为加强我省建设工程招投标信息系统的安全管理,保障招投标信息系统正常运行和网上招投标活动有序开展,提高我省电子招投标工作水平,我办定制了《江苏省建设工程招标投标信息系统安全管理规定》,现印发给你们,请遵照执行。
附件:
江苏省建设工程招标投标信息系统
安全管理规定
(试行)
第一章总则
第一条 为加强我省建设工程招投标信息系统的安全管理,保障招投标信息系统正常使用和网上招投标活动有序开展,确保招投标相关业务数据安全,根据《中华人民共和国计算机信息系统安全保护条例》和国家有关法律、法规和政策,结合我省实际,制定本规定。
第二条 建设工程招投标信息系统是指各级建设工程招投标管理机构或交易中心建立的,用于建设工程招投标信息采集、存储、发布,为工程交易提供服务的各类计算机、计算机网络、多媒体系统、数字设备及相关的信息系统(以下统称信息系统)。
第三条 各级建设工程招投标管理机构和建设工程交易中心负责本级信息系统的安全管理工作和下级信息系统的安全指导工作。
第二章 安全管理事项
第四条 任何单位和个人不得利用招投标信息系统危害国家安全、泄露国家秘密,不得侵犯国家的、社会的、集体的利益和招投标活动当事人的合法权益,不得从事违法犯罪活动。
第五条 任何单位和个人不得利用招投标信息系统制作、复制、查阅和传播下列信息:
(一)煽动抗拒、破坏宪法和法律、行政法规实施的;
(二)煽动颠覆国家政权,推翻社会主义制度的;
(三)煽动分裂国家、破坏国家统一的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;
(七)公然侮辱他人或者捏造事实诽谤他人的;
(八)损害国家机关信誉的;
(九)其它违反国家宪法和法律、行政法规的;
第六条 任何单位和个人不得从事下列危害招投标信息系统安全的活动:
(一)未经允许,进入招投标信息网络或者使用招投标信息网络资源的;
(二)未经允许,对招投标信息系统的功能进行删除、修改或者增加的;
(三)未经允许,对招投标信息系统中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;
(四)故意制作、传播计算机病毒等破坏性程序的;
(五)其它危害招投标信息系统安全的。
第七条 任何单位和个人为我省各级招投标管理机构实施招投标监管和交易中心开展招投标交易服务提供软件开发、硬件支持和网络服务,必须经同级招投标主管部门组织测试,认定对已运行的招投标信息系统不造成安全隐患后方可使用。未经允许,任何单位和个人不得在我省各级交易中心功能区自行安装任何服务器和相关的软件,不得自行开展任何网络服务。
第八条 联入Internet的信息系统,在计算机的相关文件夹中应保持60天的上网记录。任何人不得随意删除上网记录。
第九条 任何单位和个人不得从事下列危害招投标信息系统安全的活动:
(一)未经允许,随意变更设备的存放地点的;
(二)未经允许,随意拆装设备、变更设备的配置,改变设备的功能的;
(三)未经允许,随意切断按要求正常运行的设备的电源,以及通讯线路的;
(四)故意损坏设备的。
第十条 未经招投标管理机构和交易中心同意,任何单位和个人不得在交易中心机房和其他功能区安装数据通讯设备,架设通讯线路,包括有线和无线线路。
第十一条 各级交易中心必须保证设备存放场所的安全,防火、防盗、防爆炸、防静电、防雷、防事故等方面的设施和措施应符合有关标准、规定和要求。
第十二条 各级招投标管理机构和交易中心上网办公用计算机与交易中心各功能区使用的计算机应实行物理隔离或利用网闸等硬件隔离措施进行隔离。
第十三条 招投标业务信息保密要求:
(一)凡参与招投标信息系统建设、管理、维护、使用的所有人员,应当树立牢固的信息保密意识。
(二)对电子招投标过程中的信息严格保密,任何人不能以任何方式非法获取、泄漏、收集、分析、发布招投标信息系统中关于公告发布、文件备案、资格审查、抽取评委、投标报名、投标报价、开标评标等各环节的招投标信息。系统开发商和其他人员不得获取运行系统中的数据,包括业务数据和服务器密码;
(三)电子招投标系统不得设置将系统数据自动拷贝、复制、传送到指定地点等非法功能,或在系统中预留后门程序;
(四)软件公司开发、实施、维护人员和其他技术人员在系统验收上线后进行维护、测试、部署、运行的过程中,接触服务器需要有专人全程陪同;任何情况下均禁止将相关数据库复制、带离机房;需要移动设备进行数据维护的,必须由管理人员提供指定移动设备进行数据维护,不得使用其它任何单位或个人自备的移动设备。
第十四条 网络层安全管理规则
(一)为了提高网络的安全性和运行效率,可以利用VLAN(虚拟局域网)对交易中心网络用户进行逻辑分段。
(二)工作区域安全管理:
1. 开标室、评标室、远程评标室应当采用Ip地址和Mac地址绑定的方式;
2. 工作区域电脑可以采用Ip地址和Mac地址绑定的方式;
3. 所有的功能区域、工作区域的交换机,宜放在隐蔽的地方,设备必须标注明显的提示语句,如:非工作人员禁止触动设备;避免无关人员接触,防止将线拔掉或者乱插,形成回路。
(三)服务器区域安全管理:
1. 数据库服务器禁止有对外Ip的接入;
2. 服务器Ip地址的接入需要有专人登记,不能随便接入。
第十五条 系统层安全管理规则
(一)IIS应用服务器安全管理:
1. 关闭Web应用程序的目录浏览功能;
2. 将所有的aspx页面设置为只读;
3. 应开启IIS访问日志记录功能,供审计检查使用;
4. Web.config中配置加密的数据库连接字符串,避免明文方式;
5. SQL Server企业管理器中禁止保留数据库连接账号和密码。
(二)数据库服务器安全管理:
1. 部署的应用系统禁止使用sa账号访问数据库,Microsoft SQL Server数据库的每一个数据库对应一个数据库账号,并且该账号仅有该数据库的操作权限;
2. Microsoft SQL Server数据库账号使用的密码必须包含数字、字母、特殊字符;
3. Microsoft SQL Server数据库定期做好备份,一般建议每天备份一次,保留一周的备份文件。重要数据应当采用异机备份。
(三)服务器管理员账号密码管理:
1. 禁止使用Administrator账号;
2. 服务器系统管理员密码必须为包含数字、字母和特殊字符的组合,且长度不得低于9位,管理员密码必须每3个月进行一次修改;
3. 软件公司在进行系统上线、调试、部署和测试的过程中,如需接触服务器,必须由专人陪同,并由交易中心管理人员开设临时帐号提供给相关人员使用。工作完成后应及时删除或禁用临时账号,否则由此导致的后果将追究账号开设人员的责任。
第十六条 应用层安全管理规则
(一)系统管理员账号密码管理:
1. 招投标各信息系统管理员账号由专人保管,不得交由软件开发商或信息集成商人员管理;
2. 软件开发商进行模拟测试的招投标系统测试帐号,应该统一提交申请,注明使用人员、使用权限内容和使用时间范围,统一开通之后进行使用,帐号到期自动注销;个
3. 每次登录系统,都必须用自己的账号登录系统,查看数据。
(二)登录安全管理:
1. 凡是已推广CA锁的地区,会员系统一律禁用简单的用户名密码登录;
2. 业务管理平台中,应限制高级管理用户的登录方式,原则上只能通过USB Key方式登录;
(三)业务安全管理:
1. 系统应设计保密机制,敏感数据以密文存放,例如抽取专家姓名、投标企业报名情况、开标评标情况等内容,不得以明文方式存储,防止泄漏风险;2.招投标信息系统在涉及到文件和数据存放流转、递交、生成回执等各环节,应当采用CA签名机制,以保障数据传输和存放过程中数据不被篡改。
第十七条 信息系统开发商必须承诺系统无后门设置,系统数据维护应当采用现场维护方式,原则上禁止采用远程维护的方式。
第十八条 信息系统开发商在未获得管理机构授权许可的情况下不得进入系统后台,不得查看系统所有数据信息,更不允许复制和下载任何数据,任何系统操作的步骤均须记录在系统日志中,以备调取查看。
第十九条 任何单位和个人在进入信息系统后台维护都需要进行登记备案,系统重要维护(如:系统功能升级、断网维护等)须经管理机构信息部门主管领导批准方可进入后台进行维护,日常管理登陆后台通过系统日志进行监控,记录操作步骤,以备查验。
第二十条 数据存档文件需按照国家相关规定进行管理,对于超过半年以上的数据需要备份到指定的移动设备中进行保存,避免服务器受损影响档案管理信息。信息系统的数据宜实时备份到备份服务器,保障档案数据的安全。备份服务器和移动备份设备由专人管理,登记在案,调取和使用均需信息部门主管领导批准方可使用。
第三章安全管理责任
第二十一条 各级招投标管理机构和交易中心工作人员要不断提高信息系统安全意识,增强责任感,自觉遵守国家的法律、法规和规章制度。主动学习计算机信息网络系统安全知识和技术,防止造成安全责任事故。
第二十二条 各级招投标管理机构和交易中心必须正常履行有关招投标信息系统安全管理、监督、检查和指导的责任。其中,招投标管理机构负责有关招投标信息安全的管理、监督、检查和指导培训工作,交易中心负责有关系统和网络的运行、维护、服务、检查和培训工作。上述部门须指定专门的安全责任人。
第二十三条 按照国家有关规定,招投标信息系统安全管理实行“谁主管,谁负责”、“谁使用,谁负责”的原则,各级招投标管理机构和交易中心负责本单位的安全管理工作。各单位须成立信息系统安全领导小组,并指定专(兼)职的安全员。单位主要领导为安全领导小组负责人,具体负责本单位的有关计算机信息网络系统的安全工作。未按本规定加强招投标信息系统和网络安全管理造成安全事故的,安全领导小组负责人与安全员共同承担有关责任。
第二十四条 安全领导小组履行下列安全保护职责:
(一)负责信息系统的安全保护管理工作,遵守国家的有关法律、法规和规章制度,建立健全招投标信息系统安全保护管理制度;
(二)研究、确定、落实信息系统安全管理措施和技术措施,保障招投标信息系统的运行安全和信息安全;
(三)负责组织信息系统管理者和使用者的安全教育和培训;
(四)对系统开发商、软硬件供应商、使用信息系统的单位、个人及相关使用行为进行管理;
(五)建立使用情况登记和信息管理制度;
(六)制定本单位安全事件应急预案,建立安全事件应急机制。
第二十五条 信息系统安全员履行下列安全保护职责:
(一)协助安全领导小组宣传、贯彻、落实国家有关法律、法规、规章制度和安全防范措施,对招投标信息系统规章制度建设与完善、安全防范措施等提出科学合理的建议;
(二)协助安全领导小组审核本单位的安全防范措施,包括管理措施和技术措施,发现问题及时纠正,并及时向单位安全领导小组提出改进意见或报告;
(三)承担本单位信息系统的日常安全管理工作,全过程参与招投标信息系统的开发,提出系统安全要求;对信息系统进行安全审计、跟踪分析和安全检查,及时发现安全隐患和违法犯罪行为,发现问题,及时上报安全领导小组负责人。对已经发生的案(事)件,应妥善保护现场,并协助有关部门开展调查、取证;
(四)定期检查所负责的信息技术设施的系统运行状况、使用效果、软件硬件完好情况、网络状况、信息安全状况;对于所发现的安全问题应在20分钟内上报本单位计算机信息系统安全领导小组;
(五)采取有效技术手段,防止有害信息传播,防止其它涉及计算机信息网络系统的违法犯罪现象的发生;
(六)加强交易中心机房管理,进入机房应当有专人及时登记进入时间、进入者和维护事项;有条件者可以配备摄像头监控机房的进出;负责正常的定期巡检,填写服务器的检查清单;建立各种硬件的售后服务厂商档案。
第二十六条 从事招投标信息系统和网络开发、集成、维护和服务的单位和个人应当接受招投标管理机构的安全监督、检查和指导,如实向招投标管理机构提供有关安全保护的信息、资料及数据文件,协助招投标管理部门查处利用招投标信息系统的违法犯罪行为。
第四章附则
第二十七条 本办法未尽事宜按照国家的法律、法规和上级有关规定执行。
第二十八条 本办法自发布之日起施行。
