下列服務條款適用于招標采購網會員,若您使用工業爐招標網提供的服務,您必須同意接受此服務條款。
一、服務條款的確認和接納
本服務條款適用于工業爐招標網用戶,您在申請注冊流程中點擊同意本服務條款之前,應當認真閱讀本服務條款。請您務必審慎閱讀、充分理解各條款內容,當您按照注冊頁面提示填寫信息、閱讀并同意本服務條款且完成全部注冊程序后,即表示您已充分閱讀、理解并接受本服務條款的全部內容,并與工業爐招標網達成一致,成為工業爐招標網平臺用戶。閱讀本服務條款的過程中,如果您不同意本服務條款或其中任何條款約定,您應立即停止注冊程序。工業爐招標網服務的所有權和運作權歸北京中采高科招標集團有限公司所有。所提供的服務必須按照其發布的公司章程,服務條款和操作規則嚴格執行。用戶通過完成注冊程序并點擊“我已經閱讀并接受《工業爐招標網服務條款》中的各項內容”,這表示用戶與北京中采高科招標集團有限公司達成協議并接受所有的服務條款。
二、服務簡介
北京中采高科招標集團有限公司運用自己的操作系統通過國際互聯網絡為用戶提供各項服務,用戶(包括普通個人用戶,免費企業會員,收費企業會員)注冊時,必須同意:
1. 提供真實、準確、即時、完整的個人/企業資料。同時,應根據情況變化維護并及時更新注冊信息,以確保其真實、準確、即時、完整性。
2、一旦北京中采高科招標集團有限公司發現用戶資料含有不準確甚至是虛假內容,北京中采高科招標集團有限公司有權利中止對該用戶的服務。
三、用戶的帳號、密碼和安全性
1、工業爐招標網的注冊帳號可以是英文、數字、字母、中文,或者是它們的組合。用戶可以根據自己的需要進行選擇,但是用戶注冊的帳號或者填寫的昵稱需要符合下列規定:
(1)不得使用黨和國家機構的名稱或者是它們的縮寫。
(2)不得使用黨和國家領導人或者其他知名人士的真實姓名、筆名、藝名或者是他們的縮寫。
(3)不得使用不健康、不文明或者帶有侮辱性、攻擊性的用戶名和昵稱。
(4)您一旦注冊成功,就成為北京中采高科招標集團有限公司的合法用戶,您將得到一個密碼和用戶名。并同意接受北京中采高科招標集團有限公司提供的各項服務。如果您未保管好自己的用戶名和密碼,而對您、北京中采高科招標集團有限公司或第三方造成的損害,您將負全部責任。另外,每個用戶都要對其用戶名中的所有活動和事件負全責。您可隨時改變您的密碼和圖標,也可以結束舊的用戶名重開一個新用戶名。
(5)為避免用戶的合法權利受到侵害,用戶若發現任何非法使用用戶名或存在安全漏洞的情況,請立即通告北京中采高科招標集團有限公司。
四、服務條款的修改及修訂
北京中采高科招標集團有限公司有權在必要時修改服務條款,北京中采高科招標集團有限公司服務條款一旦發生變動,公司將會在用戶進入下一步使用前的頁面提示修改內容。如果您同意改動,則再一次激活“同意服務條款提交注冊信息”按鈕,視為接受本服務條款的變動。如果用戶不接受。北京中采高科招標集團有限公司則保留隨時修改或中斷服務而不需通知用戶的權利。用戶接受北京中采高科招標集團有限公司行使修改或中斷服務的權利,北京中采高科招標集團有限公司不需對用戶或第三方負責。本服務條款任一條款被視為廢止、無效或不可執行,該條應視為可分的且并不影響本服務條款其余條款的有效性及可執行性。
五、用戶隱私制度
北京中采高科招標集團有限公司(工業爐招標網)非常重視用戶信息的保護,在使用工業爐招標網的所有產品和服務前,請您務必仔細閱讀并透徹理解本聲明。一旦您選擇使用,即表示您已經同意我們按照本隱私聲明來使用和披露您的個人信息,并接受本條款現有內容及其可能隨時更新的內容。
1、本注冊條款所涉及的隱私是指:在會員注冊工業爐招標網網站帳戶時,使用其它工業爐招標網網站產品或服務,訪問工業爐招標網網頁,或參加任何形式的會員活動、培訓活動時,工業爐招標網會收集的會員的個人身份識別資料,包括會員的姓名、昵稱、電郵地址、出生日期、性別、職業、所在行業、工齡,真實頭像,籍貫,公司名稱,QQ號碼,公司地址,公司的產品以及服務簡介,公司固話傳真,公司主頁,公司主要做的項目等。工業爐招標網網站自動接收并記錄會員的瀏覽器和服務器日志上的信息,包括但不限于會員的IP地址、在線、無線信息、信件等資料。
2、工業爐招標網收集上述信息將用于:提供網站服務、改進網頁內容,滿足會員對某種產品、活動的需求、通知會員最新產品、活動信息、或根據法律法規要求的用途、給會員帶來更多商業機會等。
3、我們網站有相應的安全措施來確保我們掌握的信息不丟失,不被濫用和變造。這些安全措施包括向其它服務器備份數據和對用戶密碼加密。盡管我們有這些安全措施,但請注意在因特網上不存在“完善的安全措施”。
4、工業爐招標網可能利用工具,為合作伙伴的網站進行數據搜集工作,有關數據也會作統計用途。網站會將所記錄的工業爐招標網會員數據整合起來,以綜合數據形式供合作伙伴參考。綜合數據會包括人數統計和使用情況等資料,但不會包含任何可以識別個人身份的數據。
5、信息的披露和使用:們不會向任何無關第三方提供,出售,出租,分享和交易用戶的個人信息,但為方便您使用工業爐招標網服務及工業爐招標網關聯公司或其他組織的服務(以下稱其他服務),您同意并授權工業爐招標網將您的個人信息傳遞給您同時接受其他服務的工業爐招標網關聯公司或其他組織,或從為您提供其他服務的工業爐招標網關聯公司或其他組織獲取您的個人信息。包括但不限于:您同意我們可批露或使用您的個人信息以用于識別和(或)確認您的身份,或解決爭議,或有助于確保網站安全、限制欺詐、非法或其他刑事犯罪活動,以執行我們的服務協議。您同意我們可批露或使用您的個人信息以保護您的生命、財產之安全或為防止嚴重侵害他人之合法權益或為公共利益之需要。您同意我們可批露或使用您的個人信息以改進我們的服務,并使我們的服務更能符合您的要求,從而使您在使用我們服務時得到更好的使用體驗。您同意我們利用您的個人信息與您聯絡,并向您提供您感興趣的信息,如:產品信息。您接受“服務協議”和本隱私聲明即為明示同意收取這些資料。您同意,您的個人信息可以被搜索引擎搜索,并在搜索結果中顯示,由此給您帶來更多的合作機會。您同意并授權工業爐招標網將您的個人信息傳遞給工業爐招標網,工業爐招標網關聯公司、工業爐招標網合作伙伴、工業爐招標網會員,以助于工業爐招標網給您帶來更多的商業機會、其他服務、合作伙伴等。法律規定的其他需披露您個人信息的情況。
6、關于會員在工業爐招標網的上傳或張貼的內容
(1)會員在工業爐招標網上傳或張貼的內容(包括照片、文字、附件、帖子、招投標信息、個人合作名片、公司名錄和黃頁、工程信息等),視為會員授予工業爐招標網免費、非獨家的使用權,工業爐招標網有權為展示、傳播及推廣、促使合作等前述張貼內容的目的,對上述內容進行復制、修改、出版等。該使用權持續至會員書面通知工業爐招標網不得繼續使用,且工業爐招標網實際收到該等書面通知時止。工業爐招標網網站、工業爐招標網合作伙伴、工業爐招標網關聯公司均可使用。
(2)因會員進行上述上傳或張貼,而導致任何第三方提出侵權或索賠要求的,會員承擔全部責任。
(3)任何第三方對于會員在工業爐招標網的公開使用區域張貼的內容進行復制、修改、編輯、傳播等行為的,該行為產生的法律后果和責任均由行為人承擔,與工業爐招標網無關。
7、不可抗力
(1)“不可抗力”是指工業爐招標網不能合理控制、不可預見或即使預見亦無法避免的事件,該事件妨礙、影響或延誤工業爐招標網根據本注冊條款履行其全部或部分義務。該事件包括但不限于政府行為、自然災害、戰爭、黑客襲擊、電腦病毒、網絡故障等。不可抗力可能導致工業爐招標網網站無法訪問、訪問速度緩慢、存儲數據丟失、會員個人信息泄漏等不利后果。
(2)遭受不可抗力事件時,工業爐招標網可中止履行本注冊條款項下的義務直至不可抗力的影響消除為止,并且不因此承擔違約責任;但應盡最大努力克服該事件,減輕其負面影響。
六、拒絕提供擔保和免責聲明
用戶明確同意使用工業爐招標網服務的風險由用戶個人承擔。服務提供是建立在免費的基礎上。北京中采高科招標集團有限公司明確表示不提供任何類型的擔保,不論是明確的或隱含的,但是對商業性的隱含擔保,特定目的和不違反規定的適當擔保除外。北京中采高科招標集團有限公司不擔保服務一定能滿足用戶的要求,也不擔保服務不會受中斷,對服務的及時性、安全性、真實性、出錯發生都不作擔保。北京中采高科招標集團有限公司拒絕提供任何擔保,包括信息能否準確、及時、順利地傳送。用戶理解并接受下載或通過工業爐招標網產品服務取得的任何信息資料取決于用戶自己,并由其承擔系統受損、資料丟失以及其它任何風險。北京中采高科招標集團有限公司對在服務網上得到的任何商品購物服務、交易進程、招聘信息,都不作擔保。用戶不會從北京中采高科招標集團有限公司收到口頭或書面的意見或信息,工業爐招標網也不會在這里作明確擔保。
七、有限責任
北京中采高科招標集團有限公司對任何直接、間接、偶然、特殊及繼起的損害或其他一切損害不負責任,這些損害來自:不正當使用產品服務,在網上進行交易,非法使用服務或用戶傳送的信息有所變動。這些損害會導致北京中采高科招標集團有限公司形象受損,所以北京中采高科招標集團有限公司早已提出這種損害的可能性。
八、不提供零售和商業性服務
用戶使用北京中采高科招標集團有限公司各項服務的權利是企業的。個人用戶只能是一個公司或實體的商業性組織下的所屬員工。用戶承諾:未經北京中采高科招標集團有限公司同意,不得利用北京中采高科招標集團有限公司各項服務進行銷售或作其他商業用途。
九、用戶管理
用戶單獨承擔發布內容的責任。用戶對服務的使用是根據所有適用于服務的地方法律、國家法律和國際法律標準的。
用戶承諾:
1、在工業爐招標網的網頁上發布信息或者利用工業爐招標網的服務時必須符合中國有關法規(部分法規請見附錄),不得在工業爐招標網的網頁上或者利用工業爐招標網的服務制作、復制、發布、傳播以下信息:
(1)反對憲法所確定的基本原則的;
(2)危害國家安全,泄露國家秘密,顛覆國家政權,破壞國家統一的;
(3)損害國家榮譽和利益的;
(4)煽動民族仇恨、民族歧視,破壞民族團結的;
(5)破壞國家宗教政策,宣揚邪教和封建迷信的;
(6)散布謠言,擾亂社會秩序,破壞社會穩定的;
(7)散布淫穢、色情、賭博、暴力、兇殺、恐怖或者教唆犯罪的;
(8)侮辱或者誹謗他人,侵害他人合法權益的;
(9)含有法律、行政法規禁止的其他內容的。
2、在工業爐招標網的網頁上發布信息或者利用工業爐招標網的服務時還必須符合其他有關國家和地區的法律規定以及國際法的有關規定。
3、不利用工業爐招標網的服務從事以下活動:
(1)未經允許,進入計算機信息網絡或者使用計算機信息網絡資源的;
(2)未經允許,對計算機信息網絡功能進行刪除、修改或者增加的;
(3)未經允許,對進入計算機信息網絡中存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加的;
(4)故意制作、傳播計算機病毒等破壞性程序的;
(5)其他危害計算機信息網絡安全的行為。
4、不以任何方式干擾工業爐招標網的服務。
5、遵守工業爐招標網的所有其他規定和程序。用戶需對自己在使用工業爐招標網服務過程中的行為承擔法律責任。用戶理解,如果工業爐招標網發現其網站傳輸的信息明顯屬于上段第1條所列內容之一,依據中國法律,工業爐招標網有義務立即停止傳輸,保存有關記錄,向國家有關機關報告,并且刪除含有該內容的地址、目錄或關閉服務器。
用戶使用工業爐招標網電子公告服務,包括電子布告牌、電子白板、電子論壇、網絡聊天室和留言板等以交互形式為上網用戶提供信息發布條件的行為,也須遵守本條的規定以及北京中采高科招標集團有限公司將專門發布的電子公告服務規則,上段中描述的法律后果和法律責任同樣適用于電子公告服務的用戶。若用戶的行為不符合以上提到的服務條款,北京中采高科招標集團有限公司將作出獨立判斷立即取消用戶服務帳號。
十、保障
用戶同意保障和維護北京中采高科招標集團有限公司全體成員的利益,負責支付由用戶使用超出服務范圍引起的律師費用,違反服務條款的損害補償費用,其它人使用用戶的電腦、帳號和其它知識產權的追索費。
十一、結束服務
用戶或北京中采高科招標集團有限公司可隨時根據實際情況中斷服務。北京中采高科招標集團有限公司不需對任何個人或第三方負責而隨時中斷服務。用戶若反對任何服務條款的建議或對后來的條款修改有異議,或對工業爐招標網服務不滿,用戶只有以下的追索權:
1、不再使用工業爐招標網服務。
2、結束用戶使用工業爐招標網服務的資格。
3、通告北京中采高科招標集團有限公司停止該用戶的服務。
十二、通告
所有發給用戶的通告都可通過電子郵件或常規的信件傳送。北京中采高科招標集團有限公司會通過郵件服務發報消息給用戶,告訴他們服務條款的修改、服務變更、或其它重要事情。同時,北京中采高科招標集團有限公司保留對本站免費用戶投放商業性廣告的權利。
十三、 參與廣告策劃
在北京中采高科招標集團有限公司許可下用戶可在他們發表的信息中加入宣傳資料或參與廣告策劃,在工業爐招標網各項免費服務上展示他們的產品。任何這類促銷方法,包括運輸貨物、付款、服務、商業條件、擔保及與廣告有關的描述都只是在相應的用戶和廣告銷售商之間發生。北京中采高科招標集團有限公司不承擔任何責任,北京中采高科招標集團有限公司沒有義務為這類廣告銷售負任何一部分的責任。
十四、 內容的所有權
工業爐招標網對其獨立采編的或從第三方獲得合法許可的信息內容,內容的定義包括:文字、軟件、聲音、相片、錄象、圖表;在廣告中的全部內容;全部工業爐招標網虛擬社區服務為用戶提供的商業信息。所有這些內容均受版權、商標、標簽和其它財產所有權法律的保護。所以,用戶只能在北京中采高科招標集團有限公司和廣告商授權下才能使用這些內容,而不能擅自復制、再造這些內容、或創造與內容有關的派生產品。在本站發表、轉載的文章僅代表作者本人觀點,本站沒有義務查實文章或圖片、音頻、視頻文件的出處及其真實性。如果您是文章、圖片等資料的版權所有人,請與我們聯系并說明具體文章標題,工業爐招標網會及時加上版權信息,如果您反對工業爐招標網使用,在收到身份證明、版權證明和刪除要求后我們會立即刪除有版權問題的內容。
十五、 法律
用戶和北京中采高科招標集團有限公司一致同意有關本協議以及使用工業爐招標網的服務產生的爭議交由仲裁解決,但是北京中采高科招標集團有限公司有權選擇采取訴訟方式,并有權選擇受理該訴訟的有管轄權的法院。若有任何服務條款與法律相抵觸,那這些條款將按盡可能接近的方法重新解析,而其它條款則保持對用戶產生法律效力和影響。
十六、 工業爐招標網會員帳號所含服務的信息儲存及安全
北京中采高科招標集團有限公司對用戶帳號上所有服務將盡力維護其安全性及方便性,但對服務中出現信息刪除或儲存失敗不承擔任何負責。另外我們保留判定用戶的行為是否符合工業爐招標網服務條款的要求的權利,如果用戶違背了用戶服務條款的規定,將會中斷其用戶服務的帳號。
十七、 青少年用戶特別提示
青少年用戶必須遵守全國青少年網絡文明公約:要善于網上學習,不瀏覽不良信息;要誠實友好交流,不侮辱欺詐他人;要增強自護意識,不隨意約會網友;要維護網絡安全,不破壞網絡秩序;要有益身心健康,不沉溺虛擬時空。
大數據時代,加強對信息安全的維護工作勢在必行。目前業內對于這項新興技術可能會對公共資源交易活動產生的風險后果還認識不足,安全防范意識普遍比較薄弱。本文列舉了部分利用大數據技術攻擊公共資源交易電子化平臺的常見手段,旨在引起有關部門的高度重視,進一步加強對相關安全技術的研發力度,制定相關的信息安全維護措施。
一、引言
目前,我國公共資源主要通過信息化手段完成交易活動,各地公共資源交易管理和服務機構基本都搭建了電子交易平臺,以數字化交易、信息化公開為主導的交易理念成為公共資源交易管理者的共識。然而凡事都有兩面性,公共資源交易對電子化、信息化的高度依賴對其安全防護產生了巨大的沖擊。特別是近年來,隨著大數據技術的出現,信息安全風險形勢日益嚴峻,由于大數據技術是一種功能強大的分析算法,它可以從海量的信息中發現期望的數據,并對這些數據進行智能分類,提取有價值的片段,給出高度精準的趨勢判斷甚至是預測結果,如果被一些別有用心的不法分子利用這種利器在公共資源交易活動中肆意濫用,勢必破壞正常的交易秩序,危及電子交易平臺正常運行,其風險后果不容小覷。
二、大數據技術對公共資源交易信息安全構成的風險
大數據技術主要圍繞“數據價值化”這個核心來展開,而對于各方交易主體尤其是投標單位而言,交易數據無疑是最具價值的資源之一。大數據技術主要涉及數據采集、數據整理、數據存儲、數據安全、數據分析、數據呈現和數據應用等技術。從信息安全角度看,數據采集中的數據挖掘技術,數據整理中的數據清洗和數據沉淀技術,數據安全中的數據劫持等技術都是構成公共資源交易信息安全風險的主要來源。
1.利用數據挖掘技術拼接出專家評委庫
所謂數據挖掘是指從數據庫的大量數據中揭示出隱含的、先前未知的并有潛在價值的信息的過程。數據挖掘是一種決策支持過程,它主要基于人工智能、機器學習、模式識別、統計學、數據庫、可視化技術等,高度自動化地分析數據,做出歸納性的推理,從中挖掘出潛在的模式,幫助決策者調整策略,減少風險,做出正確的決策。
利用數據挖掘技術對公共資源交易電子平臺進行有目的的定向挖掘,可以獲取十分精準有效的信息。比如,在政府采購活動中,根據《政府采購評審專家管理辦法》的要求,在評審活動完成后要公開評審專家名單。這就給大數據挖掘技術提供了用武之地,只需要積累足夠數量的交易項目樣本,對評審專家名單進行逐一提取去重(聚類方法),就能擬合出一份較為詳盡的評委庫名單,加之我國一些地區的評審專家庫補充、調整周期長,評委庫成員相對穩定,尤其是部分稀缺專業專家人數較少,用大數據技術進行拼接、積累更加方便。
2019年8月份,溫州泰順縣公安局公布了一起特大串通投標案,偵查人員發現有5家投標企業的標書做工粗糙,標書報價清單的字體、大小,甚至排版、設置換行都一致,報價還非常接近,經查是犯罪嫌疑人羅某在招標信息發布以后,通過系統查詢,發現幾家擁有資質的公司,從中選擇了四家經常有來往的公司,聯系共同參與投標。盡管這些操作還屬于最基礎、最原始的數據挖掘動作,但是其效率可見一斑。
目前,網絡上提供有大量專業的高質量數據挖掘工具,如RapidMiner工具,它不僅提供了數據預處理和可視化、預測分析和統計建模、評估等功能,還包含有一些很有用的擴展包,可以用來搭建推薦系統和評論挖掘系統。
以中國政府采購網、廣西壯族自治區公共資源交易網站公示的政府采購類項目為例,利用RapidMiner對評審專家鄧某某參與過的8個項目進行定向挖掘,數據分析結果見表1。
表1的數據可以推測出專家的所在專業(結合項目屬性)、參與評審項目的頻次(結合評審周期),如果數據樣本足夠大,則完全可能拼接出全體評審專家名單。筆者對廣西某市2018年政府采購評審專家進行數據采集,大約只需要抓取23次項目公示信息,進行簡單地去重分析整理,不到一小時就可以順利拼接出全部46人的名單。
當然,不少地方在征集政府采購評委庫階段就主動公開了評審專家名單,用數據挖掘的方法拼接出專家庫評委信息意義不大(本例是用以說明數據挖掘技術的應用場景)。但是這項技術同樣可以適用在其他不宜公開的專業交易領域,這樣原本應當保密的信息就大白于天下,對于公共資源交易管理或者運行服務機構的數據安全工作產生不小的壓力。
2.利用數據清洗技術預測出投標人名單
數據清洗是對數據進行重新審查和校驗的過程,目的在于刪除重復信息、糾正存在的錯誤,并提供數據一致性。它可以發現并糾正數據文件中可識別的錯誤,包括檢查數據一致性,處理無效值和缺失值等。數據清洗的基本原理是利用數理統計或預定義的清理規則將“臟數據”轉化為滿足數據質量要求的數據,即過濾那些不符合要求的數據。
眾所周知,一個地區的投標活動,固然沒有“一一對應”的必然規律可循,但是分析該地區企業的投標習慣,還是能夠掌握其大方向。如利用OpenRefine可以對企業的參與度、活躍度進行數據清洗,大致推測出項目潛在參與競標企業的具體名單,這給少數不良企業組織圍標、串標創造了便利。例如,我國一些公共資源交易電子化程度較高的省市,多年前就建立了以招標投標誠信庫為主要依托的招標管理模式,其基本思路是建立起由行業主管(監督)部門為主導的招標投標誠信庫。投標前,投標企業必須把營業執照、人員資質證書和工程業績(合同、竣工驗收證明)等材料傳送到誠信庫系統中并全部對外公示(向全社會公開),投標時,投標文件必須從經公示過后的誠信庫中提取(否則不作為評標依據)。這種做法引入了社會監督力量,減少了評委的評審壓力(實際上評委僅對投標方案進行技術性評審),實踐證明,這是一種行之有效的招標投標管理手段。然而利用最新的數據清洗技術,卻能夠快速對這些公開信息進行過濾,從而獲知本來應當保密的投標信息。
以數據清洗工具OpenRefine為例,它可以實現數據排序、自動查找重復條目并完成數據記錄。OpenRefine的真正能力體現在facets身上。Facets類似于一款電子表格過濾器,能夠輕松找出其中的空白單元格與重復數據,并掌握特定數值在數據中的出現頻率。
下面這個例子就是利用OpenRefine工具,對南方某縣建設工程誠信庫進行數據清洗以后預測潛在投標人的過程,大致可以分為四個階段:
①數值化過程:提取招標文件中對于企業的資質、業績和其他相關要求,即對文本語料進行數字化,便于軟件進行模糊查詢和比對;
②標準化過程:利用Python等工具對誠信庫內符合招標條件要求的企業進行篩選(重點偵測招標信息發布以后新增企業的入庫和管理人員備案情況),初步列出符合招標文件所需條件的所有企業的大名單;
③降維過程:分析當地投標企業參與類似項目歷次的概率情況,主要目的是盡量減少數據脫臟的工作量,使預測結果不受大幅度擾動;
④脫臟預測過程:對符合條件的企業進行置信度檢驗(即排除不可能參與此次投標的企業),擬合出潛在的投標企業名單。
筆者利用這種方法對該縣交易平臺房屋建筑企業誠信庫數據做過抓取測試,一些個性化要求比較明顯的招標項目(即資質要求比較高、業績程度比較好,潛在投標企業相對固定),最高一次預測結果與實際投標驗證的契合程度超過了73%(即預測出的投標人名單中有七成以上單位最終參與了投標),這是一個驚人的數字,應當引起管理者的高度重視。
3.利用數據沉淀技術判斷出投標習慣
數據沉淀又叫做資料探勘。一般是指從大量的數據中通過算法搜索隱藏于其中信息的過程。它與數據挖掘最大的區別在于,沉淀技術能將離散化的數據根據關聯規則進行聚類,而不僅僅停留在“挖掘”階段,能智能化自動形成有價值的分析報告。實際上,數據挖掘、數據清洗和數據沉淀三者是一個有機的整體,它們相互配合能夠發揮巨大的功效。數據沉淀可以理解為數據挖掘的智能化高級階段。它們三者的關系可以用“采礦”過程做形象的比喻。數據挖掘好比是一輛大功率的“挖掘機”在數據礦山挖掘有價值的礦石,通過數據清洗這張“濾網”去粗取精進行初次加工,篩選出含量高、品相好的半成品,最后再利用數據沉淀這臺“自動分揀機”,把不同品質的數據礦產分類、存儲。只要構建出面向需求的數理模型,數據沉淀的直接結果就可以用于判斷投標企業的報價習慣,確定報價合理區間以及分析評委的評分傾向等。
4.利用數據劫持技術竊取投標文件
數據劫持(或者可以說是HTTP劫持),一般是指來自網站的服務器的數據在到達用戶瀏覽器的途中,其數據被劫持并遭到篡改,這種情況一般出現在以HTTP協議傳輸數據的網站上,因為這些數據是明文傳送的。廣義上講,數據劫持是數據嗅探的變種形式之一,它屬于網絡犯罪的常見類型。利用數據劫持技術可以竊取包括投標文件在內的大量保密信息。
2017年5月12日,WannaCry勒索病毒肆虐全球。全球150多個國家近20萬臺計算機被WannaCry感染,造成超過80億美元的損失。人們對于數據被劫持進而被勒索直到今天仍心有余悸。公共資源交易領域也發生過一起類似案件。2018年4月,瀘州市公安局網安支隊發現一網民頻繁在網上聯系黑客入侵網站,經偵查發現,這是一個專業從事入侵政府公共資源交易網站的犯罪團伙,是一起典型的利用數據劫持為入侵手段的串通招標投標案,黑客們入侵四川、重慶、貴州、廣東等地公共資源交易網站,獲取網站投標文件和評標專家名單,肆意篡改數據,還控制網站評標專家抽取。
5.其他與大數據有關的變種攻擊手段
除了前面提到的幾類方法,大數據還有其他豐富的技術分支(有些技術不是大數據的專屬分支,可以看作是大數據時代的衍生技術),它們都會對公共資源交易電子平臺構成不同程度地威脅,如利用SQL注入攻擊數據庫,只要是B/S模式應用開發的數據庫,如果沒有對用戶輸入數據的合法性進行判斷,則用戶就可以提交數據庫查詢代碼,根據程序返回的結果,獲得某些他想得知的數據,這就是所謂的SQL Injection,即SQL注入。再如,利用DNS欺騙實施網絡釣魚,一個常用的辦法是在網頁進行掛馬詐騙,誘使用戶遞交重要的個人信息。還有DDoS攻擊也是常見的威脅之一,DDoS 攻擊可以通過利用服務器上的漏洞,采用大數據并發送訪問的方式消耗服務器上的資源(如帶寬、內存、硬盤等)造成網絡擁堵或無法正常訪問。表2列舉了部分大數據技術下公共資源交易信息安全風險的主要類型。
三、結語
筆者提出的以上這些常見的大數據技術,尚屬于比較基礎的技術手段,即便是這樣,利用它們尋找電子交易平臺的漏洞還是綽綽有余,這也表明公共資源交易信息安全防控尚未引起各方面的重視。數據庫安全廠商Sentrigo的CTO Slavik Markovich認為,通常情況下,數據庫的配置是很脆弱的,以至于很容易就可以利用其漏洞,并不需要緩沖區溢出或SQL注入攻擊,因為這種數據庫的初始配置總體上就是不安全的。數據科學家公認,大數據技術擁有超出想象的強大威力,作為一門新興學科,發展速度可謂一日千里,當前以深度神經網絡等新興技術為代表的大數據分析技術已經開始登場,它是一種更先進的人工智能技術,具有自身自行處理、分布存儲和高度容錯等特性,非常適合處理非線性的模糊、不完整、不嚴密的數據,可用來處理離散問題模型,如果和機器學習、深度學習、云計算、邊緣計算等人工智能工具結合,將產生更加巨大的動能。公共資源交易數據作為寶貴的數據資源,一旦成為一些不法分子覬覦的“香餑餑”,利用大數據技術武器達到其非法的目的,勢必對現有的交易秩序產生十分負面的影響。
數據開放共享、信息公開透明是公共資源交易活動的基本要求和發展方向。我國公共資源交易運行和服務機構掌握著絕大多數交易數據資源,但法律法規的缺位導致數據共享的范圍邊界仍未明晰,很多數據有意公開但不敢公開,從而產生信息孤島和數據壁壘,而有的數據公開了以后又要面臨諸如大數據技術的沖擊和威脅,因此既要防止應當公開的信息公開不徹底,又要防止公開的信息公開后被技術手段所非法利用,這些要引起公共資源交易管理部門的高度重視。
作者: 湯 駿
作者單位:南通市公共資源交易中心
來源:《招標采購管理》
