您的位置:360文档中心› 电子招标投标系统安全风险分析与控制

电子招标投标系统安全风险分析与控制

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

作落 到实处 ,利用技 术手段 和管理 控制对 电子招投 标 标人 的各项 资质进 行审 核后进 行发放 ,UK做为投 标
系统进行安全管理 ,在当前形势下尤为迫 切。
人身份鉴定 的唯一标识供投标 人用户登 录系统后进行
电子招标投标全 流程的主要节点分为招标 、投标 、 投标文件加 密 、电子签章 、付 款等主要功能 。 内部招
需 根 据系 统数 据量 大 小制 定合 适 的系统 数 据备 份策 技术 管 理流 程 的审 批 和记 录 。对 于 系统后 台 的所 有
略 ,定期 备份数据库和 系统重 要的数 据文件 ,做 到数 管理 行 为记 录 ,也需 要 完整 地记 录在 日志 里 ,以备
据冗余存储 ,以便需要 的时候进行数 据无损 、实 时的 日后 的监督 和审计 。对于生 产系统 的运维 管理操作 ,
恢 复 ,确保 系统 数据安全 。
可 以使用 堡 垒机 进行 操 作 审计 和记 录 ;对 于数据 库
要选 择合适 的备份地点 和备份方法 ,有条件 的应 的管 理 ,可 以通 过数 据 库 审计 系统 ,监视 和分析 对
当同时进行异地备份 。在备份 方法上 ,全数据备份是 数据 库 服务 器 的各 类操 作行 为 ,并 记入 审计 数据 库
以考虑将 服务器资源及存储资 源进行 云托管 ,进一步 的时间点 ,这些都需要 完整地保存在 系统里 以便对系
保 障服务 的稳定性 和安 全性 系统 数 据 备 份
对于 系统版本 发 布更新 、系统 文件 的替 换修 改 、
由于 电子招标 系统 内数据 的高敏感 性 和重要性 , 数据 库 文件 的还 原恢 复 等针 对 系统 的操 作 ,要经 过
电子招投 标系 统为高 频度 、高时效性 信 息系统 , 域 之间要用防火墙作边界 隔离 。
其对 系统 平稳性要求较高 ,这 就要求 系统部署 的硬件
(六 )系统 日志管理
平 台具有 较高的可靠性 和平稳性 。尤其是存储 系统 中
在业务流程 中要记录 电子招标投标 全过程关于事
的磁盘 ,存储 冗余 一 般至 少构 建 RAID5系统 ,也可 项 办理 、审批流转 、数 据修改所产生 的记录以及记录
开标 、评标 、定标 五个主要环节 。总结五大环节 中需 要解 决的风险点 ,主要可 以归 为六 类问题 ,即 :电子 招标 投标用户 的身份确认 问题 、投 标报名 阶段投标 人 的名 单泄露风 险 、专 家抽取环节专家名单 的泄露 风险 、
标机 构 由直 管 的集 团招标 部 门发 放 UK,来 作为招 标 机构 的身份认 证 ,供招标机构 管理人员登 录系统进行 招标文件签章 、中标 通知书签章等操作 。
电子招标 投标系统 安呈风 睑分 析与控 制
口 文 /抚 顺 石化 公 司招 标 中心 孙 义
电子招标投标 系统作为通过 网络部署应用 的电子
(3)对登 录异常的账号设定 登录 阀值 ,超过 三次
信 息系统 ,需 要确保其数据 的保 密性和安全性 。而招 的登 录失败 ,用户账号将被锁 定 ,需重新进 行手机认
对所 有选择备份 的数据进行备 份 。全数据备份 比其 他 中集 中进行管 理 。
备 份方式 需要更多 的时 间和数 据存储容量 ,但 它是数
公告 )、投标 邀请 书 、资格 预 审文件 (澄清 和修改 )、
电子招标系统安全分析
资格 预 审 申请 文件 (澄 清 和修 改 )、资 格 审查 报告 、
(一 )系统 用户身份认证
招 标 文 件 (澄清 和 修 改 )、投 标 文件 (补 充 、修改 、
系统应 对投保人 、招标人 、招标 机构以及其他 功 撤 回 、澄 清 )、开 标 记 录 、评 标 报 告 、中标 通 知 书 、 能权 限的系统用户进行 身份验证和识别 ,确保系统账 合 同 (协议书 )及相 关文件 的签 收回执等具有法律 约
号的唯一性 和安全性 。
束力 的文件 。
(1)系统账号应符合 中油信息管理 系统账号复杂
(三 )系统 数 据 存 储
度要 求 ,并定期对 密码进行更改 以确保账 号的安全性 。
采 用加密或其他技术 措施确保信 息数 据在存储过
(2)系统账号登 录设 置防盗识别码 ,每次登录 系 程 中的安全性 。重要 的数据需要进行 加密存储 ,如 投
(二 )电 子 签 名
投标 文件 的防窃取和 防篡改 问题 、开标环节 的防解 密 失败 风险 以及评 委评 标过程 的防泄密和评标结果 的防 篡 改 问题 。
电子签名 是通过 电子手写板 ,在招标过程 中对相 关 的文件在 电子招标系统 内进行 相关人员确认 签字的 操作 。电子签名使 用 的数 字密钥应采 用合法 的 CA机
针对 以上需要解 决的风险和 问题 ,需要从信息技 构颁发 的证 书 ,电子签名是识别用 户身份 、确认执 行
术 和管理制度两个 方 向人手 ,建立 一个完整 的安全 防 操作 的重要手段 ,有 不可抵赖性和高安全性 的优 点 。
御体 系 ,保 障系统在安全 可控的环境下运行 。
使用 电子 签名的文件包括 :招标 公告 (资格 预审
投标 业务本身 涉及大量 的强保 密性数据和高 敏感 度信 证才能对账号 进行解 锁 。
息 容易成为不 法分子进行非 法攻 击的对象 ,严 重影响
(4)使 用 UK数 字密钥对 投标人 和招 标机构 的系
招标 工作开展 ,损 害投标人利益 。如何将安全 防护工 统用 户进行 身份认 证 。UK经过 银行 等专业 部 门对 投
统 自动刷新识别码 ,确保用户 的操作行 为正常 。
标文件 、评标结果 、中标结果等高敏感 信息数据需设
24
定专 门的加密存 储 ,以防止信息技术 人员从后 台数据 接 口等部署在外 网区 ,系统 的数据库和其他 重要的数
库获得相关信息 ,提高数据的安全性 。
据 文件存储应在 内网区域 ,互联 网不能直接访 问 ,区
相关文档
最新文档