电子招标投标系统安全检测技术的研究与实践(源码)【字数:9977】
摘 要目前各行业普遍采用的招标投标,作为一种竞争性的采购方式,由于流程的复杂和相关法律法规的限制,一直存在运作周期较长和运作成本较高等弊病。电子招标投标是将互联网信息技术与传统招标投标的工作流程相结合,是电子政务的重要组成部分,其业务数据需要具备一定的安全性保证。而电子招标投标系统的主体信息和交易数据容易成为互联网非法攻击目标。本课题采用一定的安全检测技术,实现电子招标投标活动中用户身份确认、潜在投标人保密、评标委员会保密、投标文件防窃取与防篡改、开标防解密失败、评标防泄密和评标结果防篡改等重点问题的安全防护。
目 录
第一章 绪论 1
1.1招标投标制度概述 1
1.2目前电子招标投标系统的面临的安全问题 2
第二章 安全检测过程 4
2.1被测系统的结构分析 4
2.1.1被测系统的功能结构 4
2.1.1被测系统的技术结构 4
2.2测试流程 5
2.2.1测试准备阶段 5
2.2.2方案编制阶段 5
2.2.3测试阶段 5
2.2.4报告编制阶段 5
2.3网络安全威胁评估 5
2.3.1评估目的 5
2.3.2评估方法 5
2.3.3评估结果 6
2.4具体系统测试 7
2.4.1测试环境 7
2.4.2测试指标 8
2.4.3测试工具 11
2.4.2测试方法 12
第三章 漏洞发现过程和修复建议 14
3.1SQL注入漏洞 14
3.1.1问题描述 14
3.1.2测试过程 14
3.1.3修复建议 16
3.2文件上传漏洞 16
3.2.1问题描述 16
3.2.2测试过程 16
3.2.3修复建议 18
3.3垂直越权 18
3.3.1问题描述 18
3.3.2测试过程 18
3.3.3修复建议 18
3.4验证码暴力破解 19
3. *好棒文|www.hbsrm.com +Q: *351916072*
4.1问题描述 19
3.4.2测试过程 19
3.4.3修复建议 19
第四章 测试结果 20
4.1测试结果汇总 20
4.2建议性安全问题 21
结束语 22
致 谢 23
参考文献 24
第一章 绪论
传统上,网络应用业务采用开发出安装在普通客户计算机上的递交申请业务模块和安装在高性能服务器上的响应请求业务模块,即C/S(客户机和服务器)模式,这样做的好处是性能高,响应速度快,但缺点是开发和学习的成本高,同时需要为每个业务专门开发不同的客户端和服务端。将所有的服务模块都放到Web网站上,而客户机统一使用浏览器去访问Web网站去实现业务功能才是现在的趋势。因此需要采用各种防护措施来确保Web网站的安全,在各种防护措施中,当前普遍采用的方式是模拟黑客攻击,对网站进行Web渗透测试以达到评估目的,并对找到的安全漏洞进行针对性修补。
1.1招标投标制度概述
招标投标是按照公平、公开、公正和诚实信用的原则,在市场经济条件下采用竞争的手段购买货物和服务的采购方式。招标这种竞争交易的方式在众多采购方式中既有利于保证采购项目的质量,创造公平竞争的市场环境,促进企业之间的公平竞争,又有利于合理的使用采购资金。招标投标是建设工程等多个行业中普遍采用的一种竞争性采购方式[1]。在招投标在建筑行业中逐步推行后,招投标的应用范围现在在货物材料、工程、服务等多个不同领域推广开来。
招标投标全过程可以分为以下6个阶段,如下图11:
图11 招标投标过程6个阶段
招标:招标方公开招标(发布招标公告)和邀请招标(投标邀请函)。
投标:各个投标人购买招标人发布的招标文件,制作投标文件并将其密封好,在递交投标文件的截止时间前递交。
开标:开标即招标方接收投标人递交的投标文件,并于所有投标人及公证人员面前开启并公布各投标人的投标价格等重要内容。
评标:评标委员会按照招标文件中提出的要求对投标文件进行审阅打分,并推选中标人。
中标:评标委员会推选一到三名中标候选人,招标方在候选人中依法确定适当的人选作为最终中标人。
签订合同:招标方与中标人根据发布的中标人递交的投标文件、招标文件和合同条款签订最终合同。
1.2目前电子招标投标系统的面临的安全问题
电子招标投标活动是指以数据电文形式,依托电子招标投标系统完成的全部或部分招标投标交易、公共服务和行政监督活动[2]。现代计算机与网络技术的发展,使建立一套完整的招标投标中心信息化系统和市场体制成为可能[3]。
电子招投标系统具有资源整合能力强、实用性强、信息对称性好和透明度高的特点完善专业的评标专家库对“公平、公开、公正”的招标原则提供了有力的支持[4]。然而,据了解,目前的电子招投标系统是单台服务器完成的,可靠性相对较差,而且现有的系统也存在一定的安全风险,投标人的隐私安全和投标文件的安全性不能得到保证。信息技术为招标工作带来更大的便利和公正,但同时也要正视其存在的安全风险[5]。电子网络信息传播的无边界性特征决定了电子招投标的有效性,实现了招标信息的充分披露,完善了社会监督机制,改变了政府监管方式,规范了电子政务信息的公开。但与此同时,网络的开放性也带来了更为严重的安全问题。尤其是在网络安全问题日益严重的情况下,招投标的安全性问题性更加突出。在电子招投标中,整个招投标过程是在网络中进行的,大量的敏感数据和文件存储在网络中。因此需要构建一个极其安全的网络环境来保障这些数据的安全,保障整个电子招投标过程的顺利进行[6]。
另外,与其他利用网络的信息化系统一样,电子化招投标系统同样面临着以下这些安全问题:
1.相关法律法规的制定与网络技术的迅猛发展步调不一致
面对网络发展中的信息窃取、挪用、信息攻击和破坏等问题,人们不断呼吁网络立法的加强。网络的发展需要法律的支持和保障。毕竟,网络是一个新生事物,人们对此知之甚少。传统交易方式中的原始合同、签字等如何在电子媒介中应用。网络技术的发展日新月异,国家相关法律的制定很难跟上网络的快速发展,这使得一些网络违法和纠纷开始纷纷出现。电子形态的证据如何被法院受理、犯罪行为的认定和惩罚缺乏更细致的法律依据。
2.招投标系统网络安全建设思想、技术落后
目 录
第一章 绪论 1
1.1招标投标制度概述 1
1.2目前电子招标投标系统的面临的安全问题 2
第二章 安全检测过程 4
2.1被测系统的结构分析 4
2.1.1被测系统的功能结构 4
2.1.1被测系统的技术结构 4
2.2测试流程 5
2.2.1测试准备阶段 5
2.2.2方案编制阶段 5
2.2.3测试阶段 5
2.2.4报告编制阶段 5
2.3网络安全威胁评估 5
2.3.1评估目的 5
2.3.2评估方法 5
2.3.3评估结果 6
2.4具体系统测试 7
2.4.1测试环境 7
2.4.2测试指标 8
2.4.3测试工具 11
2.4.2测试方法 12
第三章 漏洞发现过程和修复建议 14
3.1SQL注入漏洞 14
3.1.1问题描述 14
3.1.2测试过程 14
3.1.3修复建议 16
3.2文件上传漏洞 16
3.2.1问题描述 16
3.2.2测试过程 16
3.2.3修复建议 18
3.3垂直越权 18
3.3.1问题描述 18
3.3.2测试过程 18
3.3.3修复建议 18
3.4验证码暴力破解 19
3. *好棒文|www.hbsrm.com +Q: *351916072*
4.1问题描述 19
3.4.2测试过程 19
3.4.3修复建议 19
第四章 测试结果 20
4.1测试结果汇总 20
4.2建议性安全问题 21
结束语 22
致 谢 23
参考文献 24
第一章 绪论
传统上,网络应用业务采用开发出安装在普通客户计算机上的递交申请业务模块和安装在高性能服务器上的响应请求业务模块,即C/S(客户机和服务器)模式,这样做的好处是性能高,响应速度快,但缺点是开发和学习的成本高,同时需要为每个业务专门开发不同的客户端和服务端。将所有的服务模块都放到Web网站上,而客户机统一使用浏览器去访问Web网站去实现业务功能才是现在的趋势。因此需要采用各种防护措施来确保Web网站的安全,在各种防护措施中,当前普遍采用的方式是模拟黑客攻击,对网站进行Web渗透测试以达到评估目的,并对找到的安全漏洞进行针对性修补。
1.1招标投标制度概述
招标投标是按照公平、公开、公正和诚实信用的原则,在市场经济条件下采用竞争的手段购买货物和服务的采购方式。招标这种竞争交易的方式在众多采购方式中既有利于保证采购项目的质量,创造公平竞争的市场环境,促进企业之间的公平竞争,又有利于合理的使用采购资金。招标投标是建设工程等多个行业中普遍采用的一种竞争性采购方式[1]。在招投标在建筑行业中逐步推行后,招投标的应用范围现在在货物材料、工程、服务等多个不同领域推广开来。
招标投标全过程可以分为以下6个阶段,如下图11:
图11 招标投标过程6个阶段
招标:招标方公开招标(发布招标公告)和邀请招标(投标邀请函)。
投标:各个投标人购买招标人发布的招标文件,制作投标文件并将其密封好,在递交投标文件的截止时间前递交。
开标:开标即招标方接收投标人递交的投标文件,并于所有投标人及公证人员面前开启并公布各投标人的投标价格等重要内容。
评标:评标委员会按照招标文件中提出的要求对投标文件进行审阅打分,并推选中标人。
中标:评标委员会推选一到三名中标候选人,招标方在候选人中依法确定适当的人选作为最终中标人。
签订合同:招标方与中标人根据发布的中标人递交的投标文件、招标文件和合同条款签订最终合同。
1.2目前电子招标投标系统的面临的安全问题
电子招标投标活动是指以数据电文形式,依托电子招标投标系统完成的全部或部分招标投标交易、公共服务和行政监督活动[2]。现代计算机与网络技术的发展,使建立一套完整的招标投标中心信息化系统和市场体制成为可能[3]。
电子招投标系统具有资源整合能力强、实用性强、信息对称性好和透明度高的特点完善专业的评标专家库对“公平、公开、公正”的招标原则提供了有力的支持[4]。然而,据了解,目前的电子招投标系统是单台服务器完成的,可靠性相对较差,而且现有的系统也存在一定的安全风险,投标人的隐私安全和投标文件的安全性不能得到保证。信息技术为招标工作带来更大的便利和公正,但同时也要正视其存在的安全风险[5]。电子网络信息传播的无边界性特征决定了电子招投标的有效性,实现了招标信息的充分披露,完善了社会监督机制,改变了政府监管方式,规范了电子政务信息的公开。但与此同时,网络的开放性也带来了更为严重的安全问题。尤其是在网络安全问题日益严重的情况下,招投标的安全性问题性更加突出。在电子招投标中,整个招投标过程是在网络中进行的,大量的敏感数据和文件存储在网络中。因此需要构建一个极其安全的网络环境来保障这些数据的安全,保障整个电子招投标过程的顺利进行[6]。
另外,与其他利用网络的信息化系统一样,电子化招投标系统同样面临着以下这些安全问题:
1.相关法律法规的制定与网络技术的迅猛发展步调不一致
面对网络发展中的信息窃取、挪用、信息攻击和破坏等问题,人们不断呼吁网络立法的加强。网络的发展需要法律的支持和保障。毕竟,网络是一个新生事物,人们对此知之甚少。传统交易方式中的原始合同、签字等如何在电子媒介中应用。网络技术的发展日新月异,国家相关法律的制定很难跟上网络的快速发展,这使得一些网络违法和纠纷开始纷纷出现。电子形态的证据如何被法院受理、犯罪行为的认定和惩罚缺乏更细致的法律依据。
2.招投标系统网络安全建设思想、技术落后
版权保护: 本文由 hbsrm.com编辑,转载请保留链接: www.hbsrm.com/jsj/rjgc/117.html
