专业知识服务提供商
□文/金柏舟
电子招标投标系统的安全性能否得道保障,并不取决于由谁建设、运营,应该在计算机硬件、软件上面下功夫,确保信息数据的安全。
《中国招标》周刊记者对目前市场运行的电子招投标 平台系统进行梳理分析后发现, 电子招投标系统中,硬件安全方 面,不能在互联网上直接开放运 维管理后台和主机登录入口。可 采用VPN通道方式强化网络安 全, 同 时 采 用 抗 DDOs 攻 击 系 统、网页防篡改保护系统、WAF 防火墙、IPS入侵防护系统、数 据泄露防护系统等对系统提供安 全检测防护。采用防病毒网关或 杀毒软件防病毒,并定期查杀病 毒。定期对操作系统进行漏洞扫 描,及时安装系统补丁防范安全 漏洞。由于安全防护投入成本较 高,中小型交易平台由于成本压 力面临实施困难的,可以采用诸 如UTM、下一代防火墙的集成多 功能的一体化产品降低成本。生 产环境需要按照等级保护要求划分安全区域,需要对外提供服务 的Web服务、应用程序、接口等 部署在外网区,系统的数据库和 其他重要的数据文件存储应在内 网区域,互联网不能直接访问, 区域之间用防火墙做边界隔离。
系统安全风险测评,尤其是 系统源代码应做安全审查。由于 开发人员水平和经验问题,源代 码当中通常会存在安全漏洞和安 全风险,容易被互联网攻击者利 用。源代码审查可从源头上发现 这些漏洞,并进行安全整改。系 统安全检测包括系统漏洞扫描, 以及前面提到的用户身份鉴别, 还有访问控制,数据完整性、保 密性检查,数据备份与恢复检查 等检测内容。还可以做本地、远 程、网络三个不同层级渗透测试, 模拟演练发生攻击情况。通过渗 透测试对网站进行深度检测,发 现和挖掘系统中存在的漏洞。
在网络信息安全方面,可以 从以下部分入手 :一是安全协议 问题。安全协议当前还没有全球 统一的标准和规范,相对制约了公共资源交易电子化的应用推 广。比如在网络层中分别采用 IP、 ARP、X.25 等不同协议,所产生 的安全问题就不同。此外,在安全 管理方面还存在较大隐患,容易 受到黑客攻击。二是防病毒问题。 网络的出现为计算机病毒的传播 提供了更快、更好的媒介,很多新 型病毒直接以网络为载体进行传 播,在公共资源交易电子化平台上 怎样有效地防范病毒已迫在眉睫。 例如,编制好投标文件后通过互联 网上传到服务器等待开标这一投 标环节就容易传播病毒。三是服务 器安全问题。装有大量与公共资源 交易电子化有关的控件、插件等软 件和用户信息的系统服务器是公 共资源交易信息化的灵魂,因此, 服务器特别容易受到安全威胁,一 旦出现安全问题,会造成严重后 果。即使介入安全狗等系数高的安 全产品,也很难保证传送的数据不 被攻击者窥视和篡改,以及阻止 非法用户对交易数据库或网络资 源的有害访问。 (责编:冯君)
