亚洲精品久久区二区三区蜜桃臀,亚洲一卡2卡3卡4卡乱码,中文字幕,欧美精品,亚洲,中文字幕亚洲综合久久蜜桃,曰韩内射六十七十老熟女影视

　　隨著《網(wǎng)絡安全法》頒布和實施，網(wǎng)絡安全問題已經(jīng)上升到國家層面。電子招標投標系統(tǒng)是電子政務重要組成部分，電子招標投標主體信息和交易數(shù)據(jù)容易成為互聯(lián)網(wǎng)非法攻擊目標。電子招標投標活動中用戶身份確認、潛在投標人保密、評標委員會保密、投標文件防竊取與防篡改、開標防解密失敗、評標防泄密和評標結(jié)果防篡改等是重點安全問題。

　　中國招標投標公共服務平臺始終關注和研究電子招標投標網(wǎng)絡安全問題，本文針對電子招標投標活動的風險和安全問題，從管理流程和制度角度，就如何建立完整安全防御體系、做到事先風險防范和事后風險控制進行論述。

　　《電子招標投標辦法》第十二條規(guī)定“電子招標投標交易平臺運營機構(gòu)應當根據(jù)國家有關法律法規(guī)及技術規(guī)范，建立健全電子招標投標交易平臺規(guī)范運行和安全管理制度，加強監(jiān)控、檢測，及時發(fā)現(xiàn)和排除隱患”，第十三條規(guī)定“電子招標投標交易平臺運營機構(gòu)應當采用可靠的身份識別、權(quán)限控制、加密、病毒防范等技術，防范非授權(quán)操作，保證交易平臺的安全、穩(wěn)定、可靠”。

　　1．評標專家抽取保密控制

　　防范措施包括：

　　1）通知階段電話語音通知。應用隨機雙盲“電腦隨機抽取-語音自動通知-短信發(fā)送確認”

　　2）抽取過程語音+錄像監(jiān)控。抽取評標專家時，招標人代表、監(jiān)督人員在場。

　　3）專家抽取結(jié)果通知保密。密封打印是最常見方式，評標啟動前由監(jiān)督人員查驗密封情況后拆封。還有的做法是在評標啟動前，以傳真方式提供專家名單。

　　還有較為先進方式是評標區(qū)安裝監(jiān)控和門禁系統(tǒng)。評標啟動前，專家簽到系統(tǒng)共享評標專家抽取信息和專家指紋信息。專家驗證指紋進場，系統(tǒng)自動提示評標房間和評標項目。監(jiān)督人員在線監(jiān)控評標全過程，保留評標影音資料備查。

　　4）設定候選專家比例，確保評委會組建順利進行。

　　2.投標文件的加密和解密

　　投標文件制作ca加密，開標時ca解密，杜絕信息泄露。解密模式有兩種：交易平臺集中解密模式和投標人解密模式。

　　交易平臺集中解密模式，投標文件上傳交易平臺后，存在系統(tǒng)管理員非法提前解密風險。交易平臺需要完善管理制度、加強安全管理，保證投標文件不被提前解密。

　　投標人解密模式，由于投標人網(wǎng)絡、電腦軟硬件等環(huán)境因素，存在解密失敗且責任不易認定風險。中國招標公共服務平臺提供開標保障服務，可在投標文件解密失敗后，及時補救、完成解密操作。

　　3．嚴格控制信息訪問權(quán)限

　　1）嚴格實施系統(tǒng)開發(fā)權(quán)、系統(tǒng)管理權(quán)的分離

　　軟件部署環(huán)境按照等級保護制度，劃分為測試環(huán)境、預生產(chǎn)環(huán)境和生產(chǎn)環(huán)境。軟件開發(fā)人員負責軟件程序開發(fā)和后期修改，只能夠訪問測試環(huán)境，嚴格禁止開發(fā)人員接觸生產(chǎn)環(huán)境。平臺應當制定版本發(fā)布流程，系統(tǒng)版本發(fā)布和更新要經(jīng)過功能、性能和安全性測試，測試通過后在預生產(chǎn)環(huán)境發(fā)布。預生產(chǎn)環(huán)境試運行通過后，再發(fā)布到正式環(huán)境。

　　2）最小化原則設定各方權(quán)限

　　系統(tǒng)權(quán)限按角色劃分，招標方、投標方操作人員、平臺運營人員和系統(tǒng)維護人員等在各自權(quán)限范圍內(nèi)工作和查看信息。各角色相互監(jiān)控、互相制約，避免權(quán)限集中導致安全風險。

　　4.制定安全管理制度

　　根據(jù)《網(wǎng)絡安全法》和《GB/T22239-2008信息安全等級保護要求》管理要求及電子招標投標技術規(guī)范，各平臺運營機構(gòu)應當結(jié)合本單位實際現(xiàn)狀，從人員職責、系統(tǒng)建設和運維管理等方面制定相應安全管理制度。

　　人員方面要求主要包括：

　　1） 設置安全主管、安全管理各個方面負責人，定義各負責人職責；

　　2） 設置系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等崗位，定義各個工作崗位職責。安全管理員不能兼任網(wǎng)絡管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等；

　　3） 關鍵活動建立審批流程，由批準人簽字確認；

　　4） 安全管理員定期進行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等。還需要檢查安全防護設備運行情況，定期查看監(jiān)控日志；

　　5） 確保外部人員訪問受控區(qū)域前得到授權(quán)或?qū)徟?，批準后由專人全程陪同或監(jiān)督，并登記備案；

　　系統(tǒng)建設方面要求包括：

　　1） 軟件安裝之前檢測軟件包中可能存在的惡意代碼；

　　2） 開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門；

　　3） 規(guī)劃總體安全防護體系，制定安全保護方案，并按照方案實施設備采購部署安全設備；

　　4） 與選定安全服務商簽訂與相關安全協(xié)議，明確約定相互責任。

　　運維管理方面要求包括：

　　1） 應指定人員對網(wǎng)絡進行管理，負責運行日志、網(wǎng)絡監(jiān)控記錄的日常維護和報警信息分析和處理工作，嚴格遵守網(wǎng)路區(qū)域的邊界控制，未經(jīng)過審批嚴禁跨區(qū)訪問，關閉所有不用公網(wǎng)服務端口。

　　2） 對服務器主機要做安全加固，例如禁ping，修改系統(tǒng)賬號密碼策略，刪除或禁用不必要用戶和用戶組，停用無關服務等。

　　3） 根據(jù)業(yè)務需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略，并根據(jù)系統(tǒng)的情況及時優(yōu)化和調(diào)整策略。

　　4） 定期對運行日志和審計數(shù)據(jù)分析，及時發(fā)現(xiàn)異常行為。

　　5） 確認系統(tǒng)中要發(fā)生的重要變更，制定變更方案；發(fā)生重要變更前，向主管領導申請，審批后方可實施變更，實施后向相關人員通告。

　　6） 制定安全事件報告和處置管理制度，明確安全事件類型，規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復的管理職責；

　　7） 在統(tǒng)一應急預案框架下制定不同應急預案，應急預案框架應包括啟動應急預案的條件、應急處理流程、系統(tǒng)恢復流程、事后教育和培訓等內(nèi)容。應對系統(tǒng)相關人員進行應急預案培訓，培訓至少每年舉辦一次。

　　5．市場化交易平臺與公共服務平臺及監(jiān)督平臺分離運營

　　避免“所有雞蛋放在一個籃子里的系統(tǒng)性風險”。《電子招標投標辦法》三平臺分離運營思想，也是安全性重要設計。有些機構(gòu)不僅將電子招標投標三類平臺放在一起，還有意無意將工程建設、政府采購、產(chǎn)權(quán)、土地等各類公共資源交易都放在同一平臺，甚至將全省所有地方平臺也放在一個平臺，并冠以“全省一張網(wǎng)”。這種設計造成的后果是，“一張網(wǎng)”省平臺出現(xiàn)安全問題，意味各個地方平臺都有問題。

　　根據(jù)國家制度設計，特別強調(diào)交易平臺和公共服務平臺實現(xiàn)物理分離。公共服務平臺可以全省建設一個，交易平臺則應是市場化、專業(yè)化、集約化的。監(jiān)督平臺更應當與交易平臺分離，防止監(jiān)督功能被交易平臺綁架。

　　三類平臺之間如何界定各自功能和定位？電子招標投標辦法以及最近的“互聯(lián)網(wǎng)+”招標采購行動方案都對此有明確規(guī)定，公共資源交易采取了同樣的架構(gòu)：

　　1） 交易平臺負責完成招標投標交易活動，不能承擔監(jiān)督功能，要與公共服務平臺分離；

　　2） 公共服務平臺提供交易平臺之間，以及交易平臺與監(jiān)督平臺之間信息交換、資源共享服務，并為市場主體、行政監(jiān)督部門和社會公眾提供信息服務，為監(jiān)督部門提供監(jiān)督窗口和監(jiān)督工具，不具有交易功能。

　　3） 行政監(jiān)督平臺為行政監(jiān)督部門和監(jiān)察機關在線監(jiān)督提供窗口。

　　6．交易系統(tǒng)與專用的工具軟件分離開發(fā)運營

　　《電子招標投標辦法》和交易平臺技術規(guī)范提出：交易系統(tǒng)不得限制或者排斥相關工具軟件與其對接。各投標人可使用符合標準的工程計價工具軟件，按數(shù)據(jù)接口標準即可與交易平臺實現(xiàn)對接。

　　隨著電子招標投標不斷推進和深化，交易平臺與專業(yè)工具軟件之間開發(fā)和運營規(guī)范問題越來越迫切。部分推行電子招標投標較早的省市，如北京市建設工程承包發(fā)包中心，規(guī)定交易平臺和專業(yè)工具軟件應當分別由不同開發(fā)商開發(fā)。

　　同一家軟件供應商開發(fā)交易平臺和專業(yè)工具軟件，容易導致交易平臺對軟件開發(fā)商的全方位依賴，容易產(chǎn)生開發(fā)商利用對交易平臺全程控制的優(yōu)勢地位，篡改后臺數(shù)據(jù)和文件調(diào)包等非法行為。此外，交易平臺和工具軟件為同一開發(fā)商，交易平臺與工具軟件對接缺少中立第三方見證和監(jiān)督。開發(fā)商可以利用這一優(yōu)勢地位，抹掉修改或調(diào)包的操作痕跡，造成沒有后門的假象等問題。

　　交易系統(tǒng)和工具軟件開發(fā)和運營分離，可促進工具軟件充分競爭，有利于交易平臺和工具軟件安全管控，促進電子招標投標健康可持續(xù)運營。

　　7．交易平臺檢測認證

　　交易平臺專業(yè)性強、技術復雜，僅通過使用方功能性檢測，難以對數(shù)據(jù)接口、后臺技術規(guī)范性、中間件等隱蔽性工程進行測試了解。第三方專業(yè)機構(gòu)檢測認證，可以有效防范交易平臺中功能、性能、安全等缺陷、漏洞和后門等，從源頭上防止問題出現(xiàn)。

　　交易平臺檢測認證分為三個等級。交易平臺檢測應符合《電子招標投標辦法》及《電子招標投標系統(tǒng)技術規(guī)范》的要求，按照檢測認證管理辦法進行檢測認證。檢測針對交易平臺系統(tǒng)，認證針對交易平臺運營機構(gòu)。

　　8．數(shù)據(jù)傳送公共服務平臺，接受認證后監(jiān)督

　　全流程電子招標投標不僅是交易平臺全流程電子化操作，還是跨越交易平臺、公共服務平臺和行政監(jiān)督平臺的全流程數(shù)據(jù)流轉(zhuǎn)。例如，招標公告不僅要在交易平臺上生成，也發(fā)送公共服務平臺公開發(fā)布、方便潛在投標人查詢，還要到行政監(jiān)督平臺上備案、接受在線監(jiān)督。所有依法公開數(shù)據(jù)都需要傳給公共服務平臺，并通過公共服務平臺監(jiān)督通道（或者監(jiān)督窗口）接受在線監(jiān)督。

　　電子招標投標交易過程數(shù)據(jù)，在工具軟件、交易平臺上生成和歸檔同時，還在公共服務平臺同步備案存檔。數(shù)據(jù)傳送公共服務平臺既能實現(xiàn)信息公開，還是杜絕交易信息被篡改的有效機制，并為日后監(jiān)督和審計提供可信、可靠備查依據(jù)。

　　需要強調(diào)的是，在電子招標投標活動中，安全威脅總是不斷產(chǎn)生、實時變化，任何安全防護措施都不可能一勞永逸。電子招標投標系統(tǒng)運營機構(gòu)應當加強安全管理、提高安全意識，設置合理安全基線，定期進行安全檢測、安全加固，及時發(fā)現(xiàn)、處理問題，確保平臺安全運行。

　　作者：許程亮