整套数字化招采平台安全防御体系

招采平台作为数字化供应链的重要组成部分，需要确保招标采购过程的安全性,主体信息和交易数据信息尤为重要,通过必要的安全架构、技术和安全管理制度，做到事前防范、事中监管和事后审计的安全防御。

一、平台技术安全架构

1、先进的技术架构，让安全要求更严格

SpringCloud微服务架构的全面应用；

前后端分离技术的全面采用；

分布式框架技术，支持租户级数据隔离；

DevOps 应用开发、测试、交付、发布的全流程自动化；

支持传统部署、云部署、虚拟化部署、Docker及K8s弹性部署。

2、稳定的安全体系，让平台安全更合规

通过安全部署、安全技术、安全管理体系，保护平台承载环境和招采平台安全，切实保障平台业务安全；

打造平台建设全生命周期安全防御体系，在开发、测试、交付、发布的每个环节都植入安全防护措施；

采用多因子身份认证、token认证、RBAC授权、数字证书等多种安全技术相结合的形式，实现“集中认证+动态授权+行为跟踪”安全防护；

全面适配信创环境，筑牢平台技术及组件安全、可控。

二、全方位安全防御措施

1、技术及业务应用层面安全防护

1）权限控制：信源数智化招采平台采用RBAC多级授权实现权限细化，对功能使用、数据访问的权限及其时限进行细分控制功能；支持用户的管理权限，系统管理权和业务权的责任人相互分离、相互监控；通过安全控制策略和权限判定，实现多维度的权限动态控制。

2）身份认证：平台支持CA数字证书、电子营业执照、离线人脸识别等多因子认证技术进行身份认证，锁定业务主体真实身份，确保接入网络的用户和终端持续可信。

3）电子签名（章）：平台运用CA数字证书，实现各主体对采购相关文件进行电子签名、电子签章、时间戳等功能；支持运用电子营业执照应用支撑，实现投标人对标书文件进行电子印章功能，并精确记录签署时间；支持使用手机CA或手写板签名功能，实现专家对评标文件电子签名。

4）电子加密和解密：平台运用CA数字证书、电子营业执照、密码信封等技术应用，对需要保密的数据电文进行加密和解密，实现关键业务场景的数据安全和不可抵赖性。

5）信息传输安全：信息传输过程中，平台使用HTTPS(在HTTP协议的基础上使用SSL加密）进行通道加密传输，同时使用PKI公钥密码学和数字证书技术保护信息传输的机密性。数据接口在传输的接入点实施网络边界安全控制，数据接口访问时进行双方身份安全认证，确保接口访问的安全性。

6）存储安全：平台支持运用区块链技术，保证信息永久安全存储、真实有效和不可伪造篡改；运用国产密码、PKI 公钥密码学确保重要数据存储的保密性，避免运维人员在数据库上直接拷贝或修改数据。

7）安全审计：平台采用审计日志功能，对安全事件进行实时采集、实时分析、实时异常报警、集中存储和事后分析功能，及时发现非法访问、关键数据变更等异常行为；通过丰富的报表系统，提供高效的查询、统计、分析的审计记录。

2、硬件及网络层面安全防护

1）服务器安全：信源数智化招采平台支持本地服务器部署，信息安全私密性更高；支持云服务器部署，服务稳定性更高；也支持虚拟化部署、Docker及K8s弹性部署，部署效率更高。

2）主机安全：从主机安全扫描、安全补丁修复、应用密码策略（复杂度度控制、定期更换）、开启主机防火墙、关闭非必要服务及端口、清理不需要的账号等手段进行控制。

3）源代码安全：平台采用源代码安全扫描、组件安全基线检测、加密混淆等手段对源代码安全进行控制，并进行安全整改。

4）数据备份与恢复：支持对关键数据自动定时备份、同步与恢复功能；提供异地数据定期备份功能和异地灾备功能。

5）内外网隔离：通过分层和微隔离技术，按照等级保护的要求划分安全区域，系统的数据库和其他重要的数据文件存储在内网区域，互联网不能直接访问，减少受到网络攻击和数据泄露的风险。

6）平台安全防护：构建全局防御体系和威胁快速处置机制，采用防XSS攻击、防CSRF攻击、防SQL注入攻击、请求参数防篡改、文件上传下载防护、防火墙、防身份伪造攻击等系统为平台提供安全检测防护。采用防病毒网关或杀毒软件防病毒，并定期查杀病毒。定期对操作系统进行漏洞扫描，及时安装系统补丁，防范安全漏洞。

7）信创安全：通过对信源数字化招采平台的基础设施、基础软件、应用软件、信息网络安全的改造优化，前后端全面适配信创环境，筑牢平台安全根基。

三、检测认证管理

1、星级检测认证

信源数智化招采平台符合《电子招标投标办法》及《电子招标投标系统技术规范》的要求，并支持《电子招标投标系统交易平台认证技术规范》的星级检测认证，从系统数据、系统接口、系统功能、业务规则、系统性能、安全措施、系统运行环境、系统文档等层面均符合三星检测认证标准，从源头上保障平台安全。

2、安全等级保护

根据《中华人民共和国网络安全法》的明确规定，平台支持“网络安全等级保护”检测认证，通过测评手段提升系统的安全防护能力，全面符合三级的等保要求。

四、国家发明专利

2023年5月，信源信息喜获国家知识产权局给予的一项国家发明专利，此项发明专利名为“一种安全认证方法及系统 ”。该发明专利是公司自主研发的保证系统安全的核心技术。专利的获得标志着信源信息在技术创新方面又前进了一大步，为招采数智化推进打下了夯实的安全基础。

安全是招采平台重中之重的任务，信源信息数智化招采平台基于顶层设计的安全架构，形成自身特有的安全部署、安全开发、安全检测、安全运维以及安全管理体系，有效确保业务、用户信息、数据的安全性，为平台安全保驾护航。