电子招标投标交易平台存在哪些安全需求？

以电子招投标平台为例，网络安全等级保护对于平台的建设和运行是重中之重，那么，电子招投标平台存在哪些具体的安全需求？本期话题我们就来详细聊一聊。

1、电子招投标交易平台须满足《中华人民共和国网络安全法》和《信息安全技术网络安全等级保护基本要求》2.0的合法合规性要求，等保2.0对信息系统安全的基本要求如下图：

技术要求“从面到点”提出安全要求。
“安全物理环境”主要对机房设施提出要求，“安全通信网络”和“安全区域边界”主要对网络整体提出要求，“安全计算环境”主要对构成节点（包括业务应用和数据）提出要求，“安全管理中心”主要对系统管理、集中管控等提出要求。

管理要求“从元素到活动”提出安全要求。
“安全管理制度”、“安全管理机构”和“安全管理人员”主要提出了管理不可缺少的制度、机构和人员三要素，“安全建设管理”及“安全运维管理”主要提出了建设过程和运维过程的安全活动管理要求。

2、从业务上电子招标投标全流程的主要节点，分为招标、投标、开标、评标、定标五个主要阶段，其中招标公告信息中招标内容和资格条件的确认、确保投标单位信息的保密、评标专家的抽取和名单的保密、投标文件内容的防窃取与防篡改、开标环节的防解密失败、评委评标过程的防泄密和评标结果防篡改是电子招标投标工作中的重点安全问题。

总结五大环节中需要解决的风险点主要可以归为以下6类问题：

1.电子招标投标用户的身份确认问题；
2.投标报名阶段投标人的名单泄露风险；
3.专家抽取环节专家名单的泄露风险；
4.投标文件的窃取和防篡改问题；
5.开标环节的防解密失败风险；
6.评委评标过程的防泄密和评标结果防篡改问题。

3、《电子招标投标系统技术规范》“8.2 安全性”章节中，从身份标识与鉴别、电子签名、电子加密和解密、访问控制、通信安全、存储安全、资源控制、数据安全及备份恢复、安全缺陷防范及安全审计共十个方面对电子招投标的安全建设提出详细的分类要求。

针对以上需要解决的风险和技术要求，我们需要从技术和管理制度两个方向入手，建立一套完整的安全防御体系，通过必要的安全架构、技术和安全管理制度，做到事前防范和事后的风险控制。

来源： 中国招标公共服务平台