基于等保2.0基本要求的交易平臺(tái)安全體系建設(shè)

隨著網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0系列標(biāo)準(zhǔn)的出臺(tái)，推動(dòng)了電子招標(biāo)投標(biāo)交易平臺(tái)的健康發(fā)展。本文通過分析網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0系列標(biāo)準(zhǔn)與《電子招標(biāo)投標(biāo)辦法》及其配套文件《電子招標(biāo)投標(biāo)系統(tǒng)技術(shù)規(guī)范 第1部分：交易平臺(tái)技術(shù)規(guī)范》安全要求的對(duì)比，提出了應(yīng)該新增并加強(qiáng)的部分重要安全控制點(diǎn)和管理基本要求，為電子招標(biāo)投標(biāo)交易平臺(tái)的安全建設(shè)和運(yùn)營(yíng)提供了新的參考標(biāo)準(zhǔn)。

在《電子招標(biāo)投標(biāo)辦法》及其配套文件《電子招標(biāo)投標(biāo)系統(tǒng)技術(shù)規(guī)范 第1部分：交易平臺(tái)技術(shù)規(guī)范》（簡(jiǎn)稱《技術(shù)規(guī)范》）這一政策的推動(dòng)下，電子招標(biāo)采購(gòu)快速發(fā)展，各政府部門、國(guó)有企業(yè)及代理機(jī)構(gòu)建設(shè)運(yùn)營(yíng)了大量的電子招標(biāo)投標(biāo)交易平臺(tái)，同時(shí)市場(chǎng)上還存在不少在建、待建的電子招標(biāo)投標(biāo)交易平臺(tái)。

2017年，國(guó)家發(fā)展改革委等六部委共同發(fā)布的《“互聯(lián)網(wǎng)+”招標(biāo)采購(gòu)行動(dòng)方案（2017-2019年）》，要求推進(jìn)“依法必須招標(biāo)項(xiàng)目”的全流程電子化招標(biāo)采購(gòu)。同時(shí)，強(qiáng)調(diào)電子招標(biāo)投標(biāo)交易平臺(tái)運(yùn)營(yíng)機(jī)構(gòu)通過有關(guān)管理措施和技術(shù)手段，加強(qiáng)風(fēng)險(xiǎn)管理和防范，及時(shí)識(shí)別和評(píng)估平臺(tái)安全風(fēng)險(xiǎn)，確保平臺(tái)運(yùn)營(yíng)安全和數(shù)據(jù)安全。同年，《網(wǎng)絡(luò)安全法》正式實(shí)施，該法律規(guī)定了網(wǎng)絡(luò)運(yùn)營(yíng)者等主體的法律義務(wù)和責(zé)任，并明確規(guī)定我國(guó)實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。2019年5月，網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0系列標(biāo)準(zhǔn)（簡(jiǎn)稱“等保2.0”）正式發(fā)布，并將于12月1日全面實(shí)施。等保2.0新政的出臺(tái)，為電子招標(biāo)投標(biāo)交易平臺(tái)的安全體系提供了新的參考標(biāo)準(zhǔn)，對(duì)規(guī)范電子招投標(biāo)交易平臺(tái)的安全建設(shè)和運(yùn)營(yíng)，推動(dòng)其健康發(fā)展起到了重要作用。

一、等保2.0三級(jí)與《技術(shù)規(guī)范》安全要求的對(duì)比

等保2.0標(biāo)準(zhǔn)根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，信息系統(tǒng)遭到破壞的危害程度等因素劃分為一級(jí)至五級(jí)，等級(jí)逐級(jí)增高。每一個(gè)等級(jí)根據(jù)業(yè)務(wù)目標(biāo)、使用技術(shù)、應(yīng)用場(chǎng)景等的不同，分為安全通用要求和針對(duì)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)的安全擴(kuò)展要求。每一個(gè)要求由技術(shù)和管理兩部分組成，技術(shù)部分包括安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心五個(gè)方面；管理部分包括安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理五個(gè)方面。

《技術(shù)規(guī)范》根據(jù)平臺(tái)重要業(yè)務(wù)信息安全保密的要求參考了等保1.0中二級(jí)和三級(jí)的部分內(nèi)容，側(cè)重從技術(shù)安全的角度對(duì)系統(tǒng)的接口技術(shù)要求、安全性、可靠性以及運(yùn)行環(huán)境四個(gè)部分進(jìn)行了闡述。其中安全性的部分作為重點(diǎn)，又具體細(xì)分為身份標(biāo)識(shí)與鑒別、電子簽名、電子加密和解密、訪問控制、通信安全、存儲(chǔ)安全、資源控制、數(shù)據(jù)安全及備份恢復(fù)、安全缺陷防范及安全審計(jì)10個(gè)方面。

電子招標(biāo)投標(biāo)交易平臺(tái)主要依據(jù)《技術(shù)規(guī)范》的內(nèi)容進(jìn)行安全體系建設(shè)，重點(diǎn)關(guān)注架構(gòu)安全以及被動(dòng)防御能力的要求，如漏洞管理、系統(tǒng)加固、安全域的劃分等。等保2.0標(biāo)準(zhǔn)根據(jù)《網(wǎng)絡(luò)安全法》中對(duì)于持續(xù)監(jiān)測(cè)、威脅情報(bào)、快速響應(yīng)類的要求，提出了更加具體的主動(dòng)防御的管控措施。因此，在等保2.0標(biāo)準(zhǔn)出臺(tái)后，也有越來越多的交易平臺(tái)開啟了等保2.0三級(jí)的安全升級(jí)建設(shè)。圖1給出了等保2.0三級(jí)基本要求與《技術(shù)規(guī)范》安全要求的對(duì)應(yīng)關(guān)系，可以看到除了“資源控制”安全要求以外，《技術(shù)規(guī)范》的所有其他安全要求都包含進(jìn)了等保2.0三級(jí)基本要求技術(shù)部分的四個(gè)方面，而對(duì)會(huì)話連接數(shù)限制、資源監(jiān)測(cè)等方面的資源控制則未做出特別規(guī)定。

二、等保2.0三級(jí)的技術(shù)加強(qiáng)要求

與《技術(shù)規(guī)范》相比，等保2.0三級(jí)新增并加強(qiáng)了部分重要的安全控制點(diǎn)，具體包含以下幾個(gè)方面：

（一）邊界防護(hù)

增強(qiáng)了內(nèi)外網(wǎng)訪問的權(quán)限控制，不僅對(duì)外部非授權(quán)設(shè)備聯(lián)到內(nèi)網(wǎng)行為進(jìn)行檢查或限制，對(duì)內(nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)也要進(jìn)行檢查或限制。交易平臺(tái)可采用VPN、堡壘機(jī)設(shè)備通過配置賬號(hào)、IP、端口訪問等審計(jì)策略來控制外部設(shè)備，平臺(tái)內(nèi)部設(shè)備也可通過上述安全措施訪問內(nèi)外網(wǎng)。

（二）身份鑒別

《技術(shù)規(guī)范》中主要強(qiáng)調(diào)使用CA證書對(duì)交易主體以及需要交易主體承擔(dān)相應(yīng)法律責(zé)任的在線交易行為進(jìn)行身份標(biāo)識(shí)與鑒別。等保2.0三級(jí)基本要求增強(qiáng)了身份鑒別的方式，要求采取口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)實(shí)現(xiàn)。CA證書就屬于密碼技術(shù)，主要作用于對(duì)招投標(biāo)文件的加解密和簽名蓋章等。因此，為滿足等保2.0的要求，可將CA技術(shù)與短信密碼動(dòng)態(tài)口令或其他鑒別技術(shù)組合使用，實(shí)現(xiàn)用戶注冊(cè)、登錄驗(yàn)證、密碼修改等關(guān)鍵業(yè)務(wù)環(huán)節(jié)的用戶身份鑒別。

（三）訪問控制

《技術(shù)規(guī)范》對(duì)訪問控制的要求主要體現(xiàn)在對(duì)用戶的賬號(hào)、功能權(quán)限及數(shù)據(jù)權(quán)限的控制上。等保2.0三級(jí)在《技術(shù)規(guī)范》要求之上還提出了要實(shí)現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制，以及對(duì)重要的主體、客體采用強(qiáng)制訪問控制機(jī)制。

傳統(tǒng)的安全訪問控制主要是在安全防護(hù)區(qū)域邊界設(shè)置防火墻、路由器、交換機(jī)等網(wǎng)絡(luò)安全設(shè)備，對(duì)流經(jīng)的數(shù)據(jù)進(jìn)行嚴(yán)格的訪問控制。隨著網(wǎng)絡(luò)安全態(tài)勢(shì)的日益嚴(yán)峻，交易平臺(tái)還需要部署專門應(yīng)對(duì)Web應(yīng)用攻擊的防護(hù)產(chǎn)品，如采用Web應(yīng)用防護(hù)系統(tǒng)（WAF），對(duì)應(yīng)用層的HTTP/HTTPS協(xié)議以及頁(yè)面的輸入驗(yàn)證進(jìn)行控制，提供安全區(qū)域最前端的安全邊界防護(hù)。

強(qiáng)制訪問控制機(jī)制可以防范木馬攻擊，它的核心是為主體、客體作標(biāo)記，根據(jù)標(biāo)記的安全級(jí)別來決定一個(gè)主體是否可以訪問某個(gè)客體。安全標(biāo)記是強(qiáng)制性的屬性，因此強(qiáng)制訪問控制比自主訪問控制具有更高的安全性，能夠有效地防范木馬，也可以防止在用戶無(wú)意或不負(fù)責(zé)任的操作時(shí)泄露機(jī)密信息。在招標(biāo)全流程執(zhí)行過程中，存在一些易發(fā)生泄漏影響交易公平公正的重要敏感信息，如投標(biāo)人信息、開標(biāo)一覽表信息、評(píng)標(biāo)委員會(huì)名單、評(píng)標(biāo)過程相關(guān)信息等，可對(duì)后臺(tái)運(yùn)維權(quán)限采用強(qiáng)制訪問控制機(jī)制，以保護(hù)這些敏感信息不被泄露。

（四）入侵防范和惡意代碼防范

等保2.0把加強(qiáng)對(duì)網(wǎng)絡(luò)攻擊的主動(dòng)防御作為重點(diǎn)規(guī)范的內(nèi)容。在安全域邊界和安全計(jì)算環(huán)境方面提出了更為全面的主動(dòng)防御要求：

1. 交易平臺(tái)應(yīng)主動(dòng)防范來自外部和內(nèi)部的網(wǎng)絡(luò)攻擊行為，對(duì)攻擊行為進(jìn)行分析及報(bào)警?？稍诰W(wǎng)絡(luò)和應(yīng)用層面部署IPS設(shè)備、防DDoS設(shè)備對(duì)明確判斷為攻擊的行為和危害網(wǎng)絡(luò)、數(shù)據(jù)的惡意行為進(jìn)行主動(dòng)防御；安裝網(wǎng)絡(luò)流量分析系統(tǒng)，對(duì)DDoS流量、網(wǎng)絡(luò)濫用誤用、蠕蟲爆發(fā)、P2P流量等異常流量進(jìn)行分析檢測(cè)，同時(shí)對(duì)連接數(shù)、累計(jì)流量數(shù)、數(shù)據(jù)庫(kù)訪問連接及流量進(jìn)行每日比較，對(duì)超過告警閾值的流量進(jìn)行告警；安裝數(shù)據(jù)泄露防護(hù)系統(tǒng)，通過身份認(rèn)證和加密控制以及日志統(tǒng)計(jì)對(duì)內(nèi)部文件進(jìn)行控制，最大限度地避免因內(nèi)部攻擊導(dǎo)致的信息泄露事件。

2.對(duì)操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進(jìn)行最小化安裝和最小權(quán)限配置。交易平臺(tái)是用戶實(shí)時(shí)在線交互的互聯(lián)網(wǎng)平臺(tái)，應(yīng)盡量減少其在互聯(lián)網(wǎng)中的暴露面，如將平臺(tái)生產(chǎn)系統(tǒng)的運(yùn)維訪問地址、測(cè)試系統(tǒng)、培訓(xùn)系統(tǒng)訪問地址都設(shè)置為內(nèi)網(wǎng)訪問；還可按照最小使用權(quán)限的原則，最小化設(shè)置主機(jī)間的訪問規(guī)則數(shù)量。

3.及時(shí)修復(fù)漏洞和防范入侵及病毒行為。漏洞的修復(fù)可通過部署漏洞管理平臺(tái)，實(shí)時(shí)同步最新漏洞信息、內(nèi)網(wǎng)主機(jī)掃描結(jié)果信息，對(duì)資源漏洞信息進(jìn)行統(tǒng)一關(guān)聯(lián)、展現(xiàn)和告警。搭建統(tǒng)一的網(wǎng)絡(luò)防毒服務(wù)器防范病毒及入侵行為，對(duì)計(jì)算域中的服務(wù)器設(shè)置統(tǒng)一的防毒策略，定期更新防病毒代碼實(shí)時(shí)檢測(cè)和查殺惡意代碼。對(duì)網(wǎng)頁(yè)掛馬、網(wǎng)頁(yè)篡改、信息泄露等網(wǎng)絡(luò)攻擊還可通過安裝防篡改系統(tǒng)或者在應(yīng)用程序中添加防御安全模塊等方式進(jìn)行主動(dòng)防御，即時(shí)檢測(cè)出網(wǎng)頁(yè)中存在的安全風(fēng)險(xiǎn)。

（五）數(shù)據(jù)保密性與完整性

《技術(shù)規(guī)范》在數(shù)據(jù)安全方面僅要求“應(yīng)采用加密或其他保護(hù)措施實(shí)現(xiàn)鑒別信息存儲(chǔ)的保密性”。等保2.0加強(qiáng)了保證數(shù)據(jù)存儲(chǔ)過程中的保密性和完整性的要求，除了鑒別信息以外，重要業(yè)務(wù)數(shù)據(jù)、重要個(gè)人信息等其他重要信息也應(yīng)保證保密性和完整性。前文提到的交易過程中的重要敏感信息，也可采取加密存儲(chǔ)的方式來增強(qiáng)數(shù)據(jù)保密性。同時(shí)，招標(biāo)項(xiàng)目的投標(biāo)文件、評(píng)標(biāo)報(bào)告、后臺(tái)操作日志等具有法律效力的電子證據(jù)，可用哈希計(jì)算方法來進(jìn)行完整性校驗(yàn)，以確保其完整性及不被篡改。

（六）數(shù)據(jù)備份恢復(fù)

等保2.0三級(jí)基本要求提出重要數(shù)據(jù)應(yīng)異地實(shí)時(shí)備份，相比《技術(shù)規(guī)范》“關(guān)鍵數(shù)據(jù)提供自動(dòng)定時(shí)本地備份與恢復(fù)”的要求更為嚴(yán)格。本地定時(shí)備份主要指基于磁帶庫(kù)和本地服務(wù)器的數(shù)據(jù)級(jí)備份。異地實(shí)時(shí)備份主要是針對(duì)生產(chǎn)環(huán)境機(jī)房搬遷、發(fā)生重大事故、人為破壞以及重大災(zāi)害等意外事件所造成的數(shù)據(jù)損毀，保證系統(tǒng)數(shù)據(jù)、應(yīng)用能在短時(shí)間內(nèi)恢復(fù)使用。

異地實(shí)時(shí)備份可分為數(shù)據(jù)級(jí)備份和應(yīng)用級(jí)備份。通過建立異地?cái)?shù)據(jù)系統(tǒng)將本地關(guān)鍵應(yīng)用數(shù)據(jù)實(shí)時(shí)同步復(fù)制，實(shí)現(xiàn)數(shù)據(jù)級(jí)容災(zāi)備份。如有條件，也可建立一套完整的與本地生產(chǎn)系統(tǒng)相當(dāng)?shù)膫浞輵?yīng)用系統(tǒng)，實(shí)現(xiàn)應(yīng)用級(jí)容災(zāi)備份。當(dāng)主機(jī)房出現(xiàn)問題，遠(yuǎn)程系統(tǒng)被啟用，迅速接管業(yè)務(wù)運(yùn)行。對(duì)于交易平臺(tái)而言，異地應(yīng)用級(jí)容災(zāi)能夠最大程度保障平臺(tái)用戶的實(shí)時(shí)交易，避免因長(zhǎng)時(shí)間中斷服務(wù)帶來的安全風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)。

（七）可信驗(yàn)證

《網(wǎng)絡(luò)安全法》第十六條提到“推廣安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)”，《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》也強(qiáng)調(diào)“加快安全可信產(chǎn)品推廣引用”。之前，可信產(chǎn)品多使用在等保四級(jí)以上的重要信息系統(tǒng)中。等保2.0標(biāo)準(zhǔn)出臺(tái)后，對(duì)二級(jí)、三級(jí)的“安全通信網(wǎng)絡(luò)”“安全區(qū)域邊界”和“安全計(jì)算環(huán)境”控制項(xiàng)中也新增了可信驗(yàn)證的要求。

可信驗(yàn)證的關(guān)鍵支撐技術(shù)是可信計(jì)算。它采用了公鑰密碼身份識(shí)別、對(duì)稱密碼加密存儲(chǔ)、智能控制與安全執(zhí)行雙重體系結(jié)構(gòu)、環(huán)境免疫抗病毒原理、對(duì)用戶透明的數(shù)字定義可信策略等技術(shù)方法，在計(jì)算運(yùn)算的同時(shí)進(jìn)行安全防護(hù)，計(jì)算全程可測(cè)可控，不被干擾。

圖2是部署了可信產(chǎn)品的云計(jì)算安全架構(gòu)圖。對(duì)于交易平臺(tái)來說，不用改動(dòng)原有應(yīng)用系統(tǒng)，只需在原系統(tǒng)架構(gòu)上對(duì)設(shè)備進(jìn)行升級(jí)，就可構(gòu)建可信免疫的主動(dòng)防御安全防護(hù)體系，實(shí)現(xiàn)高安全等級(jí)結(jié)構(gòu)化保護(hù)。

（八）安全管理中心

安全管理中心是等保2.0新增的一個(gè)重要控制項(xiàng)，對(duì)等級(jí)保護(hù)對(duì)象的安全策略，安全通信網(wǎng)絡(luò)、安全區(qū)域邊界及安全計(jì)算環(huán)境的安全機(jī)制實(shí)施統(tǒng)一管理的系統(tǒng)平臺(tái)。三級(jí)要求提出安全管理中心應(yīng)在系統(tǒng)管理、安全管理、審計(jì)管理三個(gè)方面實(shí)現(xiàn)集中管控。系統(tǒng)管理主要實(shí)現(xiàn)對(duì)系統(tǒng)資源和運(yùn)行進(jìn)行配置與管控；審計(jì)管理主要實(shí)現(xiàn)對(duì)審計(jì)記錄進(jìn)行分析；安全管理主要實(shí)現(xiàn)對(duì)系統(tǒng)的安全策略進(jìn)行配置。

圖3給出《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全管理中心技術(shù)要求》GB/T 36958-2018中的安全管理中心模型圖，圖中規(guī)劃了特定的管理區(qū)域?qū)DS、堡壘機(jī)、防火墻等安全設(shè)備和組件進(jìn)行集中管控。這些設(shè)備在運(yùn)行過程中產(chǎn)生了大量有用的審計(jì)數(shù)據(jù)，如包數(shù)據(jù)、會(huì)話數(shù)據(jù)、日志、告警等。通過對(duì)這些數(shù)據(jù)進(jìn)行收集匯 總和集中分析，實(shí)現(xiàn)全面、準(zhǔn)確、細(xì)粒度的網(wǎng)絡(luò)整體安全態(tài)勢(shì)感知，進(jìn)而提升平臺(tái)主動(dòng)防御能力。

三、等保2.0三級(jí)管理基本要求

等保2.0三級(jí)的管理部分由安全管理制度、安全管理機(jī)構(gòu)和安全管理人員三大要素組成，同時(shí)對(duì)等級(jí)保護(hù)對(duì)象建設(shè)和運(yùn)維過程中的重要活動(dòng)提出了管控要求。

（一）安全管理制度

交易平臺(tái)的網(wǎng)絡(luò)安全管理制度體系包括統(tǒng)一的安全策略、管理制度、操作規(guī)程和記錄表單四個(gè)層次。首先，安全策略是根據(jù)交易平臺(tái)的安全目標(biāo)而制定的總體策略，范圍包括組織、設(shè)施、硬件、軟件、信息、人員等所有資源，通過設(shè)計(jì)物理安全策略、網(wǎng)絡(luò)安全策略、數(shù)據(jù)加密及備份策略、病毒防護(hù)策略、系統(tǒng)安全策略、身份認(rèn)證及授權(quán)策略、口令管理策略、災(zāi)難恢復(fù)策略等，形成體系化的安全策略確保組織運(yùn)作的連續(xù)性、信息完整性和機(jī)密性。其次，根據(jù)交易平臺(tái)的總體安全策略和業(yè)務(wù)應(yīng)用需求，制定安全管理制度，如資產(chǎn)和設(shè)備管理制度，災(zāi)備管理制度，安全教育管理制度，平臺(tái)安全風(fēng)險(xiǎn)管理制度，安全監(jiān)控管理制度，還可針對(duì)重點(diǎn)防御的網(wǎng)絡(luò)攻擊制定專門的網(wǎng)絡(luò)安全事件應(yīng)急處置預(yù)案等。第三，制定符合制度要求的操作規(guī)程，如平臺(tái)物理環(huán)境、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)等各層面的安全管理規(guī)程，第三方訪問控制和相關(guān)的操作規(guī)程等。第四，在制度和操作規(guī)程執(zhí)行過程中，設(shè)計(jì)各類表單用于過程管理，同時(shí)也起到記錄備案作用。

（二）安全管理機(jī)構(gòu)

設(shè)立或明確指導(dǎo)和管理網(wǎng)絡(luò)安全工作的領(lǐng)導(dǎo)機(jī)構(gòu)和職能部門。按照《網(wǎng)絡(luò)安全法》相關(guān)制度的設(shè)計(jì)，國(guó)有企事業(yè)單位的網(wǎng)絡(luò)安全管理工作的職能部門通常設(shè)置在信息化管理部門?！峨娮诱袠?biāo) 投標(biāo)辦法》的制度體系，則明確了運(yùn)營(yíng)機(jī)構(gòu)的組織概念，并且對(duì)運(yùn)營(yíng)機(jī)構(gòu)賦予了交易平臺(tái)安全管理的職責(zé)。從近些年國(guó)有企業(yè)交易平臺(tái)的運(yùn)營(yíng)情況來看，運(yùn)營(yíng)機(jī)構(gòu)通常設(shè)置在與信息化管理部門平行的采購(gòu)管理部門或者是采購(gòu)管理部門下屬的獨(dú)立運(yùn)營(yíng)公司。對(duì)以上兩個(gè)制度體系進(jìn)行梳理，進(jìn)一步明確安全管理的責(zé)任主體，運(yùn)營(yíng)機(jī)構(gòu)應(yīng)加強(qiáng)與信息化管理部門之間的合作與溝通，共同協(xié)作處理好網(wǎng)絡(luò)安全工作中所遇到的問題。

建立崗位和人員安全責(zé)任制度，將平臺(tái)安全責(zé)任分解到每位員工自身崗位職責(zé)中，重點(diǎn)明確與網(wǎng)絡(luò)安全相關(guān)的系統(tǒng)管理員、審計(jì)管理員和安全管理員三類崗位的職責(zé)與任務(wù)，其中安全管理員應(yīng)是專職人員，不可兼任；通過在員工績(jī)效考核中增加安全KPI指標(biāo)，落實(shí)安全管理責(zé)任制。

（三）安全管理人員

平臺(tái)安全是運(yùn)營(yíng)機(jī)構(gòu)全體成員的責(zé)任。運(yùn)營(yíng)機(jī)構(gòu)需定期組織全員學(xué)習(xí)國(guó)家安全法律法規(guī)，企事業(yè)單位安全管理制度以及安全基礎(chǔ)知識(shí)，以強(qiáng)化安全責(zé)任意識(shí)，提升整體安全工作能力。核心的安全管理崗位人員宜具備網(wǎng)絡(luò)安全專業(yè)資格（如CISP或CISSP認(rèn)證）和技術(shù)技能，同時(shí)還需與運(yùn)營(yíng)機(jī)構(gòu)簽訂安全承諾責(zé)任書和信息保密協(xié)議。

運(yùn)營(yíng)機(jī)構(gòu)如對(duì)部分職能進(jìn)行外包，外包人員無(wú)論進(jìn)行駐場(chǎng)工作，還是遠(yuǎn)程訪問到企業(yè)的內(nèi)部系統(tǒng)，都需要對(duì)其訪問控制進(jìn)行嚴(yán)格的管控，做好書面記錄和備案，落實(shí)外包人員相應(yīng)的安全責(zé)任。

（四）安全建設(shè)管理

《網(wǎng)絡(luò)安全法》中明確提到了信息安全的建設(shè)要遵照等級(jí)保護(hù)標(biāo)準(zhǔn)來建設(shè)。等保2.0制度正式實(shí)施之后，符合三級(jí)定級(jí)標(biāo)準(zhǔn)的系統(tǒng)應(yīng)按照新的標(biāo)準(zhǔn)進(jìn)行建設(shè)，對(duì)于需進(jìn)行安全升級(jí)建設(shè)的交易平臺(tái)也應(yīng)遵照?qǐng)?zhí)行?；?于安全工作“同步規(guī)劃、同步組織實(shí)施、同步運(yùn)作投產(chǎn)”的三同步原則，在規(guī)劃階段可參考《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》GB/T 25070-2019進(jìn)行系統(tǒng)安全整體設(shè)計(jì)；在實(shí)施階段應(yīng)保證在軟件開發(fā)過程中注重代碼編寫安全規(guī)范，注重對(duì)安全性進(jìn)行測(cè)試，平臺(tái)上線前需對(duì)可能存在的惡意代碼進(jìn)行檢測(cè)，同時(shí)整個(gè)實(shí)施過程需通過第三方工程監(jiān)理來進(jìn)行控制；在試運(yùn)行階段開展定級(jí)、安全等級(jí)測(cè)評(píng)和備案工作，正式上線運(yùn)行之后還要每年開展測(cè)評(píng)工作。

《技術(shù)規(guī)范》促進(jìn)了一些國(guó)內(nèi)交易軟件廠商發(fā)展壯大。運(yùn)營(yíng)機(jī)構(gòu)通常委托外部專業(yè)供應(yīng)商建設(shè)交易平臺(tái)。在委托建設(shè)中，雙方應(yīng)在建設(shè)合同中明確安全責(zé)任邊界。運(yùn)營(yíng)商還應(yīng)建立有效的供應(yīng)商定期審查機(jī)制，對(duì)其服務(wù)安全性進(jìn)行評(píng)估，以便及時(shí)識(shí)別潛在風(fēng)險(xiǎn)，加強(qiáng)信息安全的管控。

（五）安全運(yùn)維管理

安全運(yùn)維是一個(gè)以業(yè)務(wù)安全為目的的安全保障體系?！缎畔踩夹g(shù) 信息系統(tǒng)安全運(yùn)維管理指南》GB/T 36626-2018比較全面地給出了安全運(yùn)維的策略、組織、規(guī)程、支撐系統(tǒng)等方面內(nèi)容。首先，從操作層面具體而言，運(yùn)營(yíng)機(jī)構(gòu)加強(qiáng)對(duì)網(wǎng)頁(yè)掛馬、網(wǎng)頁(yè)篡改、病毒等網(wǎng)絡(luò)安全攻擊事件的主動(dòng)防御，如定期對(duì)防惡意代碼庫(kù)進(jìn)行更新升級(jí)；定期開展安全測(cè)評(píng)，發(fā)現(xiàn)并及時(shí)有效地處理各類漏洞；指定專人做每日巡檢工作，分析和統(tǒng)計(jì)各類日志、監(jiān)測(cè)、報(bào)警數(shù)據(jù)，及時(shí)發(fā)現(xiàn)可疑行為。其次，運(yùn)營(yíng)機(jī)構(gòu)應(yīng)加強(qiáng)對(duì)變更性運(yùn)維工作的管控，如各種配置變更操作需經(jīng)審批后才可改變，配置信息變更需同步更新維護(hù)配置信息庫(kù)，操作日志需留存且不可更改。對(duì)于安全事件的處置，運(yùn)營(yíng)機(jī)構(gòu)也應(yīng)形成一套處理流程和信息上報(bào)機(jī)制，針對(duì)不同等級(jí)類型的安全事件要有相應(yīng)的應(yīng)急預(yù)案作為保障，定期組織應(yīng)急演練，以檢驗(yàn)應(yīng)急預(yù)案的實(shí)用性、可用性和運(yùn)維隊(duì)伍的協(xié)同反應(yīng)水平和實(shí)戰(zhàn)能力。

如運(yùn)營(yíng)機(jī)構(gòu)對(duì)運(yùn)維工作進(jìn)行外包，選擇的外包運(yùn)維服務(wù)商應(yīng)在技術(shù)和管理方面具備安全運(yùn)維的能力，還應(yīng)對(duì)雙方在整個(gè)服務(wù)供應(yīng)鏈中所需履行的網(wǎng)絡(luò)安全相關(guān)義務(wù)進(jìn)行明確，并應(yīng)定期對(duì)外包運(yùn)維服務(wù)進(jìn)行監(jiān)督、評(píng)審和審核。

等保2.0新政下的網(wǎng)絡(luò)信息安全管理，是加強(qiáng)交易平臺(tái)安全管理不可缺失的部分。隨著交易平臺(tái)逐步的深化建設(shè)，對(duì)于云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)等各類新技術(shù)場(chǎng)景也有相應(yīng)的拓展應(yīng)用，如何在日益成熟的新技術(shù)環(huán)境下實(shí)行等級(jí)保護(hù)，也是運(yùn)營(yíng)機(jī)構(gòu)下一步需要深入研究的內(nèi)容。

作者及作者單位：靳冬，中國(guó)合格評(píng)定國(guó)家認(rèn)可中心；戴征宇，中國(guó)石油天然氣集團(tuán)有限公司物資裝備部；劉佳穎，浙江鴻程計(jì)算機(jī)系統(tǒng)有限公司

來源：《招標(biāo)采購(gòu)管理》