淮委·安徽省水利厅电子交易平台关键技术应用和安全系统构建
2021-04-02
一、引言
为全力推进水利工程全流程电子招标工作,更好地履行招标投标行政监督职责,水利部淮河水利委员会与安徽省水利厅于2019年决定共同建设具有鲜明水利行业特色的招标采购电子交易平台。水利部淮河水利委员会·安徽省水利厅电子交易平台(以下简称平台)由安徽安兆工程技术咨询服务有限公司建设、运营,平台依据《电子招标投标办法》《水利工程建设项目招标投标管理规定》等有关法律法规及相应标准文件或示范文本进行开发,在系统架构、交易功能、安全体系等方面达到国家标准,获得国家最高等级三星级检测认证证书,实现全流程无纸化、全流程线上操作,并做到全留痕、可追溯。
二、系统构建关键技术应用
交易系统是平台的核心功能系统,须严格根据《电子招标投标办法》和《电子招标投标系统技术规范》进行开发。在系统构建中,开发者综合分析了国内电子招标投标交易平台架构的案例,应用ESB 服务总线技术、云中间服务技术、容器化技术、元数据技术等先进技术,从基础设施支撑环境、数据层、业务应用层和表现层进行了全面设计和攻关,实现了水利招投标的数字化、智能化,顺利构建了平台交易系统。
1.系统架构
在系统架构方面采用系统管理的思路,使招标、投标、开标、评标、定标五个环节既相互独立,又保留其内在逻辑关系。基于云平台架构部署和应用,从基础设施支撑环境、数据层、业务应用层和表现层进行平台架构,并采用面向服务的体系架构(SOA)设计,通过业务服务概念来提供电子招标投标的各项应用功能。
2.先进技术应用
(1)ESB 服务总线技术
1)主要功能
ESB 服务总线包含元数据管理、传输服务、协议转换、服务集成、数据变换、服务安全、事务管理支持、服务发布与订阅等功能,提供数据共享交换平台网络中最基本的连接中枢,将各个前置节点有效地连接起来,消除不同应用之间的技术差异,让不同的应用服务器协调运作,实现不同服务器之间的通信与整合。
2)平台应用情况
平台交易系统根据使用者角色分为招标人系统、招标代理机构系统、监督人系统、投标人系统和开评标系统五个子系统,通过ESB 提供了事件驱动和文档导向的处理模式,以及分布式的运行管理机制,支持基于内容的路由和过滤,具备了复杂数据的传输能力,并可以提供一系列的标准接口,从而在系统建设层面实现上述各功能主体单位系统、业务系统、投标文件制作工具和开评标系统部署的服务器协调运作,以及系统间的数据交互。
(2)云中间服务技术
1)主要功能
云中间服务技术包括消息通信、数据缓存、数据访问分发等数据面的能力。提供系统数据服务、RDS 服务,提供分布式消息中间件、分布式缓存中间件、增强的ELB、提供基于tomcat 的应用中间件等服务,支持应用容器弹性扩展,根据业务负载,动态扩容和缩容。
2)平台应用情况
平台应用云中间服务技术满足各个业务应用对基础中间件的需求,包括招标、投标、开评标等应用以及招标人、招标代理机构、投标人、监督人等主体单位对消息通信、数据缓存、数据访问分发的功能需求,有利于平台大数据处理服务等功能的实现。
(3)容器化技术
1)主要功能
打造DevOps(开发与运维)软件交付闭环,通过“容器管理平台”实现软件容器化(Docker)部署,通过自动化流程来使得软件开发、测试、发布更加快捷和可靠,降低因部署环境差异导致的产品质量不稳定问题,缩短系统更新周期,更加敏捷地应对业务需求频繁变更带来的挑战。
2)平台应用情况
平台应用容器化技术,在系统建设层面实现各功能主体单位系统、业务系统、投标文件制作工具和开评标系统能够打包镜像,系统启动快,占用体积小,可迅速移植至新的环境下部署,且系统运行期间文件系统隔离、资源隔离、网络隔离、日志分开记录。
(4)元数据技术
1)主要功能
元数据(Metadata)是关于数据的数据,即关于数据的内容、质量、状况和其他特性的信息,也可译为描述数据或诠释数据。元数据为各种形态的数字化信息单元和资源集合提供规范、普遍的描述方法和检索工具。应用于各系统间的数据存储,方便各系统间的数据管理、维护、扩展。
2)平台应用情况
平台应用元数据技术,保证各功能主体单位系统、业务系统、投标文件制作工具和开评标系统数据存储和维护管理,并能够按照《电子招标投标办法》《水利工程建设项目招标投标管理规定》的规定实现生成招标备案、评标报告、招标投标情况总结报告所需各项表格。
此外,平台还应用了微服务运行与治理技术为平台业务系统、投标文件制作工具和开评标系统等应用,提供面向CloudNative 演进的自动注册、发现、治理、隔离、调用分析等分布式/微服务治理能力,屏蔽分布式系统复杂度。
三、系统安全体系构建
电子招标投标系统需要确保电子招标投标过程的安全性,应通过必要的安全架构、技术和安全管理制度,做到事前防范和事后的风险控制,建立一个完整的安全防御体系。
1.系统安全问题分析
电子招标投标全流程的主要节点分为招标、投标、开标、评标、定标五个主要阶段,其中招标公告信息中招标内容和资格条件的确认,确保投标单位信息的保密,评标专家的抽取和名单的保密,投标文件内容的防窃取与防篡改,开标环节的防解密失败,评标过程中的防泄密和评标结果防篡改是电子招标投标工作中的重点安全问题,因此需要通过先进技术解决如下问题:电子招标投标用户的身份确认问题、投标报名阶段投标人的名单泄露风险、专家抽取环节专家名单的泄露风险、投标文件的防窃取和防篡改问题、开标环节的防解密失败风险以及评委评标过程的防泄密和评标结果的防篡改问题。
2.先进技术应用
平台通过集成数字加密、数字签名、认证传输等技术,构建了系统的安全保障体系,在水利行业电子招标投标交易平台首次采用了数据数字加密与认证传输技术。
数字加密与认证传输是符合未来发展方向的具有相当强度和安全级别的软件加密方式。由于平台本身建立在非涉密的云平台之上,需要提供一个具有一定安全级别的软件加密手段,既能够为非涉密的工作信息提供安全保障,同时又不会因为高安全要求导致建设成本变得高昂。数字加密与认证传输成为其底层应用,为系统的文件传输、业务应用中的表单信息等提供加密传送和数字签名,同时又能以组件的形式供后续应用开发重用。
3.系统安全体系
(1)安全管理措施
1)限制ca 锁登录。系统设置已经办理ca 锁的投标人只能使用ca 锁登录,且ca 证书与注册单位保持一致。
2)登录限制。包括登录频率限制、登录失败锁定、检测多地登录机制和登录IP 限制。
3)安全审计。按照三星检测认证要求添加安全审计角色,定期查看系统操作日志和访问日志系统。
4)账号密码复杂度校验。要求账号密码至少长8 位,需由大小写字母、数字和特殊字符组成。
(2)数据备份
1)应用程序代码上传于SVN 服务中,统一进行管理。
2)业务附件保存至文件服务器上,后期新增异机备份。
3)数据库备份。数据库每日全部备份,时长30天。定期从服务器上拷贝至移动硬盘进行本地存档。
(3)软硬件资源管理
1)服务器资源接入运营堡垒机,安排专人进行服务器申请审核流程。
2)安排专人定期更新杀毒软件病毒库,并在非工作时间更新服务器补丁,确保服务器安全。
3)安排安全人员对服务器进行软件和硬件层面加固,并定期对服务器和应用程序进行整改。
四、结语
淮委·安徽省水利厅电子交易平台应用ESB 服务总线技术、云中间服务技术、容器化技术、元数据技术等关键技术做好平台构建,同时应用文件及数据数字加密与认证传输等技术构建系统安全体系,平台成功建成并平稳安全运行,自2020年3月上线以来运行正常、成效显著。至2020年底已成功完成各类招标采购项目180 余项,成交总金额逾23 亿元。随着电子招投标的深入开展,大数据、区块链、人工智能、移动互联、BIM 等新技术的赋能,电子交易系统将进一步优化功能,提供更为优质的服务■