• 注册
    • 查看作者
    • 基于等保2.0基本要求的交易平台安全体系建设

        摘要:

        随着网络安全等级保护制度2.0系列标准的出台,推动了电子招标投标交易平台的健康发展。本文通过分析网络安全等级保护制度2.0系列标准与《电子招标投标办法》及其配套文件《电子招标投标系统技术规范第1部分:交易平台技术规范》安全要求的对比,提出了应该新增并加强的部分重要安全控制点和管理基本要求,为电子招标投标交易平台的安全建设和运营提供了新的参考标准。

        在《电子招标投标办法》及其配套文件《电子招标投标系统技术规范第1部分:交易平台技术规范》(简称《技术规范》)这一政策的推动下,电子招标采购快速发展,各政府部门、国有企业及代理机构建设运营了大量的电子招标投标交易平台,同时市场上还存在不少在建、待建的电子招标投标交易平台。

        2017年,国家发展改革委等六部委共同发布的《“互联网+”招标采购行动方案(2017-2019年)》,要求推进“依法必须招标项目”的全流程电子化招标采购。同时,强调电子招标投标交易平台运营机构通过有关管理措施和技术手段,加强风险管理和防范,及时识别和评估平台安全风险,确保平台运营安全和数据安全。同年,《网络安全法》正式实施,该法律规定了网络运营者等主体的法律义务和责任,并明确规定我国实行网络安全等级保护制度。2019年5月,网络安全等级保护制度2.0系列标准(简称“等保2.0”)正式发布,并将于12月1日全面实施。等保2.0新政的出台,为电子招标投标交易平台的安全体系提供了新的参考标准,对规范电子招投标交易平台的安全建设和运营,推动其健康发展起到了重要作用。

        一、等保2.0三级与《技术规范》安全要求的对比

        等保2.0标准根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏的危害程度等因素划分为一级至五级,等级逐级增高。每一个等级根据业务目标、使用技术、应用场景等的不同,分为安全通用要求和针对云计算、移动互联、物联网和工业控制系统的安全扩展要求。每一个要求由技术和管理两部分组成,技术部分包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心五个方面;管理部分包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理五个方面。

        《技术规范》根据平台重要业务信息安全保密的要求参考了等保1.0中二级和三级的部分内容,侧重从技术安全的角度对系统的接口技术要求、安全性、可靠性以及运行环境四个部分进行了阐述。其中安全性的部分作为重点,又具体细分为身份标识与鉴别、电子签名、电子加密和解密、访问控制、通信安全、存储安全、资源控制、数据安全及备份恢复、安全缺陷防范及安全审计10个方面。

        电子招标投标交易平台主要依据《技术规范》的内容进行安全体系建设,重点关注架构安全以及被动防御能力的要求,如漏洞管理、系统加固、安全域的划分等。等保2.0标准根据《网络安全法》中对于持续监测、威胁情报、快速响应类的要求,提出了更加具体的主动防御的管控措施。因此,在等保2.0标准出台后,也有越来越多的交易平台开启了等保2.0三级的安全升级建设。图1给出了等保2.0三级基本要求与《技术规范》安全要求的对应关系,可以看到除了“资源控制”安全要求以外,《技术规范》的所有其他安全要求都包含进了等保2.0三级基本要求技术部分的四个方面,而对会话连接数限制、资源监测等方面的资源控制则未做出特别规定。

        二、等保2.0三级的技术加强要求

        与《技术规范》相比,等保2.0三级新增并加强了部分重要的安全控制点,具体包含以下几个方面:

        (一)边界防护

        增强了内外网访问的权限控制,不仅对外部非授权设备联到内网行为进行检查或限制,对内部用户非授权联到外部网络也要进行检查或限制。交易平台可采用VPN、堡垒机设备通过配置账号、IP、端口访问等审计策略来控制外部设备,平台内部设备也可通过上述安全措施访问内外网。

        (二)身份鉴别

        《技术规范》中主要强调使用CA证书对交易主体以及需要交易主体承担相应法律责任的在线交易行为进行身份标识与鉴别。等保2.0三级基本要求增强了身份鉴别的方式,要求采取口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术实现。CA证书就属于密码技术,主要作用于对招投标文件的加解密和签名盖章等。因此,为满足等保2.0的要求,可将CA技术与短信密码动态口令或其他鉴别技术组合使用,实现用户注册、登录验证、密码修改等关键业务环节的用户身份鉴别。

        (三)访问控制

        《技术规范》对访问控制的要求主要体现在对用户的账号、功能权限及数据权限的控制上。等保2.0三级在《技术规范》要求之上还提出了要实现基于应用协议和应用内容的访问控制,以及对重要的主体、客体采用强制访问控制机制。

        传统的安全访问控制主要是在安全防护区域边界设置防火墙、路由器、交换机等网络安全设备,对流经的数据进行严格的访问控制。随着网络安全态势的日益严峻,交易平台还需要部署专门应对Web应用攻击的防护产品,如采用Web应用防护系统(WAF),对应用层的HTTP/HTTPS协议以及页面的输入验证进行控制,提供安全区域最前端的安全边界防护。

        强制访问控制机制可以防范木马攻击,它的核心是为主体、客体作标记,根据标记的安全级别来决定一个主体是否可以访问某个客体。安全标记是强制性的属性,因此强制访问控制比自主访问控制具有更高的安全性,能够有效地防范木马,也可以防止在用户无意或不负责任的操作时泄露机密信息。在招标全流程执行过程中,存在一些易发生泄漏影响交易公平公正的重要敏感信息,如投标人信息、开标一览表信息、评标委员会名单、评标过程相关信息等,可对后台运维权限采用强制访问控制机制,以保护这些敏感信息不被泄露。

        (四)入侵防范和恶意代码防范

        等保2.0把加强对网络攻击的主动防御作为重点规范的内容。在安全域边界和安全计算环境方面提出了更为全面的主动防御要求:

        1.交易平台应主动防范来自外部和内部的网络攻击行为,对攻击行为进行分析及报警。可在网络和应用层面部署IPS设备、防DDoS设备对明确判断为攻击的行为和危害网络、数据的恶意行为进行主动防御;安装网络流量分析系统,对DDoS流量、网络滥用误用、蠕虫爆发、P2P流量等异常流量进行分析检测,同时对连接数、累计流量数、数据库访问连接及流量进行每日比较,对超过告警阈值的流量进行告警;安装数据泄露防护系统,通过身份认证和加密控制以及日志统计对内部文件进行控制,最大限度地避免因内部攻击导致的信息泄露事件。

        2.对操作系统、网络设备、安全设备等进行最小化安装和最小权限配置。交易平台是用户实时在线交互的互联网平台,应尽量减少其在互联网中的暴露面,如将平台生产系统的运维访问地址、测试系统、培训系统访问地址都设置为内网访问;还可按照最小使用权限的原则,最小化设置主机间的访问规则数量。

        3.及时修复漏洞和防范入侵及病毒行为。漏洞的修复可通过部署漏洞管理平台,实时同步最新漏洞信息、内网主机扫描结果信息,对资源漏洞信息进行统一关联、展现和告警。搭建统一的网络防毒服务器防范病毒及入侵行为,对计算域中的服务器设置统一的防毒策略,定期更新防病毒代码实时检测和查杀恶意代码。对网页挂马、网页篡改、信息泄露等网络攻击还可通过安装防篡改系统或者在应用程序中添加防御安全模块等方式进行主动防御,即时检测出网页中存在的安全风险。

        (五)数据保密性与完整性

        《技术规范》在数据安全方面仅要求“应采用加密或其他保护措施实现鉴别信息存储的保密性”。等保2.0加强了保证数据存储过程中的保密性和完整性的要求,除了鉴别信息以外,重要业务数据、重要个人信息等其他重要信息也应保证保密性和完整性。前文提到的交易过程中的重要敏感信息,也可采取加密存储的方式来增强数据保密性。同时,招标项目的投标文件、评标报告、后台操作日志等具有法律效力的电子证据,可用哈希计算方法来进行完整性校验,以确保其完整性及不被篡改。

        (六)数据备份恢复

        等保2.0三级基本要求提出重要数据应异地实时备份,相比《技术规范》“关键数据提供自动定时本地备份与恢复”的要求更为严格。本地定时备份主要指基于磁带库和本地服务器的数据级备份。异地实时备份主要是针对生产环境机房搬迁、发生重大事故、人为破坏以及重大灾害等意外事件所造成的数据损毁,保证系统数据、应用能在短时间内恢复使用。

        异地实时备份可分为数据级备份和应用级备份。通过建立异地数据系统将本地关键应用数据实时同步复制,实现数据级容灾备份。如有条件,也可建立一套完整的与本地生产系统相当的备份应用系统,实现应用级容灾备份。当主机房出现问题,远程系统被启用,迅速接管业务运行。对于交易平台而言,异地应用级容灾能够最大程度保障平台用户的实时交易,避免因长时间中断服务带来的安全风险和法律风险。

        (七)可信验证

        《网络安全法》第十六条提到“推广安全可信的网络产品和服务”,《国家网络空间安全战略》也强调“加快安全可信产品推广引用”。之前,可信产品多使用在等保四级以上的重要信息系统中。等保2.0标准出台后,对二级、三级的“安全通信网络”“安全区域边界”和“安全计算环境”控制项中也新增了可信验证的要求。

        可信验证的关键支撑技术是可信计算。它采用了公钥密码身份识别、对称密码加密存储、智能控制与安全执行双重体系结构、环境免疫抗病毒原理、对用户透明的数字定义可信策略等技术方法,在计算运算的同时进行安全防护,计算全程可测可控,不被干扰。

        图2是部署了可信产品的云计算安全架构图。对于交易平台来说,不用改动原有应用系统,只需在原系统架构上对设备进行升级,就可构建可信免疫的主动防御安全防护体系,实现高安全等级结构化保护。

        (八)安全管理中心

        安全管理中心是等保2.0新增的一个重要控制项,对等级保护对象的安全策略,安全通信网络、安全区域边界及安全计算环境的安全机制实施统一管理的系统平台。三级要求提出安全管理中心应在系统管理、安全管理、审计管理三个方面实现集中管控。系统管理主要实现对系统资源和运行进行配置与管控;审计管理主要实现对审计记录进行分析;安全管理主要实现对系统的安全策略进行配置。

        图3给出《信息安全技术网络安全等级保护安全管理中心技术要求》GB/T36958-2018中的安全管理中心模型图,图中规划了特定的管理区域对IDS、堡垒机、防火墙等安全设备和组件进行集中管控。这些设备在运行过程中产生了大量有用的审计数据,如包数据、会话数据、日志、告警等。通过对这些数据进行收集汇总和集中分析,实现全面、准确、细粒度的网络整体安全态势感知,进而提升平台主动防御能力。

        三、等保2.0三级管理基本要求

        等保2.0三级的管理部分由安全管理制度、安全管理机构和安全管理人员三大要素组成,同时对等级保护对象建设和运维过程中的重要活动提出了管控要求。

        (一)安全管理制度

        交易平台的网络安全管理制度体系包括统一的安全策略、管理制度、操作规程和记录表单四个层次。首先,安全策略是根据交易平台的安全目标而制定的总体策略,范围包括组织、设施、硬件、软件、信息、人员等所有资源,通过设计物理安全策略、网络安全策略、数据加密及备份策略、病毒防护策略、系统安全策略、身份认证及授权策略、口令管理策略、灾难恢复策略等,形成体系化的安全策略确保组织运作的连续性、信息完整性和机密性。其次,根据交易平台的总体安全策略和业务应用需求,制定安全管理制度,如资产和设备管理制度,灾备管理制度,安全教育管理制度,平台安全风险管理制度,安全监控管理制度,还可针对重点防御的网络攻击制定专门的网络安全事件应急处置预案等。第三,制定符合制度要求的操作规程,如平台物理环境、网络、系统、应用、数据等各层面的安全管理规程,第三方访问控制和相关的操作规程等。第四,在制度和操作规程执行过程中,设计各类表单用于过程管理,同时也起到记录备案作用。

        (二)安全管理机构

        设立或明确指导和管理网络安全工作的领导机构和职能部门。按照《网络安全法》相关制度的设计,国有企事业单位的网络安全管理工作的职能部门通常设置在信息化管理部门。《电子招标投标办法》的制度体系,则明确了运营机构的组织概念,并且对运营机构赋予了交易平台安全管理的职责。从近些年国有企业交易平台的运营情况来看,运营机构通常设置在与信息化管理部门平行的采购管理部门或者是采购管理部门下属的独立运营公司。对以上两个制度体系进行梳理,进一步明确安全管理的责任主体,运营机构应加强与信息化管理部门之间的合作与沟通,共同协作处理好网络安全工作中所遇到的问题。

        建立岗位和人员安全责任制度,将平台安全责任分解到每位员工自身岗位职责中,重点明确与网络安全相关的系统管理员、审计管理员和安全管理员三类岗位的职责与任务,其中安全管理员应是专职人员,不可兼任;通过在员工绩效考核中增加安全KPI指标,落实安全管理责任制。

        (三)安全管理人员

        平台安全是运营机构全体成员的责任。运营机构需定期组织全员学习国家安全法律法规,企事业单位安全管理制度以及安全基础知识,以强化安全责任意识,提升整体安全工作能力。核心的安全管理岗位人员宜具备网络安全专业资格(如CISP或CISSP认证)和技术技能,同时还需与运营机构签订安全承诺责任书和信息保密协议。

        运营机构如对部分职能进行外包,外包人员无论进行驻场工作,还是远程访问到企业的内部系统,都需要对其访问控制进行严格的管控,做好书面记录和备案,落实外包人员相应的安全责任。

        (四)安全建设管理

        《网络安全法》中明确提到了信息安全的建设要遵照等级保护标准来建设。等保2.0制度正式实施之后,符合三级定级标准的系统应按照新的标准进行建设,对于需进行安全升级建设的交易平台也应遵照执行。基于安全工作“同步规划、同步组织实施、同步运作投产”的三同步原则,在规划阶段可参考《信息安全技术网络安全等级保护安全设计技术要求》GB/T25070-2019进行系统安全整体设计;在实施阶段应保证在软件开发过程中注重代码编写安全规范,注重对安全性进行测试,平台上线前需对可能存在的恶意代码进行检测,同时整个实施过程需通过第三方工程监理来进行控制;在试运行阶段开展定级、安全等级测评和备案工作,正式上线运行之后还要每年开展测评工作。

        《技术规范》促进了一些国内交易软件厂商发展壮大。运营机构通常委托外部专业供应商建设交易平台。在委托建设中,双方应在建设合同中明确安全责任边界。运营商还应建立有效的供应商定期审查机制,对其服务安全性进行评估,以便及时识别潜在风险,加强信息安全的管控。

        (五)安全运维管理

        安全运维是一个以业务安全为目的的安全保障体系。《信息安全技术信息系统安全运维管理指南》GB/T36626-2018比较全面地给出了安全运维的策略、组织、规程、支撑系统等方面内容。首先,从操作层面具体而言,运营机构加强对网页挂马、网页篡改、病毒等网络安全攻击事件的主动防御,如定期对防恶意代码库进行更新升级;定期开展安全测评,发现并及时有效地处理各类漏洞;指定专人做每日巡检工作,分析和统计各类日志、监测、报警数据,及时发现可疑行为。其次,运营机构应加强对变更性运维工作的管控,如各种配置变更操作需经审批后才可改变,配置信息变更需同步更新维护配置信息库,操作日志需留存且不可更改。对于安全事件的处置,运营机构也应形成一套处理流程和信息上报机制,针对不同等级类型的安全事件要有相应的应急预案作为保障,定期组织应急演练,以检验应急预案的实用性、可用性和运维队伍的协同反应水平和实战能力。

        如运营机构对运维工作进行外包,选择的外包运维服务商应在技术和管理方面具备安全运维的能力,还应对双方在整个服务供应链中所需履行的网络安全相关义务进行明确,并应定期对外包运维服务进行监督、评审和审核。

        等保2.0新政下的网络信息安全管理,是加强交易平台安全管理不可缺失的部分。随着交易平台逐步的深化建设,对于云计算、大数据、移动互联网等各类新技术场景也有相应的拓展应用,如何在日益成熟的新技术环境下实行等级保护,也是运营机构下一步需要深入研究的内容。

    • 0
    • 0
    • 0
    • 240
    • 请登录之后再进行评论

      登录
    • 做任务
    • 实时动态
    • 偏好设置
    • 单栏布局 侧栏位置: