2015年招标师考试新增内容：交易平台技术支撑与保障要求

　　小编：2015年招标师考试备考正在紧锣密鼓的进行中，泛普软件-工程项目管理系统整理了一些复习资料，希望对您有所帮助。

交易平台技术支撑与保障要求

　　8.1 接口技术要求

　　8.1.1 基本要求

　　接口技术基本要求如下：

　　a）应对数据交互提供企业级的支持，在系统高并发和大容量的基础上提供安全可靠的交互。

　　b）应提供完善的信息安全机制，以实现对信息的全面保护，保证系统的正常运行。应防止大量访问以及大量占用资源的情况发生，保证系统的健壮性。

　　c）应提供有效的、系统的可监控机制，以使接口的运行情况可监控，以便及时发现错误及排除故障。

　　d）在充分利用系统资源的前提下，应实现系统平滑的移植和扩展，同时在系统并发增加时提供系统资源的动态扩展，以保证系统的稳定性。

　　e）在进行扩容、新业务扩展时，应能提供快速、方便和准确的实现方式。

　　f）接口技术实现方式应当保持中立性。

　　g）应提供信息交换中自动标记输入和输出来源出处的功能。

　　8.1.2 通信方式

　　接口应通过基于主流的通信协议，并满足以下要求：

　　a）数据传输应具备可控制性，提供数据重发功能。

　　b）数据传输应具备可靠性，确保数据不会丢失，并进行充分的数据校验。

　　c）大数据传输应具备断点续传的功能。

　　8.1.3 接口方式

　　接口方式管理应满足以下要求：

　　a）信息交换方式应符合XML数据交换标准。

　　b）交互操作服务接口应符合Web Services标准。

　　c）系统交互模式支持同步与异步方式。

　　d）交互数据应支持各种数据类型。

　　8.1.4 接口模型

　　数据接口模型应由数据结构、数据集、附件集组成：

　　a）数据结构用来描述接口的结构信息，是可选元素。

　　b）数据集是用来封装结构化数据，是可选元素。

　　c）附件集是用来表述非结构化数据，是可选元素。

　　d）数据集和附件集可以并存或单独出现。

　　8.1.5 安全认证

　　为了保证数据的安全性，各种接口方式都应该保证其接入的安全性：

　　a）应通过接口实现技术上的安全控制，做到对安全事件的可知、可控、可预测。

　　b）应制定专门的安全技术实施策略，保证接口的数据传输和数据处理的安全性。

　　c）系统应在接入点的网络边界实施接口安全控制。

　　d）接口的安全控制在逻辑上应包括：安全评估、访问控制、入侵检测、口令认证、安全审计、防恶意代码、加密等内容。

　　e）数据接口访问应进行双方身份安全认证，确保接口访问的安全性。

　　8.1.6 传输控制

　　传输控制应利用如下高速数据通道技术实现将前端的大数据量并发请求分发到后端，从而保证应用系统在大量客户端同时请求服务时，能够保持快速、稳定的工作状态：

　　a）系统应采用传输控制手段降低接口网络负担，提高接口吞吐能力，保证系统的整体处理能力。

　　b）为了确保接口服务吞吐量最大，接口宜自动地在系统中完成动态负载均衡调度。

　　c）系统宜提供自动伸缩管理方式或动态配置管理方式实现队列管理、存取资源管理，以及接口应用的恢复处理等。

　　d）在双方接口之间宜设置多个网络通道，实现接口的多数据通道和容错性，保证在出现一个网络通道通讯失败时，进行自动的切换，实现接口连接的自动恢复。

　　8.2 安全性

　　8.2.1 身份标识与鉴别

　　应对招标人、招标代理机构、投标人、授权评标专家等登录用户进行身份标识与鉴别，并提供身份标识唯一性检查功能。应采用以下措施，确保用户身份不易被冒用：

　　a）应提供鉴别信息复杂度检查功能。

　　b）应对身份标识与鉴别异常提供保护措施。

　　c）应使用有关部门认可的合法电子认证服务机构提供的CA数字证书对交易主体身份标识与鉴别，需要进行身份标识与鉴别的电子招标投标交易行为包括：递交资格预审申请文件、递交投标文件、递交投标保证金、撤回投标文件、确认开标记录、递交回执、发出中标通知书、签订合同（协议书）等需要招标投标主体承担相应法律责任的电子招标投标行为。

　　d）宜采用两种或两种以上上述措施组合的鉴别技术。

　　8.2.2 电子签名

　　电子签名管理要求应满足以下要求：

　　a）应通过电子签名来确保数据电文的完整性和不可抵赖性，电子签名应用的数字证书应采用合法的电子认证服务机构颁发的CA证书。

　　b）应使用电子签名的数据电文包括：招标公告（资格预审公告）、投标邀请书、资格预审文件（澄清和修改）、资格预审申请文件（澄清和修改）、资格审查报告、招标文件（澄清和修改）、投标文件（补充、修改、撤回、澄清）、开标记录、评标报告、中标通知书、合同（协议书）及相关文件的签收回执等具有法律约束力的文件。

　　c）应提供按照国家授时中心的标准时间源对需要电子签名的数据电文生成时间戳的功能。

　　d）应执行统一规范的数据接口标准，并可通过公共服务平台协议联机等方式，支持不同的合法电子认证服务机构颁发的CA数字证书的兼容互认。

　　8.2.3 电子加密和解密

　　应使用合法的电子认证服务机构颁发的数字证书，并能够根据招标文件选择确定的操作方式和责任主体，对需要保密的数据电文进行加密和解密，以确保数据电文的保密性。

　　8.2.4 访问控制

　　访问控制管理应满足以下要求：

　　a）应具备用户功能使用、数据访问的权限及其时限控制功能。

　　b）应能够识别对系统的非授权访问并提供相应的处理方法。应具备禁止同一帐户多处同时登录的功能。

　　c）用户的管理权限应按照边界清晰，且权限唯一性和最小化原则设置。实施系统开发权、系统管理权和业务权的责任人应相互分离、相互监控，同时，系统应具有自动警示超权限异常操作的功能。

　　d）宜提供对重要信息资源设置敏感标记的功能，并根据安全策略严格控制用户对有敏感标记重要信息资源的操作。

　　8.2.5 通信安全通信安全管理应满足以下要求：

　　a）应能够检测传输过程中数据电文的完整性，在检测到完整性错误时，应提示用户采取必要的措施。

　　b）应采用加密或其它有效措施实现数据传输的保密性。

　　8.2.6 存储安全

　　存储安全管理应满足以下要求：

　　a）应采用加密或其他保护措施实现鉴别信息存储的保密性。

　　b）宜采用加密或其他保护措施确保重要数据存储的保密性。

　　c）宜对重要数据存储过程中的完整性进行检测，在检测到完整性错误时，应提示用户采取相应的措施。

　　8.2.7 资源控制

　　资源控制管理应满足以下要求：

　　a）应该能够对单个帐户的多重并发会话进行限制，并能够对系统的最大并发会话连接数进行限制。

　　b）宜对一个时间段内可能的并发会话连接数进行限制。

　　8.2.8 数据安全及备份恢复

　　数据安全及备份恢复管理应满足以下要求：

　　a）应对关键数据提供自动定时本地备份与恢复功能。

　　b）宜提供异地数据定期备份功能和异地灾备功能。

　　8.2.9 安全缺陷防范

　　安全缺陷防范管理应满足以下要求：

　　a）不应存在可能引起安全缺陷的语句、命令。

　　b）应能够识别和屏蔽非法访问。

　　c）宜加强系统安全防范，能够识别和抵御程序恶意攻击。

　　8.2.10 安全审计

　　安全审计管理应满足以下要求：

　　a）应提供安全审计功能。安全审计范围应覆盖系统中的每个用户及系统中的所有重要安全事件，如登录事件、关键数据变更等。

　　b）审计记录的内容应包括事件的日期、时间、发起者信息、类型、描述和结果等。

　　c）应提供审计记录数据的查询、统计、分析功能。

　　d）安全审计人员不能同时兼任系统管理员。

　　e）安全审计系统设备宜独立部署，以确保数据不被篡改。

　　8.3 性能

　　8.3.1 响应时间

　　响应时间管理应满足以下要求：

　　a）应满足主要功能在单点操作下响应时间少于5秒。

　　b）典型功能在50人并发情况下，响应时间应少于15秒。

　　c）应支持大文件传输功能。支持100MB以内的文件稳定上传。服务器端接收上传文件的最大吞吐量应不低于10Mbit/S。

　　d）投标文件集中解密功能模块的系统处理能力应保证每分钟文件解密应大于100个或大于1GB。

　　8.4 可靠性

　　8.4.1 稳定性系统

　　稳定性管理应满足以下要求：

　　a）应保证在高负荷状态下能提供不间断的可靠服务，系统运行稳定。

　　b）在容量到达规定及超出规定的极限时，系统不能因为崩溃、异常退出等原因而导致数据错误或丢失。

　　8.4.2 容错性系统容错性管理应满足以下要求：

　　a）应提供数据有效性检验功能，对无效数据应给出简洁、准确的提示信息。

　　b）应提供数据一致性校验机制。

　　c）应能识别和屏蔽可能引起系统崩溃、异常退出的用户输入或用户误操作，并给出提示。

　　8.5 易用性

　　8.5.1 易理解性系统易理解性管理应满足以下要求：

　　a）应通过适当的术语、释义、图形、背景信息和操作帮助，协助用户理解和使用系统的各项功能。

　　b）应对平台功能操作错误的原因和纠正信息加以提示。

　　c）宜提供在线帮助。

　　8.5.2 易浏览性

　　系统易浏览性管理应满足以下要求：

　　a）应显示系统当前处理状态。

　　b）应规范化设计屏幕提示、输入和输出。

　　8.6 运行环境

　　8.6.1 机房要求

　　机房管理应满足以下要求：

　　a）应满足《GB/T50311-2007综合布线系统工程设计规范》、《GB 2887-2015计算机场地通用规范》、《GB 50174-2008电子信息系统机房设计规范》标准。

　　b）应采用UPS不间断电源，UPS电源提供不低于2小时后备供电能力。UPS功率大小应根据设备功率进行计算，并留有30%的余量。

　　c）宜设计物理屏障，通过门禁、安全制度等技术和管理措施保证机房环境物理安全性。

　　8.6.2 网络要求

　　网络带宽应满足以下要求：

　　a）接入互联网的独享带宽应不小于10Mbps。

　　b）接入互联网的实际带宽应根据峰值流量进行计算确定。

　　网络安全应满足以下要求：

　　a）网络安全等级应通过《GB17859-1999 计算机信息系统安全保护等级划分准则》中第二级“系统审计保护级”的评测。

　　b）网络安全等级宜通过《GB17859-1999 计算机信息系统安全保护等级划分准则》中第三级 “安全标记保护级”的评测。

　　8.6.3 主机要求

　　8.6.3.1 服务器要求

　　服务器应满足以下要求：

　　a）应满足系统对可靠性、安全性和性能的要求。

　　b）关键部件应采用冗余配置。

　　c）服务器时间应与国家授时中心时间同步。

　　8.6.3.2 主机安全

　　要求主机安全应满足以下要求：

　　a）主机安全等级应通过《GB17859-1999 计算机信息系统安全保护等级划分准则》中第二级“系统审计保护级”的评测。

　　b）主机安全等级宜通过《GB17859-1999 计算机信息系统安全保护等级划分准则》中第三级“安全标记保护级”的评测。

　　8.6.3.3 存储要求

　　存储应满足以下要求：

　　a）宜采用独立磁盘存储设备进行核心数据存储。

　　b）关键部件应采用冗余配置。

　　c）应采用主流存储技术，实现存储设备的冗余和可靠接入，保证存储稳定性。

　　d）应根据在线数据规模计算存储空间，并保留不少于20%的冗余。

　　e）应具有扩展性，可按需增加存储空间，应对系统应用范围的扩展。

　　8.6.4 系统软件要求

　　系统软件应满足如下要求：

　　a）应用服务器和数据库服务器应物理分离。

　　b）应支持主流数据库。

　　c）宜支持集群部署，实现负载均衡。

　　d）宜同时支持包括但不仅限于Unix、Linux、Windows等操作系统。