国电诚信招标有限公司 金海男
摘要:从电子招投标交易平台安全关键点的软硬件建设层面分析网络环境、服务器硬件、操作系统、应用系统等安全漏洞高发环节,分析如何建立可靠的安全防护体系。
关键词:交易平台 业务流程 安全防护
一、引言
电子招投标是以数据电文形式完成的招标投标活动。通俗地说,就是部分或者全部抛弃纸质文件,借助计算机和网络完成招标投标活动,它是以网络信息技术为支撑进行招投标业务的一种协同作业模式。一方面,网络的实时性和开放性打破了传统意义上的地域差别和时空限制,使得电子招投标可以节约大量的时间和经济成本;另一方面,信息的及时发布和传播,使得招投标过程更加透明,有效地提高了信息的对称性,加快了招投标活动的整体进程。另外,电子招投标还将制度设计和流程标准通过信息技术手段加以固化,可有效规范操作程序、避免执行偏差、降低项目风险。
因此,自2013年《电子招标投标办法》颁布以来,电子招投标网上交易平台如雨后春笋般萌发,但是,随着电子平台应用的深入发展,网上交易安全问题逐渐凸显,打造电子招标平台的安全防线成为电子招投标平台能否长足发展的关键。
本文从信息系统安全等级保护评定及电子平台实际运行过程中遇到的问题着手,分析实施电子招投标过程中存在的安全隐患,提出电子招投标交易平台的安全防护解决方案。
二、全流程电子招投标交易平台安全关键点分析
传统的招投标模式操作流程复杂、工作量大,运作成本高。采用全流程电子招投标模式,在线完成招标、投标、开标、评标、定标等全部活动,虽然在流程上与依托纸质文件的传统模式没有本质的区别,但能够极大的提高工作效率、节省人力成本,并可增强信息的透明度,更好的保障招投标相关方的利益,打造公开、公平、公正的市场环境。
全流程电子招投标平台通常包括以下功能模块:投标人/招标人管理、招标方案、会议流量计划管理、投标邀请、发标、售标、投标、开标、评标、定标、保证金、专家库、费用管理、澄清、招标异常、监督、归档等,并涉及与企业内部管理系统、银行、第三方CA认证、邮寄国家公共服务平台等多方的接口管理。 主体业务流程如下图:
图1 全流程电子招标平台业务流程图
通过分析主体业务流程可以发现,投标文件编制、递交、网上开标、网上评标、费用管理等几个关键环节对数据的安全性要求极高,一旦发生数据泄露或篡改,直接损害招标、投标各方的合法权益,严重的会造成恶劣的社会影响。同时,从电子平台的软硬件建设层面分析,网络环境、服务器硬件、操作系统、应用系统等安全漏洞高发环节也是需要高度关注的关键点。下面将针对这些安全关键点分析如何建立可靠的安全防护体系。
三、全流程电子招投标平台安全防护体系建设
电子招投标平台信息安全可从物理安全、网络安全、主机安全和应用安全四个层面进行架构,且根据《电子招标投标办法》的要求“电子招标投标交易平台应当允许投标人离线编制投标文件,并且具备分段或者整体加密、解密功能”,因此需同时建设必备的安全认证体系。电子招投标平台的信息安全架构体系如图2所示。
图2 电子招标平台网络信息安全整体架构
3.1 物理安全
物理安全主要是指系统硬件的安全,具体来说,机房需从物理位置选择、物理访问控制、防盗窃、防破坏、防雷击、防火、防水、防潮、防静电及电力供应等方面考虑安全防护措施。
3.2 网络安全
图3 某招投标系统的硬件简图
网络安全作为系统安全检测的重要内容,需从结构安全、网络访问控制、边界完整性检查、网络入侵防范与恶意代码、网络设备防护等5个方面进行考虑:
(1)结构安全
结构安全是根本,应保证主要网络设备的业务处理能力具备优化空间,满足业务高峰期需要,特别需注意关键网络带宽满足业务高峰期需要。
(2)网络访问控制
网络访问控制是业务终端与业务服务器之间进行路由控制,建立安全的访问控制机制,需根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则,为各子网、网段分配地址段,避免将重要网段部署在网络边界处或直接连接外部信息系统。重要网段与其他网段之间采取可靠的技术加以隔离,按照对业务服务的重要顺序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机所需的带宽。
(3)网络边界防护
网络边界可布置多功能防火墙,对进出网络的信息内容进行过滤,实现对应用层 HTTP、FTP 、TELNET、SMTP 、POP3等协议命令级的控制;在会话处于非活跃时间或会话结束后终止网络连接;限制网络最大流量数和网络连接数。重要网段应采取技术手段防止地址欺骗; 按照用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;限制具有拨号访问权限的用户数量。
(4)网络入侵与恶意代码防范
针对网络入侵防范问题,可布置IPS(入侵防御设备)+TAC(威胁监测分析设备)组合,该套组合具备在网络边界处监视以下攻击行为的功能:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;并能在网络边界处对恶意代码进行检测和清除;维护恶意代码库的升级和检测系统的更新。
旁路上面的IDS可起到审计和记录的作用,便于对系统的运行情况进行分析。当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时提供报警。
(5)网络设备防护
网络设备防护要对登录网络设备的用户进行身份鉴别,对网络设备的管理员登录地址进行限制。同时,对登录失败要有处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施。对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;实现设备特权用户的权限分离。
针对不同系统的侧重,适当增加诸如IPS、IDS等设备会对系统的整体安全提升起到一定的帮助。
3.3 主机安全(操作系统安全)
主机安全包括身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等几个方面的内容。
通过几个系统测试发现,常见系统问题集中在以下几个方面:
没有设置密码策略;
远程桌面功能开启,无加密;
未进行权限划分,只有administrator用户;
数据库服务器只有一个用户administrator;
没有开启审计策略;
没有开启本地安全策略中,对剩余信息保护的安全策略;
服务器没有开启防火墙,服务器未更新补丁,安装了不必要的软件;
未安装杀毒软件,对服务器资源使用情况无监视。
linux最小化服务,未关闭:cups、cron、bluetooth。
通常来讲,避免以上的问题,将能很好的避免操作系统设置带来的安全威胁。
3.4 应用系统安全
应用系统安全一般指应用的身份鉴别与控制、剩余信息保护、通信的完整性、保密性、抗抵赖、软件容错和资源控制。
(1)身份鉴别
身份鉴别(CA)是对登录操作系统和数据库系统的用户进行身份标识和鉴别,认证平台与系统的网上注册系统结合,可实现系统用户注册与数字证书申请、更新同步完成。签发的证书可以通过系统中的认证系统实现一点登录、多点应用;门户后的应用系统可以充分利用数字证书的数字签名、电子签章、时间戳等功能,实现招投标的认证安全、文件安全、时效性等需求。例如,投标人制作投标文件后采用专属CA加密,开标时用CA解密,具有身份认证的唯一标识。评标专家评标时采用CA认证登录,杜绝了评标过程中信息的泄露。
(2)操作系统和数据库
操作系统和数据库系统管理用户身份标识要有不易被冒用的特点。登录失败后需要具有相应的处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;为操作系统和数据库系统的不同用户分配不同的用户名,可确保用户名具有唯一性。 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
(3)访问控制
访问控制是对系统首端的保护,也是最容易被入侵的地方。利用安全策略控制用户对资源的访问,同时根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限。针对网站首页的访问,可添加网站应用级入侵防御系统(WAF), 用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。WAF工作在应用层,对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而实现对各类网站站点的有效防护。对SQL注入、网页篡改、网页挂马等起到防御作用。
另外,对操作系统和数据库系统特权用户的权限做出分离,并且限制默认帐户的访问权限,修改这些帐户的默认口令;对重要信息资源设置敏感标记,依据安全策略严格控制用户对有敏感标记重要信息资源的操作,均可避免账户信息的泄露。
(4)资源控制
资源控制是合理利用现有硬件资源,实现投资与性能的最佳比例。通过设定终端接入方式、网络地址范围等条件限制终端登录,根据安全策略设置登录终端的操作超时锁定,防止长时间的占用资源;重要的服务器进行性能监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况,同时限制单个用户对系统资源的最大或最小使用限度,对系统的服务水平降低到预先规定的最小值进行检测和报警,这些措施可很好地降低服务器因性能的占用而引起的安全问题。
四、 结论
针对物理、网络、主机和应用系统采取全方位的安全防护措施,可有效提升电子招投标交易平台的系统安全性。
另外,在不断完善系统硬件与软件的过程中,定期的系统备份机制也是平台安全的有力保障;规范的管理制度、管理流程更是交易平台平稳运行的基础,一旦系统疏于管理,各种威胁就有可乘之机。