等保2.0規(guī)范下的交易平臺(tái)安全體系建設(shè)
2013年,國務(wù)院八部委共同發(fā)布實(shí)施《電子招標(biāo)投標(biāo)辦法》及其配套文件《電子招標(biāo)投標(biāo)系統(tǒng)技術(shù)規(guī)范 第1部分:交易平臺(tái)技術(shù)規(guī)范》(以下簡(jiǎn)稱《交易平臺(tái)技術(shù)規(guī)范》)。在此政策的推動(dòng)下,近年來電子招標(biāo)采購行業(yè)得到了快速的發(fā)展,各政府部門、國有企業(yè)、代理機(jī)構(gòu)也建設(shè)運(yùn)營(yíng)了大量的電子招投標(biāo)交易平臺(tái),同時(shí)市場(chǎng)上還存在不少在建、待建的電子招投標(biāo)交易平臺(tái)。電子招投標(biāo)交易平臺(tái)在提高工作效率,降低采購成本,規(guī)范業(yè)務(wù)流程以及保障交易信息安全等方面發(fā)揮了巨大作用。
2017年,國務(wù)院六部委共同發(fā)布實(shí)施《”互聯(lián)網(wǎng)+“招標(biāo)采購行動(dòng)方案(2017-2019)》,方案要求推進(jìn)依法必須招標(biāo)項(xiàng)目的全流程電子化招標(biāo)采購。同時(shí),強(qiáng)調(diào)電子招投標(biāo)交易平臺(tái)運(yùn)營(yíng)機(jī)構(gòu)通過有關(guān)管理措施和技術(shù)手段,加強(qiáng)風(fēng)險(xiǎn)管理和防范,及時(shí)識(shí)別和評(píng)估平臺(tái)安全風(fēng)險(xiǎn),確保平臺(tái)運(yùn)營(yíng)安全和數(shù)據(jù)安全。同年,《網(wǎng)絡(luò)安全法》正式實(shí)施,該法律將網(wǎng)絡(luò)安全上升到了國家戰(zhàn)略高度,明確規(guī)定了網(wǎng)絡(luò)運(yùn)營(yíng)者等主體的法律義務(wù)和責(zé)任,以及我國實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。
等級(jí)保護(hù)在網(wǎng)絡(luò)安全保障方面起著至關(guān)重要的作用。為了適應(yīng)新技術(shù)的發(fā)展,解決云計(jì)算、移動(dòng)互聯(lián)、大數(shù)據(jù)等領(lǐng)域信息系統(tǒng)等級(jí)保護(hù)工作的需要,網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0標(biāo)準(zhǔn)于今年5月正式發(fā)布,并將于12月1日全面實(shí)施。等保2.0新政的出臺(tái),為電子招投標(biāo)交易平臺(tái)的安全體系提供了新的參考標(biāo)準(zhǔn),對(duì)規(guī)范電子招投標(biāo)交易平臺(tái)的安全建設(shè)和運(yùn)營(yíng),推動(dòng)其健康發(fā)展起到了重要作用。
等保2.0標(biāo)準(zhǔn)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度,信息系統(tǒng)遭到破壞后對(duì)國家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素劃分為一級(jí)至五級(jí),等級(jí)逐級(jí)增高。每一個(gè)等級(jí)根據(jù)業(yè)務(wù)目標(biāo)、使用技術(shù)、應(yīng)用場(chǎng)景等的不同,分為安全通用要求和針對(duì)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)的安全擴(kuò)展要求。每一個(gè)要求由技術(shù)和管理兩部分組成,技術(shù)部分包括安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心5個(gè)方面;管理部分包括安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理5個(gè)方面。
《交易平臺(tái)技術(shù)規(guī)范》根據(jù)平臺(tái)重要業(yè)務(wù)信息安全保密的要求引入了等保1.0中二級(jí)和三級(jí)的部分內(nèi)容,側(cè)重從技術(shù)安全的角度對(duì)系統(tǒng)的接口技術(shù)要求、安全性、可靠性以及運(yùn)行環(huán)境四個(gè)部分進(jìn)行了闡述。其中安全性的部分作為重點(diǎn),又具體細(xì)分為身份標(biāo)識(shí)與鑒別、電子簽名、電子加密和解密、訪問控制、通信安全、存儲(chǔ)安全、資源控制、數(shù)據(jù)安全及備份恢復(fù)、安全缺陷防范及安全審計(jì)10個(gè)方面。
等保2.0標(biāo)準(zhǔn)出臺(tái)以前,電子招投標(biāo)交易平臺(tái)主要是參考《交易平臺(tái)技術(shù)規(guī)范》的內(nèi)容進(jìn)行安全體系建設(shè),重點(diǎn)關(guān)注架構(gòu)安全以及被動(dòng)防御能力的要求,如漏洞管理、系統(tǒng)加固、安全域的劃分等。等保2.0標(biāo)準(zhǔn)結(jié)合《網(wǎng)絡(luò)安全法》中對(duì)于持續(xù)監(jiān)測(cè)、威脅情報(bào)、快速響應(yīng)類的要求,提出了更加具體的主動(dòng)防御管控措施。因此,在等保2.0標(biāo)準(zhǔn)出臺(tái)后,也有越來越多的交易平臺(tái)運(yùn)營(yíng)機(jī)構(gòu)開啟了等保2.0三級(jí)的安全升級(jí)建設(shè)。圖(1)給出了等保2.0三級(jí)基本要求與《技術(shù)規(guī)范》安全要求的對(duì)應(yīng)關(guān)系,可以看到除了“資源控制”安全要求以外,《技術(shù)規(guī)范》的所有其它安全要求都包含進(jìn)了等保2.0三級(jí)基本要求技術(shù)部分的四個(gè)方面,而對(duì)會(huì)話連接數(shù)限制、資源監(jiān)測(cè)等方面的資源控制則在等保2.0標(biāo)準(zhǔn)中降低了要求。
本章節(jié)將摘選等保2.0三級(jí)技術(shù)部分與《技術(shù)規(guī)范》對(duì)比,將新增或加強(qiáng)的重要安全控制點(diǎn)進(jìn)行簡(jiǎn)要分析。
1、邊界防護(hù)
等保2.0三級(jí)基本要求增強(qiáng)了內(nèi)外網(wǎng)訪問的權(quán)限控制,首先對(duì)外部非授權(quán)設(shè)備聯(lián)到內(nèi)網(wǎng)行為進(jìn)行檢查或限制,其次對(duì)內(nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)進(jìn)行檢查或限制。交易平臺(tái)可采用VPN、堡壘機(jī)設(shè)備通過配置賬號(hào)、IP、端口訪問等審計(jì)策略來控制外部設(shè)備及內(nèi)部設(shè)備安全訪問內(nèi)外網(wǎng)。
2、身份鑒別
《技術(shù)規(guī)范》中主要強(qiáng)調(diào)了使用CA證書對(duì)交易主體以及需要交易主體承擔(dān)相應(yīng)法律責(zé)任的在線交易行為進(jìn)行身份標(biāo)識(shí)與鑒別。等保2.0三級(jí)基本要求增強(qiáng)了身份鑒別的方式,要求采取口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別,且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)實(shí)現(xiàn)。CA就屬于密碼技術(shù),主要作用于對(duì)招投標(biāo)文件的加解密和簽名蓋章等,它也可與短信密碼動(dòng)態(tài)口令技術(shù)組合使用,實(shí)現(xiàn)如用戶注冊(cè)、登錄驗(yàn)證、密碼修改等其它關(guān)鍵業(yè)務(wù)環(huán)節(jié)的用戶身份鑒別。
《技術(shù)規(guī)范》對(duì)訪問控制的要求主要體現(xiàn)在對(duì)用戶的賬號(hào)、功能權(quán)限及數(shù)據(jù)權(quán)限的控制上。等保2.0三級(jí)在《技術(shù)規(guī)范》要求之上還提出了要實(shí)現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制,以及對(duì)重要的主體、客體采用強(qiáng)制訪問控制機(jī)制。
傳統(tǒng)的安全訪問控制主要是在安全防護(hù)區(qū)域邊界處設(shè)置防火墻、路由器、交換機(jī)等網(wǎng)絡(luò)安全設(shè)備,對(duì)流經(jīng)的數(shù)據(jù)進(jìn)行嚴(yán)格的訪問控制。隨著網(wǎng)絡(luò)安全態(tài)勢(shì)的日益嚴(yán)峻,交易平臺(tái)還需要部署專門應(yīng)對(duì)Web應(yīng)用攻擊的防護(hù)產(chǎn)品,如WAF。WAF分為硬件、軟件、以及云等不同形態(tài),主要特點(diǎn)是對(duì)應(yīng)用層的HTTP/HTTPS協(xié)議以及頁面的輸入驗(yàn)證進(jìn)行控制,從而提供安全區(qū)域最前端的安全邊界防護(hù)。
強(qiáng)制訪問控制機(jī)制可以防范木馬攻擊,它的核心是為主體、客體做標(biāo)記,根據(jù)標(biāo)記的安全級(jí)別來決定一個(gè)主體是否可以訪問某個(gè)客體。安全標(biāo)記是強(qiáng)制性的屬性,它由安全管理員或操作系統(tǒng)根據(jù)限定的規(guī)則確定,用戶或用戶的程序不能加以修改。如果系統(tǒng)認(rèn)為具有某一個(gè)安全屬性的用戶不適于訪問某個(gè)文件,那么任何人都無法使該用戶具有訪問該文件的權(quán)力。強(qiáng)制訪問控制比自主訪問控制具有更高的安全性,能有效防范木馬,也可以防止在用戶無意或不負(fù)責(zé)任的操作時(shí)泄露機(jī)密信息,適用于專用或安全性要求較高的系統(tǒng)。在招標(biāo)全流程執(zhí)行過程中,存在一些易發(fā)生泄漏影響交易公平公正的重要敏感信息,如投標(biāo)人信息、開標(biāo)一覽表信息、評(píng)標(biāo)委員會(huì)名單、評(píng)標(biāo)過程相關(guān)信息等,可對(duì)后臺(tái)運(yùn)維權(quán)限采用強(qiáng)制訪問控制機(jī)制,以保護(hù)這些敏感信息不被泄露。
加強(qiáng)對(duì)網(wǎng)絡(luò)攻擊的主動(dòng)防御是等保2.0的重點(diǎn)內(nèi)容。相比《技術(shù)規(guī)范》“不應(yīng)存在可能引起安全缺陷的語句、命令;應(yīng)能夠識(shí)別和屏蔽非法訪問”的要求,三級(jí)要求在安全域邊界和安全計(jì)算環(huán)境方面提出了更為全面的主動(dòng)防御要求:
4.1 主動(dòng)防范來自外部和內(nèi)部的網(wǎng)絡(luò)攻擊行為,對(duì)攻擊行為進(jìn)行分析及報(bào)警。交易平臺(tái)可在網(wǎng)絡(luò)和應(yīng)用層面部署IPS設(shè)備,防DDOS設(shè)備實(shí)現(xiàn)對(duì)明確判斷為攻擊的行為和會(huì)對(duì)網(wǎng)絡(luò)、數(shù)據(jù)造成危害的惡意行為進(jìn)行主動(dòng)防御;安裝網(wǎng)絡(luò)流量分析系統(tǒng),對(duì)DDoS流量、網(wǎng)絡(luò)濫用誤用、蠕蟲爆發(fā)、P2P流量等異常流量進(jìn)行分析檢測(cè),同時(shí)對(duì)連接數(shù),累計(jì)流量數(shù),數(shù)據(jù)庫訪問連接及流量進(jìn)行每日比較,對(duì)超過告警閾值的流量進(jìn)行告警;安裝數(shù)據(jù)泄露防護(hù)系統(tǒng),通過身份認(rèn)證和加密控制以及日志統(tǒng)計(jì)對(duì)內(nèi)部文件進(jìn)行控制,最大程度避免因內(nèi)部攻擊導(dǎo)致的信息泄露事件。
4.2 對(duì)操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進(jìn)行最小化安裝和最小權(quán)限配置。交易平臺(tái)是用戶實(shí)時(shí)在線交互的互聯(lián)網(wǎng)平臺(tái),應(yīng)盡量減少其在互聯(lián)網(wǎng)中的暴露面,如將平臺(tái)生產(chǎn)系統(tǒng)的運(yùn)維訪問地址、測(cè)試系統(tǒng)、培訓(xùn)系統(tǒng)訪問地址都設(shè)置為內(nèi)網(wǎng)訪問;還可按照最小使用權(quán)限的原則,最小化設(shè)置主機(jī)間的訪問規(guī)則數(shù)量。
4.3 及時(shí)修復(fù)漏洞和防范入侵及病毒行為。漏洞的修復(fù)可通過部署漏洞管理平臺(tái),實(shí)時(shí)同步最新漏洞信息、內(nèi)網(wǎng)主機(jī)掃描結(jié)果信息,對(duì)資源漏洞信息進(jìn)行統(tǒng)一關(guān)聯(lián)、展現(xiàn)和告警。防范入侵及病毒可通過搭建統(tǒng)一的網(wǎng)絡(luò)防毒服務(wù)器,對(duì)計(jì)算域中的服務(wù)器設(shè)置統(tǒng)一的防毒策略,定期保持防病毒代碼的更新來實(shí)時(shí)檢測(cè)和查殺惡意代碼。對(duì)網(wǎng)頁掛馬、網(wǎng)頁篡改、信息泄露等網(wǎng)絡(luò)攻擊還可通過安裝防篡改系統(tǒng)或者在應(yīng)用程序中添加防御安全模塊等方式進(jìn)行主動(dòng)防御,即時(shí)檢測(cè)出網(wǎng)頁中存在的安全風(fēng)險(xiǎn)。
等保2.0三級(jí)相比《技術(shù)規(guī)范》“應(yīng)采用加密或其他保護(hù)措施實(shí)現(xiàn)鑒別信息存儲(chǔ)的保密性”,加強(qiáng)了保證數(shù)據(jù)存儲(chǔ)過程中的保密性和完整性的要求,除了鑒別信息以外,重要業(yè)務(wù)數(shù)據(jù)、重要個(gè)人信息等其它重要信息也應(yīng)保證保密性和完整性。上文提到的交易過程重要敏感信息,也可采取加密存儲(chǔ)的方式來增強(qiáng)數(shù)據(jù)保密性。同時(shí),招標(biāo)項(xiàng)目的投標(biāo)文件、評(píng)標(biāo)報(bào)告、后臺(tái)操作日志等信息作為重要的電子證據(jù)具有法律效力,為了確保它們的完整性及防篡改,可用哈希計(jì)算方法來進(jìn)行完整性校驗(yàn)。
等保2.0三級(jí)基本要求提出重要數(shù)據(jù)應(yīng)異地實(shí)時(shí)備份,相比《技術(shù)規(guī)范》“關(guān)鍵數(shù)據(jù)提供自動(dòng)定時(shí)本地備份與恢復(fù)”的要求更為嚴(yán)格。本地定時(shí)備份主要指基于磁帶庫和本地服務(wù)器的數(shù)據(jù)級(jí)備份。異地實(shí)時(shí)備份作為本地定時(shí)備份的補(bǔ)充,主要是針對(duì)生產(chǎn)環(huán)境機(jī)房搬遷、發(fā)生重大事故,人為破壞以及重大災(zāi)害等意外事件所造成的數(shù)據(jù)損毀,保證系統(tǒng)數(shù)據(jù)、應(yīng)用能在短時(shí)間內(nèi)恢復(fù)使用。
異地實(shí)時(shí)備份可分為數(shù)據(jù)級(jí)備份和應(yīng)用級(jí)備份。通過建立異地?cái)?shù)據(jù)系統(tǒng)將本地關(guān)鍵應(yīng)用數(shù)據(jù)的實(shí)時(shí)同步復(fù)制,實(shí)現(xiàn)數(shù)據(jù)級(jí)容災(zāi)備份。如有條件,也可建立一套完整的與本地生產(chǎn)系統(tǒng)相當(dāng)?shù)膫浞輵?yīng)用系統(tǒng),實(shí)現(xiàn)應(yīng)用級(jí)容災(zāi)備份。當(dāng)主機(jī)房出現(xiàn)問題,遠(yuǎn)程系統(tǒng)被啟用,迅速接管業(yè)務(wù)運(yùn)行。對(duì)于交易平臺(tái)而言,異地應(yīng)用級(jí)容災(zāi)能夠最大程度保障平臺(tái)用戶的實(shí)時(shí)交易,避免因長(zhǎng)時(shí)間中斷服務(wù)帶來的安全風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)。
《網(wǎng)絡(luò)安全法》發(fā)布時(shí),法律的第十六條提到“推廣安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)”,后面出臺(tái)的《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》也再次強(qiáng)調(diào)“加快安全可信產(chǎn)品推廣引用”。之前,可信產(chǎn)品多使用在等保四級(jí)以上的重要信息系統(tǒng)中。等保2.0標(biāo)準(zhǔn)出臺(tái)后,對(duì)二級(jí)、三級(jí)的“安全通信網(wǎng)絡(luò)”、“安全區(qū)域邊界”和“安全計(jì)算環(huán)境”控制項(xiàng)中也新增了可信驗(yàn)證的要求。
可信驗(yàn)證的關(guān)鍵支撐技術(shù)是可信計(jì)算。它采用了公鑰密碼身份識(shí)別、對(duì)稱密碼加密存儲(chǔ)、智能控制與安全執(zhí)行雙重體系結(jié)構(gòu)、環(huán)境免疫抗病毒原理、對(duì)用戶透明的數(shù)字定義可信策略等技術(shù)方法,在計(jì)算運(yùn)算的同時(shí)進(jìn)行安全防護(hù),計(jì)算全程可測(cè)可控,不被干擾。
圖(2)是部署了可信產(chǎn)品的云計(jì)算安全架構(gòu)圖。對(duì)于交易平臺(tái)來說,不用改動(dòng)原有應(yīng)用系統(tǒng),只需在原系統(tǒng)架構(gòu)上對(duì)設(shè)備進(jìn)行升級(jí),使新老設(shè)備融為一體,就可構(gòu)建可信免疫的主動(dòng)防御安全防護(hù)體系,實(shí)現(xiàn)高安全等級(jí)結(jié)構(gòu)化保護(hù)。
安全管理中心是等保2.0新增的一個(gè)重要控制項(xiàng),對(duì)等級(jí)保護(hù)對(duì)象的安全策略,安全通信網(wǎng)絡(luò)、安全區(qū)域邊界及安全計(jì)算環(huán)境的安全機(jī)制實(shí)施統(tǒng)一管理的系統(tǒng)平臺(tái)。三級(jí)要求提出安全管理中心應(yīng)在系統(tǒng)管理、安全管理、審計(jì)管理三個(gè)方面實(shí)現(xiàn)集中管控。系統(tǒng)管理主要實(shí)現(xiàn)對(duì)系統(tǒng)資源和運(yùn)行進(jìn)行配置與管控;審計(jì)管理主要實(shí)現(xiàn)對(duì)審計(jì)記錄進(jìn)行分析;安全管理主要實(shí)現(xiàn)對(duì)系統(tǒng)的安全策略進(jìn)行配置。
圖(3)給出《GB/T 36958-2018信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全管理中心技術(shù)要求》中的安全管理中心模型圖,圖中規(guī)劃了特定的管理區(qū)域?qū)DS、堡壘機(jī)、防火墻等安全設(shè)備和組件進(jìn)行集中管控。這些設(shè)備在運(yùn)行過程中產(chǎn)生了大量有用的審計(jì)數(shù)據(jù),如包數(shù)據(jù)、會(huì)話數(shù)據(jù)、日志、告警等。通過對(duì)這些數(shù)據(jù)進(jìn)行收集匯總和集中分析,實(shí)現(xiàn)全面、準(zhǔn)確、細(xì)粒度的網(wǎng)絡(luò)整體安全態(tài)勢(shì)感知,進(jìn)而提升平臺(tái)主動(dòng)防御能力。
目前的技術(shù)水平和人工智能還處于初級(jí)階段,如何將來自多個(gè)信息源的數(shù)據(jù)收集起來,進(jìn)行有效的關(guān)聯(lián)組合,提升數(shù)據(jù)的有效性和精確度,需要運(yùn)營(yíng)機(jī)構(gòu)去做持續(xù)的研究和投入。
等保2.0三級(jí)的管理部分由安全管理制度、安全管理機(jī)構(gòu)和安全管理人員三大要素組成,同時(shí)對(duì)等級(jí)保護(hù)對(duì)象建設(shè)和運(yùn)維過程中的重要活動(dòng)提出了管控要求。
交易平臺(tái)的網(wǎng)絡(luò)安全管理制度體系包括統(tǒng)一的安全策略、管理制度、操作規(guī)程和記錄表單。安全策略是根據(jù)交易平臺(tái)的安全目標(biāo)而制定的管理策略,范圍包括組織的所有信息資源,設(shè)施、硬件、軟件、信息、人員,通過設(shè)計(jì)物理安全策略、網(wǎng)絡(luò)安全策略、數(shù)據(jù)加密及備份策略、病毒防護(hù)策略、系統(tǒng)安全策略、身份認(rèn)證及授權(quán)策略、口令管理策略、災(zāi)難恢復(fù)策略等,形成體系化的安全策略確保組織運(yùn)作的連續(xù)性、信息完整性和機(jī)密性。同時(shí)還可根據(jù)交易平臺(tái)的總體安全策略和業(yè)務(wù)應(yīng)用需求,制定安全管理的規(guī)程和制度,如平臺(tái)物理環(huán)境、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)等各層面的安全管理規(guī)程,第三方訪問控制和相關(guān)的操作規(guī)程,資產(chǎn)和設(shè)備管理制度,災(zāi)備管理制度,安全教育管理制度,平臺(tái)安全風(fēng)險(xiǎn)管理制度,安全監(jiān)控管理制度,還可針對(duì)重點(diǎn)防御的網(wǎng)絡(luò)攻擊制定專門的網(wǎng)絡(luò)安全事件應(yīng)急處置預(yù)案等。
按照等保2.0三級(jí)管理的基本要求,設(shè)立或明確指導(dǎo)和管理網(wǎng)絡(luò)安全工作的領(lǐng)導(dǎo)機(jī)構(gòu)和職能部門。按照《網(wǎng)絡(luò)安全法》相關(guān)制度的設(shè)計(jì),國有企事業(yè)單位的網(wǎng)絡(luò)安全管理工作的職能部門通常設(shè)置在信息化管理部門?!峨娮诱袠?biāo)投標(biāo)辦法》的制度體系,則明確了運(yùn)營(yíng)機(jī)構(gòu)的組織概念,并且對(duì)運(yùn)營(yíng)機(jī)構(gòu)賦予了交易平臺(tái)安全管理的職責(zé)。從近些年國有企業(yè)交易平臺(tái)的運(yùn)營(yíng)情況來看,運(yùn)營(yíng)機(jī)構(gòu)通常設(shè)置在與信息化管理部門平行的采購管理部門或者是采購管理部門下屬的獨(dú)立運(yùn)營(yíng)公司。對(duì)以上兩個(gè)制度體系進(jìn)行梳理,運(yùn)營(yíng)機(jī)構(gòu)本身應(yīng)做好交易平臺(tái)的網(wǎng)絡(luò)安全管理工作,同時(shí)還應(yīng)加強(qiáng)與信息化管理部門之間的合作與溝通,共同協(xié)作處理好網(wǎng)絡(luò)安全工作中所遇到的問題。
建立崗位和人員安全責(zé)任制度,將平臺(tái)安全責(zé)任分解到每位員工自身崗位職責(zé)中,重點(diǎn)明確與網(wǎng)絡(luò)安全相關(guān)的系統(tǒng)管理員、審計(jì)管理員和安全管理員三類崗位的職責(zé)與任務(wù),其中安全管理員應(yīng)是專職人員,不可兼任;通過在員工績(jī)效考核中增加安全KPI指標(biāo),落實(shí)安全管理責(zé)任制。
平臺(tái)安全是運(yùn)營(yíng)機(jī)構(gòu)全體成員的責(zé)任。運(yùn)營(yíng)機(jī)構(gòu)需定期組織全員學(xué)習(xí)國家安全法律法規(guī),企事業(yè)單位安全管理制度以及安全基礎(chǔ)知識(shí),以強(qiáng)化安全責(zé)任意識(shí),提升整體安全工作能力。核心的安全管理崗位人員最好具備相關(guān)專業(yè)資格(如CISP或CISSP認(rèn)證)和技術(shù)技能,同時(shí)還需與運(yùn)營(yíng)機(jī)構(gòu)簽訂安全承諾責(zé)任書和信息保密協(xié)議。
運(yùn)營(yíng)機(jī)構(gòu)如對(duì)部分職能進(jìn)行外包,外包人員可能需要進(jìn)行駐場(chǎng)工作,也可能遠(yuǎn)程訪問到企業(yè)的內(nèi)部系統(tǒng),這就需要對(duì)外包人員的訪問控制進(jìn)行嚴(yán)格的管控,做好書面記錄和備案,最關(guān)鍵的也是落實(shí)外包人員相應(yīng)的安全責(zé)任。
此前,多數(shù)交易平臺(tái)主要是參考《電子招標(biāo)投標(biāo)系統(tǒng)檢測(cè)技術(shù)規(guī)范》進(jìn)行建設(shè),隨著等保2.0新政的出臺(tái),今年也有一些交易平臺(tái)開啟了滿足等保2.0第三級(jí)要求的安全升級(jí)建設(shè)?;诎踩ぷ鳌巴揭?guī)劃、同步組織實(shí)施、同步運(yùn)作投產(chǎn)”的三同步原則,在規(guī)劃階段可參考《GB/T 25070-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》進(jìn)行系統(tǒng)安全整體設(shè)計(jì);在實(shí)施階段應(yīng)保證在軟件開發(fā)過程中注重代碼編寫安全規(guī)范,注重對(duì)安全性進(jìn)行測(cè)試,平臺(tái)上線前需對(duì)可能存在的惡意代碼進(jìn)行檢測(cè),同時(shí)整個(gè)實(shí)施過程需通過第三方工程監(jiān)理來進(jìn)行控制;在試運(yùn)行階段開展定級(jí)、安全等級(jí)測(cè)評(píng)和備案工作,等保三級(jí)測(cè)評(píng)工作需要每年開展一次。
《技術(shù)規(guī)范》出臺(tái)的這些年,促進(jìn)了一些國內(nèi)交易軟件廠商發(fā)展壯大。運(yùn)營(yíng)機(jī)構(gòu)將交易平臺(tái)委托外部專業(yè)供應(yīng)商進(jìn)行建設(shè)的情況較為常見。在委托建設(shè)中,運(yùn)營(yíng)機(jī)構(gòu)應(yīng)注意在合同中對(duì)雙方的安全責(zé)任邊界進(jìn)行明確,并建立有效的供應(yīng)商定期審查機(jī)制,對(duì)其服務(wù)安全性進(jìn)行評(píng)估,以便及時(shí)識(shí)別潛在風(fēng)險(xiǎn),加強(qiáng)信息安全的管控。
安全運(yùn)維首先要求運(yùn)營(yíng)機(jī)構(gòu)加強(qiáng)對(duì)網(wǎng)頁掛馬、網(wǎng)頁篡改、病毒等網(wǎng)絡(luò)安全攻擊事件的主動(dòng)防御,如定期對(duì)防惡意代碼庫進(jìn)行更新升級(jí);定期開展安全測(cè)評(píng),發(fā)現(xiàn)并及時(shí)有效的處理各類漏洞;指定專人做每日巡檢工作,分析和統(tǒng)計(jì)各類日志、監(jiān)測(cè)、報(bào)警數(shù)據(jù),及時(shí)發(fā)現(xiàn)可疑行為。其次,運(yùn)營(yíng)機(jī)構(gòu)應(yīng)加強(qiáng)對(duì)變更性運(yùn)維工作的管控,如各種配置變更操作需經(jīng)審批后才可改變,配置信息變更需同步更新維護(hù)配置信息庫,同時(shí)操作日志需留存且不可更改。對(duì)于安全事件的處置,運(yùn)營(yíng)機(jī)構(gòu)也應(yīng)形成一套處理流程和信息上報(bào)機(jī)制,針對(duì)不同等級(jí)類型的安全事件要有相應(yīng)的應(yīng)急預(yù)案作為保障,定期組織應(yīng)急演練,以檢驗(yàn)應(yīng)急預(yù)案的實(shí)用性、可用性和運(yùn)維隊(duì)伍的協(xié)同反應(yīng)水平和實(shí)戰(zhàn)能力。
如運(yùn)營(yíng)機(jī)構(gòu)對(duì)運(yùn)維工作進(jìn)行外包,選擇的外包運(yùn)維服務(wù)商應(yīng)在技術(shù)和管理方面具備安全運(yùn)維的能力,還應(yīng)對(duì)雙方在整個(gè)服務(wù)供應(yīng)鏈中所需履行的網(wǎng)絡(luò)安全相關(guān)義務(wù)進(jìn)行明確,并應(yīng)定期對(duì)外包運(yùn)維服務(wù)進(jìn)行監(jiān)督、評(píng)審和審核。
等保2.0新政下的網(wǎng)絡(luò)信息安全管理,是加強(qiáng)交易平臺(tái)安全管理不可缺失的部分。隨著交易平臺(tái)逐步的深化建設(shè),對(duì)于云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)等各類新技術(shù)場(chǎng)景也有相應(yīng)的拓展應(yīng)用,如何在日益成熟的新技術(shù)環(huán)境下實(shí)行等級(jí)保護(hù),也是運(yùn)營(yíng)機(jī)構(gòu)下一步需要深入研究的內(nèi)容。
參考文獻(xiàn):
[1]中華人民共和國網(wǎng)絡(luò)安全法,中華人民共和國主席令(第五十三號(hào)),2016,11.
[2]信息安全等級(jí)保護(hù)評(píng)估中心,GB/T 22239-2019 信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求[M].中國標(biāo)準(zhǔn)出版社,2019.
[3]信息安全等級(jí)保護(hù)評(píng)估中心,GB/T 28448-2019 信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求[M].中國標(biāo)準(zhǔn)出版社,2019.
[4]夏冰.網(wǎng)絡(luò)安全法和網(wǎng)絡(luò)等級(jí)保護(hù),[M].電子工業(yè)出版社,2017.
[5]杜嘉薇.網(wǎng)絡(luò)安全態(tài)勢(shì)感知:提取、理解和預(yù)測(cè),[M].機(jī)械工業(yè)出版社,2018.
[6]許程亮. 電子招標(biāo)投標(biāo)系統(tǒng)安全風(fēng)險(xiǎn)分析及應(yīng)對(duì)措施[J].招標(biāo)采購管理,2017.10:55-59.
[7]鄢翔. 基于安全等級(jí)保護(hù)2_0的高校一卡通應(yīng)用系統(tǒng)安全方案設(shè)計(jì)[J].電子技術(shù)與軟件工程,2019.1:192-195.
靳冬(1982-),第一作者,男,碩士,高級(jí)工程師,主要研究方向:檢測(cè)認(rèn)證、質(zhì)量管理。單位:中國合格評(píng)定國家認(rèn)可中心。
戴征宇(1987-),第二作者,男,碩士,工程師,主要研究方向:采購供應(yīng)鏈、招標(biāo)管理、電子招標(biāo)。單位:中國石油天然氣集團(tuán)公司物資裝備部。
劉佳穎(1983-),通信作者,女,碩士,高級(jí)工程師,主要研究方向:供應(yīng)鏈信息化,電子商務(wù)。單位:浙江鴻程計(jì)算機(jī)系統(tǒng)有限公司。