整套数字化招采平台安全防御体系

招采平台作为数字化供应链的重要组成部分,需要确保招标采购过程的安全性,主体信息和交易数据信息尤为重要,通过必要的安全架构、技术和安全管理制度,做到事前防范、事中监管和事后审计的安全防御。

一、平台技术安全架构

1、先进的技术架构,让安全要求更严格

SpringCloud微服务架构的全面应用;

前后端分离技术的全面采用;

分布式框架技术,支持租户级数据隔离;

DevOps 应用开发、测试、交付、发布的全流程自动化;

支持传统部署、云部署、虚拟化部署、Docker及K8s弹性部署。

2、稳定的安全体系,让平台安全更合规

通过安全部署、安全技术、安全管理体系,保护平台承载环境和招采平台安全,切实保障平台业务安全;

打造平台建设全生命周期安全防御体系,在开发、测试、交付、发布的每个环节都植入安全防护措施;

采用多因子身份认证、token认证、RBAC授权、数字证书等多种安全技术相结合的形式,实现“集中认证+动态授权+行为跟踪”安全防护;

全面适配信创环境,筑牢平台技术及组件安全、可控。

二、全方位安全防御措施

1、技术及业务应用层面安全防护

1)权限控制:信源数智化招采平台采用RBAC多级授权实现权限细化,对功能使用、数据访问的权限及其时限进行细分控制功能;支持用户的管理权限,系统管理权和业务权的责任人相互分离、相互监控;通过安全控制策略和权限判定,实现多维度的权限动态控制。

2)身份认证:平台支持CA数字证书、电子营业执照、离线人脸识别等多因子认证技术进行身份认证,锁定业务主体真实身份,确保接入网络的用户和终端持续可信。

3)电子签名(章):平台运用CA数字证书,实现各主体对采购相关文件进行电子签名、电子签章、时间戳等功能;支持运用电子营业执照应用支撑,实现投标人对标书文件进行电子印章功能,并精确记录签署时间;支持使用手机CA或手写板签名功能,实现专家对评标文件电子签名。

4)电子加密和解密:平台运用CA数字证书、电子营业执照、密码信封等技术应用,对需要保密的数据电文进行加密和解密,实现关键业务场景的数据安全和不可抵赖性。

5)信息传输安全:信息传输过程中,平台使用HTTPS(在HTTP协议的基础上使用SSL加密)进行通道加密传输,同时使用PKI公钥密码学和数字证书技术保护信息传输的机密性。数据接口在传输的接入点实施网络边界安全控制,数据接口访问时进行双方身份安全认证,确保接口访问的安全性。

6)存储安全:平台支持运用区块链技术,保证信息永久安全存储、真实有效和不可伪造篡改;运用国产密码、PKI 公钥密码学确保重要数据存储的保密性,避免运维人员在数据库上直接拷贝或修改数据。

7)安全审计:平台采用审计日志功能,对安全事件进行实时采集、实时分析、实时异常报警、集中存储和事后分析功能,及时发现非法访问、关键数据变更等异常行为;通过丰富的报表系统,提供高效的查询、统计、分析的审计记录。

2、硬件及网络层面安全防护

1)服务器安全:信源数智化招采平台支持本地服务器部署,信息安全私密性更高;支持云服务器部署,服务稳定性更高;也支持虚拟化部署、Docker及K8s弹性部署,部署效率更高。

2)主机安全:从主机安全扫描、安全补丁修复、应用密码策略(复杂度度控制、定期更换)、开启主机防火墙、关闭非必要服务及端口、清理不需要的账号等手段进行控制。

3)源代码安全:平台采用源代码安全扫描、组件安全基线检测、加密混淆等手段对源代码安全进行控制,并进行安全整改。

4)数据备份与恢复:支持对关键数据自动定时备份、同步与恢复功能;提供异地数据定期备份功能和异地灾备功能。

5)内外网隔离:通过分层和微隔离技术,按照等级保护的要求划分安全区域,系统的数据库和其他重要的数据文件存储在内网区域,互联网不能直接访问,减少受到网络攻击和数据泄露的风险。

6)平台安全防护:构建全局防御体系和威胁快速处置机制,采用防XSS攻击、防CSRF攻击、防SQL注入攻击、请求参数防篡改、文件上传下载防护、防火墙、防身份伪造攻击等系统为平台提供安全检测防护。采用防病毒网关或杀毒软件防病毒,并定期查杀病毒。定期对操作系统进行漏洞扫描,及时安装系统补丁,防范安全漏洞。

7)信创安全:通过对信源数字化招采平台的基础设施、基础软件、应用软件、信息网络安全的改造优化,前后端全面适配信创环境,筑牢平台安全根基。

三、检测认证管理

1、星级检测认证

信源数智化招采平台符合《电子招标投标办法》及《电子招标投标系统技术规范》的要求,并支持《电子招标投标系统交易平台认证技术规范》的星级检测认证,从系统数据、系统接口、系统功能、业务规则、系统性能、安全措施、系统运行环境、系统文档等层面均符合三星检测认证标准,从源头上保障平台安全。

2、安全等级保护

根据《中华人民共和国网络安全法》的明确规定,平台支持“网络安全等级保护”检测认证,通过测评手段提升系统的安全防护能力,全面符合三级的等保要求。

四、国家发明专利

2023年5月,信源信息喜获国家知识产权局给予的一项国家发明专利,此项发明专利名为“一种安全认证方法及系统 ”。该发明专利是公司自主研发的保证系统安全的核心技术。专利的获得标志着信源信息在技术创新方面又前进了一大步,为招采数智化推进打下了夯实的安全基础。

安全是招采平台重中之重的任务,信源信息数智化招采平台基于顶层设计的安全架构,形成自身特有的安全部署、安全开发、安全检测、安全运维以及安全管理体系,有效确保业务、用户信息、数据的安全性,为平台安全保驾护航。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/172842.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

算法设计与分析复习--回溯(一)

文章目录 上一篇回溯法性质子集和问题装载问题下一篇 上一篇 算法设计与分析复习–贪心(二) 回溯法性质 类似穷举的搜索尝试过程,在搜索尝试过程中寻找问题的解,组织得井井有条(避免遗漏), 高…

KNN(k近邻法)算法理论和实战

KNN概念 k近邻法(k-nearest neighbor,k-NN)是一种基本分类与回归方法。 k近邻法的输入为实例的特征向量对应于特征空间的点;输出为实例的类别,可以取多类。 k近邻法假设给定一个训练数据集,其中的实例类…

【机器学习】039_合理初始化

一、稳定训练 目标:使梯度值在更合理的范围内 常见方法如下: 将乘法变为加法 ResNet:当层数较多时,会加入一些加法进去 LSTM:如果时序序列较长时,把一些对时序的乘法做加法 归一化 梯度归一化&…

全链路压测的步骤及重要性

全链路压测是一种系统性的性能测试方法,旨在模拟真实用户场景下的完整操作流程,全面评估软件系统在不同压力下的性能表现。这种测试方法对于保证应用程序的高可用性、稳定性和可扩展性至关重要。 1. 全链路压测概述 全链路压测是在模拟实际用户使用场景的…

SMU可以供电的同时测量电流和电压

SMU可以供电的同时测量电流和电压 SMU本身能够提供电流或电压,同时测量负载或被测设备(DUT:Device Under Test)上的电流和电压。这是与传统电源相比使用SMU的优势之一。 SMU测量的电流和电压值将反映在NI-DCPower软面板中&#…

(swjtu西南交大)数据库实验(数据库需求分析):音乐软件数据管理系统

实验内容: 数据库需求分析:各用户组需求描述,绘出数据流图(详细案例参见教材p333~p337,陶宏才,数据库原理及设计,第三版); 一、选题背景 近年来,“听歌”逐…

【docker】虚拟化和docker容器概念

基础了解 IAAS: 基础设施服务,(只提供基础设施,没有系统) **SAAS: ** 软件即服务,(提供基础设施和系统) PAAS: 平台即服务,(提供基…

【Docker】从零开始:1.Docker概述

【Docker】从零开始:1.Docker概述 1.什么是Docker2.为什么要使用Docker3.传统虚拟机技术与Linux容器技术的区别(1).传统虚拟机技术(2).Linux容器 4.Docker的特点一次构建、随处运行a.更快速的应用交付和部署b.更便捷的升级和扩缩容:c.更简单的系统运维d.…

三字经||无聊数了下三字经的字数

三字经总字数去除标点后1416个 该文章无技术含量,仅三字经原文,学技术的同学可以止步了 三字经(原文) 【作者】王应麟 【朝代】南宋 人之初,性本善。性相近,习相远。 苟不教,性乃迁。教之道&a…

视频接入网关的用法

视频接入网关是一种多功能的视频网关设备,可以解决各种视频接入,视频输出,视频转码,视频融合的问题。可以应用在应急指挥,智慧融合等项目中,与各种系统进行对接,解决视频能力跨系统集成的难题。…

matlab-BP神经网络的训练参数大全

本文部分图文来自《老饼讲解-BP神经网络》bp.bbbdata.com 本文列兴趣MATLAB神经网络工具箱中,训练参数trainParam的各个参数与意义 以方便在使用matlab工具箱时,用于查阅 一、matlab神经网络工具箱trainParam的参数列表 trainParam中的各个具体参数如下…

【数据结构(三)】单链表(1)

文章目录 1. 链表介绍2. 单链表应用实例2.1. 顺序添加方式2.1.1. 思路分析2.1.2. 代码实现 2.2. 按照编号顺序添加方式2.2.1. 思路分析2.2.2. 代码实现 3. 单链表节点的修改3.1. 思路分析3.2. 代码实现 4. 单链表节点的删除4.1. 思路分析4.2. 代码实现 5. 单链表常见面试题5.1.…

代码随想录算法训练营|五十九~六十天

下一个更大元素|| 503. 下一个更大元素 II - 力扣(LeetCode) 和每日温度一样的套路,就是这里可以循环数组,两个数组拼接,然后循环两遍就行。 public class Solution {public int[] NextGreaterElements(int[] nums)…

Python如何实现模板方法设计模式?什么是模板方法设计模式?Python 模板方法设计模式示例代码

什么是模板方法(Template Method)设计模式? 模板方法(Template Method)是一种行为型设计模式,它定义了一个算法的骨架,将一些步骤延迟到子类中实现。这种模式允许子类为一个算法的特定步骤提供…

DeepStream--测试lpdnet车牌检测模型

模型地址:https://catalog.ngc.nvidia.com/orgs/nvidia/teams/tao/models/lpdnet/version 模型格式已经从加密的etlt格式变为onnx格式。这个模型用于从汽车图片上检测出车牌位置,模型有两个,一个用于美国车,一个用于中国车。 Nv…

Mysql之聚合函数

Mysql之聚合函数 什么是聚合函数常见的聚合函数GROUP BYWITH ROLLUPHAVINGHAVING与WHERE的对比 总结SQL底层原理 什么是聚合函数 对一组数据进行汇总的函数,但是还是返回一个结果 聚合函数也叫聚集,分组函数 常见的聚合函数 1.AVG(): 求平均值 2.SUM() :…

HarmonyOS基础组件之Button三种类型的使用

简介 HarmonyOS在明年将正式不再兼容Android原生功能,这意味着对于客户端的小伙伴不得不开始学习HarmonyOS开发语言。本篇文章主要介绍鸿蒙中的Button使用。 HarmonyOS中的Button相较于Android原生来说,功能比较丰富,扩展性高,减…

OpenShift 4 - 部署 RHODS 环境,运行 AI/ML 应用(视频)

《OpenShift / RHEL / DevSecOps 汇总目录》 说明:本文已经在 OpenShift 4.14 RHODS 1.33 的环境中验证 文章目录 RHODS 简介安装 RHODS 环境运行环境说明用 RHODS Operator 安装环境创建 Jupyter Notebook 运行环境 开发调式 AI/ML 应用部署运行 AI/ML 应用视频参…

国产压力测试工具的主要作用

国产压力测试工具可以帮助软件开发和维护团队对系统进行全面的性能测试,以评估系统在高负载下的性能表现。以下是国产压力测试工具的主要作用: 性能评估:国产压力测试工具可以模拟多用户同时对系统进行访问和操作,通过对系统的响应…

SpringBoot 自动装配原理 - 支付宝支付封装starter

SpringBoot 自动装配 SpringBoot 自动装配原理详细介绍自定义 Spring Boot Starter1.读取配置文件2.注册 AlipayClient bean3.核心代码编写4.注册 AlipayAPI bean5.编写 META-INF/spring.factories 文件6.项目结构测试1.创建一个测试项目,引入自定义 starter 依赖2.…