大數(shù)據(jù)技術(shù)下的公共資源交易信息安全風(fēng)險

大數(shù)據(jù)技術(shù)下的公共資源交易信息安全風(fēng)險一、引言目前，我國公共資源主要通過信息化手段完成交易活動，各地公共資源交易管理和服務(wù)機構(gòu)基本都搭建了電子交易平臺，以數(shù)字化交易、信息化公開為主導(dǎo)的交易理念成為公共資源交易管理者的共識。然而凡事都有兩面性，公共資源交易對電子化、信息化的高度依賴對其安全防護產(chǎn)生了巨大的沖擊。特別是近年來，隨著大數(shù)據(jù)技術(shù)的出現(xiàn)，信息安全風(fēng)險形勢日益嚴峻，由于大數(shù)據(jù)技術(shù)是一種功能強大的分析算法，它可以從海量的信息中發(fā)現(xiàn)期望的數(shù)據(jù)，并對這些數(shù)據(jù)進行智能分類，提取有價值的片段，給出高度精準的趨勢判斷甚至是預(yù)測結(jié)果，如果被一些別有用心的不法分子利用這種利器在公共資源交易活動中肆意濫用，勢必破壞正常的交易秩序，危及電子交易平臺正常運行，其風(fēng)險后果不容小覷。二、大數(shù)據(jù)技術(shù)對公共資源交易信息安全構(gòu)成的風(fēng)險大數(shù)據(jù)技術(shù)主要圍繞“數(shù)據(jù)價值化〃這個核心來展開，而對于各方交易主體尤其是投標單位而言，交易數(shù)據(jù)無疑是最具價值的資源之一。大數(shù)據(jù)技術(shù)主要涉及數(shù)據(jù)采集、數(shù)據(jù)整理、數(shù)據(jù)存儲、數(shù)據(jù)安全、數(shù)據(jù)分析、數(shù)據(jù)呈現(xiàn)和數(shù)據(jù)應(yīng)用等技術(shù)。從信息安全角度看，數(shù)據(jù)采集中的數(shù)據(jù)挖掘技術(shù)，數(shù)據(jù)整理中的數(shù)據(jù)清洗和數(shù)據(jù)沉淀技術(shù)，數(shù)據(jù)安全中的數(shù)據(jù)劫持等技術(shù)都是構(gòu)成公共資源交易信息安全風(fēng)險的主要來源。.利用數(shù)據(jù)挖掘技術(shù)拼接出專家評委庫所謂數(shù)據(jù)挖掘是指從數(shù)據(jù)庫的大量數(shù)據(jù)中揭示出隱含的、先前未知的并有潛在價值的信息的過程。數(shù)據(jù)挖掘是一種決策支持過程，它主要基于人工智能、機器學(xué)習(xí)、模式識別、統(tǒng)計學(xué)、數(shù)據(jù)庫、可視化技術(shù)等，高度自動化地分析數(shù)據(jù)，做出歸納性的推理，從中挖掘出潛在的模式，幫助決策者調(diào)整策略，減少風(fēng)險，做出正確的決策。利用數(shù)據(jù)挖掘技術(shù)對公共資源交易電子平臺進行有目的的定向挖掘，可以獲取十分精準有效的信息。比如，在政府采購活動中，根據(jù)《政府采購評審專家管理辦法》的要求，在評審活動完成后要公開評審專家名單。這就給大數(shù)據(jù)挖掘技術(shù)提供了用武之地，只需要積累足夠數(shù)量的交易項目樣本，對評審專家名單進行逐一提取去重（聚類方法），就能擬合出一份較為詳盡的評委庫名單，加之我國一些地區(qū)的評審專家?guī)煅a充、調(diào)整周期長，評委庫成員相對穩(wěn)定，尤其是部分稀缺專業(yè)專家人數(shù)較少,用大數(shù)據(jù)技術(shù)進行拼接、積累更加方便。2019年8月份，溫州泰順縣公安局公布了一起特大串通投標案，偵查人員發(fā)現(xiàn)有5家投標企業(yè)的標書做工粗糙，標書報價清單的字體、大小,甚至排版、設(shè)置換行都一致，報價還非常接近，經(jīng)查是犯罪嫌疑人羅某在招標信息發(fā)布以后，通過系統(tǒng)查詢，發(fā)現(xiàn)幾家擁有資質(zhì)的公司，從中選擇了四家經(jīng)常有來往的公司，聯(lián)系共同參與投標。盡管這些操作還屬于最基礎(chǔ)、最原始的數(shù)據(jù)挖掘動作，但是其效率可見一斑。

目前，網(wǎng)絡(luò)上提供有大量專業(yè)的高質(zhì)量數(shù)據(jù)挖掘工具，如RapidMiner工具，它不僅提供了數(shù)據(jù)預(yù)處理和可視化、預(yù)測分析和統(tǒng)計建模、評估等功能，還包含有一些很有用的擴展包，可以用來搭建推薦系統(tǒng)和評論挖掘系統(tǒng)。.利用數(shù)據(jù)清洗技術(shù)預(yù)測出投標人名單數(shù)據(jù)清洗是對數(shù)據(jù)進行重新審查和校驗的過程，目的在于刪除重復(fù)信息、糾正存在的錯誤，并提供數(shù)據(jù)一致性。它可以發(fā)現(xiàn)并糾正數(shù)據(jù)文件中可識別的錯誤，包括檢查數(shù)據(jù)一致性，處理無效值和缺失值等。數(shù)據(jù)清洗的基本原理是利用數(shù)理統(tǒng)計或預(yù)定義的清理規(guī)則將“臟數(shù)據(jù)"轉(zhuǎn)化為滿足數(shù)據(jù)質(zhì)量要求的數(shù)據(jù)，即過濾那些不符合要求的數(shù)據(jù)。眾所周知，一個地區(qū)的投標活動，固然沒有"一一對應(yīng)"的必然規(guī)律可循，但是分析該地區(qū)企業(yè)的投標習(xí)慣，還是能夠掌握其大方向。如利用OpenRefine可以對企業(yè)的參與度、活躍度進行數(shù)據(jù)清洗，大致推測出項目潛在參與競標企業(yè)的具體名單，這給少數(shù)不良企業(yè)組織圍標、串標創(chuàng)造了便利。例如，我國一些公共資源交易電子化程度較高的省市，多年前就建立了以招標投標誠信庫為主要依托的招標管理模式，其基本思路是建立起由行業(yè)主管（監(jiān)督）部門為主導(dǎo)的招標投標誠信庫。投標前,投標企業(yè)必須把營業(yè)執(zhí)照、人員資質(zhì)證書和工程業(yè)績（合同、竣工驗收證明）等材料傳送到誠信庫系統(tǒng)中并全部對外公示（向全社會公開），投標時，投標文件必須從經(jīng)公示過后的誠信庫中提F投標時，投標文件必須從經(jīng)公示過后的誠信庫中提F（否則不作為評標依據(jù)）o這種做法引入了社會監(jiān)督力量，減少了評委的評審壓力（實際上評委僅對投標方案進行技術(shù)性評審)，實踐證明，這是一種行之有效的招標投標管理手段。然而利用最新的數(shù)據(jù)清洗技術(shù)，卻能夠快速對這些公開信息進行過濾，從而獲知本來應(yīng)當保密的投標信息。以數(shù)據(jù)清洗工具OpenRefine為例，它可以實現(xiàn)數(shù)據(jù)排序、自動查找重復(fù)條目并完成數(shù)據(jù)記錄。OpenRefine的真正能力體現(xiàn)在facets身上。Facets類似于一款電子表格過濾器，能夠輕松找出其中的空白單元格與重復(fù)數(shù)據(jù)，并掌握特定數(shù)值在數(shù)據(jù)中的出現(xiàn)頻率。下面這個例子就是利用OpenRefine工具，對南方某縣建設(shè)工程誠信庫進行數(shù)據(jù)清洗以后預(yù)測潛在投標人的過程，大致可以分為四個階段：Q)數(shù)值化過程提取招標文件中對于企業(yè)的資質(zhì)、業(yè)績和其他相關(guān)要求,即對文本語料進行數(shù)字化，便于軟件進行模糊查詢和比對；(2)標準化過程:利用Python等工具對誠信庫內(nèi)符合招標條件要求的企業(yè)進行篩選(重點偵測招標信息發(fā)布以后新增企業(yè)的入庫和管理人員備案情況)，初步列出符合招標文件所需條件的所有企業(yè)的大名單；(3)降維過程：分析當?shù)赝稑似髽I(yè)參與類似項目歷次的概率情況，主要目的是盡量減少數(shù)據(jù)脫臟的工作量，使預(yù)測結(jié)果不受大幅度擾動；(4)脫臟預(yù)測過程：對符合條件的企業(yè)進行置信度檢驗(即排除不可能參與此次投標的企業(yè))，擬合出潛在的投標企業(yè)名單。本人利用這種方法對該縣交易平臺房屋建筑企業(yè)誠信庫數(shù)據(jù)做過抓取測試，一些個性化要求比較明顯的招標項目（即資質(zhì)要求比較高、業(yè)績程度比較好，潛在投標企業(yè)相對固定），最高一次預(yù)測結(jié)果與實際投標驗證的契合程度超過了73%（即預(yù)測出的投標人名單中有七成以上單位最終參與了投標），這是一個驚人的數(shù)字，應(yīng)當引起管理者的高度重視。.利用數(shù)據(jù)沉淀技術(shù)判斷出投標習(xí)慣數(shù)據(jù)沉淀又叫做資料探勘。一般是指從大量的數(shù)據(jù)中通過算法搜索隱藏于其中信息的過程。它與數(shù)據(jù)挖掘最大的區(qū)別在于，沉淀技術(shù)能將離散化的數(shù)據(jù)根據(jù)關(guān)聯(lián)規(guī)則進行聚類，而不僅僅停留在“挖掘〃階段，能智能化自動形成有價值的分析報告。實際上，數(shù)據(jù)挖掘、數(shù)據(jù)清洗和數(shù)據(jù)沉淀三者是一個有機的整體，它們相互配合能夠發(fā)揮巨大的功效。數(shù)據(jù)沉淀可以理解為數(shù)據(jù)挖掘的智能化高級階段。它們?nèi)叩年P(guān)系可以用“采礦"過程做形象的比喻。數(shù)據(jù)挖掘好比是一輛大功率的“挖掘機”在數(shù)據(jù)礦山挖掘有價值的礦石，通過數(shù)據(jù)清洗這張“濾網(wǎng)”去粗取精進行初次加工，篩選出含量高、品相好的半成品，最后再利用數(shù)據(jù)沉淀這臺“自動分揀機"，把不同品質(zhì)的數(shù)據(jù)礦產(chǎn)分類、存儲。只要構(gòu)建出面向需求的數(shù)理模型，數(shù)據(jù)沉淀的直接結(jié)果就可以用于判斷投標企業(yè)的報價習(xí)慣，確定報價合理區(qū)間以及分析評委的評分傾向等。.利用數(shù)據(jù)劫持技術(shù)竊取投標文件數(shù)據(jù)劫持（或者可以說是HTTP劫持），一般是指來自網(wǎng)站的服務(wù)器的數(shù)據(jù)在到達用戶瀏覽器的途中，其數(shù)據(jù)被劫持并遭到篡改，這種情況一般出現(xiàn)在以HTTP協(xié)議傳輸數(shù)據(jù)的網(wǎng)站上，因為這些數(shù)據(jù)是明文傳送的。廣義上講，數(shù)據(jù)劫持是數(shù)據(jù)嗅探的變種形式之一，它屬于網(wǎng)絡(luò)犯罪的常見類型。利用數(shù)據(jù)劫持技術(shù)可以竊取包括投標文件在內(nèi)的大量保密信息。2017年5月12日，WannaCry勒索病毒肆虐全球。全球150多個國家近20萬臺計算機被WannaCry感染，造成超過80億美元的損失。人們對于數(shù)據(jù)被劫持進而被勒索直到今天仍心有余悸。公共資源交易領(lǐng)域也發(fā)生過一起類似案件。2018年4月，瀘州市公安局網(wǎng)安支隊發(fā)現(xiàn)一網(wǎng)民頻繁在網(wǎng)上聯(lián)系黑客入侵網(wǎng)站，經(jīng)偵查發(fā)現(xiàn)，這是一個專業(yè)從事入侵政府公共資源交易網(wǎng)站的犯罪團伙，是一起典型的利用數(shù)據(jù)劫持為入侵手段的串通招標投標案，黑客們?nèi)肭炙拇?、重慶、貴州、廣東等地公共資源交易網(wǎng)站,獲取網(wǎng)站投標文件和評標專家名單，肆意篡改數(shù)據(jù),還控制網(wǎng)站評標專家抽取。.其他與大數(shù)據(jù)有關(guān)的變種攻擊手段除了前面提到的幾類方法，大數(shù)據(jù)還有其他豐富的技術(shù)分支（有些技術(shù)不是大數(shù)據(jù)的專屬分支，可以看作是大數(shù)據(jù)時代的衍生技術(shù)），它們都會對公共資源交易電子平臺構(gòu)成不同程度地威脅，如利用SQL注入攻擊數(shù)據(jù)庫，只要是B/S模式應(yīng)用開發(fā)的數(shù)據(jù)庫，如果沒有對用戶輸入數(shù)據(jù)的合法性進行判斷，則用戶就可以提交數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)，這就是所謂的SQLInjection,即SQL注入。再如，利用DNS欺騙實施網(wǎng)絡(luò)釣魚，一個常用的辦法是在網(wǎng)頁進行掛馬詐騙，誘使用戶遞交重要的個人信息。還有DDoS攻擊也是常見的威脅之一，DDoS攻擊可以通過利用服務(wù)器上的漏洞，采用大數(shù)據(jù)并發(fā)送訪問的方式消耗服務(wù)器上的資源（如帶寬、內(nèi)存、硬盤等）造成網(wǎng)絡(luò)擁堵或無法正常訪問。表2列舉了部分大數(shù)據(jù)技術(shù)下公共資源交易信息安全風(fēng)險的主要類型。四、結(jié)語本人提出的以上這些常見的大數(shù)據(jù)技術(shù)，尚屬于比較基礎(chǔ)的技術(shù)手段,即便是這樣，利用它們尋找電子交易平臺的漏洞還是綽綽有余，這也表明公共資源交易信息安全防控尚未引起各方面的重視。數(shù)據(jù)庫安全廠商Sentrigo的CTOSlavikMarkovich認為，通常情況下，數(shù)據(jù)庫的配置是很脆弱的，以至于很容易就可以利用其漏洞，并不需要緩沖區(qū)溢出或SQL注入攻擊，因為這種數(shù)據(jù)庫的初始配置總體上就是不安全的。數(shù)據(jù)科學(xué)家公認，大數(shù)據(jù)技術(shù)擁有超出想象的強大威力，作為一門新興學(xué)科,發(fā)展速度可謂一日千里，當前以深度神經(jīng)網(wǎng)絡(luò)等新興技術(shù)為代表的大數(shù)據(jù)分析技術(shù)已經(jīng)開始登場，它是一種更先進的人工智能技術(shù)，具有自身自行處理、分布存儲和高度容錯等特性，非常適合處理非線性的模糊、不完整、不嚴密的數(shù)據(jù)，可用來處理離散問題模型，如果和機器學(xué)習(xí)、深度學(xué)習(xí)、云計算、邊緣計算等人工智能工具結(jié)合，將產(chǎn)生更加巨大的動能。公共資源交易數(shù)據(jù)作為寶貴的數(shù)據(jù)資源，一旦成為一些不法分子覬覦的"香悖?！?，利用大數(shù)據(jù)技術(shù)武器達到其非法的目的，勢必對現(xiàn)有的交易