时下,随着信息技术的蓬勃发展和广泛应用,基于网络和多媒体技术的电子化交易平台应运而生,省、市、县“一体化”网上招投标步伐也不断地加快,全省“一张网”、全市“一张网”招投标格局已基本形成,网上招投标越来越普及,招投标效率得了质的飞跃,与此同时,信息安全相对薄弱和滞后的问题也已经凸显。曾记得,2017年,勒索病毒全球爆发,影响众多行业,造成了严重危害;Facebook信息泄露,网络数据被非法盗用。这些都充分说明无论是政治、经济、金融、文化领域等各个层面,“战争、斗争、竞争”的主战场已经悄然转移到网络上,这无疑给网上招投标安全敲响了警钟。如何确保全流程网上招投标持续稳定运行,如何为招投标双方的安全保驾护航,需业界全方位、多角度慎密思考,找准症结,精准施策。本文结合工作实际,就网上招投标安全问题谈几点看法,供同行参考借鉴。
一、网上招投标安全问题分析
网上招投标,即全流程业务100%在电子环境下完成,其信息的完整性、可用性、保密性、稳定性和可靠性全都依赖电子和网络,其安全问题主要体现在电子化应用和网络信息两个方面。
(一)电子化应用方面:一是系统安全认证问题。电子化交易系统包括开评标多个子系统,其内部数据交互均需考虑网络安全,内部系统之间的数据交互要符合安全规范,任何一个新系统,在上线前除进行常规性安全扫描和漏洞检查外,最可靠的办法是进行系统安全认证。目前,多数省、市的公共资源交易平台组建初期都是短时间内筹建完成,招投标操作系统多数由投资方推荐,且根本未经过官方权威认证,安全隐患固然存在。二是身份的不确定性问题。由于网上招投标基于信息化这一平台,平台上招标、投标、评标三方又不允许见面,因此,就带来了三方身份的随机性和不确定性。三是信息否认问题。网上招投标与纸质招投标一样都具有不可否认性。一些职业素养差的评委或招标代理机构在招投标时往往会对自己确认的信息进行恶意否认,要求解锁,而后逃避责任。四是流转信息的修改问题。纸质招投标信息是不能修改的,否则,必然影响到招投标各方的文件执行。网上招投标时流转的信息也不能修改,如此,才能够保证招标投标文件的严肃性和公平、公正、公开。能否作到网上流转信息的“唯一性”和“准确性”,电子化状态下的信息安全非常重要。
(二)网络信息方面:一是安全协议问题。当前,安全协议还没有统一的标准和规范,相对制约了网上招投标的推广应用。如:在网络层面分别采用IP、ARP、X.25等不同协议,由此产生的安全问题也互不相同,另外,在安全管理方面也有隐患,极容易受到黑客攻击。二是防病毒问题。互联网为计算机病毒传播提供了更快、更好的媒介,很多新型病毒直接以网络为载体传播,如:编制好的投标文件通过互联网上传给服务器到开标前这段时间内就容易传播病毒。三是服务器的安全问题。装有招投标控件、插件等软件和用户信息的服务器是网上招投标的核心,服务器一旦出现安全问题,必然造成严重后果。即使加装电子狗等安全系数高的产品,也很难保证传送的数据不被“黑客”窥视和篡改,也很难阻止非法用户对交易数据库或网络资源的有害性访问。可见,网上信息的安全性是一个不可小觑的问题。
二、网上招投标安全对策
根据全流程“电子化”环境下招投标数据信息存储和访问的特点,采取必要的安全对策势在必行,通常情况下,笔者认为可从以下几个方面入手。
(一)技术层面。一是推广应用数字证书。数字证书可以对信息发送者的身份进行识别认证,保证信息传输过程中数据的安全性和完整性,身份验证机制以及信息交换的不可否认性,都迫切需要通过CA认证来予以解决。二是设置专用账户。专用账户包含特定用户信息,如:用户名、密码以及登录限制等,它是用户唯一的身份标识,只有符合要决条件才能登录到指定服务器进行访问,或者登录到特定区域进行文件下载和上传,只有扎实做好身份认证、电子签章、电子签名、数据加密、平台检测认证等工作,解决好数据交互和接口安全等问题,才能确保招投标系统整体性能的安全可靠,设置用户名和密码视同于增加了一道“安全门”。三是增设“防火墙”。“防火墙”是两个不同网络之间实现互访时的控制设备,主要完成对访问者的允许、拒绝和监测,通过屏蔽不安全服务,阻止非法用户的访问,阻止“黑客”的嵌入、复制和删除数据,可有效控制网络内外的信息交流,还可以提供接入控制和审查跟踪,设置一道“防火墙”增加一层网上招投标安全。四是推广应用安全审计产品。安全审计产品是对网络和指定系统使用状态进行跟踪记录及综合梳理的专用工具,可以对网上招投标实施动态监控,可详细记录系统平台上发生的一切事情,相对而言,也为用户信息安全提供了必要的技术手段。
(二)管理层面。一是建立网络“病毒”防范机制。病毒在互联网环境下具有很强的传染性和危害性,除安装必要的杀毒软件之外,还要及时升级杀毒软件版本并不断地更新特征库、及时查获病毒入侵信息、适时查杀病毒,从而达到防患于未然之目的。二是完善系统运维制度。坚持安全运维制度是网上招投标能否长期、安全、稳定运行的保证,交易平台应安排专职人员负责此项工作,并与之签定安全保密责任书,其他无关者不得擅自接触系统。安全责任人要着力做好软件、硬件两方面的运行维护工作,软件部分由系统开发商负主要责任,硬件部分由“平台”技术部门和硬件供应商共同负责。三是采取容灾备份制度。一个成熟的网上招投标系统,应至少对数据安全提供两个安保措施:一个是数据在系统内部实现镜像;另一个是对服务器上的重要数据进行自动备份。只有建立数据容灾备份和恢复机制,才能为网上招投标提供安全保障。四是全面加强培训。常言道,没有制度规范就没有系统安全,没有系统安全就没有信息的安全。国家发改委等14部委39号令--《公共资源交易平台管理暂行办法》第十三条明确规定,公共资源交易平应当建立健全网络信息安全制度,落实安全保护技术措施,保障系统平台平稳运行。为了确保招投标信息安全,公共资源交易平台应树立“三分技术七分管理”的理念,着力构建网上招投标安全体系,制订《信息安全管理办法》,制订各类人员工作细则,同时,还应制订巡检制度,定期对网络设备、机房环境安全状况进行巡查巡检,及时排除各种安全隐患。制订信息安全应急处理预案,做到防患于未然,为全流程网上招投标安全提供可靠的制度保障。五是加强保密管理。为加强网上招投标安全管理,还应管住“人”,毕竟再复杂的外部防御手段,也难以防止重要信息被人为地破坏。因此,交易“平台”应制定切实可行的保密措施,将涉及到“信息、口令或密码、网络地址、日常管理和系统运行、工作日志”等重要信息全部纳入密级管理,此外,公共资源交易“平台”还应当加强网络安全培训,定期对全体人员进行安全保密、网络与信息安全相关法律法规、网络与信息安全基础知识等方面的培训,切实提高安全防范意识。唯如此,才能确保网上招投标信息的读写、复制、流转等全过程可控,防止非授权用户对重要信息非法访问和操作。
全流程网上招投标广泛应用引发许多安全问题,公共资源交易平台一方面要求软、硬件企业不断改进技术,提高产品性能;另一方面要求全体从业人员提升对安全问题的认识,适应形势发展需要,先行一步预判各类安全风险,积极应对各类突发情况,打牢信息安全体系建设新理念,切实消除各类信息安全隐患,唯有盯紧“安全性”,才能体现“可靠性”,才能真正将网上招投标的优势发挥的淋漓尽致。
分享长微博
分享到微信