【公采传媒/《公共采购》杂志、公共资源网 策划：本刊编辑部 执行：李金红】在公共资源交易领域已经全面开启电子化的今天，交易信息的完整性、可用性、保密性、稳定性和可靠性都需要依赖于网络安全，如何通过制度和科技手段解决信息安全隐忧，让交易更安全、更公平，成为各地公共资源交易机构关心的一个重大问题。

　　为此，《公共采购》杂志邀请湖北省公共资源交易中心信息技术处处长叶佳，杭州市公共资源交易中心副主任李蓉，南通市公共资源交易中心副主任汤骏，安徽合肥公共资源交易中心信息科高级工程师陈大兴，金润方舟科技股份有限公司副总裁、首席项目运营官熊中华，就“公共资源交易电子化信息安全风险防控”开展交流研讨。

　　电子化开评标过程中有哪些信息安全风险?

南通市公共资源交易中心副主任汤骏

　　汤骏：电子招标投标全流程的主要节点分为招标、投标、开标、评标、定标5个主要阶段，其中招标公告信息中招标内容和资格条件的确认、确保投标单位信息的保密、评标专家的抽取和名单的保密、投标文件内容的防窃取与防篡改、开标环节的防解密失败、评标过程中的防泄密和评标结果防篡改是电子招标投标工作中的重点安全问题。总结五大环节中需要解决的风险点，主要可以归为六类问题，即：电子招标投标用户的身份确认问题、投标报名阶段投标人的名单泄露风险、专家抽取环节专家名单的泄露风险、投标文件的防窃取和防篡改问题、开标环节的防解密失败风险以及评委评标过程的防泄密和评标结果的防篡改问题。

　　目前，南通市公共资源交易中心还在就大数据技术对公共资源交易安全做专题研究。近年来，随着大数据技术的出现，信息安全风险形势日益严峻，由于大数据技术是一种功能强大的分析算法，它可以从海量的信息中发现期望的数据，并对这些数据进行智能分类，提取有价值的片段，给出高度精准的趋势判断甚至是预测结果，如果被一些别有用心的不法分子利用这种利器在公共资源交易活动中肆意滥用，将破坏正常的交易秩序，危及电子交易平台正常运行，其风险影响不容小觑。因此，大数据技术对公共资源交易安全的冲击巨大，没有提前预案的话，将导致灾难性的结果。

　　长期以来，交易机构在建设系统方面投入大量精力，但是对于运营维护重视程度不足，“重建设、轻维护”现象比较普遍，缺乏对信息安全泄露的问责机制，往往没有人对信息泄露负责，有些“集体负责”实际上是无人负责，有些“一把手负责”实际上也是没人负责。应在体制机制上进行改革，有条件的要设立“首席信息安全官”等职位负责信息安全问题，并在经费投入等方面加大支持力度。熊中华：金润科技是公共资源交易信息化服务商，长期为全国多地的公共资源交易电子化建设服务。在服务过程中发现有两个容易被交易机构忽略的信息安全问题。

　　一是人员安全性问题。如果，如果交易中心的电子开评标系统不是由交易机构的信息管理部门自行研发和维护，那么必然请第三方软件开发公司开发电子开评标系统，这个时候就可能产生软件开发商和当地的市场主体人脉交错，互相“勾结”，数据泄露和数据篡改的风险将大大提高。

　　二是电子评标系统数据的准确性，即电子开评标系统评出来的数据是否准确。此前曾有交易机构发生过电子评标数据全部都有错误的情况。这也应当属于信息安全风险 ，并且此类问题非常容易引发市场主体进行投诉，也是交易中心容易忽略的问题之一，。

　　从电子化交易系统建设的角度如何有效防控信息安全风险?

湖北省公共资源交易中心信息技术处处长叶佳

　　叶佳：湖北省电子招投标交易云平台建设开发初期，就对平台系统的安全风险问题非常重视，针对可能出现的风险点做了大量调研，聘请系统安全公司做了详细的规划和设计，来保障平台的稳定、高效、安全运行。

　　加强系统顶层设计，管控安全风险点。针对电子交易系统中存在的安全风险进行梳理，对流程中的风险点按高、中、低进行了分类，并分别制定安全管控机制。大量使用加密技术，对数据库中核心关键数据加密。即使有数据访问权限的开发人员都无法看到核心数据。任何系统开发完成，上线运行前必须通过第三方软件功能和性能测试，以及安全测评通过，保证了系统不存在安全漏洞。每年投入约200万元建设了应用级灾备系统，在两处云机房部署了电子交易平台系统，同时在线运行，互为负载，真正实现了365天、7×24小时电子开评标不间断对外服务。

　　购买引进专业化的第三方安全服务。湖北省电子招投标交易云平台是严格按照国家检测认证三星标准通过认证的。每年都对软件系统、硬件系统进行等级保护三级检测。每年都购买安全审计公司服务，对数据库进行安全审计，每月一次安全报表，每半年进行一次系统安全攻防演练。充分利用云公司的安全服务，对系统安全进行实时监控。

杭州市公共资源交易中心副主任李蓉

　　李蓉：从系统建设角度保证信息安全，杭州市公共资源交易中心主要围绕以下三个方面开展工作。

　　信息系统安全风险评估。采用委托第三方进行信息系统安全威胁和风险评估，落实日常检查、季度安全风险评测、年度安全等级评估，做到及时发现各种安全隐患和漏洞，并及时采取措施加以防范。

　　信息安全监控系统。采用堡垒机、态势感知等相关设备，及时发现和处置网络攻击、病毒传播，对网络和信息系统实施保护，提高自我防范能力。

　　双设备冗余策略体系。对网络核心交换机、汇聚交换机、网络服务器、重要链路等关键设备采取双机、双链路策略，主设备出问题时，由辅助设备接替工作，保证电子交易平台不中断服务。

　　汤骏：不断提升安全防护等级。今年上半年，南通市公共资源交易平台已经通过了国家信息中心的系统安全等级保护监测认证测试，8月底完成全部认证工作。下半年，还将根据计算机系统安全等级保护相关要求，加快推动公共资源交易电子信息化系统实现三级等级保护认证。

金润方舟科技股份有限公司副总裁、首席项目运营官熊中华

　　熊中华：金润科技从成立之初就把安全放在首位。公司深度研究公共资源交易全流程的相关法律规范和技术要求，确保电子化交易的每一个阶段、每一个阶段都没有信息安全漏洞。截止目前，金润科技在服务各地交易机构的过程中从未出现过任何一起信息安全问题。

　　针对电子化开评标过程的数据不准确等问题，公司不断完善电子开评标验证系统。该系统能自动对原有数据进行验证，如果数据准确则对外发布中标候选人公示及后续环节，数据有误则发出预警。该系统已经在多个交易中心使用，应用效果良好。

　　从系统运维管理的角度如何建立风险防控机制?

　　叶佳：信息安全风险防控关键在制度，所有科技手段都是有缺点的，最终还是需要制度落实。

　　湖北省公共资源交易中心制定了严格的安全管理制度，出台了多项安全管理办法，避免人为因素干扰。比如：系统安全管理办法、机房安全管理办法、第三方驻场人员管理办法等。中心还全面使用堡垒机审批制度，加强对所有服务器后台操作管理;加强对网络管理，防止泄密;严格区分电子交易的公众对外服务网络和评标系统网络方式，电子交易对外服务部署在外网，评标系统在省电子政务网，各市县远程异地评标也都通过省电子政务网传输数据。

　　李蓉：应当建立完善的信息安全管理责任制，按照谁主管谁负责、谁使用谁负责、谁运营谁负责的要求落实信息安全管理责任制。

安徽合肥公共资源交易中心信息科高级工程师陈大兴

　　陈大兴：信息安全风险防控要从机制上进行约束，开发人员不接触生产环境，硬件维护人员不懂业务原理，系统运行环境分离，建立开发、仿真和生产三套环境，软件公司在开发环境中进行系统研发和测试，通过代码发布程序将正式发布版本的代码，发布到仿真环境中，在仿真环境中进行代码编译和验证，确认后，由硬件维护人员将仿真环境下编译后的系统部署至生产环境中，开发人员不接触生产环境。

　　如果出现问题，由硬件维护人员将生产环境中业务产生的日志拷贝至仿真环境，由开发人员在仿真环境中排查问题。硬件维护人员需要经过分管领导授权后，从堡垒机上访问生产系统，根据软件公司的修改访问进行数据维护和紧急修复bug。

　　部署日志审计、数据库审计系统，同时由第三方信息安全审计公司对中心安全系统进行审计，排查开发人员、硬件维护人员是否存在异常操作。

　　汤骏：在信息系统安全方面，要人防、技防相结合，严密排查风险点，及时发现风险源，才能确保信息系统安全长治久安。

　　提高网络安全意识。切实强化干部职工网络安全意识，一方面，完善网络信息安全协调机制，把网络信息安全和日常公共资源交易工作一同谋划、一同部署，形成推动网络信息安全工作的强大合力。另一方面，强化全中心工作人员网络信息安全防范意识。通过多种宣传教育形式，使每个工作人员真正从思想上认识到“网络安全无小事”，将网络安全意识内化于心、外化于行。

　　落实网络安全责任。建立网络安全防范目标责任制，制定《信息安全人员管理制度》《信息安全管理制度》《网络安全管理制度》《南通市公共资源交易信息系统安全应急预案》等一系列制度规定，明确网络安全工作具体责任部门和责任人。强化岗位责任制，将所有应用系统、数据信息以及硬件设备的安全管理责任落实到每个部门、每个岗位和每个环节，实现网络信息安全管理全岗责、全流程和全覆盖。

　　技术服务是保障电子招投标工作的重要部分。电子化的推进中交易机构和软件公司休戚相关，交易中心要提好需求、把好验收、建好制度、管好平台，软件公司要不断提升系统的功能性、安全性，共同推动公共资源交易公开、公平、公正。

【更多新闻请关注公采传媒微信公众号。扫描下方二维码：公共资源交易】