【公采传媒/《公共采购》杂志、公共资源网 李金红】6月13日，备受关注的第六届中国网络安全大会在北京国家会议中心召开，引发各行各业对网络安全的热议。

　　随着公共资源交易电子化的不断推进，以及交易信息网上公开的不断深入，使招投标的效率得到了质的飞跃，与此同时，随着信息化进程的快速推进、信息安全管理相对薄弱和滞后，使得公共资源交易领域信息安全问题尤为突出。特别是最近爆出的土地网上竞价因云平台服务器出现异常，导致交易无法正常进行，以及各平台不同程度的数据丢失现象，进一步暴露了电子化交易下的信息系统安全隐患，也为交易群流程电子化的落地带来巨大挑战。

　　响应各地对于信息网络安全防护的关注，《公共采购》杂志特别采访广联达电子政务事业部副总经理兼技术总监苏文庆、四川亚创信息技术有限公司总经理李俸林、甘肃成兴信息科技有限公司李建文等平台建设和信息安全专家，为公共资源交易信息安全答疑解忧。

　　智能化场地是交易安全的基石

　　线上交易依赖于必要的软件设施。广联达电子政务事业部副总经理兼技术总监苏文庆认为，随着公共资源交易平台的推进落实，公共资源电子化的平台网络环境及硬件的发展不再局限于传统网络硬件，而是向更先进的智能化场地整合。

　　传统硬件配套方面，由于现在全省一张网、全市一张网交易的格局越来越普及，对应着分布式构架要求，服务器要求越来越灵活，CPU的运算能力已经不再是重点要求，内存的大小和部署的灵活性成为重点，可以采用云服务、传统机房服务，甚至是混合服务模式;同时由于电子化标书的大面积普及，对于存储和档案的要求也越来越高。一个地市级的交易中心，每年仅电子标文件的存储量便可达到20TB以上，随着在线见证服务相关音视频资料的不断增多，海量的信息存储必然要求更加可靠的在线存储系统和线下存储设备。

　　同样，随着全流程电子化的普及和云服务的应用，应用场景越来越复杂，通常要考虑云端+本地机房混合场景下的安全。线上交易规模的增加对网络带宽的要求也在逐年增加，除对外的公网带宽增加外，还需要考虑各相关单位本地机房的配套设备，如原来的5类线网络及设备需要提升到6类线以上、局域网带宽要落实到千兆上。

　　在服务配套建设上，除了上述网络硬件建设，还应考虑本地配套场地服务设施建设，实现场地智能导引、门牌指引、公示电子屏等场所管理设施的配套到位，高清摄像头、视频监控见证、开标视频直播等监控设备的配套到位。同时，为保证专家高效有序地开展评标工作，高效的门禁、专家等候休息区配套设备、远程异地评标视频会议等也需要配备齐全。

　　加强数据防护技术的应用

　　正如网络安全大会名誉主席，中国工程院院士倪光南所说，“网络安全的核心是技术安全”。公共资源交易全流程电子化的信息安全关键在于系统的安全性、可靠性、稳定性。

　　苏文庆认为电子化交易系统是一个综合的交易系统，包括开评标等多个子系统。系统之间的内外部数据交互均需考虑网络安全。内部系统之间的数据交互要符合安全规范，任何一个新系统上线前，必须进行安全扫描，规避常规安全漏洞。同时需要严格区分内部网络和外部网络的边界，做好网络分层。

　　以开标前投标文件存放为例，保证开标前投标文件不泄露，一方面约定不同角色、不同级别的用户权限;另一方面通过加密技术，保护投标文件不能被第三方解开，通常的做法是采用CA加密。

　　电子化交易运维过程中，除了使用防火墙、主动被动防御设备、安全审计设施自动监控环境安全外，还可通过定期安全扫描及定期加固来应对操作系统及平台框架带来的安全威胁。在日常的工作中，可通过订阅杀毒软件及重要安全社区的专题，来实时接收安全相关报道，保持对安全问题的敏锐性。

　　公共资源电子化交易系统是强业务系统，与常规自动化维修技术使用场景匹配度不高。在电子化交易平台的设计方面，可采用组件热插拔方式的设计，组件与业务关系耦合，如果某个组件出现问题，自动重启或修正关联业务组件即可。

　　国家计算机信息安全测评中心有关负责人在网络安全大会上介绍，目前国内外政府机构、企事业单位广泛采用的信息安全解决方案，大多采取防火墙、入侵检测、病毒防护等防御手段;然而，再复杂的外部防御手段，也难以防止机密信息被人从内部窃取和转移。因此，为应对内部人员大规模数据泄露可能造成的严重后果，还应加强数据泄露防护技术的应用，直接作用于需要提供安全防护的内部文件，确保文件读写、复制、流转等全程受控，防止非授权用户对文件实施操作。

　　打造交易安全整体护体系

　　“交易安全”是深入推进公共资源交易电子化的生命线。如何确保电子化交易持续稳定运行，如何为交易各方主体交易安全保驾护航，需要从横向和纵向两方面，多角度、全方位去思考。

　　四川亚创信息技术有限公司总经理李俸林深入研究，梳理出公共资源交易电子化安全防护体系建设的五大举措——系统安全、数据安全、网络安全、运维安全、应用安全。

　　系统安全，保障业务系统连续运营是公共资源交易电子化持续稳定发展的前提，要建立高容错、高安全和高性能的集群容灾平台，实时监测应用资源运行状态，实现资源故障时自动切换，解决软、硬件的单点故障，从技术上保障业务系统连续运营。例如系统在开发阶段不严谨，测试阶段不充分将引发系统内存泄露、严重错误等故障，从而导致程序意外终止。有的系统软件厂商设计时考虑不充分，电子化交易系统设计模式相对固化，在面对政策和规范变化时，不能灵活支持，出现系统故障或者运行不畅，不能满足交易需要。出现此类问题，需要考虑更换平台基础框架。

　　数据安全，加强数据安全要去交易中心一方面定期归档重要交易数据，形成电子档案，对档案做好安全存储;另一方面要加强数据归档容灾备份。亚创信息提出数据安全不是简单意义上的数据备份，要建立存储双活的数据中心解决方案。在双活模式下，两个数据中心不存在主、备的关系，而是平起平坐，同时承担业务运行的重任，若其中一个数据中心出现故障，业务会立即自动切换到另一个数据中心。这样在一个系统发生故障后，另一个系统能够无缝对接到新的业务，目前来看，双活的架构设计能够很好地保护业务系统的高可靠性和可伸缩性。

　　网络安全，要打破传统网络与信息安全建设的惯有思维，建立基于“互联网安全+”模式下，安全防护、安全管理和安全服务三个方面相结合的网络与信息安全整保护体系。

　　运维安全，除了运维审计外，还应该包括基于大数据的智慧运维管理，要做到事前有预警，事件有策略，事故少发生。一些交易中心由于硬件设备的突然故障引发数据丢失，正在进行中的开标项目只能紧急暂停，长达一周的时间系统也没有恢复正常，最终引发投标人大量质疑和投诉，应当引起广泛重视。

　　应用安全，包括身份认证、电子签名、电子签章、数据加密、交易平台检测认证等，同时还包括在数据互联互通的过程中如何确保数据传输和系统接口的安全。

　　构筑全方位交易信息安全网

　　作为公共资源交易领域软件企业，甘肃成兴信息科技有限公司一直将信息安全、数据安全、过程安全作为自身发展的根本。总经理李建文提出，保障公共资源交易信息安全，主要包括对外防御攻击和入侵，对内防止泄露和篡改。成兴科技从公共资源交易信息化建设之初，就把安全放在首位，不仅加强系统安全，同时将数据库和服务器放置在阿里云上，通过购买阿里云的相关服务，大大降低了外部攻击和入侵威胁。目前，公司正在研发的侦缉系统，将监控交易的全过程，并存为电子档案，供相关职能部门调取查阅，为事后追责提供依据。

　　在软件研发方面，可以通过设立系统检测岗位、设立系统报警点、设置访问权限及非法访问报警、安装堡垒机、安装桌面监控等，全面部署信息防泄露软件、电子文档安全管理软件，同时定期委托第三方对研发的软件系统、公司内部信息安全进行检测，并根据检测报告进行整改，杜绝了内部数据泄露和篡改的可能性。

　　在客户服务方面，应该实施严格的网络准入硬控制，通过采取设定客服人员的系统访问权限，使用数字证书(Ukey)进行安全性验证等措施，将非研发人员系统数据、客户数据的泄露风险降至最低。

　　在内部办公方面，通过强制安装系统补丁和防病毒、防泄露等指定的管理软件，并禁止蓝牙、红外、Modem等外设的使用，同时控制非授权软件运行和在互联网环境下仅能访问预先设定的网站。对办公计算机均实施了严格的网络准入控制，确保有保密信息或数据的计算机无法外接互联网。

　　在保护客户信息安全方面，通过向客户办理数字证书(Ukey)身份识别工具、加强系统用户管理，按照交易主体的分级保护原则强化信息安全管理。通过在甘肃省各交易平台设置安全提示，帮助客户提高安全防范意识，通过数字证书(Ukey)、安全控件对用户的身份进行识别，降低客户信息泄露风险。

　　李建文还提出，在公共资源交易信息化建设和大数据的背景下，信息安全体系建设不但要适应发展要求，更要先行一步，预判公共资源交易信息安全风险，积极应对各类突发事件，积极探索和持续完善信息安全体系建设，在不断积累经验的同时，与各级公共资源交易平台、行业监管部门共同构筑信息安全体系。

　　建立健全网络信息安全制度

　　《公共资源交易平台管理暂行办法》第十三条公共资源交易平台应当建立健全网络信息安全制度，落实安全保护技术措施，保障平台平稳运行。

　　保障公共资源交易电子化信息安全“三分技术七分管理”。苏文庆认为技术应用为信息安全服务的效果依赖于配套管理制度的制定和落实，他强调，必须明确规定和保障文件不能被随意泄露和访问，方能真正实现信息安全。电子交易系统的安全保障，需要业务安全设计会同安全技术手段联合使用，双管齐下才能更加行之有效。

　　例如，甘肃成兴信息科技有限公司根据甘肃省公共资源交易局的部署和要求，构建了四位一体的公共资源交易软件信息安全体系，同时建立了相对完整、适用性较好的信息安全管理制度、研发运维流程，形成由1个管理办法(信息安全管理办法)、7个管理细则(运营岗位人员和职责设置方案、操作及运行过程监控管理、业务变更管理制度、业务连续性和应急响应、安全审计管理、日志定期审核制度、互联互通保障制度)及3个综合性业务管理流程(软件研发流程、系统运维流程、客户服务流程)在内的信息安全技术规范体系，为全程信息安全提供了制度保障和必要方案。

　　各地公共资源交易结构也普遍加强了对信息安全的重视，逐步修订完善网络信息安全管理制度，进一步规范机房管理、网络管理、信息数据管理、应急处置等，查缺补漏，确保网络信息安全工作有章可循。

　　加强网络安全培训方面主要是组织中心全体成员进行了安全保密、网络与信息安全相关法律法规、网络与信息安全基础知识等网络信息安全学习，提高招投标系统网络信息安全防范意识。

　　加强网络风险排查方面主要是制定巡检机制，定期对各科室网络、关键物理设备和机房物理环境安全状况等进行隐患排查，并有针对性地采取防护措施，制定信息安全应急处理预案。

　　没有制度规范就没有系统安全，没有系统就没有交易安全。公共资源交易全流程电子化的推进，必然伴随着无数的交易安全问题，也要求软硬件企业不断加强产品实力，要求交易机构工作人员提升对安全问题的重视，加强安全保障机制建设，让阳光下的线上交易不仅高效，而且安全。

【更多新闻请关注公采传媒微信公众号。扫描下方二维码：公共资源交易】