我国电子招标活动中的一些漏洞

目前，电子招投标系统是电子政务的重要组成部分。电子招投标系统中招标投标的主要数据和招标投标过程的数据很容易成为网络攻击的非法目标在当前“互联网”招投标和采购快速发展的形势下，如何实施和完善电子招投标的安全保护尤为迫切。

电子招标投标活动分为五个主要阶段:招标、投标、开标、评标和评标。其中，电子招标投标用户的识别、潜在投标人信息的保密、评标委员会形成的信息的保密、投标文件的防窃取和防篡改、开标防解密失败、评委评标过程中的防泄密以及评标结果的防篡改是关键的安全问题。中国电子招标活动中若干漏洞的箭鱼投标审查

1、信息经营者(主体)的身份合法性

要求在电子投标技术规范中对注册用户如投标人、招标代理机构、投标人、评标专家等进行识别和识别，并提供独特的检查识别功能。应采取以下措施确保用户身份不容易被欺诈:

1。为认证信息提供复杂性检查功能系统登录用户密码复杂度检测，密码设置太简单，系统应该有密码强度提示

2。身份识别和身份异常的保护措施在系统多次登录失败后，该帐户会通过其他身份验证方式自动锁定和解锁。

3。使用数字证书对交易主体进行识别和认证需要识别的电子招标投标交易包括:提交资格预审申请文件、提交投标文件、提交投标保证金、撤回投标文件、确认开标记录、提交收据、发出中标通知书、签订合同(协议)等。招标投标主体应对这些操作承担相应的法律责任

4。采用上述两种或两种以上措施相结合的识别技术

2，电子签名

电子签名可以保证电子投标文件的完整性和不可否认性电子签名的数字证书应采用法定认证机构颁发的证书，并根据国家授时中心的标准时间来源为电子签名文件生成时间戳。

电子签名文件包括招标公告(资格预审公告)、投标邀请书、资格预审文件(澄清和修改)、资格预审申请文件(澄清和修改)、资格审查报告、招标文件(澄清和修改)、招标文件(补充、修改、撤回和澄清)、开标记录、评标报告、中标通知书、合同(协议)和收据等具有法律约束力的文件

三、信息传输过程安全

电子投标信息传输，一是使用SSL协议进行通道加密传输，同时使用公钥构造和数字证书技术来保护信息传输的机密性其次，投标人名单、评委名单和评标结果等敏感数据通过用户自定义技术加密，以提高安全性。电子投标技术规范对数据接口安全有具体规定，传输接入点实施网络边界安全控制。界面安全控制包括:安全评估、访问控制、入侵检测、密码认证、安全审计、反恶意代码、加密等

数据接口访问应经过双方的身份安全认证，以确保接口访问安全与国家公共服务平台传输数据接口时，采用双方白名单互认机制只有在指定了IP的情况下，才能访问和调用接口，并在传输之前进行身份验证确认和数据传输。从交易平台到国家公共平台的传输通道采用SSL协议加密

4、信息存储链接安全性

采用加密或其他保护措施，确保重要数据存储的机密性投标人名单、评标专家名单和评标结果等数据应加密存储，避免操作和维护人员直接复制或修改数据库中的数据，操作和维护人员可联系后台数据库。

因为服务器系统一天24小时运行，所以单个组件故障的概率非常高存储系统中磁盘存储的冗余通常至少构建了RAID5系统您可以考虑云托管服务器资源和存储资源，以进一步确保服务的稳定性。目前，许多地方公共资源交易平台依靠第三方提供的政府云进行建设。

五、数据备份和备灾

按照既定的备份策略定期备份系统的数据库和重要数据文件，以便在出现故障或灾难时恢复信息为了选择合适的备份位置和备份方法，有条件的备份应该在不同的地方同时进行备份方法是完全数据备份，即备份所有选择要备份的数据。与其他备份方法相比，完整数据备份需要更多的时间和数据存储容量，但数据恢复是最简单和最容易的。增量备份是自上次备份以来所有已更改数据的备份与其他方法相比，增量备份需要的时间和数据存储容量更少，但数据恢复方法最为复杂。差异备份是备份上次完整数据备份中更改的数据，与完整数据备份相比，这需要更少的时间和数据存储容量，并且比增量备份更简单、更容易恢复数据。通常，策略是根据系统数据量的大小和存储设备的容量制定的，应该考虑不同的备份策略。

6、测井系统的全面性

电子招标投标过程中的事项处理、审批和流转、数据修改等产生的记录的记录和时间点应完整保存。

系统版本的发布和更新、系统文件的替换和修改以及数据库文件的恢复和恢复都需要经过技术管理流程的批准和记录。系统后台的所有管理行为记录也需要完整记录，以备将来监督和审计。在实际操作中，后台操作日志往往被许多系统所忽略。生产系统的运行和维护管理操作可以使用鲍蕾机器进行审计和记录。数据库管理可以通过数据库审计系统对数据库服务器的各种运行行为进行监控和分析，并记录在审计数据库中进行集中管理。

7、安全审计管理

1。安全审核管理应符合以下要求:

2。应提供安全审计功能安全审计的范围应涵盖系统中的每个用户和系统中的所有重要安全事件，如登录事件、关键数据的变化等。

3。审核记录的内容应包括事件的日期、时间、发起者信息、类型、描述和结果等。

4。应提供审计记录数据查询、统计和分析功能

5。安全审计员不能同时担任系统管理员

6。安全审计系统设备应独立部署，以确保数据不被篡改。

8，硬件系统和网络可靠性

不能在互联网上直接打开运维管理后台和主机登录门户虚拟专用网络隧道可用于加强网络安全，以及抗分布式拒绝服务攻击系统、网页防篡改保护系统、防火墙、入侵防御系统、数据泄漏保护系统等。可用于为系统提供安全检测和保护。应采用防病毒网关或防病毒软件来防止病毒，并定期检查和杀灭病毒。定期对操作系统进行漏洞扫描，及时安装系统补丁以防止安全漏洞

由于安全投资成本高，中小型交易平台由于成本压力在实施中面临困难，可以采用UTM等下一代防火墙集成多功能集成产品来降低成本

生产环境需要根据等级保护的要求划分安全区域。web服务、应用程序、接口等。向外部世界提供服务的需求部署在外部网络区域。系统的数据库和其他重要数据文件应存储在内部网络区域。互联网不能直接访问。这些区域被防火墙隔开。

系统的源代码应接受安全审查。由于开发人员的水平和经验，源代码中通常存在安全漏洞和风险，很容易被互联网攻击者利用。源代码审查可以从源头上发现这些漏洞，并进行安全整改。

系统安全检查包括系统漏洞扫描，以及上述用户识别、不可否认性、访问控制、数据完整性、保密性检查、数据备份和恢复检查等。您还可以在本地、远程和网络三个不同级别上进行渗透测试，以模拟演练期间的攻击。通过渗透测试，对网站进行深度检测，发现并挖掘系统中的漏洞。