《密碼法》已于2019年10月26日由第十三屆全國人大常委會第十四次會議通過,并將于2020年1月1日起施行。該法的頒布實施,將對我國政府采購信息平臺的安全建設產生極大的促進作用。本法第二條規定“本法所稱密碼,是指采用特定變換的方法對信息等進行加密保護、安全認證的技術、產品和服務”。各省政府采購中心建立的電子信息采購平臺為提供公平、公正、公開、透明、高效的政采服務發揮了重要的作用,該平臺是為國家機關、事業單位和團體組織提供政務保障服務的窗口,如果平臺密碼一旦被竊取而遭受攻擊導致數據被篡改,服務中斷,將會造成廣泛而深遠的社會影響,甚至威脅到國家安全。因此,政府采購信息系統的安全建設應引起高度重視,與信息平臺建設同時考慮、同步落實。
委托第三方開展安全檢測服務
為貫徹落實好國家法律規定,應對日益嚴峻的網絡安全形勢,切實提升網絡信息系統安全保障能力,確保核心業務和數據的安全,需要切實加強政府采購信息安全保障工作??紤]到信息安全工作的專業性強、知識更新換代快,而政府采購中心是一個服務性機構,缺乏信息安全方面的專業人才,應將專業的事情委托第三方專業機構來承擔,以年度服務的方式定期委托第三方專業機構開展安全運維工作,具體包括:定期開展等級保護測評和風險評估,落實等保制度定期開展安全巡檢,排查信息系統運行過程中此出現的安全漏洞和風險,及時采取有效的應對措施;開展實時安全監測和預警,掌握平臺運行安全態勢;針對出現的安全事件快速響應和處置。通過上述日常性工作,建立起常態化的信息安全保障工作機制,確保信息安全風險動態可控。
重點加強采購項目的信息安全
根據政府采購中心的工作實際,應該重點加強采購項目安全保護。強化數據存儲、數據傳輸過程中的安全保密性,并對系統進行有效的安全訪問控制,是政府采購中心信息系統安全的重中之重。政府采購中心信息系統應具有較強的網絡身份識別能力、抵御病毒與木馬侵害能力、防止黑客攻擊的能力,以及系統被攻擊后的應急恢復能力。實現備份和方便快捷的恢復功能,在遭到攻擊或崩潰時能快速恢復,確保重要數據的機密性和完整性。系統在硬件、網絡、數據庫和數據、應用操作權限和身份認證(支持 CA 認證)等方面,實現全面的安全防護措施,建立健全各項安全保障制度。
不斷加強信息系統的應用安全
基于政府采購信息系統部署在電子政務外網云端,所以安全層面主要考慮在應用、數據二個層面,而物理、系統和網絡三個層面依托于電子政務云的安全機制,確保信息系統安全。
一是應用系統訪問控制技術的運用。應用系統應能夠控制不同用戶在不同數據、不同業務環節上的查詢、添加、修改、刪除的權限,提供面向URL(統一資源定位符)的控制能力,提供面向 Service(服務器)的控制能力,提供面向 IP 的控制能力,提供 Session 的超時控制。Session Timeout(獲取并設置在會話狀態提供程序終止會話之前各請求之間所允許的時間):通過配置指定客戶連接的超時時長,在客戶長時間沒有操作時強制使會話失效。限制登錄失敗次數:限制客戶在可配置的時間長度內登錄失敗的次數,避免客戶密碼遭到竊取。
二是數據庫系統安全。一方面,通過系統權限、數據權限、角色權限管理建立數據庫系統的權限控制機制,任何業務終端禁止直接訪問數據庫服務器,只能夠通過 Web 服務器或接口服務器進行訪問數據庫服務器,并設置嚴格的數據庫訪問權限。另一方面,建立完備的數據修改日志,通過安全審計記錄和跟蹤用戶對數據庫的操作,明確對數據庫的安全責任。部署應用服務器和數據庫服務器具備較完善的用戶和權限管理機制。
切實強化信息系統的數據安全
政府采購信息系統的數據安全,重點以數據備份為目標。數據備份涉及兩種類型的備份內容:系統中關鍵應用系統及運行的操作系統的備份;系統中數據的備份。
一是對于應用軟件及系統軟件的備份恢復,由于應用及系統軟件穩定性較高,可采用一次性的全備份,以防止當系統遭到任何程度的破壞,都可以方便快速地將原來的系統恢復出來。
二是對于數據的備份,由于數據的不穩定性,可分別采用定期全備份、差分備份份和增量備份的策略,來保證數據的安全。配置數據備份系統,以實現本地關鍵系統和重要數據的備份。
三是數據訪問控制。支持 ACCL 模式(以用戶為中心的控制訪問權限表)的數據訪問控制機制,實現以用戶為中心建立訪問權限表,控制用戶按照指定的方式訪問指定的數據;同時對用戶訪問過程全程記錄軌跡,并對用戶訪問行為進行監控。
四是加強數據傳輸安全。系統必須實現以下傳輸安全要求: 1.機密性要求:采用加密算法對傳輸的數據進行加解密。2.完整性要求:采用數字簽名保證所傳輸數據不被篡改和破壞。3.可用性要求:通過格式檢查、內容過濾機制,保證所傳輸數據可用。 4.可審查性要求:通過審計能夠滿足交換行為的可審查。
強化信息系統的終端安全措施
一是強化CA 身份認證。充分利用電子政務外網統一云平臺的安全認證基礎設施,加強身份認證安全。
二是強化VPN 終端保護。利用安裝在數據中心 VPN 路由器(虛擬專用網絡)、防火墻等網絡設備上的數字證書,在傳輸過程中給訪問者創建一個不受外界干擾完全邏輯隔離的安全通道,確認訪問通道的安全。
加強政府采購中心內部辦公系統的安全措施
政府采購中心內部辦公系統系政府采購中心信息系統一個子系統。一方面,政府采購中心內部辦公系統提供單點登錄接口,單點進入內部辦公系統。系統與政務辦公系統賬號、密碼同步。另一方面,內部辦公系統應能夠基于不同角色的用戶管理,即按照管理員、信息發布、信息報送、信息查詢四種角色進行角色權限的分配。支持新增用戶、修改用戶信息、刪除用戶、用戶密碼重置、用戶停用等功能,
加強投標保證金系統的高可靠性
政府采購保證金統一管理平臺是政府采購信息系統的一個分系統。其安全性要求比較高,安全性原則的目的是保障該系統的可靠性、隔離性、以及數據庫的絕對安全。一方面,本系統要求提供云平臺級、系統級、應用級等不同層次的、靈活的安全措施。另一方面,本系統能夠采取操作權限控制、密碼控制、數據加密、系統日志監督等多種手段確保系統安全,尤其是確保核心網絡的安全??傊?,該系統必須保證數據不被非法入侵者破壞和盜用,并保證數據的一致性是其關鍵所在,不能有任何疏忽大意。