安全资讯

等保2.0规范下的交易平台安全体系建设

2013年,国务院八部委共同发布实施《电子招标投标办法》及其配套文件《电子招标投标系统技术规范 第1部分:交易平台技术规范》(以下简称《交易平台技术规范》)。在此政策的推动下,近年来电子招标采购行业得到了快速的发展,各政府部门、国有企业、代理机构也建设运营了大量的电子招投标交易平台,同时市场上还存在不少在建、待建的电子招投标交易平台。电子招投标交易平台在提高工作效率,降低采购成本,规范业务流程以及保障交易信息安全等方面发挥了巨大作用。


2017年,国务院六部委共同发布实施《”互联网+“招标采购行动方案(2017-2019)》,方案要求推进依法必须招标项目的全流程电子化招标采购。同时,强调电子招投标交易平台运营机构通过有关管理措施和技术手段,加强风险管理和防范,及时识别和评估平台安全风险,确保平台运营安全和数据安全。同年,《网络安全法》正式实施,该法律将网络安全上升到了国家战略高度,明确规定了网络运营者等主体的法律义务和责任,以及我国实行网络安全等级保护制度。


等级保护在网络安全保障方面起着至关重要的作用。为了适应新技术的发展,解决云计算、移动互联、大数据等领域信息系统等级保护工作的需要,网络安全等级保护制度2.0标准于今年5月正式发布,并将于12月1日全面实施。等保2.0新政的出台,为电子招投标交易平台的安全体系提供了新的参考标准,对规范电子招投标交易平台的安全建设和运营,推动其健康发展起到了重要作用。


等保2.0标准根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素划分为一级至五级,等级逐级增高。每一个等级根据业务目标、使用技术、应用场景等的不同,分为安全通用要求和针对云计算、移动互联、物联网和工业控制系统的安全扩展要求。每一个要求由技术和管理两部分组成,技术部分包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心5个方面;管理部分包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理5个方面。


《交易平台技术规范》根据平台重要业务信息安全保密的要求引入了等保1.0中二级和三级的部分内容,侧重从技术安全的角度对系统的接口技术要求、安全性、可靠性以及运行环境四个部分进行了阐述。其中安全性的部分作为重点,又具体细分为身份标识与鉴别、电子签名、电子加密和解密、访问控制、通信安全、存储安全、资源控制、数据安全及备份恢复、安全缺陷防范及安全审计10个方面。

等保2.0标准出台以前,电子招投标交易平台主要是参考《交易平台技术规范》的内容进行安全体系建设,重点关注架构安全以及被动防御能力的要求,如漏洞管理、系统加固、安全域的划分等。等保2.0标准结合《网络安全法》中对于持续监测、威胁情报、快速响应类的要求,提出了更加具体的主动防御管控措施。因此,在等保2.0标准出台后,也有越来越多的交易平台运营机构开启了等保2.0三级的安全升级建设。图(1)给出了等保2.0三级基本要求与《技术规范》安全要求的对应关系,可以看到除了“资源控制”安全要求以外,《技术规范》的所有其它安全要求都包含进了等保2.0三级基本要求技术部分的四个方面,而对会话连接数限制、资源监测等方面的资源控制则在等保2.0标准中降低了要求。

本章节将摘选等保2.0三级技术部分与《技术规范》对比,将新增或加强的重要安全控制点进行简要分析。

1、边界防护


等保2.0三级基本要求增强了内外网访问的权限控制,首先对外部非授权设备联到内网行为进行检查或限制,其次对内部用户非授权联到外部网络进行检查或限制。交易平台可采用VPN、堡垒机设备通过配置账号、IP、端口访问等审计策略来控制外部设备及内部设备安全访问内外网。


2、身份鉴别

《技术规范》中主要强调了使用CA证书对交易主体以及需要交易主体承担相应法律责任的在线交易行为进行身份标识与鉴别。等保2.0三级基本要求增强了身份鉴别的方式,要求采取口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术实现。CA就属于密码技术,主要作用于对招投标文件的加解密和签名盖章等,它也可与短信密码动态口令技术组合使用,实现如用户注册、登录验证、密码修改等其它关键业务环节的用户身份鉴别。


3、访问控制


《技术规范》对访问控制的要求主要体现在对用户的账号、功能权限及数据权限的控制上。等保2.0三级在《技术规范》要求之上还提出了要实现基于应用协议和应用内容的访问控制,以及对重要的主体、客体采用强制访问控制机制。

传统的安全访问控制主要是在安全防护区域边界处设置防火墙、路由器、交换机等网络安全设备,对流经的数据进行严格的访问控制。随着网络安全态势的日益严峻,交易平台还需要部署专门应对Web应用攻击的防护产品,如WAF。WAF分为硬件、软件、以及云等不同形态,主要特点是对应用层的HTTP/HTTPS协议以及页面的输入验证进行控制,从而提供安全区域最前端的安全边界防护。


强制访问控制机制可以防范木马攻击,它的核心是为主体、客体做标记,根据标记的安全级别来决定一个主体是否可以访问某个客体。安全标记是强制性的属性,它由安全管理员或操作系统根据限定的规则确定,用户或用户的程序不能加以修改。如果系统认为具有某一个安全属性的用户不适于访问某个文件,那么任何人都无法使该用户具有访问该文件的权力。强制访问控制比自主访问控制具有更高的安全性,能有效防范木马,也可以防止在用户无意或不负责任的操作时泄露机密信息,适用于专用或安全性要求较高的系统。在招标全流程执行过程中,存在一些易发生泄漏影响交易公平公正的重要敏感信息,如投标人信息、开标一览表信息、评标委员会名单、评标过程相关信息等,可对后台运维权限采用强制访问控制机制,以保护这些敏感信息不被泄露。


4、入侵防范和恶意代码防范


加强对网络攻击的主动防御是等保2.0的重点内容。相比《技术规范》“不应存在可能引起安全缺陷的语句、命令;应能够识别和屏蔽非法访问”的要求,三级要求在安全域边界和安全计算环境方面提出了更为全面的主动防御要求:


4.1 主动防范来自外部和内部的网络攻击行为,对攻击行为进行分析及报警。交易平台可在网络和应用层面部署IPS设备,防DDOS设备实现对明确判断为攻击的行为和会对网络、数据造成危害的恶意行为进行主动防御;安装网络流量分析系统,对DDoS流量、网络滥用误用、蠕虫爆发、P2P流量等异常流量进行分析检测,同时对连接数,累计流量数,数据库访问连接及流量进行每日比较,对超过告警阈值的流量进行告警;安装数据泄露防护系统,通过身份认证和加密控制以及日志统计对内部文件进行控制,最大程度避免因内部攻击导致的信息泄露事件。


4.2 对操作系统、网络设备、安全设备等进行最小化安装和最小权限配置。交易平台是用户实时在线交互的互联网平台,应尽量减少其在互联网中的暴露面,如将平台生产系统的运维访问地址、测试系统、培训系统访问地址都设置为内网访问;还可按照最小使用权限的原则,最小化设置主机间的访问规则数量。


4.3 及时修复漏洞和防范入侵及病毒行为。漏洞的修复可通过部署漏洞管理平台,实时同步最新漏洞信息、内网主机扫描结果信息,对资源漏洞信息进行统一关联、展现和告警。防范入侵及病毒可通过搭建统一的网络防毒服务器,对计算域中的服务器设置统一的防毒策略,定期保持防病毒代码的更新来实时检测和查杀恶意代码。对网页挂马、网页篡改、信息泄露等网络攻击还可通过安装防篡改系统或者在应用程序中添加防御安全模块等方式进行主动防御,即时检测出网页中存在的安全风险。


5、数据保密性与完整性


等保2.0三级相比《技术规范》“应采用加密或其他保护措施实现鉴别信息存储的保密性”,加强了保证数据存储过程中的保密性和完整性的要求,除了鉴别信息以外,重要业务数据、重要个人信息等其它重要信息也应保证保密性和完整性。上文提到的交易过程重要敏感信息,也可采取加密存储的方式来增强数据保密性。同时,招标项目的投标文件、评标报告、后台操作日志等信息作为重要的电子证据具有法律效力,为了确保它们的完整性及防篡改,可用哈希计算方法来进行完整性校验。


6、数据备份恢复


等保2.0三级基本要求提出重要数据应异地实时备份,相比《技术规范》“关键数据提供自动定时本地备份与恢复”的要求更为严格。本地定时备份主要指基于磁带库和本地服务器的数据级备份。异地实时备份作为本地定时备份的补充,主要是针对生产环境机房搬迁、发生重大事故,人为破坏以及重大灾害等意外事件所造成的数据损毁,保证系统数据、应用能在短时间内恢复使用。


异地实时备份可分为数据级备份和应用级备份。通过建立异地数据系统将本地关键应用数据的实时同步复制,实现数据级容灾备份。如有条件,也可建立一套完整的与本地生产系统相当的备份应用系统,实现应用级容灾备份。当主机房出现问题,远程系统被启用,迅速接管业务运行。对于交易平台而言,异地应用级容灾能够最大程度保障平台用户的实时交易,避免因长时间中断服务带来的安全风险和法律风险。


7、可信验证


《网络安全法》发布时,法律的第十六条提到“推广安全可信的网络产品和服务”,后面出台的《国家网络空间安全战略》也再次强调“加快安全可信产品推广引用”。之前,可信产品多使用在等保四级以上的重要信息系统中。等保2.0标准出台后,对二级、三级的“安全通信网络”、“安全区域边界”和“安全计算环境”控制项中也新增了可信验证的要求。


可信验证的关键支撑技术是可信计算。它采用了公钥密码身份识别、对称密码加密存储、智能控制与安全执行双重体系结构、环境免疫抗病毒原理、对用户透明的数字定义可信策略等技术方法,在计算运算的同时进行安全防护,计算全程可测可控,不被干扰。


图(2)是部署了可信产品的云计算安全架构图。对于交易平台来说,不用改动原有应用系统,只需在原系统架构上对设备进行升级,使新老设备融为一体,就可构建可信免疫的主动防御安全防护体系,实现高安全等级结构化保护。


8、安全管理中心


安全管理中心是等保2.0新增的一个重要控制项,对等级保护对象的安全策略,安全通信网络、安全区域边界及安全计算环境的安全机制实施统一管理的系统平台。三级要求提出安全管理中心应在系统管理、安全管理、审计管理三个方面实现集中管控。系统管理主要实现对系统资源和运行进行配置与管控;审计管理主要实现对审计记录进行分析;安全管理主要实现对系统的安全策略进行配置。


图(3)给出《GB/T 36958-2018信息安全技术 网络安全等级保护安全管理中心技术要求》中的安全管理中心模型图,图中规划了特定的管理区域对IDS、堡垒机、防火墙等安全设备和组件进行集中管控。这些设备在运行过程中产生了大量有用的审计数据,如包数据、会话数据、日志、告警等。通过对这些数据进行收集汇总和集中分析,实现全面、准确、细粒度的网络整体安全态势感知,进而提升平台主动防御能力。


目前的技术水平和人工智能还处于初级阶段,如何将来自多个信息源的数据收集起来,进行有效的关联组合,提升数据的有效性和精确度,需要运营机构去做持续的研究和投入。


等保2.0三级的管理部分由安全管理制度、安全管理机构和安全管理人员三大要素组成,同时对等级保护对象建设和运维过程中的重要活动提出了管控要求。


1、安全管理制度


交易平台的网络安全管理制度体系包括统一的安全策略、管理制度、操作规程和记录表单。安全策略是根据交易平台的安全目标而制定的管理策略,范围包括组织的所有信息资源,设施、硬件、软件、信息、人员,通过设计物理安全策略、网络安全策略、数据加密及备份策略、病毒防护策略、系统安全策略、身份认证及授权策略、口令管理策略、灾难恢复策略等,形成体系化的安全策略确保组织运作的连续性、信息完整性和机密性。同时还可根据交易平台的总体安全策略和业务应用需求,制定安全管理的规程和制度,如平台物理环境、网络、系统、应用、数据等各层面的安全管理规程,第三方访问控制和相关的操作规程,资产和设备管理制度,灾备管理制度,安全教育管理制度,平台安全风险管理制度,安全监控管理制度,还可针对重点防御的网络攻击制定专门的网络安全事件应急处置预案等。


2、安全管理机构


按照等保2.0三级管理的基本要求,设立或明确指导和管理网络安全工作的领导机构和职能部门。按照《网络安全法》相关制度的设计,国有企事业单位的网络安全管理工作的职能部门通常设置在信息化管理部门。《电子招标投标办法》的制度体系,则明确了运营机构的组织概念,并且对运营机构赋予了交易平台安全管理的职责。从近些年国有企业交易平台的运营情况来看,运营机构通常设置在与信息化管理部门平行的采购管理部门或者是采购管理部门下属的独立运营公司。对以上两个制度体系进行梳理,运营机构本身应做好交易平台的网络安全管理工作,同时还应加强与信息化管理部门之间的合作与沟通,共同协作处理好网络安全工作中所遇到的问题。

建立岗位和人员安全责任制度,将平台安全责任分解到每位员工自身岗位职责中,重点明确与网络安全相关的系统管理员、审计管理员和安全管理员三类岗位的职责与任务,其中安全管理员应是专职人员,不可兼任;通过在员工绩效考核中增加安全KPI指标,落实安全管理责任制。


3、安全管理人员


平台安全是运营机构全体成员的责任。运营机构需定期组织全员学习国家安全法律法规,企事业单位安全管理制度以及安全基础知识,以强化安全责任意识,提升整体安全工作能力。核心的安全管理岗位人员最好具备相关专业资格(如CISP或CISSP认证)和技术技能,同时还需与运营机构签订安全承诺责任书和信息保密协议。

运营机构如对部分职能进行外包,外包人员可能需要进行驻场工作,也可能远程访问到企业的内部系统,这就需要对外包人员的访问控制进行严格的管控,做好书面记录和备案,最关键的也是落实外包人员相应的安全责任。


4、安全管理建设


此前,多数交易平台主要是参考《电子招标投标系统检测技术规范》进行建设,随着等保2.0新政的出台,今年也有一些交易平台开启了满足等保2.0第三级要求的安全升级建设。基于安全工作“同步规划、同步组织实施、同步运作投产”的三同步原则,在规划阶段可参考《GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求》进行系统安全整体设计;在实施阶段应保证在软件开发过程中注重代码编写安全规范,注重对安全性进行测试,平台上线前需对可能存在的恶意代码进行检测,同时整个实施过程需通过第三方工程监理来进行控制;在试运行阶段开展定级、安全等级测评和备案工作,等保三级测评工作需要每年开展一次。


《技术规范》出台的这些年,促进了一些国内交易软件厂商发展壮大。运营机构将交易平台委托外部专业供应商进行建设的情况较为常见。在委托建设中,运营机构应注意在合同中对双方的安全责任边界进行明确,并建立有效的供应商定期审查机制,对其服务安全性进行评估,以便及时识别潜在风险,加强信息安全的管控。


5、安全运维管理


安全运维首先要求运营机构加强对网页挂马、网页篡改、病毒等网络安全攻击事件的主动防御,如定期对防恶意代码库进行更新升级;定期开展安全测评,发现并及时有效的处理各类漏洞;指定专人做每日巡检工作,分析和统计各类日志、监测、报警数据,及时发现可疑行为。其次,运营机构应加强对变更性运维工作的管控,如各种配置变更操作需经审批后才可改变,配置信息变更需同步更新维护配置信息库,同时操作日志需留存且不可更改。对于安全事件的处置,运营机构也应形成一套处理流程和信息上报机制,针对不同等级类型的安全事件要有相应的应急预案作为保障,定期组织应急演练,以检验应急预案的实用性、可用性和运维队伍的协同反应水平和实战能力。


如运营机构对运维工作进行外包,选择的外包运维服务商应在技术和管理方面具备安全运维的能力,还应对双方在整个服务供应链中所需履行的网络安全相关义务进行明确,并应定期对外包运维服务进行监督、评审和审核。


等保2.0新政下的网络信息安全管理,是加强交易平台安全管理不可缺失的部分。随着交易平台逐步的深化建设,对于云计算、大数据、移动互联网等各类新技术场景也有相应的拓展应用,如何在日益成熟的新技术环境下实行等级保护,也是运营机构下一步需要深入研究的内容。


参考文献:

[1]中华人民共和国网络安全法,中华人民共和国主席令(第五十三号),2016,11.

[2]信息安全等级保护评估中心,GB/T 22239-2019 信息安全技术网络安全等级保护基本要求[M].中国标准出版社,2019.

[3]信息安全等级保护评估中心,GB/T 28448-2019 信息安全技术网络安全等级保护测评要求[M].中国标准出版社,2019.

[4]夏冰.网络安全法和网络等级保护,[M].电子工业出版社,2017.

[5]杜嘉薇.网络安全态势感知:提取、理解和预测,[M].机械工业出版社,2018.

[6]许程亮. 电子招标投标系统安全风险分析及应对措施[J].招标采购管理,2017.10:55-59.

[7]鄢翔. 基于安全等级保护2_0的高校一卡通应用系统安全方案设计[J].电子技术与软件工程,2019.1:192-195.


靳冬(1982-),第一作者,男,硕士,高级工程师,主要研究方向:检测认证、质量管理。单位:中国合格评定国家认可中心。

戴征宇(1987-),第二作者,男,硕士,工程师,主要研究方向:采购供应链、招标管理、电子招标。单位:中国石油天然气集团公司物资装备部。

刘佳颖(1983-),通信作者,女,硕士,高级工程师,主要研究方向:供应链信息化,电子商务。单位:浙江鸿程计算机系统有限公司。

服务热线

138-6598-3726

产品和特性

价格和优惠

安徽灵狐网络公众号

微信公众号