四川省政府网    达州市政府网
您现在的位置:首页 > 工作动态
 达州市公共资源交易服务中心依靠科技手段严防死守交易平台信息风险
【信息来源:】【信息时间:2020/5/19 阅读次数:】【字号: 】【我要打印【关闭】

达州市公共资源交易服务平台根据国家有关法律法规及技术规范,建立健全电子招标投标交易平台规范运行和风险防控管理机制,利用可靠的身份识别、权限控制、加密屏蔽、病毒防范等技术手段,加强交易过程的监控,强化系统安全运行的检测,对系统功能设置不留风险余地,确保重要交易信息的保密性、交易系统运行安全性,保证交易平台的安全、稳定、可靠。

一是交易系统不设置投标报名信息查询路径,交易中心内部人员和招标人看不到报名信息。交易系统实现全流程网上电子招投标,投标人通过交易系统在线报名,系统自动将已报名的名单进行加密处理。交易中心内部业务流程从办事员到审核领导均未设置对投标报名信息的查询路径和权限,只知道是否满足开标要求,不知道报名企业的具体名称及报名家数,确保了包括招标人等任何人在开标前无法看到报名信息。开标时间到达后,交易系统自动解密并公布投标名单信息

二是保证金缴纳实行银行虚拟子账户、电子保单保函加密屏蔽,银行、保险公司、担保公司看不到报名信息。通过银行转账方式缴纳保证金,银行采用专线接入交易系统服务器,保障信息传输的安全性。采用虚拟子账号模式,系统每一个标段的每一个投标创建独立的编号,将该编号传给银行生成虚拟子账号,交易主体通过基本账户转账到对应的子账号中,银行无法识别编号对应的项目信息,无法知晓投标缴纳的哪个项目的保证金。在开标之前对保证金的递交情况进行加密处理,到了开标阶段再由开标系统自动获取保证金的缴纳情况。

用电子保单保函方式缴纳保证金时,运用信息加密屏蔽技术,交易系统自动将项目信息与投保信息加密后传送给保险、担保机构,保险、担保机构根据投标单位的授信情况,判断是否可以出具电子保函。保险、担保机构在开标前出具加密电子保单、保函,开标后,再出具一份明文的电子保单、保函,自动传送到交易开评标系统。

三是投标文件双重加密,任何人看不到报价信息。投标企业使用获取到的招标文件导入投标文件制作软件时,交易系统自动使用招标人CFCA证书对投标文件进行加密,投标企业编制完成投标文件后,使用投标人CFCA证书对投标文件进行加密,实现投标文件的双重加密。待网上预约开标时间点,投标人才可登录交易系统在规定的时间内使用投标人CFCA证书解密,招标人再使用CFCA证书解密,方可完成整个投标文件的双解密。解密完成后系统自动公布投标企业报价信息。

四是集中内控外防力量,运维商无法进入交易系统后台窃取交易信息。

交易系统设置运行维护操作权限,控制对应运维人员的操作权限,限定对应人员只允许登陆授权允许登陆的服务器或网络设备进行操作维护。设定每个运维人员能够使用的黑、白指令集,一旦运维人员执行黑名单指令,运维系统会自动阻断其操作,从而最大限度保护目标设备的安全。交易平台各个页面增加非法访问及非法操作拦截,系统检测用户访问包含注入信息等情况,自动限制其访问。对于所有进行中的访问操作,电子交易安全管理机均对其进行同步过程监视,运维人员在服务器上做的任何操作都会同步显示在管理人员的监控画面中,管理员及时切断违规操作。

交易中心采取第三方公司监控巡察、公安网监抽查等外防技术措施,进行防护监测,安排第三方信息安全检测公司对交易系统操作记录不定期巡察,监测交易系统中运维商是否存在非法盗取、擅自修改交易信息等情况,提前抵御网站安全威胁。

五是软硬防护双管齐下造网站安全护甲,黑客病毒难以攻击系统网站安全。

软件方面,采用CA证书登录、用户登录保护、单处用户登录、运维自动监控等方式。交易主体通过CA证书登录系统,用户出示自己的证书供服务器验证,服务器出示其证书供用户确认,采用双层认证方式来确认主体身份信息,互相认证通过,用户方能登录应用系统。账户密码以密文方式传输、密文方式存储,交易主体必须设置不少于8位且包含三种不同类型字符的密码,增加非法破解的难度,让各方主体交易更加安全。交易系统采用24小时自动运行维护监控系统对服务器做实时监控,每天自动检测交易系统运行情况及系统中各类操作日志、补丁更新、服务器时间、数据库备份等是否存在异常,提供及时的异常信息报告,异常问题及时处理。每两周安排专业的巡检人员对交易系统做一次人工巡检,针对服务器杀毒、日志迁移、系统安全策略、端口设置等进行人工检查,让交易系统更有安全保障。

硬件方面,实行智能化、高安全的账户管理、身份认证、资源授权、访问控制、单点登录、操作审计等电子交易安全管理机制,更有硬件防火墙全天候保障交易系统安全。

依靠严密的科技防护手段,严防死守交易保密信息的安全,2018年中国网络安全审查技术与认证中心依据《电子招投标系统检测技术规范》《电子招投标系统交易平台认证技术规范》,对达州市交易系统稳定性、安全性、业务连续性等多方面综合检测评估,通过了达州市公共资源交易服务平台V6.0.5国家最高级三星(优化级)认证。

 

 

                      技术信息科 

                       2020年5月13日