大數(shù)據(jù)技術(shù)下的公共資源交易信息安全風(fēng)險(xiǎn)

大數(shù)據(jù)技術(shù)下的公共資源交易信息安全風(fēng)險(xiǎn)一、引言目前，我國(guó)公共資源主要通過信息化手段完成交易活動(dòng)，各地公共資源交易管理和服務(wù)機(jī)構(gòu)基本都搭建了電子交易平臺(tái)，以數(shù)字化交易、信息化公開為主導(dǎo)的交易理念成為公共資源交易管理者的共識(shí)。然而凡事都有兩面性，公共資源交易對(duì)電子化、信息化的高度依賴對(duì)其安全防護(hù)產(chǎn)生了巨大的沖擊。特別是近年來，隨著大數(shù)據(jù)技術(shù)的出現(xiàn)，信息安全風(fēng)險(xiǎn)形勢(shì)日益嚴(yán)峻，由于大數(shù)據(jù)技術(shù)是一種功能強(qiáng)大的分析算法，它可以從海量的信息中發(fā)現(xiàn)期望的數(shù)據(jù)，并對(duì)這些數(shù)據(jù)進(jìn)行智能分類，提取有價(jià)值的片段，給出高度精準(zhǔn)的趨勢(shì)判斷甚至是預(yù)測(cè)結(jié)果，如果被一些別有用心的不法分子利用這種利器在公共資源交易活動(dòng)中肆意濫用，勢(shì)必破壞正常的交易秩序，危及電子交易平臺(tái)正常運(yùn)行，其風(fēng)險(xiǎn)后果不容小覷。二、大數(shù)據(jù)技術(shù)對(duì)公共資源交易信息安全構(gòu)成的風(fēng)險(xiǎn)大數(shù)據(jù)技術(shù)主要圍繞“數(shù)據(jù)價(jià)值化〃這個(gè)核心來展開，而對(duì)于各方交易主體尤其是投標(biāo)單位而言，交易數(shù)據(jù)無疑是最具價(jià)值的資源之一。大數(shù)據(jù)技術(shù)主要涉及數(shù)據(jù)采集、數(shù)據(jù)整理、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)安全、數(shù)據(jù)分析、數(shù)據(jù)呈現(xiàn)和數(shù)據(jù)應(yīng)用等技術(shù)。從信息安全角度看，數(shù)據(jù)采集中的數(shù)據(jù)挖掘技術(shù)，數(shù)據(jù)整理中的數(shù)據(jù)清洗和數(shù)據(jù)沉淀技術(shù)，數(shù)據(jù)安全中的數(shù)據(jù)劫持等技術(shù)都是構(gòu)成公共資源交易信息安全風(fēng)險(xiǎn)的主要來源。.利用數(shù)據(jù)挖掘技術(shù)拼接出專家評(píng)委庫所謂數(shù)據(jù)挖掘是指從數(shù)據(jù)庫的大量數(shù)據(jù)中揭示出隱含的、先前未知的并有潛在價(jià)值的信息的過程。數(shù)據(jù)挖掘是一種決策支持過程，它主要基于人工智能、機(jī)器學(xué)習(xí)、模式識(shí)別、統(tǒng)計(jì)學(xué)、數(shù)據(jù)庫、可視化技術(shù)等，高度自動(dòng)化地分析數(shù)據(jù)，做出歸納性的推理，從中挖掘出潛在的模式，幫助決策者調(diào)整策略，減少風(fēng)險(xiǎn)，做出正確的決策。利用數(shù)據(jù)挖掘技術(shù)對(duì)公共資源交易電子平臺(tái)進(jìn)行有目的的定向挖掘，可以獲取十分精準(zhǔn)有效的信息。比如，在政府采購活動(dòng)中，根據(jù)《政府采購評(píng)審專家管理辦法》的要求，在評(píng)審活動(dòng)完成后要公開評(píng)審專家名單。這就給大數(shù)據(jù)挖掘技術(shù)提供了用武之地，只需要積累足夠數(shù)量的交易項(xiàng)目樣本，對(duì)評(píng)審專家名單進(jìn)行逐一提取去重（聚類方法），就能擬合出一份較為詳盡的評(píng)委庫名單，加之我國(guó)一些地區(qū)的評(píng)審專家?guī)煅a(bǔ)充、調(diào)整周期長(zhǎng)，評(píng)委庫成員相對(duì)穩(wěn)定，尤其是部分稀缺專業(yè)專家人數(shù)較少,用大數(shù)據(jù)技術(shù)進(jìn)行拼接、積累更加方便。2019年8月份，溫州泰順縣公安局公布了一起特大串通投標(biāo)案，偵查人員發(fā)現(xiàn)有5家投標(biāo)企業(yè)的標(biāo)書做工粗糙，標(biāo)書報(bào)價(jià)清單的字體、大小,甚至排版、設(shè)置換行都一致，報(bào)價(jià)還非常接近，經(jīng)查是犯罪嫌疑人羅某在招標(biāo)信息發(fā)布以后，通過系統(tǒng)查詢，發(fā)現(xiàn)幾家擁有資質(zhì)的公司，從中選擇了四家經(jīng)常有來往的公司，聯(lián)系共同參與投標(biāo)。盡管這些操作還屬于最基礎(chǔ)、最原始的數(shù)據(jù)挖掘動(dòng)作，但是其效率可見一斑。

目前，網(wǎng)絡(luò)上提供有大量專業(yè)的高質(zhì)量數(shù)據(jù)挖掘工具，如RapidMiner工具，它不僅提供了數(shù)據(jù)預(yù)處理和可視化、預(yù)測(cè)分析和統(tǒng)計(jì)建模、評(píng)估等功能，還包含有一些很有用的擴(kuò)展包，可以用來搭建推薦系統(tǒng)和評(píng)論挖掘系統(tǒng)。.利用數(shù)據(jù)清洗技術(shù)預(yù)測(cè)出投標(biāo)人名單數(shù)據(jù)清洗是對(duì)數(shù)據(jù)進(jìn)行重新審查和校驗(yàn)的過程，目的在于刪除重復(fù)信息、糾正存在的錯(cuò)誤，并提供數(shù)據(jù)一致性。它可以發(fā)現(xiàn)并糾正數(shù)據(jù)文件中可識(shí)別的錯(cuò)誤，包括檢查數(shù)據(jù)一致性，處理無效值和缺失值等。數(shù)據(jù)清洗的基本原理是利用數(shù)理統(tǒng)計(jì)或預(yù)定義的清理規(guī)則將“臟數(shù)據(jù)"轉(zhuǎn)化為滿足數(shù)據(jù)質(zhì)量要求的數(shù)據(jù)，即過濾那些不符合要求的數(shù)據(jù)。眾所周知，一個(gè)地區(qū)的投標(biāo)活動(dòng)，固然沒有"一一對(duì)應(yīng)"的必然規(guī)律可循，但是分析該地區(qū)企業(yè)的投標(biāo)習(xí)慣，還是能夠掌握其大方向。如利用OpenRefine可以對(duì)企業(yè)的參與度、活躍度進(jìn)行數(shù)據(jù)清洗，大致推測(cè)出項(xiàng)目潛在參與競(jìng)標(biāo)企業(yè)的具體名單，這給少數(shù)不良企業(yè)組織圍標(biāo)、串標(biāo)創(chuàng)造了便利。例如，我國(guó)一些公共資源交易電子化程度較高的省市，多年前就建立了以招標(biāo)投標(biāo)誠(chéng)信庫為主要依托的招標(biāo)管理模式，其基本思路是建立起由行業(yè)主管（監(jiān)督）部門為主導(dǎo)的招標(biāo)投標(biāo)誠(chéng)信庫。投標(biāo)前,投標(biāo)企業(yè)必須把營(yíng)業(yè)執(zhí)照、人員資質(zhì)證書和工程業(yè)績(jī)（合同、竣工驗(yàn)收證明）等材料傳送到誠(chéng)信庫系統(tǒng)中并全部對(duì)外公示（向全社會(huì)公開），投標(biāo)時(shí)，投標(biāo)文件必須從經(jīng)公示過后的誠(chéng)信庫中提F投標(biāo)時(shí)，投標(biāo)文件必須從經(jīng)公示過后的誠(chéng)信庫中提F（否則不作為評(píng)標(biāo)依據(jù)）o這種做法引入了社會(huì)監(jiān)督力量，減少了評(píng)委的評(píng)審壓力（實(shí)際上評(píng)委僅對(duì)投標(biāo)方案進(jìn)行技術(shù)性評(píng)審)，實(shí)踐證明，這是一種行之有效的招標(biāo)投標(biāo)管理手段。然而利用最新的數(shù)據(jù)清洗技術(shù)，卻能夠快速對(duì)這些公開信息進(jìn)行過濾，從而獲知本來應(yīng)當(dāng)保密的投標(biāo)信息。以數(shù)據(jù)清洗工具OpenRefine為例，它可以實(shí)現(xiàn)數(shù)據(jù)排序、自動(dòng)查找重復(fù)條目并完成數(shù)據(jù)記錄。OpenRefine的真正能力體現(xiàn)在facets身上。Facets類似于一款電子表格過濾器，能夠輕松找出其中的空白單元格與重復(fù)數(shù)據(jù)，并掌握特定數(shù)值在數(shù)據(jù)中的出現(xiàn)頻率。下面這個(gè)例子就是利用OpenRefine工具，對(duì)南方某縣建設(shè)工程誠(chéng)信庫進(jìn)行數(shù)據(jù)清洗以后預(yù)測(cè)潛在投標(biāo)人的過程，大致可以分為四個(gè)階段：Q)數(shù)值化過程提取招標(biāo)文件中對(duì)于企業(yè)的資質(zhì)、業(yè)績(jī)和其他相關(guān)要求,即對(duì)文本語料進(jìn)行數(shù)字化，便于軟件進(jìn)行模糊查詢和比對(duì)；(2)標(biāo)準(zhǔn)化過程:利用Python等工具對(duì)誠(chéng)信庫內(nèi)符合招標(biāo)條件要求的企業(yè)進(jìn)行篩選(重點(diǎn)偵測(cè)招標(biāo)信息發(fā)布以后新增企業(yè)的入庫和管理人員備案情況)，初步列出符合招標(biāo)文件所需條件的所有企業(yè)的大名單；(3)降維過程：分析當(dāng)?shù)赝稑?biāo)企業(yè)參與類似項(xiàng)目歷次的概率情況，主要目的是盡量減少數(shù)據(jù)脫臟的工作量，使預(yù)測(cè)結(jié)果不受大幅度擾動(dòng)；(4)脫臟預(yù)測(cè)過程：對(duì)符合條件的企業(yè)進(jìn)行置信度檢驗(yàn)(即排除不可能參與此次投標(biāo)的企業(yè))，擬合出潛在的投標(biāo)企業(yè)名單。本人利用這種方法對(duì)該縣交易平臺(tái)房屋建筑企業(yè)誠(chéng)信庫數(shù)據(jù)做過抓取測(cè)試，一些個(gè)性化要求比較明顯的招標(biāo)項(xiàng)目（即資質(zhì)要求比較高、業(yè)績(jī)程度比較好，潛在投標(biāo)企業(yè)相對(duì)固定），最高一次預(yù)測(cè)結(jié)果與實(shí)際投標(biāo)驗(yàn)證的契合程度超過了73%（即預(yù)測(cè)出的投標(biāo)人名單中有七成以上單位最終參與了投標(biāo)），這是一個(gè)驚人的數(shù)字，應(yīng)當(dāng)引起管理者的高度重視。.利用數(shù)據(jù)沉淀技術(shù)判斷出投標(biāo)習(xí)慣數(shù)據(jù)沉淀又叫做資料探勘。一般是指從大量的數(shù)據(jù)中通過算法搜索隱藏于其中信息的過程。它與數(shù)據(jù)挖掘最大的區(qū)別在于，沉淀技術(shù)能將離散化的數(shù)據(jù)根據(jù)關(guān)聯(lián)規(guī)則進(jìn)行聚類，而不僅僅停留在“挖掘〃階段，能智能化自動(dòng)形成有價(jià)值的分析報(bào)告。實(shí)際上，數(shù)據(jù)挖掘、數(shù)據(jù)清洗和數(shù)據(jù)沉淀三者是一個(gè)有機(jī)的整體，它們相互配合能夠發(fā)揮巨大的功效。數(shù)據(jù)沉淀可以理解為數(shù)據(jù)挖掘的智能化高級(jí)階段。它們?nèi)叩年P(guān)系可以用“采礦"過程做形象的比喻。數(shù)據(jù)挖掘好比是一輛大功率的“挖掘機(jī)”在數(shù)據(jù)礦山挖掘有價(jià)值的礦石，通過數(shù)據(jù)清洗這張“濾網(wǎng)”去粗取精進(jìn)行初次加工，篩選出含量高、品相好的半成品，最后再利用數(shù)據(jù)沉淀這臺(tái)“自動(dòng)分揀機(jī)"，把不同品質(zhì)的數(shù)據(jù)礦產(chǎn)分類、存儲(chǔ)。只要構(gòu)建出面向需求的數(shù)理模型，數(shù)據(jù)沉淀的直接結(jié)果就可以用于判斷投標(biāo)企業(yè)的報(bào)價(jià)習(xí)慣，確定報(bào)價(jià)合理區(qū)間以及分析評(píng)委的評(píng)分傾向等。.利用數(shù)據(jù)劫持技術(shù)竊取投標(biāo)文件數(shù)據(jù)劫持（或者可以說是HTTP劫持），一般是指來自網(wǎng)站的服務(wù)器的數(shù)據(jù)在到達(dá)用戶瀏覽器的途中，其數(shù)據(jù)被劫持并遭到篡改，這種情況一般出現(xiàn)在以HTTP協(xié)議傳輸數(shù)據(jù)的網(wǎng)站上，因?yàn)檫@些數(shù)據(jù)是明文傳送的。廣義上講，數(shù)據(jù)劫持是數(shù)據(jù)嗅探的變種形式之一，它屬于網(wǎng)絡(luò)犯罪的常見類型。利用數(shù)據(jù)劫持技術(shù)可以竊取包括投標(biāo)文件在內(nèi)的大量保密信息。2017年5月12日，WannaCry勒索病毒肆虐全球。全球150多個(gè)國(guó)家近20萬臺(tái)計(jì)算機(jī)被WannaCry感染，造成超過80億美元的損失。人們對(duì)于數(shù)據(jù)被劫持進(jìn)而被勒索直到今天仍心有余悸。公共資源交易領(lǐng)域也發(fā)生過一起類似案件。2018年4月，瀘州市公安局網(wǎng)安支隊(duì)發(fā)現(xiàn)一網(wǎng)民頻繁在網(wǎng)上聯(lián)系黑客入侵網(wǎng)站，經(jīng)偵查發(fā)現(xiàn)，這是一個(gè)專業(yè)從事入侵政府公共資源交易網(wǎng)站的犯罪團(tuán)伙，是一起典型的利用數(shù)據(jù)劫持為入侵手段的串通招標(biāo)投標(biāo)案，黑客們?nèi)肭炙拇?、重慶、貴州、廣東等地公共資源交易網(wǎng)站,獲取網(wǎng)站投標(biāo)文件和評(píng)標(biāo)專家名單，肆意篡改數(shù)據(jù),還控制網(wǎng)站評(píng)標(biāo)專家抽取。.其他與大數(shù)據(jù)有關(guān)的變種攻擊手段除了前面提到的幾類方法，大數(shù)據(jù)還有其他豐富的技術(shù)分支（有些技術(shù)不是大數(shù)據(jù)的專屬分支，可以看作是大數(shù)據(jù)時(shí)代的衍生技術(shù)），它們都會(huì)對(duì)公共資源交易電子平臺(tái)構(gòu)成不同程度地威脅，如利用SQL注入攻擊數(shù)據(jù)庫，只要是B/S模式應(yīng)用開發(fā)的數(shù)據(jù)庫，如果沒有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，則用戶就可以提交數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)，這就是所謂的SQLInjection,即SQL注入。再如，利用DNS欺騙實(shí)施網(wǎng)絡(luò)釣魚，一個(gè)常用的辦法是在網(wǎng)頁進(jìn)行掛馬詐騙，誘使用戶遞交重要的個(gè)人信息。還有DDoS攻擊也是常見的威脅之一，DDoS攻擊可以通過利用服務(wù)器上的漏洞，采用大數(shù)據(jù)并發(fā)送訪問的方式消耗服務(wù)器上的資源（如帶寬、內(nèi)存、硬盤等）造成網(wǎng)絡(luò)擁堵或無法正常訪問。表2列舉了部分大數(shù)據(jù)技術(shù)下公共資源交易信息安全風(fēng)險(xiǎn)的主要類型。四、結(jié)語本人提出的以上這些常見的大數(shù)據(jù)技術(shù)，尚屬于比較基礎(chǔ)的技術(shù)手段,即便是這樣，利用它們尋找電子交易平臺(tái)的漏洞還是綽綽有余，這也表明公共資源交易信息安全防控尚未引起各方面的重視。數(shù)據(jù)庫安全廠商Sentrigo的CTOSlavikMarkovich認(rèn)為，通常情況下，數(shù)據(jù)庫的配置是很脆弱的，以至于很容易就可以利用其漏洞，并不需要緩沖區(qū)溢出或SQL注入攻擊，因?yàn)檫@種數(shù)據(jù)庫的初始配置總體上就是不安全的。數(shù)據(jù)科學(xué)家公認(rèn)，大數(shù)據(jù)技術(shù)擁有超出想象的強(qiáng)大威力，作為一門新興學(xué)科,發(fā)展速度可謂一日千里，當(dāng)前以深度神經(jīng)網(wǎng)絡(luò)等新興技術(shù)為代表的大數(shù)據(jù)分析技術(shù)已經(jīng)開始登場(chǎng)，它是一種更先進(jìn)的人工智能技術(shù)，具有自身自行處理、分布存儲(chǔ)和高度容錯(cuò)等特性，非常適合處理非線性的模糊、不完整、不嚴(yán)密的數(shù)據(jù)，可用來處理離散問題模型，如果和機(jī)器學(xué)習(xí)、深度學(xué)習(xí)、云計(jì)算、邊緣計(jì)算等人工智能工具結(jié)合，將產(chǎn)生更加巨大的動(dòng)能。公共資源交易數(shù)據(jù)作為寶貴的數(shù)據(jù)資源，一旦成為一些不法分子覬覦的"香悖?！?，利用大數(shù)據(jù)技術(shù)武器達(dá)到其非法的目的，勢(shì)必對(duì)現(xiàn)有的交易