國電誠信招標有限公司 金海男
摘要:從電子招投標交易平臺安全關(guān)鍵點的軟硬件建設(shè)層面分析網(wǎng)絡(luò)環(huán)境、服務(wù)器硬件、操作系統(tǒng)、應(yīng)用系統(tǒng)等安全漏洞高發(fā)環(huán)節(jié),分析如何建立可靠的安全防護體系。
關(guān)鍵詞:交易平臺 業(yè)務(wù)流程 安全防護
一、引言
電子招投標是以數(shù)據(jù)電文形式完成的招標投標活動。通俗地說,就是部分或者全部拋棄紙質(zhì)文件,借助計算機和網(wǎng)絡(luò)完成招標投標活動,它是以網(wǎng)絡(luò)信息技術(shù)為支撐進行招投標業(yè)務(wù)的一種協(xié)同作業(yè)模式。一方面,網(wǎng)絡(luò)的實時性和開放性打破了傳統(tǒng)意義上的地域差別和時空限制,使得電子招投標可以節(jié)約大量的時間和經(jīng)濟成本;另一方面,信息的及時發(fā)布和傳播,使得招投標過程更加透明,有效地提高了信息的對稱性,加快了招投標活動的整體進程。另外,電子招投標還將制度設(shè)計和流程標準通過信息技術(shù)手段加以固化,可有效規(guī)范操作程序、避免執(zhí)行偏差、降低項目風險。
因此,自2013年《電子招標投標辦法》頒布以來,電子招投標網(wǎng)上交易平臺如雨后春筍般萌發(fā),但是,隨著電子平臺應(yīng)用的深入發(fā)展,網(wǎng)上交易安全問題逐漸凸顯,打造電子招標平臺的安全防線成為電子招投標平臺能否長足發(fā)展的關(guān)鍵。
本文從信息系統(tǒng)安全等級保護評定及電子平臺實際運行過程中遇到的問題著手,分析實施電子招投標過程中存在的安全隱患,提出電子招投標交易平臺的安全防護解決方案。
二、全流程電子招投標交易平臺安全關(guān)鍵點分析
傳統(tǒng)的招投標模式操作流程復(fù)雜、工作量大,運作成本高。采用全流程電子招投標模式,在線完成招標、投標、開標、評標、定標等全部活動,雖然在流程上與依托紙質(zhì)文件的傳統(tǒng)模式?jīng)]有本質(zhì)的區(qū)別,但能夠極大的提高工作效率、節(jié)省人力成本,并可增強信息的透明度,更好的保障招投標相關(guān)方的利益,打造公開、公平、公正的市場環(huán)境。
全流程電子招投標平臺通常包括以下功能模塊:投標人/招標人管理、招標方案、會議流量計劃管理、投標邀請、發(fā)標、售標、投標、開標、評標、定標、保證金、專家?guī)?、費用管理、澄清、招標異常、監(jiān)督、歸檔等,并涉及與企業(yè)內(nèi)部管理系統(tǒng)、銀行、第三方CA認證、郵寄國家公共服務(wù)平臺等多方的接口管理。 主體業(yè)務(wù)流程如下圖:
圖1 全流程電子招標平臺業(yè)務(wù)流程圖
通過分析主體業(yè)務(wù)流程可以發(fā)現(xiàn),投標文件編制、遞交、網(wǎng)上開標、網(wǎng)上評標、費用管理等幾個關(guān)鍵環(huán)節(jié)對數(shù)據(jù)的安全性要求極高,一旦發(fā)生數(shù)據(jù)泄露或篡改,直接損害招標、投標各方的合法權(quán)益,嚴重的會造成惡劣的社會影響。同時,從電子平臺的軟硬件建設(shè)層面分析,網(wǎng)絡(luò)環(huán)境、服務(wù)器硬件、操作系統(tǒng)、應(yīng)用系統(tǒng)等安全漏洞高發(fā)環(huán)節(jié)也是需要高度關(guān)注的關(guān)鍵點。下面將針對這些安全關(guān)鍵點分析如何建立可靠的安全防護體系。
三、全流程電子招投標平臺安全防護體系建設(shè)
電子招投標平臺信息安全可從物理安全、網(wǎng)絡(luò)安全、主機安全和應(yīng)用安全四個層面進行架構(gòu),且根據(jù)《電子招標投標辦法》的要求“電子招標投標交易平臺應(yīng)當允許投標人離線編制投標文件,并且具備分段或者整體加密、解密功能”,因此需同時建設(shè)必備的安全認證體系。電子招投標平臺的信息安全架構(gòu)體系如圖2所示。
圖2 電子招標平臺網(wǎng)絡(luò)信息安全整體架構(gòu)
3.1 物理安全
物理安全主要是指系統(tǒng)硬件的安全,具體來說,機房需從物理位置選擇、物理訪問控制、防盜竊、防破壞、防雷擊、防火、防水、防潮、防靜電及電力供應(yīng)等方面考慮安全防護措施。
3.2 網(wǎng)絡(luò)安全
圖3 某招投標系統(tǒng)的硬件簡圖
網(wǎng)絡(luò)安全作為系統(tǒng)安全檢測的重要內(nèi)容,需從結(jié)構(gòu)安全、網(wǎng)絡(luò)訪問控制、邊界完整性檢查、網(wǎng)絡(luò)入侵防范與惡意代碼、網(wǎng)絡(luò)設(shè)備防護等5個方面進行考慮:
(1)結(jié)構(gòu)安全
結(jié)構(gòu)安全是根本,應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備優(yōu)化空間,滿足業(yè)務(wù)高峰期需要,特別需注意關(guān)鍵網(wǎng)絡(luò)帶寬滿足業(yè)務(wù)高峰期需要。
?。?)網(wǎng)絡(luò)訪問控制
網(wǎng)絡(luò)訪問控制是業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進行路由控制,建立安全的訪問控制機制,需根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素,劃分不同的子網(wǎng)或網(wǎng)段,并按照方便管理和控制的原則,為各子網(wǎng)、網(wǎng)段分配地址段,避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處或直接連接外部信息系統(tǒng)。重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)加以隔離,按照對業(yè)務(wù)服務(wù)的重要順序來指定帶寬分配優(yōu)先級別,保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護重要主機所需的帶寬。
?。?)網(wǎng)絡(luò)邊界防護
網(wǎng)絡(luò)邊界可布置多功能防火墻,對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾,實現(xiàn)對應(yīng)用層 HTTP、FTP 、TELNET、SMTP 、POP3等協(xié)議命令級的控制;在會話處于非活躍時間或會話結(jié)束后終止網(wǎng)絡(luò)連接;限制網(wǎng)絡(luò)最大流量數(shù)和網(wǎng)絡(luò)連接數(shù)。重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙; 按照用戶和系統(tǒng)之間的允許訪問規(guī)則,決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問,控制粒度為單個用戶;限制具有撥號訪問權(quán)限的用戶數(shù)量。
?。?)網(wǎng)絡(luò)入侵與惡意代碼防范
針對網(wǎng)絡(luò)入侵防范問題,可布置IPS(入侵防御設(shè)備)+TAC(威脅監(jiān)測分析設(shè)備)組合,該套組合具備在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為的功能:端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等;并能在網(wǎng)絡(luò)邊界處對惡意代碼進行檢測和清除;維護惡意代碼庫的升級和檢測系統(tǒng)的更新。
旁路上面的IDS可起到審計和記錄的作用,便于對系統(tǒng)的運行情況進行分析。當檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間,在發(fā)生嚴重入侵事件時提供報警。
?。?)網(wǎng)絡(luò)設(shè)備防護
網(wǎng)絡(luò)設(shè)備防護要對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別,對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制。同時,對登錄失敗要有處理功能,可采取結(jié)束會話、限制非法登錄次數(shù)和當網(wǎng)絡(luò)登錄連接超時自動退出等措施。對網(wǎng)絡(luò)設(shè)備進行遠程管理時,應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽;實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。
針對不同系統(tǒng)的側(cè)重,適當增加諸如IPS、IDS等設(shè)備會對系統(tǒng)的整體安全提升起到一定的幫助。
3.3 主機安全(操作系統(tǒng)安全)
主機安全包括身份鑒別、訪問控制、安全審計、剩余信息保護、入侵防范、惡意代碼防范、資源控制等幾個方面的內(nèi)容。
通過幾個系統(tǒng)測試發(fā)現(xiàn),常見系統(tǒng)問題集中在以下幾個方面:
沒有設(shè)置密碼策略;
遠程桌面功能開啟,無加密;
未進行權(quán)限劃分,只有administrator用戶;
數(shù)據(jù)庫服務(wù)器只有一個用戶administrator;
沒有開啟審計策略;
沒有開啟本地安全策略中,對剩余信息保護的安全策略;
服務(wù)器沒有開啟防火墻,服務(wù)器未更新補丁,安裝了不必要的軟件;
未安裝殺毒軟件,對服務(wù)器資源使用情況無監(jiān)視。
linux最小化服務(wù),未關(guān)閉:cups、cron、bluetooth。
通常來講,避免以上的問題,將能很好的避免操作系統(tǒng)設(shè)置帶來的安全威脅。
3.4 應(yīng)用系統(tǒng)安全
應(yīng)用系統(tǒng)安全一般指應(yīng)用的身份鑒別與控制、剩余信息保護、通信的完整性、保密性、抗抵賴、軟件容錯和資源控制。
?。?)身份鑒別
身份鑒別(CA)是對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別,認證平臺與系統(tǒng)的網(wǎng)上注冊系統(tǒng)結(jié)合,可實現(xiàn)系統(tǒng)用戶注冊與數(shù)字證書申請、更新同步完成。簽發(fā)的證書可以通過系統(tǒng)中的認證系統(tǒng)實現(xiàn)一點登錄、多點應(yīng)用;門戶后的應(yīng)用系統(tǒng)可以充分利用數(shù)字證書的數(shù)字簽名、電子簽章、時間戳等功能,實現(xiàn)招投標的認證安全、文件安全、時效性等需求。例如,投標人制作投標文件后采用專屬CA加密,開標時用CA解密,具有身份認證的唯一標識。評標專家評標時采用CA認證登錄,杜絕了評標過程中信息的泄露。
?。?)操作系統(tǒng)和數(shù)據(jù)庫
操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識要有不易被冒用的特點。登錄失敗后需要具有相應(yīng)的處理功能,可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施;當對服務(wù)器進行遠程管理時,應(yīng)采取必要措施,防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽;為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名,可確保用戶名具有唯一性。 應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進行身份鑒別。
?。?)訪問控制
訪問控制是對系統(tǒng)首端的保護,也是最容易被入侵的地方。利用安全策略控制用戶對資源的訪問,同時根據(jù)管理用戶的角色分配權(quán)限,實現(xiàn)管理用戶的權(quán)限分離,僅授予管理用戶所需的最小權(quán)限。針對網(wǎng)站首頁的訪問,可添加網(wǎng)站應(yīng)用級入侵防御系統(tǒng)(WAF), 用以解決諸如防火墻一類傳統(tǒng)設(shè)備束手無策的Web應(yīng)用安全問題。WAF工作在應(yīng)用層,對來自Web應(yīng)用程序客戶端的各類請求進行內(nèi)容檢測和驗證,確保其安全性與合法性,對非法的請求予以實時阻斷,從而實現(xiàn)對各類網(wǎng)站站點的有效防護。對SQL注入、網(wǎng)頁篡改、網(wǎng)頁掛馬等起到防御作用。
另外,對操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限做出分離,并且限制默認帳戶的訪問權(quán)限,修改這些帳戶的默認口令;對重要信息資源設(shè)置敏感標記,依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作,均可避免賬戶信息的泄露。
?。?)資源控制
資源控制是合理利用現(xiàn)有硬件資源,實現(xiàn)投資與性能的最佳比例。通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄,根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定,防止長時間的占用資源;重要的服務(wù)器進行性能監(jiān)視,包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況,同時限制單個用戶對系統(tǒng)資源的最大或最小使用限度,對系統(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進行檢測和報警,這些措施可很好地降低服務(wù)器因性能的占用而引起的安全問題。
四、 結(jié)論
針對物理、網(wǎng)絡(luò)、主機和應(yīng)用系統(tǒng)采取全方位的安全防護措施,可有效提升電子招投標交易平臺的系統(tǒng)安全性。
另外,在不斷完善系統(tǒng)硬件與軟件的過程中,定期的系統(tǒng)備份機制也是平臺安全的有力保障;規(guī)范的管理制度、管理流程更是交易平臺平穩(wěn)運行的基礎(chǔ),一旦系統(tǒng)疏于管理,各種威脅就有可乘之機?!?!--EndFragment-->