基于等保2.0基本要求的交易平臺安全體系建設

隨著網絡安全等級保護制度2.0系列標準的出臺，推動了電子招標投標交易平臺的健康發(fā)展。本文通過分析網絡安全等級保護制度2.0系列標準與《電子招標投標辦法》及其配套文件《電子招標投標系統技術規(guī)范 第1部分：交易平臺技術規(guī)范》安全要求的對比，提出了應該新增并加強的部分重要安全控制點和管理基本要求，為電子招標投標交易平臺的安全建設和運營提供了新的參考標準。

在《電子招標投標辦法》及其配套文件《電子招標投標系統技術規(guī)范 第1部分：交易平臺技術規(guī)范》（簡稱《技術規(guī)范》）這一政策的推動下，電子招標采購快速發(fā)展，各政府部門、國有企業(yè)及代理機構建設運營了大量的電子招標投標交易平臺，同時市場上還存在不少在建、待建的電子招標投標交易平臺。

2017年，國家發(fā)展改革委等六部委共同發(fā)布的《“互聯網+”招標采購行動方案（2017-2019年）》，要求推進“依法必須招標項目”的全流程電子化招標采購。同時，強調電子招標投標交易平臺運營機構通過有關管理措施和技術手段，加強風險管理和防范，及時識別和評估平臺安全風險，確保平臺運營安全和數據安全。同年，《網絡安全法》正式實施，該法律規(guī)定了網絡運營者等主體的法律義務和責任，并明確規(guī)定我國實行網絡安全等級保護制度。2019年5月，網絡安全等級保護制度2.0系列標準（簡稱“等保2.0”）正式發(fā)布，并將于12月1日全面實施。等保2.0新政的出臺，為電子招標投標交易平臺的安全體系提供了新的參考標準，對規(guī)范電子招投標交易平臺的安全建設和運營，推動其健康發(fā)展起到了重要作用。

一、等保2.0三級與《技術規(guī)范》安全要求的對比

等保2.0標準根據信息系統在國家安全、經濟建設、社會生活中的重要程度，信息系統遭到破壞的危害程度等因素劃分為一級至五級，等級逐級增高。每一個等級根據業(yè)務目標、使用技術、應用場景等的不同，分為安全通用要求和針對云計算、移動互聯、物聯網和工業(yè)控制系統的安全擴展要求。每一個要求由技術和管理兩部分組成，技術部分包括安全物理環(huán)境、安全通信網絡、安全區(qū)域邊界、安全計算環(huán)境和安全管理中心五個方面；管理部分包括安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理五個方面。

《技術規(guī)范》根據平臺重要業(yè)務信息安全保密的要求參考了等保1.0中二級和三級的部分內容，側重從技術安全的角度對系統的接口技術要求、安全性、可靠性以及運行環(huán)境四個部分進行了闡述。其中安全性的部分作為重點，又具體細分為身份標識與鑒別、電子簽名、電子加密和解密、訪問控制、通信安全、存儲安全、資源控制、數據安全及備份恢復、安全缺陷防范及安全審計10個方面。

電子招標投標交易平臺主要依據《技術規(guī)范》的內容進行安全體系建設，重點關注架構安全以及被動防御能力的要求，如漏洞管理、系統加固、安全域的劃分等。等保2.0標準根據《網絡安全法》中對于持續(xù)監(jiān)測、威脅情報、快速響應類的要求，提出了更加具體的主動防御的管控措施。因此，在等保2.0標準出臺后，也有越來越多的交易平臺開啟了等保2.0三級的安全升級建設。圖1給出了等保2.0三級基本要求與《技術規(guī)范》安全要求的對應關系，可以看到除了“資源控制”安全要求以外，《技術規(guī)范》的所有其他安全要求都包含進了等保2.0三級基本要求技術部分的四個方面，而對會話連接數限制、資源監(jiān)測等方面的資源控制則未做出特別規(guī)定。

二、等保2.0三級的技術加強要求

與《技術規(guī)范》相比，等保2.0三級新增并加強了部分重要的安全控制點，具體包含以下幾個方面：

（一）邊界防護

增強了內外網訪問的權限控制，不僅對外部非授權設備聯到內網行為進行檢查或限制，對內部用戶非授權聯到外部網絡也要進行檢查或限制。交易平臺可采用VPN、堡壘機設備通過配置賬號、IP、端口訪問等審計策略來控制外部設備，平臺內部設備也可通過上述安全措施訪問內外網。

（二）身份鑒別

《技術規(guī)范》中主要強調使用CA證書對交易主體以及需要交易主體承擔相應法律責任的在線交易行為進行身份標識與鑒別。等保2.0三級基本要求增強了身份鑒別的方式，要求采取口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別，且其中一種鑒別技術至少應使用密碼技術實現。CA證書就屬于密碼技術，主要作用于對招投標文件的加解密和簽名蓋章等。因此，為滿足等保2.0的要求，可將CA技術與短信密碼動態(tài)口令或其他鑒別技術組合使用，實現用戶注冊、登錄驗證、密碼修改等關鍵業(yè)務環(huán)節(jié)的用戶身份鑒別。

（三）訪問控制

《技術規(guī)范》對訪問控制的要求主要體現在對用戶的賬號、功能權限及數據權限的控制上。等保2.0三級在《技術規(guī)范》要求之上還提出了要實現基于應用協議和應用內容的訪問控制，以及對重要的主體、客體采用強制訪問控制機制。

傳統的安全訪問控制主要是在安全防護區(qū)域邊界設置防火墻、路由器、交換機等網絡安全設備，對流經的數據進行嚴格的訪問控制。隨著網絡安全態(tài)勢的日益嚴峻，交易平臺還需要部署專門應對Web應用攻擊的防護產品，如采用Web應用防護系統（WAF），對應用層的HTTP/HTTPS協議以及頁面的輸入驗證進行控制，提供安全區(qū)域最前端的安全邊界防護。

強制訪問控制機制可以防范木馬攻擊，它的核心是為主體、客體作標記，根據標記的安全級別來決定一個主體是否可以訪問某個客體。安全標記是強制性的屬性，因此強制訪問控制比自主訪問控制具有更高的安全性，能夠有效地防范木馬，也可以防止在用戶無意或不負責任的操作時泄露機密信息。在招標全流程執(zhí)行過程中，存在一些易發(fā)生泄漏影響交易公平公正的重要敏感信息，如投標人信息、開標一覽表信息、評標委員會名單、評標過程相關信息等，可對后臺運維權限采用強制訪問控制機制，以保護這些敏感信息不被泄露。

（四）入侵防范和惡意代碼防范

等保2.0把加強對網絡攻擊的主動防御作為重點規(guī)范的內容。在安全域邊界和安全計算環(huán)境方面提出了更為全面的主動防御要求：

1. 交易平臺應主動防范來自外部和內部的網絡攻擊行為，對攻擊行為進行分析及報警?？稍诰W絡和應用層面部署IPS設備、防DDoS設備對明確判斷為攻擊的行為和危害網絡、數據的惡意行為進行主動防御；安裝網絡流量分析系統，對DDoS流量、網絡濫用誤用、蠕蟲爆發(fā)、P2P流量等異常流量進行分析檢測，同時對連接數、累計流量數、數據庫訪問連接及流量進行每日比較，對超過告警閾值的流量進行告警；安裝數據泄露防護系統，通過身份認證和加密控制以及日志統計對內部文件進行控制，最大限度地避免因內部攻擊導致的信息泄露事件。

2.對操作系統、網絡設備、安全設備等進行最小化安裝和最小權限配置。交易平臺是用戶實時在線交互的互聯網平臺，應盡量減少其在互聯網中的暴露面，如將平臺生產系統的運維訪問地址、測試系統、培訓系統訪問地址都設置為內網訪問；還可按照最小使用權限的原則，最小化設置主機間的訪問規(guī)則數量。

3.及時修復漏洞和防范入侵及病毒行為。漏洞的修復可通過部署漏洞管理平臺，實時同步最新漏洞信息、內網主機掃描結果信息，對資源漏洞信息進行統一關聯、展現和告警。搭建統一的網絡防毒服務器防范病毒及入侵行為，對計算域中的服務器設置統一的防毒策略，定期更新防病毒代碼實時檢測和查殺惡意代碼。對網頁掛馬、網頁篡改、信息泄露等網絡攻擊還可通過安裝防篡改系統或者在應用程序中添加防御安全模塊等方式進行主動防御，即時檢測出網頁中存在的安全風險。

（五）數據保密性與完整性

《技術規(guī)范》在數據安全方面僅要求“應采用加密或其他保護措施實現鑒別信息存儲的保密性”。等保2.0加強了保證數據存儲過程中的保密性和完整性的要求，除了鑒別信息以外，重要業(yè)務數據、重要個人信息等其他重要信息也應保證保密性和完整性。前文提到的交易過程中的重要敏感信息，也可采取加密存儲的方式來增強數據保密性。同時，招標項目的投標文件、評標報告、后臺操作日志等具有法律效力的電子證據，可用哈希計算方法來進行完整性校驗，以確保其完整性及不被篡改。

（六）數據備份恢復

等保2.0三級基本要求提出重要數據應異地實時備份，相比《技術規(guī)范》“關鍵數據提供自動定時本地備份與恢復”的要求更為嚴格。本地定時備份主要指基于磁帶庫和本地服務器的數據級備份。異地實時備份主要是針對生產環(huán)境機房搬遷、發(fā)生重大事故、人為破壞以及重大災害等意外事件所造成的數據損毀，保證系統數據、應用能在短時間內恢復使用。

異地實時備份可分為數據級備份和應用級備份。通過建立異地數據系統將本地關鍵應用數據實時同步復制，實現數據級容災備份。如有條件，也可建立一套完整的與本地生產系統相當的備份應用系統，實現應用級容災備份。當主機房出現問題，遠程系統被啟用，迅速接管業(yè)務運行。對于交易平臺而言，異地應用級容災能夠最大程度保障平臺用戶的實時交易，避免因長時間中斷服務帶來的安全風險和法律風險。

（七）可信驗證

《網絡安全法》第十六條提到“推廣安全可信的網絡產品和服務”，《國家網絡空間安全戰(zhàn)略》也強調“加快安全可信產品推廣引用”。之前，可信產品多使用在等保四級以上的重要信息系統中。等保2.0標準出臺后，對二級、三級的“安全通信網絡”“安全區(qū)域邊界”和“安全計算環(huán)境”控制項中也新增了可信驗證的要求。

可信驗證的關鍵支撐技術是可信計算。它采用了公鑰密碼身份識別、對稱密碼加密存儲、智能控制與安全執(zhí)行雙重體系結構、環(huán)境免疫抗病毒原理、對用戶透明的數字定義可信策略等技術方法，在計算運算的同時進行安全防護，計算全程可測可控，不被干擾。

圖2是部署了可信產品的云計算安全架構圖。對于交易平臺來說，不用改動原有應用系統，只需在原系統架構上對設備進行升級，就可構建可信免疫的主動防御安全防護體系，實現高安全等級結構化保護。

（八）安全管理中心

安全管理中心是等保2.0新增的一個重要控制項，對等級保護對象的安全策略，安全通信網絡、安全區(qū)域邊界及安全計算環(huán)境的安全機制實施統一管理的系統平臺。三級要求提出安全管理中心應在系統管理、安全管理、審計管理三個方面實現集中管控。系統管理主要實現對系統資源和運行進行配置與管控；審計管理主要實現對審計記錄進行分析；安全管理主要實現對系統的安全策略進行配置。

圖3給出《信息安全技術 網絡安全等級保護安全管理中心技術要求》GB/T 36958-2018中的安全管理中心模型圖，圖中規(guī)劃了特定的管理區(qū)域對IDS、堡壘機、防火墻等安全設備和組件進行集中管控。這些設備在運行過程中產生了大量有用的審計數據，如包數據、會話數據、日志、告警等。通過對這些數據進行收集匯 總和集中分析，實現全面、準確、細粒度的網絡整體安全態(tài)勢感知，進而提升平臺主動防御能力。

三、等保2.0三級管理基本要求

等保2.0三級的管理部分由安全管理制度、安全管理機構和安全管理人員三大要素組成，同時對等級保護對象建設和運維過程中的重要活動提出了管控要求。

（一）安全管理制度

交易平臺的網絡安全管理制度體系包括統一的安全策略、管理制度、操作規(guī)程和記錄表單四個層次。首先，安全策略是根據交易平臺的安全目標而制定的總體策略，范圍包括組織、設施、硬件、軟件、信息、人員等所有資源，通過設計物理安全策略、網絡安全策略、數據加密及備份策略、病毒防護策略、系統安全策略、身份認證及授權策略、口令管理策略、災難恢復策略等，形成體系化的安全策略確保組織運作的連續(xù)性、信息完整性和機密性。其次，根據交易平臺的總體安全策略和業(yè)務應用需求，制定安全管理制度，如資產和設備管理制度，災備管理制度，安全教育管理制度，平臺安全風險管理制度，安全監(jiān)控管理制度，還可針對重點防御的網絡攻擊制定專門的網絡安全事件應急處置預案等。第三，制定符合制度要求的操作規(guī)程，如平臺物理環(huán)境、網絡、系統、應用、數據等各層面的安全管理規(guī)程，第三方訪問控制和相關的操作規(guī)程等。第四，在制度和操作規(guī)程執(zhí)行過程中，設計各類表單用于過程管理，同時也起到記錄備案作用。

（二）安全管理機構

設立或明確指導和管理網絡安全工作的領導機構和職能部門。按照《網絡安全法》相關制度的設計，國有企事業(yè)單位的網絡安全管理工作的職能部門通常設置在信息化管理部門?！峨娮诱袠?投標辦法》的制度體系，則明確了運營機構的組織概念，并且對運營機構賦予了交易平臺安全管理的職責。從近些年國有企業(yè)交易平臺的運營情況來看，運營機構通常設置在與信息化管理部門平行的采購管理部門或者是采購管理部門下屬的獨立運營公司。對以上兩個制度體系進行梳理，進一步明確安全管理的責任主體，運營機構應加強與信息化管理部門之間的合作與溝通，共同協作處理好網絡安全工作中所遇到的問題。

建立崗位和人員安全責任制度，將平臺安全責任分解到每位員工自身崗位職責中，重點明確與網絡安全相關的系統管理員、審計管理員和安全管理員三類崗位的職責與任務，其中安全管理員應是專職人員，不可兼任；通過在員工績效考核中增加安全KPI指標，落實安全管理責任制。

（三）安全管理人員

平臺安全是運營機構全體成員的責任。運營機構需定期組織全員學習國家安全法律法規(guī)，企事業(yè)單位安全管理制度以及安全基礎知識，以強化安全責任意識，提升整體安全工作能力。核心的安全管理崗位人員宜具備網絡安全專業(yè)資格（如CISP或CISSP認證）和技術技能，同時還需與運營機構簽訂安全承諾責任書和信息保密協議。

運營機構如對部分職能進行外包，外包人員無論進行駐場工作，還是遠程訪問到企業(yè)的內部系統，都需要對其訪問控制進行嚴格的管控，做好書面記錄和備案，落實外包人員相應的安全責任。

（四）安全建設管理

《網絡安全法》中明確提到了信息安全的建設要遵照等級保護標準來建設。等保2.0制度正式實施之后，符合三級定級標準的系統應按照新的標準進行建設，對于需進行安全升級建設的交易平臺也應遵照執(zhí)行。基 于安全工作“同步規(guī)劃、同步組織實施、同步運作投產”的三同步原則，在規(guī)劃階段可參考《信息安全技術 網絡安全等級保護安全設計技術要求》GB/T 25070-2019進行系統安全整體設計；在實施階段應保證在軟件開發(fā)過程中注重代碼編寫安全規(guī)范，注重對安全性進行測試，平臺上線前需對可能存在的惡意代碼進行檢測，同時整個實施過程需通過第三方工程監(jiān)理來進行控制；在試運行階段開展定級、安全等級測評和備案工作，正式上線運行之后還要每年開展測評工作。

《技術規(guī)范》促進了一些國內交易軟件廠商發(fā)展壯大。運營機構通常委托外部專業(yè)供應商建設交易平臺。在委托建設中，雙方應在建設合同中明確安全責任邊界。運營商還應建立有效的供應商定期審查機制，對其服務安全性進行評估，以便及時識別潛在風險，加強信息安全的管控。

（五）安全運維管理

安全運維是一個以業(yè)務安全為目的的安全保障體系。《信息安全技術 信息系統安全運維管理指南》GB/T 36626-2018比較全面地給出了安全運維的策略、組織、規(guī)程、支撐系統等方面內容。首先，從操作層面具體而言，運營機構加強對網頁掛馬、網頁篡改、病毒等網絡安全攻擊事件的主動防御，如定期對防惡意代碼庫進行更新升級；定期開展安全測評，發(fā)現并及時有效地處理各類漏洞；指定專人做每日巡檢工作，分析和統計各類日志、監(jiān)測、報警數據，及時發(fā)現可疑行為。其次，運營機構應加強對變更性運維工作的管控，如各種配置變更操作需經審批后才可改變，配置信息變更需同步更新維護配置信息庫，操作日志需留存且不可更改。對于安全事件的處置，運營機構也應形成一套處理流程和信息上報機制，針對不同等級類型的安全事件要有相應的應急預案作為保障，定期組織應急演練，以檢驗應急預案的實用性、可用性和運維隊伍的協同反應水平和實戰(zhàn)能力。

如運營機構對運維工作進行外包，選擇的外包運維服務商應在技術和管理方面具備安全運維的能力，還應對雙方在整個服務供應鏈中所需履行的網絡安全相關義務進行明確，并應定期對外包運維服務進行監(jiān)督、評審和審核。

等保2.0新政下的網絡信息安全管理，是加強交易平臺安全管理不可缺失的部分。隨著交易平臺逐步的深化建設，對于云計算、大數據、移動互聯網等各類新技術場景也有相應的拓展應用，如何在日益成熟的新技術環(huán)境下實行等級保護，也是運營機構下一步需要深入研究的內容。

作者及作者單位：靳冬，中國合格評定國家認可中心；戴征宇，中國石油天然氣集團有限公司物資裝備部；劉佳穎，浙江鴻程計算機系統有限公司

來源：《招標采購管理》