简介
为建立健全国家网络安全顶层设计体系框架,公安部聚合科研院所、检测机构、安全厂商等重要力量,结合当前互联网与产业融合发展过程中的新技术、新架构、新业务需求,制修订了GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》、GB/T 25070—2019《 信息安全技术 网络安全等级保护安全设计技术要求》、GB/T 28448—2019 《信息安全技术 网络安全等级保护测评要求》等重要标准,构建了符合新时期网络安全发展阶段需求的“等保2.0”体系,并将于2019年12月1日正式实施。
电子招标采购行业已进入蓬勃发展期,《电子招标投标办法》中首次提出,电子招标投标系统(交易平台)应开展检测、认证。《电子招标投标办法》中涉及相关安全性技术细则要求引入了等级保护,电子招标投标系统网络安全、主机安全应通过GB17859—1999《计算机信息系统安全保护等级划分准则》中第二级“系统审计保护级”的评测;网络安全、主机安全宜通过GB17859—1999中第三级“安全标记保护级”的评测。
关键词:网络安全 主机安全 检测认证 系统审计保护级 安全标记保护级
基于〔政策篇〕的相关要求介绍,笔者此次从技术角度梳理了近年来国家、主管行业发布的关于互联网+、电子招标投标行业发展的若干重要文件,提取网络安全相关技术要素进行分析归纳,并给出几点实践建议,以备读者参考。
为了规范电子招标投标活动,促进电子招标投标健康发展,国家发展改革委、工业和信息化部、监察部、住房城乡建设部、交通运输部、原铁道部、水利部、商务部于2013年联合发布实施了《电子招标投标办法》(以下简称《办法》),为交易平台运营机构、建设方提供了开发建设规范化参考文件。电子招标投标系统的开发、检测、认证、运营应当遵守本办法所附《电子招标投标系统技术规范》(以下简称《技术规范》)。
《办法》中规定,电子招标投标交易平台服务器应当设在中华人民共和国境内。电子招标投标交易平台运营机构应当根据国家有关法律法规及技术规范,建立健全电子招标投标交易平台规范运行和安全管理制度,加强监控、检测,及时发现和排除隐患;应当采用可靠的身份识别、权限控制、加密、病毒防范等技术,防范非授权操作,保证交易平台的安全、稳定、可靠;应当采取有效措施,验证初始录入信息的真实性,并确保数据电文不被篡改、不遗漏和可追溯。
《技术规范》在“8.2 安全性”中,从身份标识与鉴别、电子签名、电子加密和解密、访问控制、通信安全、存储安全、资源控制、数据安全及备份恢复、安全缺陷防范及安全审计10个方面给出了相关的安全措施建议。
2015年8月21日国家发展改革委联合多部委共同发布了《电子招标投标系统检测认证管理办法》,建立了电子招标投标系统(交易平台)检测认证制度,为建立专业化、规范化平台奠定了技术基础。检测认证制度为已建立的交易平台提供了有效获得国家级认证的条件,对外展示平台的实力与合规水平。同时为尚未建立或正在开展平台建设的运营机构提供了有力的“规范化需求说明书”。开发单位也不再拘泥于“顾及”客户一方业务需求,而更多了份合规性的“主见”。
《电子招标投标系统技术规范 第1部分:交易平台技术规范》具有明确的安全性要求,承启《技术规范》中的要求,安全性在10个方面进行了规定;对涉及的安全技术措施、管理制度进行了细化,阐释了交易平台安全性基线合规建设能力要求。
为积极推动电子采购行业检测认证工作,国家认监委联合行业认证检测支撑单位,2016年10月制定发布了《电子招标投标系统交易平台认证技术规范》。该规范为指导认证机构开展交易平台审核提供了技术合规认定依据。
2018年4月20日至21日,习近平总书记在全国网络安全和信息化工作会议上发表讲话并指出,“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障”。网络安全观应始终贯穿于“互联网+”的安全建设与实践中。
结合多年的亲身调研与实地了解,从技术角度剖析电子招标投标行业面临的安全性风险,建议对从以下几个方面着手开展安全工作,具体如下:
(一) 基础安全漏洞是否已做好有效排查与整治
2018~2019年,随着一批又一批获证单位监督安全抽测工作的展开,抽测的安全结果让我们对电子招投标行业的安全水平有了新的感知与认识。
选取的二十余家远程安全渗透测试结果,结合OWASP常见的WEB安全漏洞类型,从会话管理、输入验证两个维度进行统计分析发现呈现以下态势,如下图所示。输入验证方面存在的安全问题更为突出,表现在结构化数据输入过滤机制不完善,非结构化数据(附件)的上传校验机制宽泛等情况;在会话管理方面,账号角色的权限划分不精细、越权访问、验证码伪造及密码找回机制不完善等问题较为常见。
通过对已发现的WEB安全问题进行高危、中危及低危风险分类统计,我们发现当前交易平台均存在一定程度的安全漏洞风险。一些问题可能造成不必要的基础设施(如软硬件配置)信息泄露问题,有些可能引发恶意人员的非法业务操作,更甚者可获取对重要业务数据的非授权访问,进而造成不必要的业务风险。
基于以上情况,我们持续督促运营机构不断优化完善自身网络安全防护体系,不论是云上部署还是本地部署,应将网络安全检测、监测预警常态化。尤其在系统发生变更、升级等情况下,例行的安全测试或深度自查工作变得尤为迫切。同时制定安全开发代码规范要求及周期性的代码安全审查,也将有效促进应用软件达到更高质量的安全基线水平。
(二) 互联互通前是否已做好安全边界隔离
国家顶层设计要求交易、公共服务、监管等具备各自清晰的功能定位,实现平台间的互联互通。互联互通是需求,边界防护始终是绕不开的关注点。网络安全的防护应遵循着先于己,再于人的原则,筑起篱笆不是让业务中断,而是让数据更安全地流动,让业务更加持续稳定地运行。
网络安全防护体系,不能只一味地要求对方具备更高标准要求、更好防护级别,而应该同时问问自身是否存在安全漏洞引入与传播的风险。网络安全有着“木桶效应”法则,短板决定着安全链路中每一方面临的风险水平。
在边界防护上,应制定严格、细粒度的强制访问控制策略,建立接口动态异常监测及告警机制。条件允许的情况下,设置并完善数据交换缓冲区。
(三) 海量大数据是否已得到有效全生命周期保护
数据是资产,数据是价值,数据也是一种实力的体现。保护好数据是每个平台运营者应该优先重点关注的事宜。
企业数据、个人信息数据等随着业务交易规模指数级积累,一定程度上存在着与外部平台接口的对接共享使用。数据在传输、存储、使用、销毁等过程是否建立安全通道与机制,是否具备一定的抗压防攻击水平,是否具备有效的数据恢复能力,这些都值得运营者思考重视。
作为平台运营者,在实现业务需求的同时,应尽可能完善数据防攻击、防窃取、防泄漏的技术措施,健全数据备份与恢复机制,如至少设置重要数据异地备份。通过技术与管理相结合,提升数据安全保障水平。
(四) 网络安全意识亟需进一步提升
网络安全体系建立过程中,技术措施、管理机制随着新技术应用完善的同时,我们不能忽视一个核心的因素:“人”。平台的运营管理者、业务操作者等每一方均享有使用平台的权利,同时也是平台安全防护的卫士。是否建立可信的业务操作安全终端环境,是否配置了有效的身份验证机制及强壮的账号口令,是否遵循多角色多账户权限的最小化分配原则,这些问题值得每个用户和管理者关注和思考。
随着国家网络安全战略的不断提升,全民网络安全意识已经得到了一定的进步,然而从当前情况来看并不足够。因此,在业务系统迭代升级的过程中,不断加强业务培训的同时,也应进一步加大对招标人、投标人乃至评委专家的安全意识教育培训及场景化的实操攻防演练,尽可能降低因“人”为因素而引发的系统性、业务性风险。
基于此,建立交易平台的安全防护体系,要在满足合规的前提下,遵循“三同步”原则,动态跟踪政策规范要求,实时监测平台运行状态。通过建立交易平台整体安全基线标准,加强对重点区域、关键数据的安全防护,以及高质量的“EBS检测认证+等保2.0”抓手,未来我们将能更加坚固、更加深度的实现“互联网+招标采购+网络安全”的美好愿景。
参考文献
[1] 电子招标投标办法(八部委〔2013〕20号令)
[2] 电子招标投标系统检测认证管理办法(国认证联〔2015〕53号)
[3] CTS-EBS01—2016 电子招标投标系统交易平台认证技术规范
李超,专注于电子招标投标系统/交易平台(EBS)检测、认证与咨询。2015年起参与了相关标准的起草与制订,全程参与了试点工作。到目前为止,已经主持完成了大型国有企业、政府交易中心及第三方招标代理等50余家EBS的检测/认证/咨询工作,对EBS合规有较为深入的理解。
声明:本文来自中金网安,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。