简介
为实现保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展践行,《中华人民共和国网络安全法》应运而生,并于2017年6月1日正式实施。
为有效践行网络安全法落地,各行业均积极响应并落实法规各项要求。作为强调业务连续性及稳定性的关键基础设施行业,电子采购行业正处于高速发展阶段,功能规则丰富多元、海量数据不断积累,因此承载这些的电子招标投标系统(交易平台)的安全性要求变得尤为突出。
关键词:网络安全 业务连续性 电子采购 海量数据
笔者梳理了近年来,国家、主管机构及行业内发布的关于互联网+、电子招标采购行业发展的若干重要文件,提取文件中相关网络安全要求进行分析归纳,以备读者参考。
作为《国务院关于积极推进“互联网+”行动的指导意见》( 国发〔2015〕40号)中的重要行动之一,“‘互联网+’电子商务”在推进行业快速发展的宏观基本原则前提之一就是坚持安全有序。完善互联网融合标准规范和法律法规,增强安全意识,强化安全管理和防护,保障网络安全。
《国务院关于加快推进“互联网+政务服务”工作的指导意见》(国发〔2016〕55号)中提出对互联网+政务工作的各项推进要求,再次强调了网络安全的重要性。在该《指导意见》”四、夯实支撑基础“中,提出”(五)加强网络和信息安全保护“。按照国家信息安全等级保护制度要求,加强各级政府网站信息安全建设,健全“互联网+政务服务”安全保障体系。明确政务服务各平台、各系统的安全责任,开展等级保护定级备案、等级测评等工作,建立各方协同配合的信息安全防范、监测、通报、响应和处置机制。加强对电子证照、统一身份认证、网上支付等重要系统和关键环节的安全监控。提高各平台、各系统的安全防护能力,查补安全漏洞,做好容灾备份。建立健全保密审查制度,加大对涉及国家秘密、商业秘密、个人隐私等重要数据的保护力度,提升信息安全支撑保障水平和风险防范能力。
承载着公共资源交易的重要基础平台,公共资源交易平台的安全性同样值得引起高度重视。十四部委联合发布《公共资源交易平台管理暂行办法》(十四部委 〔2016〕39号令),《暂行办法》中第十三条要求,公共资源交易平台应当建立健全网络信息安全制度,落实安全保护技术措施,保障平台平稳运行。同时为保障数据安全要求,第二十八条提出,公共资源交易平台和有关行政监督管理部门在公共资源交易数据采集、汇总、传输、存储、公开、使用过程中,应加强数据安全管理。
为落实国务院、各部委重要部署要求,大力发展电子招标投标,促进招标采购与互联网深度融合,国家发展改革委印发了《关于印发<“互联网+”招标采购行动方案(2017-2019年)>的通知》(发改法规〔2017〕357号)。《行动方案》中更加明确地提出了安全管理要求及具体实操抓手,要求交易平台有序开展检测认证,完善电子招标投标系统检测认证制度和技术标准,引导各类主体建设的交易平台根据实际分级有序开展检测认证。同时提出了作为发挥信息公开、信息发布的数据交汇公共服务平台,对于关系国家安全的重要敏感数据,各类电子招标投标平台特别是公共服务平台应当加强安全保障,不得用于商业用途。在具体落实“20 安全保障”细则上提出,电子招标投标系统开发单位应根据电子招标采购业务特点,重点围绕招标投标文件的安全传输技术、防篡改技术、安全存储技术以及开标保障技术等,开发相应信息安全技术和产品。平台运营机构承担系统安全和数据安全主体责任,确保本机构运营电子招标投标平台所有服务器均设在中华人民共和国境内。使用云服务的,云服务提供商必须提供安全承诺。运营机构应当建立健全安全管理制度,以及身份识别和鉴定、访问控制、入侵防范、恶意代码防范、补丁升级、数据存储和传输加密、备份与恢复等工作程序,并通过有关管理措施和技术手段,加强风险管理和防范,及时识别和评估电子招标投标系统安全风险,确保平台运营安全和数据安全。
为加快推进公共资源交易平台服务标准化,健全平台电子系统,优化服务流程,规范服务行为,《国家发展改革委办公厅关于印发<公共资源交易平台服务标准(试行)>的通知》(发改办法规〔2019〕509号)在“9.安全要求”中提出了具体细则性要求,包括:“9.1应建立健全安全保卫制度,配备安全保卫人员,定期进行安全检查”;“9.2应按有关规定配备消防器材、应急照明灯和标志,加强消防安全日常监督检查”;“9.3应建立突发性事件应急处理预案,明确突发性情况的应对措施”;“9.4应建立健全网络信息安全制度,落实安全保护技术措施”;“9.5互联网运营网络宜采用主备模式”;“9.6各类系统数据宜设置异地备份”;“9.7信息和网络安全应符合国标、电子政务行业标准要求”。通过细则来看,不仅强调物理场所的安全性,同时也通过完善网络安全管理制度、应急预防、多路网络接入、数据备份等多通道提升系统的业务高可用性与连续性保障。
近日,在《国务院办公厅转发国家发展改革委关于深化公共资源交易平台整合共享指导意见的通知》(国办函〔2019〕41号)中提出“到2020年,各级公共资源交易平台纵向全面贯通、横向互联互通,实现制度规则统一、技术标准统一、信息资源共享”的目标。中央管理企业电子招标采购交易系统应当通过国家电子招标投标公共服务系统有序纳入公共资源交易平台,由此招标采购“网下无交易,网上全公开”将更加完善。我们再次聚焦网络安全,《指导意见》“五、强化组织实施保障”提出,切实保障公共资源交易平台的运行维护经费,同时加强信息安全制度建设,根据国家信息安全标准加快构建公共资源交易信息安全防护体系,保障公共资源交易平台运行安全和数据安全。
国家互联网信息办公室也于近期发布了《关于<数据安全管理办法(征求意见稿)>公开征求意见的通知》,其中,《数据安全管理办法(征求意见稿)》共有总则、数据收集、数据处理使用、数据安全监督管理、附则五个章节。
从国家到行业,一系列的法规、行业规范等文件无不体现着对网络安全、数据安全的高度重视。今天,我们更多地讨论聚焦于公共资源交易平台顶层设计文件中涉及网络安全相关政策性要求,这同样适用于企业、第三方及其他市场主体建设的交易平台的网络安全建设参考,安全始终是平台运营中不能忽视的重要环节,是对外展示的信誉名片,是为行业各方树立电子化采购的信心保障。
基于此,建立交易平台的安全防护体系不仅需在整体架构上进行统筹规划,遵循同步规划、同步建设、同步投入运行原则,还需加强对关键数据的重点安全保护。在基于电子招投标系统合规检测认证的抓手下,运营机构应主动发现系统存在的薄弱点,补齐短板。然而网络安全不会因为一次检测认证、等级测评或风险评估就能一劳永逸,作为运营机构,应不断完善自身安全管理机制,提升安全技术措施,做到主动防御、实时监测、精准阻断,并定期开展网络安全审计工作,真正做到安全时刻在线,有效保障电子采购各方合法权益。
参考文献
[1] 国务院办公厅转发国家发展改革委关于深化公共资源交易平台整合共享指导意见的通知(国办函〔2019〕41号)
[2] 国家发展改革委办公厅关于印发《公共资源交易平台服务标准(试行)》的通知(发改办法规〔2019〕509号)
[3] 国家发展改革委关于印发《“互联网+”招标采购行动方案(2017-2019年)》的通知(发改法规〔2017〕357号)
[4] 《中华人民共和国网络安全法》(中华人民共和国主席令〔2017〕第五十三号)
[5] 国务院关于加快推进“互联网+政务服务”工作的指导意见(国发〔2016〕55号)
[6] 公共资源交易平台管理暂行办法(十四部委〔2016〕39号令)
[7] 国务院关于积极推进“互联网+”行动的指导意见(国发〔2015〕40号)
李超,专注于电子招标投标系统/交易平台(EBS)检测、认证与咨询。2015年起参与了相关标准的起草与制订,全程参与了试点工作。到目前为止,已经主持完成了大型国有企业、政府交易中心及第三方招标代理等50余家EBS的检测/认证/咨询工作,对EBS合规有较为深入的理解。
声明:本文来自中金网安,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。