2013年,国务院八部委联合发布实施了《电子招标投标办法》及其配套文件《电子招标投标系统技术规范 第1部分:交易平台技术规范》(以下简称《交易平台技术规范》)。在这一政策的带动下,近年来电子招标采购行业发展迅猛,各政府部门、国有企业、机关事业单位也建设并运营了一大批电子招标投标交易平台。与此同时,市场上还有不少电子招标投标交易平台在建或待建。电子招标投标交易平台在提高工作效率、降低采购成本、规范业务流程、保障交易信息安全等方面发挥了巨大的作用。
2017年,国务院六部委联合印发实施《“互联网+”招标采购行动计划(2017-2019年)》,要求对依法必须进行招标的项目,推行全过程电子化招标采购。同时强调软件上线部署实施 外包公司承担什么责任,电子招标投标交易平台运营者要通过相关管理措施和技术手段,加强风险管理和防范,及时识别、评估平台安全风险,确保平台运行安全和数据安全。同年,《网络安全法》正式实施,该法将网络安全上升到国家战略高度,明确规定了网络运营者等主体的法律义务和责任,实行了我国网络安全等级保护制度。
等级保护在网络安全防护中起着至关重要的作用。为适应新技术发展,解决云计算、移动互联网、大数据等领域信息系统等级保护需求,网络安全等级保护体系2.0标准于今年5月正式发布,并将于12月1日全面实施。等级保护2.0新政的出台,为电子招标投标交易平台安全体系提供了新的参考标准,对规范电子招标投标交易平台安全建设与运行,促进其健康发展具有重要作用。
信息安全保护标准2.0根据信息系统在国家安全、经济建设和社会生活中的重要程度,以及信息系统遭到破坏后对国家安全、社会秩序、公共利益和公民、法人和其他组织的合法权益的危害程度,分为1至5级。每级又根据不同的业务目标、使用技术和应用场景,分为通用安全要求和针对云计算、移动互联网、物联网、工业控制系统的安全扩展要求。每项要求由技术和管理两部分组成。技术部分包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面;管理部分包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面。
《交易平台技术规范》根据平台重要业务信息安全保密的要求,介绍了1.0安全防护体系第二、三级部分内容,并从技术安全角度重点阐述了系统接口技术要求、安全性、可靠性、运行环境四个方面。其中,安全部分是重点,进一步细分为身份识别与认证、电子签名、电子加解密、访问控制、通讯安全、存储安全、资源控制、数据安全与备份恢复、安全缺陷防治、安全审计等10个方面。
△图(1)MLSP 2.0第3级安全要求与技术规范对比
在MLSP 2.0标准发布之前,电子招投标交易平台主要参考《交易平台技术规范》的内容构建安全体系,侧重于漏洞管理、系统加固、安全域划分等架构安全和被动防御能力的要求。MLSP 2.0标准结合《网络安全法》对持续监测、威胁情报、快速响应等要求,提出了更加具体的主动防御管控措施。因此,在MLSP 2.0标准发布后,越来越多的交易平台运营者开始了MLSP 2.0三级安全升级建设。图(1)给出了MLSP 2.0三级基础要求与《技术规范》安全要求的对应关系。 可以看出,除了“资源控制”安全要求外,《技术规范》的其余安全要求均被纳入MLSP 2.0三级基础要求技术部分的四个方面,而对于会话连接限制、资源监控等资源控制要求在MLSP 2.0标准中被降低。
本章将选取信息安全保护三级2.0中的技术部分与《技术规范》进行对比,并简单分析其中增加或加强的重要安全控制点。
1. 边境保护
信息安全防护2.0三级基本要求加强了内外网访问权限管控,首先检查或限制外部未经授权的设备连接内网的行为,其次检查或限制内部用户未经授权连接外网的行为。交易平台可以利用VPN、堡垒机设备,通过配置账号、IP、端口访问等审计策略,管控外部和内部设备对内外网的安全访问。
2. 身份认证
《技术规范》主要强调使用CA证书对交易主体进行身份识别和认证,并要求交易主体承担相应的法律责任。信息安全保护2.0三级的基本要求增强了身份认证的方式,要求使用密码、密码技术、生物识别技术等两种或两种以上组合认证技术对用户进行身份认证,且其中至少一种认证技术应采用密码技术实现。CA是一种密码技术,主要用于招标文件的加解密和签名盖章软件上线部署实施 外包公司承担什么责任,也可与短信密码动态口令技术结合使用,在用户注册、登录验证、修改密码等其他关键业务环节实现用户身份认证。
3.访问控制
《技术规范》对访问控制的要求主要体现在用户账户、功能权限和数据权限的控制上。除了《技术规范》的要求外,信息安全保护2.0三级还提出基于应用协议、应用内容实现访问控制,以及对重要主体和客体采取强制访问控制机制。
传统的安全准入管控主要在安全防护区域边界设置防火墙、路由器、交换机等网络安全设备,严格控制流经的数据访问。随着网络安全形势日趋严峻,交易平台还需要部署专门针对Web应用攻击的防护产品,如WAF。WAF分为硬件、软件、云端等不同形式,其主要功能是对应用层的HTTP/HTTPS协议和页面的输入验证进行管控,从而在安全区域最前沿提供安全边界防护。
强制访问控制机制可以防止木马攻击,其核心是对主体和客体进行标记,根据标记的安全等级来决定主体是否可以访问客体。安全标记是强制属性,由安全管理员或操作系统按照规定的规则确定,不能由用户或用户的程序修改。如果系统认为具有某种安全属性的用户不适合访问某个文件,那么任何人都不能赋予该用户访问该文件的权限。强制访问控制比自主访问控制具有更高的安全性,可以有效防止木马,还可以防止用户在无意或不负责任的操作时泄露机密信息,适用于特殊或安全性要求较高的系统。在整个招标过程中,有一些重要的敏感信息容易泄露,影响交易的公平公正,例如投标人信息、开标名单信息、评标委员会名单、评标过程相关信息等,可以对后台运维权限采用强制访问控制机制,保护这些敏感信息不被泄露。
4.入侵防御和恶意代码防御
加强对网络攻击的主动防御是信息安全防护2.0的重点内容。相比《技术规范》中“不应存在可能引起安全缺陷的语句和命令;应能识别并阻断非法访问”的要求,三级要求在安全域边界、安全计算环境等方面提出了更为全面的主动防御要求:
4.1 主动防范外部和内部网络攻击,对攻击进行分析和报警。交易平台可在网络和应用层面部署IPS设备、防DDOS设备,对那些明确认定为攻击的行为和可能对网络和数据造成危害的恶意行为进行主动防御;安装网络流量分析系统,对DDoS流量、网络滥用和误用、蠕虫爆发、P2P流量等异常流量进行分析和检测,并按日对比连接数、累计流量、数据库访问连接数和流量,对超过报警阈值的流量进行报警;安装数据泄露防护系统,通过身份认证和加密控制、日志统计等方式对内部文件进行管控,尽量减少因内部攻击而导致的信息泄露事件。
4.2 最小化安装,对操作系统、网络设备、安全设备等配置最小权限。交易平台是用户实时在线交互的互联网平台,其暴露于互联网的程度应尽可能降低。例如,平台生产系统、测试系统、培训系统访问地址等运维访问地址均应设置为内网访问。另外,可根据最小使用权限原则,尽量减少主机间的访问规则数量。
4.3 及时修复漏洞,防范入侵和病毒行为。通过部署漏洞管理平台,实时同步最新漏洞信息和内网主机扫描结果信息,统一关联、展示和告警资源漏洞信息,可以实现漏洞修复。通过建设统一的网络防病毒服务器,对计算域内的服务器设置统一的防病毒策略,定期更新防病毒代码,实时检测和查杀恶意代码,可以实现入侵和病毒的防范。通过安装防篡改系统或在应用程序中添加防御安全模块,可以实时检测网页中的安全风险,对网页木马、网页篡改、信息泄露等网络攻击进行主动防御。
5. 数据保密性和完整性
相较于《技术规范》中“应采用加密或其他保护措施确保身份信息存储的保密性”的规定,信息保护方案2.0的三级强化了数据存储过程中确保保密性和完整性的要求。除身份信息外,其他重要信息如重要业务数据、重要个人信息等也应确保保密性和完整性。前文提到的交易过程中的重要敏感信息,也可以采用加密存储的方式,加强数据保密性。同时,招标项目的招标文件、评标报告、后台操作日志等信息是具有法律效力的重要电子证据,为确保其完整性,防止被篡改,可以采用哈希计算方法进行完整性验证。
6.数据备份与恢复
信息安全保护2.0三级的基本要求中指出,重要数据应进行异地实时备份,这一要求比《技术规范》中“关键数据自动定时本地备份与恢复”的要求更为严格。本地定时备份主要指基于磁带库和本地服务器的数据级备份。异地实时备份是对本地定时备份的补充,主要针对生产环境机房搬迁、重大事故、人为破坏、重大灾难等突发事件导致的数据损坏,确保系统数据和应用程序能在短时间内恢复。
异地实时备份可分为数据级备份和应用级备份。通过建立异地数据系统,实时同步、复制本地关键应用数据,实现数据级容灾备份。有条件的还可以建立一整套相当于本地生产系统的备份应用系统,实现应用级容灾备份。当主机房出现问题时,启用异地系统快速接管业务运行。对于交易平台而言,异地应用级容灾可以最大程度保障平台用户的实时交易,避免因服务长期中断带来的安全和法律风险。
7. 可信验证
《网络安全法》出台时,该法第十六条就提到“推广安全可信的网络产品和服务”,随后发布的《国家网络空间安全战略》也重申“加快安全可信产品的推广应用”。此前,可信产品多用于安全等级四级以上的重要信息系统。安全等级保护2.0标准发布后,第二、三级“安全通信网络”、“安全区域边界”和“安全计算环境”控制项中也加入了可信验证的要求。
可信验证的关键支撑技术是可信计算,采用公钥密码身份识别、对称密码加密存储、智能控制与安全执行双重架构、环境免疫防病毒原理、对用户透明的数字定义可信策略,在进行计算的同时提供安全保护,整个计算过程可测可控,不受干扰。
△图(2)云计算可信安全架构
图(2)为部署可信产品的云计算安全架构图。对于交易平台而言,无需改变原有的应用系统,只需在原有的系统架构上进行设备升级,使新旧设备合二为一,构建可信免疫主动防御安全防护体系,实现高安全级别的结构化防护。
8.安全管理中心
安全管理中心是等级保护方案2.0新增的重要管控项,是统一管理等级保护对象的安全策略、安全通信网络、安全区域边界和安全计算环境的安全机制的系统平台。三级要求提出安全管理中心应实现系统管理、安全管理和审计管理三个方面的集中管控。系统管理主要实现对系统资源和运行的配置与控制;审计管理主要实现对审计记录的分析;安全管理主要实现对系统安全策略的配置。
△图(3)安全管理中心模型
图(3)为《GB/T 36958-2018信息安全技术网络安全等级保护安全管理中心技术要求》中安全管理中心的模型图,其中规划了具体的管理区域,集中管控IDS、堡垒主机、防火墙等安全设备和组件。这些设备在运行过程中会产生大量有用的审计数据,如数据包、会话数据、日志、告警等。通过对这些数据的收集、汇总和集中分析,可以实现全面、精准、细粒度的整体网络安全态势感知,从而提高平台的主动防御能力。
目前的科技水平和人工智能尚处于早期阶段,如何从多个信息源收集数据,进行有效的关联和组合,提高数据的有效性和准确性,需要运营组织进行持续的研究和投入。
安全防护体系2.0三级管理部分由安全管理制度、安全管理机构、安全管理人员三大要素构成,同时对级保对象建设、运行维护中的重要活动提出了管控要求。
1.安全管理体系
交易平台网络安全管理体系包括统一的安全策略、管理制度、操作规程和记录表等。安全策略是根据交易平台的安全目标制定的管理策略,涵盖组织的所有信息资源、设施、硬件、软件、信息和人员。通过对物理安全策略、网络安全策略、数据加密备份策略、病毒防护策略、系统安全策略、身份认证授权策略、密码管理策略、灾难恢复策略等的设计,形成系统的安全策略,确保组织运作的连续性、信息的完整性和保密性。同时,根据交易平台的整体安全策略和业务应用需求,可以制定安全管理规程和制度,如平台物理环境、网络、系统、应用、数据等各层级的安全管理规程、第三方访问控制及相关操作规程、资产设备管理制度、灾难恢复管理制度、安全教育管理制度、平台安全风险管理制度、安全监控管理制度,还可以制定专项网络安全事件应急预案,重点防御网络攻击。
2.安全管理组织机构
按照信息安全保护2.0三级管理的基本要求,建立或明确指导和管理网络安全工作的牵头机构和职能部门。根据《网络安全法》相关制度设计,国有企事业单位网络安全管理职能部门通常设置在信息管理部门。《电子招标投标办法》制度明确了运营机构的组织概念,将交易平台的安全管理责任赋予运营机构。从近年来国有企业交易平台的运营情况来看,运营机构通常设置在与信息管理部门平行的采购管理部门或采购管理部门下设的独立运营公司。在理清以上两个制度后,运营机构自身在做好交易平台网络安全管理工作的同时,应加强与信息管理部门的合作与沟通,共同应对网络安全工作中遇到的问题。
建立岗位和人员安全责任制,将平台安全责任分解到每个员工岗位职责,重点明确系统管理员、审计管理员、安全管理员三类与网络安全相关的岗位职责和任务。其中,安全管理员应为专职人员,不得兼职。通过在员工绩效考核中加入安全KPI指标,落实安全管理责任制。
3.安全管理人员
平台安全是运营机构全体成员的责任,运营机构需要定期组织全体人员学习国家安全法律法规、企事业单位安全管理制度、安全基础知识,强化安全责任意识,提高整体安全工作能力。核心安全管理人员最好具备相关专业资格(如CISP或CISSP认证)和技术技能,还必须与运营机构签订安全承诺和信息保密协议。
如果运营组织将部分职能外包,外包人员可能需要到现场办公或远程访问公司内部系统,这就需要对外包人员的访问权限进行严格的管理和控制,并做好书面记录和归档,最关键的是落实外包人员相应的安全责任。
4.安全管理建设
此前,多数交易平台主要参照《电子招投标系统测试技术规范》建设。随着MLSP2.0新政的出台,今年部分交易平台也开始进行安全升级,以达到MLSP2.0的第三级要求。安全工作本着“同步规划、同步组织实施、同步运行调试”三同步原则,总体系统安全设计在规划阶段可参考《GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求》;在实施阶段,应确保软件开发过程注重代码编写安全规范和安全测试,平台上线前需对可能存在的恶意代码进行检测,整个实施过程需由第三方工程监理把控;在试运行阶段,进行分级、安全等级评估及备案工作,每年需进行一次MLSP三级评估。
《技术规范》发布以来的几年中,国内一些交易软件厂商逐渐成长和发展,运营机构将交易平台委托给外部专业供应商建设的情况较为普遍。在委托建设中,运营机构应注意在合同中明确双方的安全责任边界,并建立有效的定期审核机制,对供应商服务的安全性进行评估,及时发现潜在风险,加强信息安全管控。
5.安全运维管理
安全运维首先要求运营机构加强对网页木马、网页篡改、病毒等网络安全攻击的主动防御,如定期更新升级反恶意代码库;定期进行安全评估,发现并及时有效处理各类漏洞;指定专人做日常巡检,分析统计各类日志、监控、报警数据,及时发现可疑行为。其次,运营机构应加强对易变运维工作的管控,如各类配置变更操作必须经过批准后才能更改,配置信息变更必须与配置信息库同步更新维护,操作日志必须留存,不得更改等。对于安全事件的处理,运营机构也应形成一套处理流程和信息上报机制,对不同级别、不同类型的安全事件有相应的应急预案作为保障,并定期组织应急演练,以检验应急预案的实用性、可用性和运维团队的协同响应水平与实战能力。
运营组织将运维工作外包的,所选用的外包运维服务供应商应具备安全运维的技术和管理能力,明确双方在整个服务供应链中需履行的网络安全相关义务,并对外包运维服务进行定期监督、评审和审计。
等级保护2.0新政下的网络信息安全管理是加强交易平台安全管理不可或缺的重要内容。随着交易平台建设的逐步深入,云计算、大数据、移动互联网等各类新技术场景也随之拓展应用。如何在日益成熟的新技术环境下落实等级保护,也是运营机构下一步需要深入研究的内容。
参考:
[1]《中华人民共和国网络安全法》,中华人民共和国主席令(第53号),2016年,第11条。
[2]信息安全等级保护测评中心,GB/T 22239-2019信息安全技术网络安全等级保护基本要求[M].中国标准出版社,2019。
[3]信息安全等级保护测评中心,GB/T 28448-2019信息安全技术网络安全等级保护评估要求[M].中国标准出版社,2019.
[4]夏冰.网络安全法与网络层级保护[M].电子工业出版社,2017。
[5]杜嘉伟.网络安全态势感知:提取、理解与预测,[M].机械工业出版社,2018.
[6]许成良.电子招投标系统安全风险分析及对策[J].招标与采购管理,2017.10:55-59。
[7] 闫翔.基于安全等级保护2_0的高校一卡通应用系统安全解决方案设计[J].电子技术与软件工程,2019.1:192-195.
金东(1982-),第一作者,男,硕士,高级工程师,主要研究方向:检测与认证、质量管理。单位:中国合格评定国家认可中心。
戴正宇(1987-),第二作者,男,硕士,工程师,主要研究方向:采购供应链、招投标管理、电子招投标。单位:中国石油天然气集团公司物资设备部。
刘嘉英(1983-),通讯作者,女,硕士,高级工程师,主要研究方向:供应链信息化、电子商务。单位:浙江宏程计算机系统有限公司。
结尾
