如何处理采购管理系统信息技术安全漏洞

        采购管理系统是政府采购电子政务的重要组成部分，采购管理系统中招标投标主体数据和招标投标过程数据容易成为互联网非法攻击目标。基于《网络安全法》颁布和实施，国家将贯彻网络安全与信息化发展并重，推进网络基础设施建设与互联互通，建立健全网络安全保障体系，全面提高国家网络安全保护能力。在当前“互联网+”招投标采购的快速发展下，如何切实提高电子化采购管理系统信息技术安全防护极其重要。　　

　　采购管理系统招投标过程分为招标、投标、开标、评标、定标、公示六个主要方面，其中电子招标人、投标人身份确认，潜在投标人信息保密，评标委员会人员组成信息保密，投标文件防窃取和防篡改，开标环节的防解密失败，评委会评标过程防泄密及评标结果防篡改等是电子采购系统的核心安全问题。　　

　　本文从招标采购管理系统的安全与风险角度出发，如何建立建全完善的安全防御体系、落实风险防范、风险控制进行详细论述。　

　　一、信息操作人员合法性　　

　　1、身份标识与鉴别　

电子采购招投标技术规范要求应对招标人、招标代理机构、投标人、评标专家等登录用户进行身份标识与鉴别，且提供身份标识仅有检查功能。

以下措施可以确保用户身份不易被冒用：　　

①　设置鉴别信息复杂度检查功能：系统用户登陆密码复杂度检测，密码设定过于简单，系统将有密码强度提示。　　

②　对身份标识与鉴别异常提供保护措施：系统登录失败多次自动锁定账户，需通过其他认证方式解锁登陆。　

③　运用CA数字证书对交易主体身份标识与鉴别：需通过身份标识与鉴别的电子采购招投标交易行为包括递交资格预审申请文件、递交投标文件、递交投标保证金、撤回投标文件、确认开标记录、递交回执、发出中标通知书、签订合同等，招投标主体对上述操作承担相应法律责任。　　

④　要求同时采用两种或两种以上措施组合鉴别技术。　　

　　2、电子签名　　

　　电子签名可以确保电子招投标文件的完整性和不可抵赖性。电子签名的数字证书应采用正规CA机构颁发的证书，且需按照国家授时中心标准时间源对电子签名文件生成时间戳。　

　　电子签名文件包含招标公告、投标邀请书、资格预审文件（澄清与修改）、资格审查报告、招标文件、投标文件（补充、修改、撤回、澄清）、开标记录、评标报告、中标通知书、合同、签收回执等具有法律约束力的相关文件。　　

　　二、信息传输过程的安全性　　

招投标信息传输：一是使用SSL协议进行通道加密传输，同时使用公开密钥体质和数字证书技术保护信息传输机密性；二是投标单位名单、评委名单、评标结果等敏感数据采用自定义加密技术、强化信息安全。

电子招标投标技术规范对数据接口安全有具体规定，传输接入点实施网络边界安全控制。接口安全控制包括：安全评估、访问控制、入侵检测、口令认证、安全审计、防恶意代码、加密等方法。　　

　　数据接口访问需要进行双方身份安全认证，确保接口访问的安全性。与国家公共服务平台数据接口传输时，采用双方白名单互认机制。指定IP才能访问和调用接口，传输前要进行身份验证确认、再进行数据传输。从交易平台到国家公共平台传输通道采用SSL协议加密。　　

　　三、信息存储环节的安全性　　

　　采购管理系统采用加密或其他保护措施保证核心数据存储的保密性。投标人名单、评标专家名单、评标结果等重要数据，需进行加密存储，避免可以接触到后台数据库的运维人员在数据库上直接拷贝或修改有关数据。　　

　　服务器系统是24小时不间断运行，单个部件产生故障概率较高。存储系统的磁盘存储冗余一般至少需要构建RAID5系统。另外可以选择将服务器资源和存储资源进行云托管，进一步保障系统服务的稳定性。目前较多公共资源交易平台是依托第三方提供的政务云进行建设。

上一篇： 详述采购系统的功能流程和作用

下一篇： 采购系统公司提供的服务有哪些？