委托第三方开展安全检测

 

　　考虑到政府采购中心是一个服务性机构，可能缺乏信息安全方面的专业人才，应将专业的事情委托第三方专业机构来承担，以年度服务的方式定期委托第三方专业机构开展安全运维工作，具体包括：定期开展等级保护测评和风险评估，落实等保制度定期开展安全巡检，排查信息系统运行过程中出现的安全漏洞和风险，及时采取有效的应对措施；开展实时安全监测和预警，掌握平台运行安全态势；针对出现的安全事件快速响应和处置。

 

　　抓牢采购项目信息安全

 

　　根据政府采购中心的工作实际，应该重点加强采购项目安全保护。强化数据存储、数据传输过程中的安全保密性，并对系统进行有效的安全访问控制，是政府采购中心信息系统安全的重中之重。政府采购中心信息系统应具有较强的网络身份识别能力、抵御病毒与木马侵害能力、防止黑客攻击的能力，以及系统被攻击后的应急恢复能力。

 

　　加强信息系统应用安全

 

　　基于政府采购信息系统部署在电子政务外网云端，所以安全层面主要考虑在应用、数据两个层面，而物理、系统和网络三个层面依托于电子政务云的安全机制，确保信息系统安全。

 

　　比如，应用系统访问控制技术的运用。应用系统应能够控制不同用户在不同数据、不同业务环节上的查询、添加、修改、删除的权限，提供面向URL（统一资源定位符）的控制能力，提供面向Service（服务器）的控制能力，提供面向IP的控制能力，提供Session的超时控制。

 

　　数据安全以备份为目标

 

　　政府采购信息系统的数据安全，重点以数据备份为目标。数据备份涉及两种类型的备份内容：系统中关键应用系统及运行的操作系统的备份，系统中数据的备份。

 

　　一是对于应用软件及系统软件的备份恢复，可采用一次性的全备份；二是对于数据的备份，可分别采用定期全备份、差分备份份和增量备份的策略，来保证数据的安全；三是数据访问控制，支持ACCL模式（以用户为中心的控制访问权限表）的数据访问控制机制，同时对用户访问过程全程记录轨迹，并对用户访问行为进行监控；四是加强数据传输安全。

 

　　强化信息系统终端安全

 

　　一是强化CA身份认证，充分利用电子政务外网统一云平台的安全认证基础设施，加强身份认证安全；二是强化VPN终端保护，利用安装在数据中心VPN路由器（虚拟专用网络）、防火墙等网络设备上的数字证书，在传输过程中给访问者创建一个不受外界干扰完全逻辑隔离的安全通道，确认访问通道的安全。

 

　　内部办公系统安全系数高

 

　　政府采购中心内部办公系统系政府采购中心信息系统一个子系统。一方面，政府采购中心内部办公系统提供单点登录接口，单点进入内部办公系统。系统与政务办公系统账号、密码同步。另一方面，内部办公系统应能够基于不同角色的用户管理，即按照管理员、信息发布、信息报送、信息查询四种角色进行角色权限的分配。支持新增用户、修改用户信息、删除用户、用户密码重置、用户停用等功能，

 

　　投标保证金系统高可靠性

 

　　政府采购保证金统一管理平台是政府采购信息系统的一个分系统，安全性要求高。一方面，该系统要求提供云平台级、系统级、应用级等不同层次的、灵活的安全措施；另一方面，该系统能够采取操作权限控制、密码控制、数据加密等多种手段确保系统安全，尤其是确保核心网络的安全。总之，该系统必须保证数据不被非法入侵者破坏和盗用，并保证数据的一致性是其关键所在，不能有任何疏忽大意。