项目管理者联盟 | 中国工程管理网 | 中国研发管理网   会员中心 资料库 项目管理者联盟博客 项目管理者联盟圈子

PMI-ACP®认证

适合敏捷开发项目
敏捷项目管理最佳实践

4月开课 | 实战课

PMI-PBA®认证

重视项目商业分析
商业价值与需求分析能力

4月开课 | 新闻

软考项目管理

信息系统项目管理师
系统集成项目管理工程师

计划 | 报名 | 经验

PMP®认证

单项目管理经典指南
年轻项目经理首选

9月开课 | 网络班

PgMP®认证

大型复杂项目全球标准
定位高级项目管理层

深圳 | 北京 | 上海

NPDP®认证

产品管理国际认证
全球产品管理最佳实践

北京 | 上海 | 感受

PfMP®认证

链接战略与项目
实现组织资源投资回报

17计划 | 北京 | 上海

项目管理者联盟论坛
价值源于交流与分享
PgMG认证
会员区:
登陆ID 密  码
功能区: 公告建议 | 帖子搜索 | 管理团队 | 荣誉版主 | 帮助手册






 项目型组织  项目管理  工程项目  科技项目  项目化管理  管理软件  资格认证  职业休闲
EPM体系与流程 综合集成管理 总承包管理 IT软件开发 项目型制造 P3E/P6 PMP | PgMP 职业发展探讨
组织与人力资源 进度,范围,成本 国际工程 生物制药 专业服务 微软PROJECT IPMP | PRINCE2 管理学堂
项目管理信息化 团队建设与沟通 房地产 汽车设计开发 生活项目 PowerOn专版 软考项目管理 英语角|读书版
多项目与大项目 质量与风险 监理与咨询 手机数码 文体娱乐 注册建造师 房车吃游
PMO建设与管理 采购与合同 工程设计 项目管理硕士 闲聊版|商务版
俱乐部北京 | 大连 | 福州 | 广州 | 杭州 | 南京 | 山东 | 上海 | 深圳 | 四川 | 天津 | 武汉 | 西安 | 郑州 | 申请成立 TOP榜精华 | 最新 | 最热 | 会员

版面信息

说明:失败的IT项目比比皆是,进度延迟,预算超支,客户需求多变,成员加班抱怨...IT项目(软件开发.,信息系统实施等)寻求新生

本版版主

camer
登录:2013-7-2
次数:867
注册:2003-3-3
发帖:2745
dorothy
登录:2016-12-15
次数:804
注册:2004-9-6
发帖:993
steveli2008
登录:2009-5-26
次数:464
注册:2003-5-12
发帖:1026
zhf_karen
登录:2015-6-2
次数:346
注册:2005-6-13
发帖:469

俱乐部导航

北京大连福州广州杭州
南京山东上海深圳四川
天津武汉西安郑州 

联盟·近期活动

免费参加2017(第二届)中国软件估算大会
主办单位:项目管理者联盟
时    间:2017-11-16
地    点:北京·北京丽亭华苑酒店
电    话:010-82273401-11
邮    件:pmp3@mypm.net
项目组合管理及PfMP认证培训-[北京/上海,2017年计划]
主办单位:项目管理者联盟
时    间:2017-12-1
地    点:北京 上海·
电    话:010-82273401-18
邮    件:pgmp@mypm.net
项目管理者联盟PMP培训班招生简章(北京)-2018年度
主办单位:项目管理者联盟
时    间:2018-1-1
地    点:北京·铁道党校
电    话:010-82273401-11
邮    件:pmp3@mypm.net

社区热点

PMP培训班(北京)-针对2018年3月PM
项目管理者联盟PMP2018年度培训班招
产品经理认证NPDP八期北京班圆满结.
《项目经理该知道的那些事》沙龙活.
第三十一期PgMP培训班上海成功举办
项目管理者联盟三十期PgMP培训班在.
项目管理者联盟PMP专题讲座(杭州站
《项目经理该知道的那些事》沙龙
《国际产品经理认证NPDP》黄埔八期
第二十九期PgMP认证班于深圳成功举.

精彩专题

更多:

推荐信息

·项目经理沙龙俱乐部
·推荐项目管理公开课程
·联盟VIP会员服务
·联盟99元大课堂
·建造师课程辅导免费试听

社区圈子

项目经理职业生.
圈主:zhenjm
行业:综合应用

项目管理知识宝.
圈主:wenyu2010
行业:工程设计安装

项目管理小茶馆
圈主:heroxmt
行业:能源煤电油

IT项目管理圈
圈主:lepu29341
行业:IT软件

软件项目经理水.
圈主:camer
行业:IT软件

联系社区管理员

咨询电话 010-82273401/11
斑竹申请 admin@mypm.net

项目管理者联盟
版权所有 © 2003-2004
京ICP证070584号 
BBS业务许可2007第353号 
最佳显示模式:1024*768像素
项目管理与PMP认证
郑州信源分享电子招标投标安全漏洞,必看的八条信息技术建议  [发表于 2017-9-26]
状态 开放帖 浏览量 33   

该帖子同步发自:(xinyuan2017的博客  访问该博客)

  随着《网络安全法》颁布和实施,网络安全问题已经上升到国家层面。国家将坚持网络安全与信息化发展并重,推进网络基础设施建设和互联互通,建立健全网络安全保障体系,提高网络安全保护能力。  

  电子招标投标系统是电子政务的重要组成部分,电子招标投标系统中招标投标主体数据和招标投标过程数据容易成为互联网非法攻击目标。如何落实和提升电子招标投标安全防护工作,在当前“互联网+”招标采购迅猛发展的形势下尤为迫切。  
  电子招标投标活动分为招标、投标、开标、评标、定标五个主要阶段,其中电子招标投标用户的身份确认、潜在投标人信息保密、评标委员会组成信息保密、投标文件防窃取与防篡改、开标环节的防解密失败、评委评标过程的防泄密和评标结果防篡改等是重点安全问题。  
  本文针对电子招标投标活动的风险和安全问题,从信息技术角度,就如何建立完整安全防御体系、做到事先风险防范和事后风险控制进行论述。 
  1.信息操作者(主体)的身份合法性  
  1)身份标识与鉴别 
  在电子招标投标技术规范里要求应对招标人、招标代理机构、投标人、评标专家等登录用户进行身份标识与鉴别,并提供身份标识唯一性检查功能。应采用以下措施,确保用户身份不易被冒用:  
  a)提供鉴别信息复杂度检查功能。系统登录用户密码复杂度检测,密码设定过于简单的,系统要有密码强度提示。  
  b)对身份标识与鉴别异常提供保护措施。系统登录失败多次之后,自动锁定账户,再通过其他认证手段解锁。 
  c)使用CA数字证书对交易主体身份标识与鉴别。需要进行身份标识与鉴别的电子招标投标交易行为包括:递交资格预审申请文件、递交投标文件、递交投标保证金、撤回投标文件、确认开标记录、递交回执、发出中标通知书、签订合同(协议书)等,招标投标主体对这些操作承担相应法律责任。  
  d)采用两种或两种以上上述措施组合的鉴别技术。  
  2)电子签名  
  电子签名可确保电子招标投标文件的完整性和不可抵赖性。电子签名的数字证书应采用合法CA机构颁发的证书,并按照国家授时中心标准时间源对电子签名文件生成时间戳。 
  电子签名文件包括:招标公告(资格预审公告)、投标邀请书、资格预审文件(澄清和修改)、资格预审申请文件(澄清和修改)、资格审查报告、招标文件(澄清和修改)、投标文件(补充、修改、撤回、澄清)、开标记录、评标报告、中标通知书、合同(协议书)及签收回执等具有法律约束力的文件。  
  2.信息传输过程的安全性  
  电子招标投标信息传输,一是使用SSL协议进行通道加密传输,同时使用公开密钥体质和数字证书技术保护信息传输机密性。二是投标单位名单、评委名单、评标结果等敏感数据采用自定义加密技术、强化安全。电子招标投标技术规范对数据接口安全有具体规定,传输接入点实施网络边界安全控制。接口安全控制包括:安全评估、访问控制、入侵检测、口令认证、安全审计、防恶意代码、加密等内容。  
  数据接口访问应进行双方身份安全认证,确保接口访问安全性。与国家公共服务平台数据接口传输时,采用双方白名单互认机制。指定IP才能访问和调用接口,传输前进行身份验证确认、再进行数据传输。从交易平台到国家公共平台传输通道采用SSL协议加密。  
  3.信息存储环节安全性  
  采用加密或其他保护措施确保重要数据存储保密性。投标人名单、评标专家名单、评标结果等数据,要进行加密存储,避免能够接触到后台数据库的运维人员在数据库上直接拷贝或修改数据。  
  由于服务器系统是24小时不间断运行,单个部件发生故障概率很高。存储系统中的磁盘存储冗余一般至少构建RAID5系统。可以考虑将服务器资源及存储资源进行云托管,进一步保障服务稳定性。现在很多地方公共资源交易平台依托第三方提供的政务云进行建设。  
  4.数据的备份和灾备 
  根据制定的备份策略定期备份数据库和系统重要的数据文件,以便在故障或灾难的情况下恢复信息。要选择合适的备份地点和备份方法,有条件的应当同时进行异地备份。备份方法为全数据备份,对所有选择备份的数据进行备份。全数据备份比其他备份方式需要更多的时间和数据存储容量,但数据恢复最简单和最容易。增量备份是对上次备份后所有发生变化的数据进行备份。增量备份比其他方法需要更少的时间和数据存储容量,但数据恢复方式最复杂。差异备份是对上一次全数据备份发生变化的数据进行备份,比全数据备份需要更少的时间和数据存储容量,比增量备份对数据的恢复更简单和容易。一般根据自身系统数据量的大小和存储设备的容量制定策略,不同备份策略都要兼顾。  
  5.日志记录体系的全面性  
  电子招标投标过程中事项办理、审批流转、数据修改所产生的记录以及记录的时间点,均需要完整保存。  
  系统版本发布更新,系统文件替换修改,数据库文件的还原恢复等针对系统的操作,要经过技术管理流程的审批和记录。系统后台所有管理行为记录也需要完整记录,以备日后的监督和审计。实际操作中,后台操作日志记录很多系统往往忽略。生产系统的运维管理操作,可以使用堡垒机进行操作审计和记录。数据库管理可以通过数据库审计系统,监视和分析对数据库服务器的各类操作行为,并记入审计数据库中集中进行管理。  
  6.安全审计管理  
  安全审计管理应满足以下要求:  
  a)应提供安全审计功能。安全审计范围应覆盖系统中每个用户及系统中的所有重要安全事件,如登录事件、关键数据变更等。  
  b)审计记录的内容应包括事件日期、时间、发起者信息、类型、描述和结果等。  
  c)应提供审计记录数据查询、统计、分析功能。  
  d)安全审计人员不能同时兼任系统管理员。  
  e)安全审计系统设备宜独立部署,以确保数据不被篡改。  
  7.硬件系统及网络的可靠性  
  不能在互联网上直接开放运维管理后台和主机登录入口。可采用VPN通道方式强化网络安全,同时采用抗DDOs攻击系统、网页防篡改保护系统、WAF防火墙、IPS入侵防护系统、数据泄露防护系统等对系统提供安全检测防护。采用防病毒网关或杀毒软件防病毒,并定期查杀病毒。定期对操作系统进行漏洞扫描,及时安装系统补丁防范安全漏洞。  
  由于安全防护投入成本较高,中小型交易平台由于成本压力面临实施困难的,可以采用诸如UTM、下一代防火墙之类的集成多功能的一体化产品降低成本。  
  生产环境需要按照等级保护要求划分安全区域,需要对外提供服务的web服务、应用程序、接口等部署在外网区,系统的数据库和其他重要的数据文件存储应在内网区域,互联网不能直接访问,区域之间用防火墙做边界隔离。 
  8.系统安全风险测评  
  系统源代码应做安全审查。由于开发人员水平和经验问题,源代码当中通常会存在安全漏洞和安全风险,容易被互联网攻击者利用。源代码审查可从源头上发现这些漏洞,并进行安全整改。  
  系统安全检测包括系统漏洞扫描,以及前面提到的用户身份鉴别,防抵赖,还有访问控制,数据完整性、保密性检查,数据备份与恢复检查等检测内容。  
  还可以做本地、远程、网络三个不同层级渗透测试,模拟演练发生攻击情况。通过渗透测试对网站进行深度检测,发现和挖掘系统中存在的漏洞。

>>> 由论坛统一发布的广告:
楼主 帅哥约,不在线,有人找我吗?xinyuan2017


职务 无
军衔 一等兵
来自 河南省
发帖 48篇
注册 2017-7-10
PM币 344
经验 155点

  
!  您尚未登录,不能回复主题。    现在 登录  注册
关于联盟 | VIP会员 | 培训服务 | PMP认证 | PgMP认证 | 刊物出版 | 沙龙会议 | 人才服务 | 广告投放 | 联系我们 | 友情链接
建设运营:共创时网络
版权所有 京ICP证070584号 BBS业务许可2007第353号