随着公共资源电子化交易的全面实施，公共资源信息化系统汇聚着项目交易全量数据，尤其是专家库、专家抽取、潜在投标人等关键保密信息的数据安全，是保障项目交易公平公正、市场竞争有序以及各方交易主体合法权益的核心基石。为筑牢信息数据安全屏障，甘肃省酒泉市公共资源交易中心从系统防护、运维管控、权限治理三方面精准发力，构建全流程安全防护体系。

开展系统等级保护测评，夯实数据安全基础“硬底座”。中心从公安部第三研究所（认证中心）发布的网络安全等级保护测评服务认证获证机构名录中，聘请权威第三方检测服务机构对市县一体化电子服务、电子交易系统进行全面“体检”。严格遵循《信息安全等级保护管理办法》要求，对系统网络架构、数据存储、应用程序等核心环节进行全面检测，涵盖物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等多个层面，重点排查漏洞隐患与合规风险，确保系统达到相应等级保护标准，从技术层面筑牢系统安全“防火墙”。等保测评中共检测发现40余项风险漏洞，中心督促运维单位依据测评结果制定闭环整改方案，及时修补安全漏洞、优化防护策略，从底层架构保障交易数据在传输、存储、使用过程中的安全性与完整性，推动系统安全能力与交易业务需求深度适配。

部署安全审计堡垒机，构筑运维风险防控“金钟罩”。针对系统运维过程中可能存在的权限滥用、操作不透明、授权与运维事项不相符等风险，中心在大数据中心政务云平台部署了安全审计堡垒机作为运维管理核心节点。将业务系统服务器、数据存储服务器、应用支撑服务器等37个重要服务器资源纳入堡垒机安全审计范围，并严格执行VPN和堡垒机双重验证管理模式，所有运维人员需通过实名身份认证管理，实现“一人一账号、操作可追溯”。同时，堡垒机可对运维操作进行实时监控、日志记录与行为审计，包括登录时间、操作人员账号、操作命令、操作结果等信息，并对操作过程进行全程录像，一旦发生安全事件或出现异常操作行为，能够通过审计记录和录像迅速追溯操作过程，查明问题原因和责任人。中心指定专人定期查看堡垒机审计记录，强化对系统运维行为的监督管理，对系统运维人员形成严肃震慑，切实防范系统内部运维风险。

严格数字证书权限管理，拧紧最小化授权的“安全阀”。数字证书作为公共资源交易领域主体识别和行为授权的“网络身份证”，其权限管理直接关系数据访问安全。中心将工作人员数字证书管理作为从源头上防范工作风险、强化廉政建设的长期性、极端重要性工作来抓紧抓实。专门制定了《数字证书管理制度》，为数字证书管理工作提供了工作遵循和制度保障，建立证书全生命周期管理机制，规范证书申请、发放、变更、注销流程。坚持最小化授权原则，对工作人员数字证书权限进行全面排查梳理，以岗授权，确保证书与用户身份、业务权限精准匹配。实行数字证书“月检查”工作机制，每月对中心工作人员证书权限进行排查，核查证书使用状态及权限，收回注销闲置证书，并分别建立数字证书及权限管理台账，及时更新维护证书及权限变更情况，确保数字证书底数清、情况明，从源头防范因证书及权限滥用导致的数据泄露风险。

中心通过开展信息系统等级保护测评、部署安全堡垒机以及强化数字证书权限管理等一系列有力措施，构建起了多层次、全方位的信息数据安全防护体系，为全市公共资源交易信息数据安全提供了坚实可靠的保障，推动公共资源交易活动在公平公正、竞争有序的环境中持续健康发展。