協(xié)議缺乏統(tǒng)一標(biāo)準(zhǔn)和規(guī)范，制約了電子招投標(biāo)的推廣和應(yīng)用。如，在網(wǎng)絡(luò)層面分別采用IP、ARP、X.25等不同協(xié)議，由此產(chǎn)生的安全問題互不相同。另外，在安全管理方面也有隱患，極易受到黑客攻擊。

　　二是病毒防治難?；ヂ?lián)網(wǎng)為計(jì)算機(jī)病毒傳播提供了更快、更好的媒介，很多新型病毒直接以網(wǎng)絡(luò)為載體傳播。如，編制完畢的投標(biāo)文件通過互聯(lián)網(wǎng)上傳給服務(wù)器到開標(biāo)前這段時(shí)間內(nèi)容易傳播病毒。

　　三是服務(wù)器存在隱患。安裝有招投標(biāo)控件、插件等軟件和用戶信息的服務(wù)器是網(wǎng)上招投標(biāo)的核心，服務(wù)器一旦出現(xiàn)安全問題，必然造成嚴(yán)重的后果。即使加裝了“電子狗”等安全系數(shù)較高的產(chǎn)品，也很難保證傳送的數(shù)據(jù)不被“黑客”所窺視和篡改，很難阻止非法用戶對數(shù)據(jù)庫或者網(wǎng)絡(luò)資源的侵略性訪問。

　　電子化應(yīng)用方面

　　一是缺乏安全認(rèn)證。任何一個(gè)新系統(tǒng)在上線前，除進(jìn)行常規(guī)性安全掃描和漏洞檢查外，最可靠的辦法就是進(jìn)行安全認(rèn)證。而目前，省、市、縣三級公共資源交易平臺(tái)基本上都是籌建時(shí)由投資方推薦的網(wǎng)絡(luò)公司搭建的，且多數(shù)都未經(jīng)過官方權(quán)威認(rèn)證，存在一定的安全隱患。

　　二是惡意否認(rèn)信息。全流程電子化招投標(biāo)信息具有不可抵賴性，但一些素質(zhì)低的評委和代理機(jī)構(gòu)卻對自己確認(rèn)的信息進(jìn)行惡意否認(rèn)，要求解鎖，逃避責(zé)任。

　　三是信息修改隱患。全流程電子化招投標(biāo)信息不能夠隨意被修改，但由于涉及的環(huán)節(jié)較多，能否作到網(wǎng)上流轉(zhuǎn)信息的“唯一性”“準(zhǔn)確性”令人擔(dān)憂，存在一定的風(fēng)險(xiǎn)。

　　防護(hù)措施

　　根據(jù)全流程電子化招投標(biāo)數(shù)據(jù)信息存儲(chǔ)和訪問的特點(diǎn)，建議采取以下防護(hù)措施。

　　一是應(yīng)用數(shù)字證書。數(shù)字證書（CA）可以對信息發(fā)送者的身份進(jìn)行識(shí)別認(rèn)證，保證信息傳輸過程中數(shù)據(jù)的安全性和完整性。交易平臺(tái)應(yīng)積極推廣使用CA鎖，并且真正做到省、市、縣“一鎖通用”，確保身份驗(yàn)證及信息交換的不可否認(rèn)性。

　　二是設(shè)置專用賬戶。專用賬戶包含一些特定用戶信息，如用戶名、密碼以及登錄限制等。它是用戶唯一的身份標(biāo)識(shí)，只有符合條件才能登錄到指定服務(wù)器進(jìn)行訪問，或者登錄到特定區(qū)域進(jìn)行文件下載和上傳，只有扎實(shí)做好身份認(rèn)證、電子簽章、電子簽名、數(shù)據(jù)加密、平臺(tái)檢測認(rèn)證等工作，解決好數(shù)據(jù)交互和接口安全等問題，才能確保全流程電子化招投標(biāo)系統(tǒng)整體性能的安全。

　　三是增設(shè)防火墻。防火墻是兩個(gè)不同網(wǎng)絡(luò)之間實(shí)現(xiàn)互訪時(shí)的控制設(shè)備，通過屏蔽不安全服務(wù)，限制非法用戶訪問，阻止黑客的嵌入、復(fù)制和刪除數(shù)據(jù)，有效控制網(wǎng)絡(luò)內(nèi)外的信息交流，還可以提供接入控制和審查跟蹤，確保全流程電子化信息的安全性。此外，還要及時(shí)升級殺毒軟件版本并不斷更新特征庫，以便于查獲病毒入侵信息、查殺病毒，防患于未然。

　　四是安裝專用工具。目前，業(yè)界大多采用某類安全審計(jì)產(chǎn)品，該產(chǎn)品是對網(wǎng)絡(luò)和指定應(yīng)用系統(tǒng)使用狀態(tài)進(jìn)行跟蹤記錄及綜合梳理的專用工具，不僅可以對全流程電子化招投標(biāo)實(shí)施動(dòng)態(tài)監(jiān)控，還可以詳細(xì)記錄交易系統(tǒng)上發(fā)生的情況，可流痕待查，可追根朔源，為用戶信息安全提供了強(qiáng)大的技術(shù)支撐。

　　五是采取容災(zāi)備份。一個(gè)成熟的網(wǎng)絡(luò)系統(tǒng)，應(yīng)至少對數(shù)據(jù)信息提供兩種安保措施：數(shù)據(jù)在系統(tǒng)內(nèi)部實(shí)現(xiàn)鏡像；對服務(wù)器上的重要數(shù)據(jù)信息進(jìn)行自動(dòng)備份。因此，公共資源交易平臺(tái)應(yīng)建立健全數(shù)據(jù)容災(zāi)備份和恢復(fù)機(jī)制，為全流程電子化招投標(biāo)提供保障。

　　六是完善安全制度。公共資源交易平臺(tái)應(yīng)當(dāng)建立健全信息安全制度，落實(shí)技術(shù)措施，牢固樹立“三分技術(shù)七分管理”工作理念，加強(qiáng)網(wǎng)絡(luò)知識(shí)、安全保密、法律法規(guī)等方面的教育，將信息、口令或密碼、網(wǎng)絡(luò)地址、日常管理和系統(tǒng)運(yùn)行、工作日志等重要信息納入密級管理，制訂信息安全管理辦法，建立巡檢制度，定期對網(wǎng)絡(luò)設(shè)備、機(jī)房狀況進(jìn)行檢查，排除安全隱患，確保信息安全。

　　七是做好運(yùn)維保障。高質(zhì)量運(yùn)行維護(hù)是全流程電子化招投標(biāo)能否長期、安全、穩(wěn)定運(yùn)行的保障，公共資源交易平臺(tái)應(yīng)當(dāng)安排專人負(fù)責(zé)此項(xiàng)工作，并與服務(wù)機(jī)構(gòu)簽定安全保密責(zé)任書，嚴(yán)禁無關(guān)人員擅自接觸系統(tǒng)。服務(wù)機(jī)構(gòu)要著力做好軟、硬件兩方面的運(yùn)維工作，及時(shí)排除安全隱患，確保信息運(yùn)行暢通。

　　網(wǎng)絡(luò)系統(tǒng)信息化安全牽一發(fā)而動(dòng)全身，公共資源交易平臺(tái)唯有順應(yīng)形勢，提高風(fēng)險(xiǎn)意識(shí)，筑牢安全根基，提高預(yù)判能力，消除各種隱患，才能不斷提高交易平臺(tái)的可靠性、穩(wěn)定性，真正發(fā)揮全流程電子化招投標(biāo)的優(yōu)勢。

關(guān)注讀覽天下微信， 100萬篇深度好文， 等你來看……