大粗爽,国产成人亚洲综合网色欲网久下载 ,中文字幕av精久久,英语老师没戴套让我C了一节课

業(yè)務(wù)研究

  • 當(dāng)前位置:首頁
  • 業(yè)務(wù)研究

電子招標(biāo)投標(biāo)安全漏洞怎么辦?必看的八條信息技術(shù)建議

  • 來源: 中國招標(biāo)投標(biāo)公共服務(wù)平臺(tái)
  • 時(shí)間:2017-09-22

  隨著《網(wǎng)絡(luò)安全法》頒布和實(shí)施,網(wǎng)絡(luò)安全問題已經(jīng)上升到國家層面。國家將堅(jiān)持網(wǎng)絡(luò)安全與信息化發(fā)展并重,推進(jìn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)和互聯(lián)互通,建立健全網(wǎng)絡(luò)安全保障體系,提高網(wǎng)絡(luò)安全保護(hù)能力。

  電子招標(biāo)投標(biāo)系統(tǒng)是電子政務(wù)的重要組成部分,電子招標(biāo)投標(biāo)系統(tǒng)中招標(biāo)投標(biāo)主體數(shù)據(jù)和招標(biāo)投標(biāo)過程數(shù)據(jù)容易成為互聯(lián)網(wǎng)非法攻擊目標(biāo)。如何落實(shí)和提升電子招標(biāo)投標(biāo)安全防護(hù)工作,在當(dāng)前“互聯(lián)網(wǎng)+”招標(biāo)采購迅猛發(fā)展的形勢(shì)下尤為迫切。

  電子招標(biāo)投標(biāo)活動(dòng)分為招標(biāo)、投標(biāo)、開標(biāo)、評(píng)標(biāo)、定標(biāo)五個(gè)主要階段,其中電子招標(biāo)投標(biāo)用戶的身份確認(rèn)、潛在投標(biāo)人信息保密、評(píng)標(biāo)委員會(huì)組成信息保密、投標(biāo)文件防竊取與防篡改、開標(biāo)環(huán)節(jié)的防解密失敗、評(píng)委評(píng)標(biāo)過程的防泄密和評(píng)標(biāo)結(jié)果防篡改等是重點(diǎn)安全問題。

  中國招標(biāo)投標(biāo)公共服務(wù)平臺(tái)始終關(guān)注和研究電子招標(biāo)投標(biāo)網(wǎng)絡(luò)安全問題,本文針對(duì)電子招標(biāo)投標(biāo)活動(dòng)的風(fēng)險(xiǎn)和安全問題,從信息技術(shù)角度,就如何建立完整安全防御體系、做到事先風(fēng)險(xiǎn)防范和事后風(fēng)險(xiǎn)控制進(jìn)行論述。

  1.信息操作者(主體)的身份合法性

  1)身份標(biāo)識(shí)與鑒別

  在電子招標(biāo)投標(biāo)技術(shù)規(guī)范里要求應(yīng)對(duì)招標(biāo)人、招標(biāo)代理機(jī)構(gòu)、投標(biāo)人、評(píng)標(biāo)專家等登錄用戶進(jìn)行身份標(biāo)識(shí)與鑒別,并提供身份標(biāo)識(shí)唯一性檢查功能。應(yīng)采用以下措施,確保用戶身份不易被冒用:

  a)提供鑒別信息復(fù)雜度檢查功能。系統(tǒng)登錄用戶密碼復(fù)雜度檢測(cè),密碼設(shè)定過于簡(jiǎn)單的,系統(tǒng)要有密碼強(qiáng)度提示。

  b)對(duì)身份標(biāo)識(shí)與鑒別異常提供保護(hù)措施。系統(tǒng)登錄失敗多次之后,自動(dòng)鎖定賬戶,再通過其他認(rèn)證手段解鎖。

  c)使用CA數(shù)字證書對(duì)交易主體身份標(biāo)識(shí)與鑒別。需要進(jìn)行身份標(biāo)識(shí)與鑒別的電子招標(biāo)投標(biāo)交易行為包括:遞交資格預(yù)審申請(qǐng)文件、遞交投標(biāo)文件、遞交投標(biāo)保證金、撤回投標(biāo)文件、確認(rèn)開標(biāo)記錄、遞交回執(zhí)、發(fā)出中標(biāo)通知書、簽訂合同(協(xié)議書)等,招標(biāo)投標(biāo)主體對(duì)這些操作承擔(dān)相應(yīng)法律責(zé)任。

  d)采用兩種或兩種以上上述措施組合的鑒別技術(shù)。

  2)電子簽名

  電子簽名可確保電子招標(biāo)投標(biāo)文件的完整性和不可抵賴性。電子簽名的數(shù)字證書應(yīng)采用合法CA機(jī)構(gòu)頒發(fā)的證書,并按照國家授時(shí)中心標(biāo)準(zhǔn)時(shí)間源對(duì)電子簽名文件生成時(shí)間戳。

  電子簽名文件包括:招標(biāo)公告(資格預(yù)審公告)、投標(biāo)邀請(qǐng)書、資格預(yù)審文件(澄清和修改)、資格預(yù)審申請(qǐng)文件(澄清和修改)、資格審查報(bào)告、招標(biāo)文件(澄清和修改)、投標(biāo)文件(補(bǔ)充、修改、撤回、澄清)、開標(biāo)記錄、評(píng)標(biāo)報(bào)告、中標(biāo)通知書、合同(協(xié)議書)及簽收回執(zhí)等具有法律約束力的文件。

  2.信息傳輸過程的安全性

  電子招標(biāo)投標(biāo)信息傳輸,一是使用SSL協(xié)議進(jìn)行通道加密傳輸,同時(shí)使用公開密鑰體質(zhì)和數(shù)字證書技術(shù)保護(hù)信息傳輸機(jī)密性。二是投標(biāo)單位名單、評(píng)委名單、評(píng)標(biāo)結(jié)果等敏感數(shù)據(jù)采用自定義加密技術(shù)、強(qiáng)化安全。電子招標(biāo)投標(biāo)技術(shù)規(guī)范對(duì)數(shù)據(jù)接口安全有具體規(guī)定,傳輸接入點(diǎn)實(shí)施網(wǎng)絡(luò)邊界安全控制。接口安全控制包括:安全評(píng)估、訪問控制、入侵檢測(cè)、口令認(rèn)證、安全審計(jì)、防惡意代碼、加密等內(nèi)容。

  數(shù)據(jù)接口訪問應(yīng)進(jìn)行雙方身份安全認(rèn)證,確保接口訪問安全性。與國家公共服務(wù)平臺(tái)數(shù)據(jù)接口傳輸時(shí),采用雙方白名單互認(rèn)機(jī)制。指定IP才能訪問和調(diào)用接口,傳輸前進(jìn)行身份驗(yàn)證確認(rèn)、再進(jìn)行數(shù)據(jù)傳輸。從交易平臺(tái)到國家公共平臺(tái)傳輸通道采用SSL協(xié)議加密。

  3.信息存儲(chǔ)環(huán)節(jié)安全性

  采用加密或其他保護(hù)措施確保重要數(shù)據(jù)存儲(chǔ)保密性。投標(biāo)人名單、評(píng)標(biāo)專家名單、評(píng)標(biāo)結(jié)果等數(shù)據(jù),要進(jìn)行加密存儲(chǔ),避免能夠接觸到后臺(tái)數(shù)據(jù)庫的運(yùn)維人員在數(shù)據(jù)庫上直接拷貝或修改數(shù)據(jù)。

  由于服務(wù)器系統(tǒng)是24小時(shí)不間斷運(yùn)行,單個(gè)部件發(fā)生故障概率很高。存儲(chǔ)系統(tǒng)中的磁盤存儲(chǔ)冗余一般至少構(gòu)建RAID5系統(tǒng)。可以考慮將服務(wù)器資源及存儲(chǔ)資源進(jìn)行云托管,進(jìn)一步保障服務(wù)穩(wěn)定性?,F(xiàn)在很多地方公共資源交易平臺(tái)依托第三方提供的政務(wù)云進(jìn)行建設(shè)。

  4.數(shù)據(jù)的備份和災(zāi)備

  根據(jù)制定的備份策略定期備份數(shù)據(jù)庫和系統(tǒng)重要的數(shù)據(jù)文件,以便在故障或?yàn)?zāi)難的情況下恢復(fù)信息。要選擇合適的備份地點(diǎn)和備份方法,有條件的應(yīng)當(dāng)同時(shí)進(jìn)行異地備份。備份方法為全數(shù)據(jù)備份,對(duì)所有選擇備份的數(shù)據(jù)進(jìn)行備份。全數(shù)據(jù)備份比其他備份方式需要更多的時(shí)間和數(shù)據(jù)存儲(chǔ)容量,但數(shù)據(jù)恢復(fù)最簡(jiǎn)單和最容易。增量備份是對(duì)上次備份后所有發(fā)生變化的數(shù)據(jù)進(jìn)行備份。增量備份比其他方法需要更少的時(shí)間和數(shù)據(jù)存儲(chǔ)容量,但數(shù)據(jù)恢復(fù)方式最復(fù)雜。差異備份是對(duì)上一次全數(shù)據(jù)備份發(fā)生變化的數(shù)據(jù)進(jìn)行備份,比全數(shù)據(jù)備份需要更少的時(shí)間和數(shù)據(jù)存儲(chǔ)容量,比增量備份對(duì)數(shù)據(jù)的恢復(fù)更簡(jiǎn)單和容易。一般根據(jù)自身系統(tǒng)數(shù)據(jù)量的大小和存儲(chǔ)設(shè)備的容量制定策略,不同備份策略都要兼顧。

  5.日志記錄體系的全面性

  電子招標(biāo)投標(biāo)過程中事項(xiàng)辦理、審批流轉(zhuǎn)、數(shù)據(jù)修改所產(chǎn)生的記錄以及記錄的時(shí)間點(diǎn),均需要完整保存。

  系統(tǒng)版本發(fā)布更新,系統(tǒng)文件替換修改,數(shù)據(jù)庫文件的還原恢復(fù)等針對(duì)系統(tǒng)的操作,要經(jīng)過技術(shù)管理流程的審批和記錄。系統(tǒng)后臺(tái)所有管理行為記錄也需要完整記錄,以備日后的監(jiān)督和審計(jì)。實(shí)際操作中,后臺(tái)操作日志記錄很多系統(tǒng)往往忽略。生產(chǎn)系統(tǒng)的運(yùn)維管理操作,可以使用堡壘機(jī)進(jìn)行操作審計(jì)和記錄。數(shù)據(jù)庫管理可以通過數(shù)據(jù)庫審計(jì)系統(tǒng),監(jiān)視和分析對(duì)數(shù)據(jù)庫服務(wù)器的各類操作行為,并記入審計(jì)數(shù)據(jù)庫中集中進(jìn)行管理。

  6.安全審計(jì)管理

  安全審計(jì)管理應(yīng)滿足以下要求:

  a)應(yīng)提供安全審計(jì)功能。安全審計(jì)范圍應(yīng)覆蓋系統(tǒng)中每個(gè)用戶及系統(tǒng)中的所有重要安全事件,如登錄事件、關(guān)鍵數(shù)據(jù)變更等。

  b)審計(jì)記錄的內(nèi)容應(yīng)包括事件日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等。

  c)應(yīng)提供審計(jì)記錄數(shù)據(jù)查詢、統(tǒng)計(jì)、分析功能。

  d)安全審計(jì)人員不能同時(shí)兼任系統(tǒng)管理員。

  e)安全審計(jì)系統(tǒng)設(shè)備宜獨(dú)立部署,以確保數(shù)據(jù)不被篡改。

  7.硬件系統(tǒng)及網(wǎng)絡(luò)的可靠性

  不能在互聯(lián)網(wǎng)上直接開放運(yùn)維管理后臺(tái)和主機(jī)登錄入口。可采用VPN通道方式強(qiáng)化網(wǎng)絡(luò)安全,同時(shí)采用抗DDOs攻擊系統(tǒng)、網(wǎng)頁防篡改保護(hù)系統(tǒng)、WAF防火墻、IPS入侵防護(hù)系統(tǒng)、數(shù)據(jù)泄露防護(hù)系統(tǒng)等對(duì)系統(tǒng)提供安全檢測(cè)防護(hù)。采用防病毒網(wǎng)關(guān)或殺毒軟件防病毒,并定期查殺病毒。定期對(duì)操作系統(tǒng)進(jìn)行漏洞掃描,及時(shí)安裝系統(tǒng)補(bǔ)丁防范安全漏洞。

  由于安全防護(hù)投入成本較高,中小型交易平臺(tái)由于成本壓力面臨實(shí)施困難的,可以采用諸如UTM、下一代防火墻之類的集成多功能的一體化產(chǎn)品降低成本。

  生產(chǎn)環(huán)境需要按照等級(jí)保護(hù)要求劃分安全區(qū)域,需要對(duì)外提供服務(wù)的web服務(wù)、應(yīng)用程序、接口等部署在外網(wǎng)區(qū),系統(tǒng)的數(shù)據(jù)庫和其他重要的數(shù)據(jù)文件存儲(chǔ)應(yīng)在內(nèi)網(wǎng)區(qū)域,互聯(lián)網(wǎng)不能直接訪問,區(qū)域之間用防火墻做邊界隔離。

  8.系統(tǒng)安全風(fēng)險(xiǎn)測(cè)評(píng)

  系統(tǒng)源代碼應(yīng)做安全審查。由于開發(fā)人員水平和經(jīng)驗(yàn)問題,源代碼當(dāng)中通常會(huì)存在安全漏洞和安全風(fēng)險(xiǎn),容易被互聯(lián)網(wǎng)攻擊者利用。源代碼審查可從源頭上發(fā)現(xiàn)這些漏洞,并進(jìn)行安全整改。

  系統(tǒng)安全檢測(cè)包括系統(tǒng)漏洞掃描,以及前面提到的用戶身份鑒別,防抵賴,還有訪問控制,數(shù)據(jù)完整性、保密性檢查,數(shù)據(jù)備份與恢復(fù)檢查等檢測(cè)內(nèi)容。

  還可以做本地、遠(yuǎn)程、網(wǎng)絡(luò)三個(gè)不同層級(jí)滲透測(cè)試,模擬演練發(fā)生攻擊情況。通過滲透測(cè)試對(duì)網(wǎng)站進(jìn)行深度檢測(cè),發(fā)現(xiàn)和挖掘系統(tǒng)中存在的漏洞。

  作者:許程亮

杭锦旗| 阿鲁科尔沁旗| 盐城市| 正阳县| 商河县| 故城县| 萨嘎县| 岚皋县| 前郭尔| 淳安县| 蓬莱市| 郁南县| 祁阳县| 曲松县| 汉沽区| 彭阳县| 绥芬河市| 富裕县| 凤凰县| 察雅县| 泰兴市| 泰安市| 清涧县| 手机| 怀宁县| 桂平市| 神农架林区| 镇坪县| 怀集县| 闸北区| 九龙城区| 浠水县| 抚远县| 延津县| 河北区| 汝州市| 潮州市| 砚山县| 嘉黎县| 房产| 常州市|