安全資訊

2013年，國務(wù)院八部委共同發(fā)布實(shí)施《電子招標投標辦法》及其配套文件《電子招標投標系統技術(shù)規范 第1部分：交易平臺技術(shù)規范》（以下簡(jiǎn)稱(chēng)《交易平臺技術(shù)規范》）。在此政策的推動(dòng)下，近年來(lái)電子招標采購行業(yè)得到了快速的發(fā)展，各政府部門(mén)、國有企業(yè)、代理機構也建設運營(yíng)了大量的電子招投標交易平臺，同時(shí)市場(chǎng)上還存在不少在建、待建的電子招投標交易平臺。電子招投標交易平臺在提高工作效率，降低采購成本，規范業(yè)務(wù)流程以及保障交易信息安全等方面發(fā)揮了巨大作用。

2017年，國務(wù)院六部委共同發(fā)布實(shí)施《”互聯(lián)網(wǎng)+“招標采購行動(dòng)方案（2017-2019）》，方案要求推進(jìn)依法必須招標項目的全流程電子化招標采購。同時(shí)，強調電子招投標交易平臺運營(yíng)機構通過(guò)有關(guān)管理措施和技術(shù)手段，加強風(fēng)險管理和防范，及時(shí)識別和評估平臺安全風(fēng)險，確保平臺運營(yíng)安全和數據安全。同年，《網(wǎng)絡(luò )安全法》正式實(shí)施，該法律將網(wǎng)絡(luò )安全上升到了國家戰略高度，明確規定了網(wǎng)絡(luò )運營(yíng)者等主體的法律義務(wù)和責任，以及我國實(shí)行網(wǎng)絡(luò )安全等級保護制度。

等級保護在網(wǎng)絡(luò )安全保障方面起著(zhù)至關(guān)重要的作用。為了適應新技術(shù)的發(fā)展，解決云計算、移動(dòng)互聯(lián)、大數據等領(lǐng)域信息系統等級保護工作的需要，網(wǎng)絡(luò )安全等級保護制度2.0標準于今年5月正式發(fā)布，并將于12月1日全面實(shí)施。等保2.0新政的出臺，為電子招投標交易平臺的安全體系提供了新的參考標準，對規范電子招投標交易平臺的安全建設和運營(yíng)，推動(dòng)其健康發(fā)展起到了重要作用。

等保2.0標準根據信息系統在國家安全、經(jīng)濟建設、社會(huì )生活中的重要程度，信息系統遭到破壞后對國家安全、社會(huì )秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素劃分為一級至五級，等級逐級增高。每一個(gè)等級根據業(yè)務(wù)目標、使用技術(shù)、應用場(chǎng)景等的不同，分為安全通用要求和針對云計算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統的安全擴展要求。每一個(gè)要求由技術(shù)和管理兩部分組成，技術(shù)部分包括安全物理環(huán)境、安全通信網(wǎng)絡(luò )、安全區域邊界、安全計算環(huán)境和安全管理中心5個(gè)方面；管理部分包括安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理5個(gè)方面。

《交易平臺技術(shù)規范》根據平臺重要業(yè)務(wù)信息安全保密的要求引入了等保1.0中二級和三級的部分內容，側重從技術(shù)安全的角度對系統的接口技術(shù)要求、安全性、可靠性以及運行環(huán)境四個(gè)部分進(jìn)行了闡述。其中安全性的部分作為重點(diǎn)，又具體細分為身份標識與鑒別、電子簽名、電子加密和解密、訪(fǎng)問(wèn)控制、通信安全、存儲安全、資源控制、數據安全及備份恢復、安全缺陷防范及安全審計10個(gè)方面。

等保2.0標準出臺以前，電子招投標交易平臺主要是參考《交易平臺技術(shù)規范》的內容進(jìn)行安全體系建設，重點(diǎn)關(guān)注架構安全以及被動(dòng)防御能力的要求，如漏洞管理、系統加固、安全域的劃分等。等保2.0標準結合《網(wǎng)絡(luò )安全法》中對于持續監測、威脅情報、快速響應類(lèi)的要求，提出了更加具體的主動(dòng)防御管控措施。因此，在等保2.0標準出臺后，也有越來(lái)越多的交易平臺運營(yíng)機構開(kāi)啟了等保2.0三級的安全升級建設。圖（1）給出了等保2.0三級基本要求與《技術(shù)規范》安全要求的對應關(guān)系，可以看到除了“資源控制”安全要求以外，《技術(shù)規范》的所有其它安全要求都包含進(jìn)了等保2.0三級基本要求技術(shù)部分的四個(gè)方面，而對會(huì )話(huà)連接數限制、資源監測等方面的資源控制則在等保2.0標準中降低了要求。

本章節將摘選等保2.0三級技術(shù)部分與《技術(shù)規范》對比，將新增或加強的重要安全控制點(diǎn)進(jìn)行簡(jiǎn)要分析。

1、邊界防護

等保2.0三級基本要求增強了內外網(wǎng)訪(fǎng)問(wèn)的權限控制，首先對外部非授權設備聯(lián)到內網(wǎng)行為進(jìn)行檢查或限制，其次對內部用戶(hù)非授權聯(lián)到外部網(wǎng)絡(luò )進(jìn)行檢查或限制。交易平臺可采用VPN、堡壘機設備通過(guò)配置賬號、IP、端口訪(fǎng)問(wèn)等審計策略來(lái)控制外部設備及內部設備安全訪(fǎng)問(wèn)內外網(wǎng)。

2、身份鑒別

《技術(shù)規范》中主要強調了使用CA證書(shū)對交易主體以及需要交易主體承擔相應法律責任的在線(xiàn)交易行為進(jìn)行身份標識與鑒別。等保2.0三級基本要求增強了身份鑒別的方式，要求采取口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶(hù)進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應使用密碼技術(shù)實(shí)現。CA就屬于密碼技術(shù)，主要作用于對招投標文件的加解密和簽名蓋章等，它也可與短信密碼動(dòng)態(tài)口令技術(shù)組合使用，實(shí)現如用戶(hù)注冊、登錄驗證、密碼修改等其它關(guān)鍵業(yè)務(wù)環(huán)節的用戶(hù)身份鑒別。

3、訪(fǎng)問(wèn)控制

《技術(shù)規范》對訪(fǎng)問(wèn)控制的要求主要體現在對用戶(hù)的賬號、功能權限及數據權限的控制上。等保2.0三級在《技術(shù)規范》要求之上還提出了要實(shí)現基于應用協(xié)議和應用內容的訪(fǎng)問(wèn)控制，以及對重要的主體、客體采用強制訪(fǎng)問(wèn)控制機制。

傳統的安全訪(fǎng)問(wèn)控制主要是在安全防護區域邊界處設置防火墻、路由器、交換機等網(wǎng)絡(luò )安全設備，對流經(jīng)的數據進(jìn)行嚴格的訪(fǎng)問(wèn)控制。隨著(zhù)網(wǎng)絡(luò )安全態(tài)勢的日益嚴峻，交易平臺還需要部署專(zhuān)門(mén)應對Web應用攻擊的防護產(chǎn)品，如WAF。WAF分為硬件、軟件、以及云等不同形態(tài)，主要特點(diǎn)是對應用層的HTTP/HTTPS協(xié)議以及頁(yè)面的輸入驗證進(jìn)行控制，從而提供安全區域最前端的安全邊界防護。

強制訪(fǎng)問(wèn)控制機制可以防范木馬攻擊，它的核心是為主體、客體做標記，根據標記的安全級別來(lái)決定一個(gè)主體是否可以訪(fǎng)問(wèn)某個(gè)客體。安全標記是強制性的屬性，它由安全管理員或操作系統根據限定的規則確定，用戶(hù)或用戶(hù)的程序不能加以修改。如果系統認為具有某一個(gè)安全屬性的用戶(hù)不適于訪(fǎng)問(wèn)某個(gè)文件，那么任何人都無(wú)法使該用戶(hù)具有訪(fǎng)問(wèn)該文件的權力。強制訪(fǎng)問(wèn)控制比自主訪(fǎng)問(wèn)控制具有更高的安全性，能有效防范木馬，也可以防止在用戶(hù)無(wú)意或不負責任的操作時(shí)泄露機密信息，適用于專(zhuān)用或安全性要求較高的系統。在招標全流程執行過(guò)程中，存在一些易發(fā)生泄漏影響交易公平公正的重要敏感信息，如投標人信息、開(kāi)標一覽表信息、評標委員會(huì )名單、評標過(guò)程相關(guān)信息等，可對后臺運維權限采用強制訪(fǎng)問(wèn)控制機制，以保護這些敏感信息不被泄露。

4、入侵防范和惡意代碼防范

加強對網(wǎng)絡(luò )攻擊的主動(dòng)防御是等保2.0的重點(diǎn)內容。相比《技術(shù)規范》“不應存在可能引起安全缺陷的語(yǔ)句、命令；應能夠識別和屏蔽非法訪(fǎng)問(wèn)”的要求，三級要求在安全域邊界和安全計算環(huán)境方面提出了更為全面的主動(dòng)防御要求：

4.1 主動(dòng)防范來(lái)自外部和內部的網(wǎng)絡(luò )攻擊行為，對攻擊行為進(jìn)行分析及報警。交易平臺可在網(wǎng)絡(luò )和應用層面部署IPS設備，防DDOS設備實(shí)現對明確判斷為攻擊的行為和會(huì )對網(wǎng)絡(luò )、數據造成危害的惡意行為進(jìn)行主動(dòng)防御；安裝網(wǎng)絡(luò )流量分析系統，對DDoS流量、網(wǎng)絡(luò )濫用誤用、蠕蟲(chóng)爆發(fā)、P2P流量等異常流量進(jìn)行分析檢測，同時(shí)對連接數，累計流量數，數據庫訪(fǎng)問(wèn)連接及流量進(jìn)行每日比較，對超過(guò)告警閾值的流量進(jìn)行告警；安裝數據泄露防護系統，通過(guò)身份認證和加密控制以及日志統計對內部文件進(jìn)行控制，最大程度避免因內部攻擊導致的信息泄露事件。

4.2 對操作系統、網(wǎng)絡(luò )設備、安全設備等進(jìn)行最小化安裝和最小權限配置。交易平臺是用戶(hù)實(shí)時(shí)在線(xiàn)交互的互聯(lián)網(wǎng)平臺，應盡量減少其在互聯(lián)網(wǎng)中的暴露面，如將平臺生產(chǎn)系統的運維訪(fǎng)問(wèn)地址、測試系統、培訓系統訪(fǎng)問(wèn)地址都設置為內網(wǎng)訪(fǎng)問(wèn)；還可按照最小使用權限的原則，最小化設置主機間的訪(fǎng)問(wèn)規則數量。

4.3 及時(shí)修復漏洞和防范入侵及病毒行為。漏洞的修復可通過(guò)部署漏洞管理平臺，實(shí)時(shí)同步最新漏洞信息、內網(wǎng)主機掃描結果信息，對資源漏洞信息進(jìn)行統一關(guān)聯(lián)、展現和告警。防范入侵及病毒可通過(guò)搭建統一的網(wǎng)絡(luò )防毒服務(wù)器，對計算域中的服務(wù)器設置統一的防毒策略，定期保持防病毒代碼的更新來(lái)實(shí)時(shí)檢測和查殺惡意代碼。對網(wǎng)頁(yè)掛馬、網(wǎng)頁(yè)篡改、信息泄露等網(wǎng)絡(luò )攻擊還可通過(guò)安裝防篡改系統或者在應用程序中添加防御安全模塊等方式進(jìn)行主動(dòng)防御，即時(shí)檢測出網(wǎng)頁(yè)中存在的安全風(fēng)險。

5、數據保密性與完整性

等保2.0三級相比《技術(shù)規范》“應采用加密或其他保護措施實(shí)現鑒別信息存儲的保密性”，加強了保證數據存儲過(guò)程中的保密性和完整性的要求，除了鑒別信息以外，重要業(yè)務(wù)數據、重要個(gè)人信息等其它重要信息也應保證保密性和完整性。上文提到的交易過(guò)程重要敏感信息，也可采取加密存儲的方式來(lái)增強數據保密性。同時(shí)，招標項目的投標文件、評標報告、后臺操作日志等信息作為重要的電子證據具有法律效力，為了確保它們的完整性及防篡改，可用哈希計算方法來(lái)進(jìn)行完整性校驗。

6、數據備份恢復

等保2.0三級基本要求提出重要數據應異地實(shí)時(shí)備份，相比《技術(shù)規范》“關(guān)鍵數據提供自動(dòng)定時(shí)本地備份與恢復”的要求更為嚴格。本地定時(shí)備份主要指基于磁帶庫和本地服務(wù)器的數據級備份。異地實(shí)時(shí)備份作為本地定時(shí)備份的補充，主要是針對生產(chǎn)環(huán)境機房搬遷、發(fā)生重大事故，人為破壞以及重大災害等意外事件所造成的數據損毀，保證系統數據、應用能在短時(shí)間內恢復使用。

異地實(shí)時(shí)備份可分為數據級備份和應用級備份。通過(guò)建立異地數據系統將本地關(guān)鍵應用數據的實(shí)時(shí)同步復制，實(shí)現數據級容災備份。如有條件，也可建立一套完整的與本地生產(chǎn)系統相當的備份應用系統，實(shí)現應用級容災備份。當主機房出現問(wèn)題，遠程系統被啟用，迅速接管業(yè)務(wù)運行。對于交易平臺而言，異地應用級容災能夠最大程度保障平臺用戶(hù)的實(shí)時(shí)交易，避免因長(cháng)時(shí)間中斷服務(wù)帶來(lái)的安全風(fēng)險和法律風(fēng)險。

7、可信驗證

《網(wǎng)絡(luò )安全法》發(fā)布時(shí)，法律的第十六條提到“推廣安全可信的網(wǎng)絡(luò )產(chǎn)品和服務(wù)”，后面出臺的《國家網(wǎng)絡(luò )空間安全戰略》也再次強調“加快安全可信產(chǎn)品推廣引用”。之前，可信產(chǎn)品多使用在等保四級以上的重要信息系統中。等保2.0標準出臺后，對二級、三級的“安全通信網(wǎng)絡(luò )”、“安全區域邊界”和“安全計算環(huán)境”控制項中也新增了可信驗證的要求。

可信驗證的關(guān)鍵支撐技術(shù)是可信計算。它采用了公鑰密碼身份識別、對稱(chēng)密碼加密存儲、智能控制與安全執行雙重體系結構、環(huán)境免疫抗病毒原理、對用戶(hù)透明的數字定義可信策略等技術(shù)方法，在計算運算的同時(shí)進(jìn)行安全防護，計算全程可測可控，不被干擾。

圖（2）是部署了可信產(chǎn)品的云計算安全架構圖。對于交易平臺來(lái)說(shuō)，不用改動(dòng)原有應用系統，只需在原系統架構上對設備進(jìn)行升級，使新老設備融為一體，就可構建可信免疫的主動(dòng)防御安全防護體系，實(shí)現高安全等級結構化保護。

8、安全管理中心

安全管理中心是等保2.0新增的一個(gè)重要控制項，對等級保護對象的安全策略，安全通信網(wǎng)絡(luò )、安全區域邊界及安全計算環(huán)境的安全機制實(shí)施統一管理的系統平臺。三級要求提出安全管理中心應在系統管理、安全管理、審計管理三個(gè)方面實(shí)現集中管控。系統管理主要實(shí)現對系統資源和運行進(jìn)行配置與管控；審計管理主要實(shí)現對審計記錄進(jìn)行分析；安全管理主要實(shí)現對系統的安全策略進(jìn)行配置。

圖（3）給出《GB/T 36958-2018信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護安全管理中心技術(shù)要求》中的安全管理中心模型圖，圖中規劃了特定的管理區域對IDS、堡壘機、防火墻等安全設備和組件進(jìn)行集中管控。這些設備在運行過(guò)程中產(chǎn)生了大量有用的審計數據，如包數據、會(huì )話(huà)數據、日志、告警等。通過(guò)對這些數據進(jìn)行收集匯總和集中分析，實(shí)現全面、準確、細粒度的網(wǎng)絡(luò )整體安全態(tài)勢感知，進(jìn)而提升平臺主動(dòng)防御能力。

目前的技術(shù)水平和人工智能還處于初級階段，如何將來(lái)自多個(gè)信息源的數據收集起來(lái)，進(jìn)行有效的關(guān)聯(lián)組合，提升數據的有效性和精確度，需要運營(yíng)機構去做持續的研究和投入。

等保2.0三級的管理部分由安全管理制度、安全管理機構和安全管理人員三大要素組成，同時(shí)對等級保護對象建設和運維過(guò)程中的重要活動(dòng)提出了管控要求。

1、安全管理制度

交易平臺的網(wǎng)絡(luò )安全管理制度體系包括統一的安全策略、管理制度、操作規程和記錄表單。安全策略是根據交易平臺的安全目標而制定的管理策略，范圍包括組織的所有信息資源，設施、硬件、軟件、信息、人員，通過(guò)設計物理安全策略、網(wǎng)絡(luò )安全策略、數據加密及備份策略、病毒防護策略、系統安全策略、身份認證及授權策略、口令管理策略、災難恢復策略等，形成體系化的安全策略確保組織運作的連續性、信息完整性和機密性。同時(shí)還可根據交易平臺的總體安全策略和業(yè)務(wù)應用需求，制定安全管理的規程和制度，如平臺物理環(huán)境、網(wǎng)絡(luò )、系統、應用、數據等各層面的安全管理規程，第三方訪(fǎng)問(wèn)控制和相關(guān)的操作規程，資產(chǎn)和設備管理制度，災備管理制度，安全教育管理制度，平臺安全風(fēng)險管理制度，安全監控管理制度，還可針對重點(diǎn)防御的網(wǎng)絡(luò )攻擊制定專(zhuān)門(mén)的網(wǎng)絡(luò )安全事件應急處置預案等。

2、安全管理機構

按照等保2.0三級管理的基本要求，設立或明確指導和管理網(wǎng)絡(luò )安全工作的領(lǐng)導機構和職能部門(mén)。按照《網(wǎng)絡(luò )安全法》相關(guān)制度的設計，國有企事業(yè)單位的網(wǎng)絡(luò )安全管理工作的職能部門(mén)通常設置在信息化管理部門(mén)?！峨娮诱袠送稑宿k法》的制度體系，則明確了運營(yíng)機構的組織概念，并且對運營(yíng)機構賦予了交易平臺安全管理的職責。從近些年國有企業(yè)交易平臺的運營(yíng)情況來(lái)看，運營(yíng)機構通常設置在與信息化管理部門(mén)平行的采購管理部門(mén)或者是采購管理部門(mén)下屬的獨立運營(yíng)公司。對以上兩個(gè)制度體系進(jìn)行梳理，運營(yíng)機構本身應做好交易平臺的網(wǎng)絡(luò )安全管理工作，同時(shí)還應加強與信息化管理部門(mén)之間的合作與溝通，共同協(xié)作處理好網(wǎng)絡(luò )安全工作中所遇到的問(wèn)題。

建立崗位和人員安全責任制度，將平臺安全責任分解到每位員工自身崗位職責中，重點(diǎn)明確與網(wǎng)絡(luò )安全相關(guān)的系統管理員、審計管理員和安全管理員三類(lèi)崗位的職責與任務(wù)，其中安全管理員應是專(zhuān)職人員，不可兼任；通過(guò)在員工績(jì)效考核中增加安全KPI指標，落實(shí)安全管理責任制。

3、安全管理人員

平臺安全是運營(yíng)機構全體成員的責任。運營(yíng)機構需定期組織全員學(xué)習國家安全法律法規，企事業(yè)單位安全管理制度以及安全基礎知識，以強化安全責任意識，提升整體安全工作能力。核心的安全管理崗位人員最好具備相關(guān)專(zhuān)業(yè)資格（如CISP或CISSP認證）和技術(shù)技能，同時(shí)還需與運營(yíng)機構簽訂安全承諾責任書(shū)和信息保密協(xié)議。

運營(yíng)機構如對部分職能進(jìn)行外包，外包人員可能需要進(jìn)行駐場(chǎng)工作，也可能遠程訪(fǎng)問(wèn)到企業(yè)的內部系統，這就需要對外包人員的訪(fǎng)問(wèn)控制進(jìn)行嚴格的管控，做好書(shū)面記錄和備案，最關(guān)鍵的也是落實(shí)外包人員相應的安全責任。

4、安全管理建設

此前，多數交易平臺主要是參考《電子招標投標系統檢測技術(shù)規范》進(jìn)行建設，隨著(zhù)等保2.0新政的出臺，今年也有一些交易平臺開(kāi)啟了滿(mǎn)足等保2.0第三級要求的安全升級建設?；诎踩ぷ鳌巴揭巹?、同步組織實(shí)施、同步運作投產(chǎn)”的三同步原則，在規劃階段可參考《GB/T 25070-2019 信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護安全設計技術(shù)要求》進(jìn)行系統安全整體設計；在實(shí)施階段應保證在軟件開(kāi)發(fā)過(guò)程中注重代碼編寫(xiě)安全規范，注重對安全性進(jìn)行測試，平臺上線(xiàn)前需對可能存在的惡意代碼進(jìn)行檢測，同時(shí)整個(gè)實(shí)施過(guò)程需通過(guò)第三方工程監理來(lái)進(jìn)行控制；在試運行階段開(kāi)展定級、安全等級測評和備案工作，等保三級測評工作需要每年開(kāi)展一次。

《技術(shù)規范》出臺的這些年，促進(jìn)了一些國內交易軟件廠(chǎng)商發(fā)展壯大。運營(yíng)機構將交易平臺委托外部專(zhuān)業(yè)供應商進(jìn)行建設的情況較為常見(jiàn)。在委托建設中，運營(yíng)機構應注意在合同中對雙方的安全責任邊界進(jìn)行明確，并建立有效的供應商定期審查機制，對其服務(wù)安全性進(jìn)行評估，以便及時(shí)識別潛在風(fēng)險，加強信息安全的管控。

5、安全運維管理

安全運維首先要求運營(yíng)機構加強對網(wǎng)頁(yè)掛馬、網(wǎng)頁(yè)篡改、病毒等網(wǎng)絡(luò )安全攻擊事件的主動(dòng)防御，如定期對防惡意代碼庫進(jìn)行更新升級；定期開(kāi)展安全測評，發(fā)現并及時(shí)有效的處理各類(lèi)漏洞；指定專(zhuān)人做每日巡檢工作，分析和統計各類(lèi)日志、監測、報警數據，及時(shí)發(fā)現可疑行為。其次，運營(yíng)機構應加強對變更性運維工作的管控，如各種配置變更操作需經(jīng)審批后才可改變，配置信息變更需同步更新維護配置信息庫，同時(shí)操作日志需留存且不可更改。對于安全事件的處置，運營(yíng)機構也應形成一套處理流程和信息上報機制，針對不同等級類(lèi)型的安全事件要有相應的應急預案作為保障，定期組織應急演練，以檢驗應急預案的實(shí)用性、可用性和運維隊伍的協(xié)同反應水平和實(shí)戰能力。

如運營(yíng)機構對運維工作進(jìn)行外包，選擇的外包運維服務(wù)商應在技術(shù)和管理方面具備安全運維的能力，還應對雙方在整個(gè)服務(wù)供應鏈中所需履行的網(wǎng)絡(luò )安全相關(guān)義務(wù)進(jìn)行明確，并應定期對外包運維服務(wù)進(jìn)行監督、評審和審核。

等保2.0新政下的網(wǎng)絡(luò )信息安全管理，是加強交易平臺安全管理不可缺失的部分。隨著(zhù)交易平臺逐步的深化建設，對于云計算、大數據、移動(dòng)互聯(lián)網(wǎng)等各類(lèi)新技術(shù)場(chǎng)景也有相應的拓展應用，如何在日益成熟的新技術(shù)環(huán)境下實(shí)行等級保護，也是運營(yíng)機構下一步需要深入研究的內容。

參考文獻：

[1]中華人民共和國網(wǎng)絡(luò )安全法，中華人民共和國主席令（第五十三號），2016,11.

[2]信息安全等級保護評估中心，GB/T 22239-2019 信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求[M].中國標準出版社，2019.

[3]信息安全等級保護評估中心，GB/T 28448-2019 信息安全技術(shù)網(wǎng)絡(luò )安全等級保護測評要求[M].中國標準出版社，2019.

[4]夏冰.網(wǎng)絡(luò )安全法和網(wǎng)絡(luò )等級保護，[M].電子工業(yè)出版社，2017.

[5]杜嘉薇.網(wǎng)絡(luò )安全態(tài)勢感知：提取、理解和預測，[M].機械工業(yè)出版社，2018.

[6]許程亮. 電子招標投標系統安全風(fēng)險分析及應對措施[J].招標采購管理，2017.10：55-59.

[7]鄢翔. 基于安全等級保護2_0的高校一卡通應用系統安全方案設計[J].電子技術(shù)與軟件工程，2019.1：192-195.

靳冬（1982-），第一作者，男，碩士，高級工程師，主要研究方向：檢測認證、質(zhì)量管理。單位：中國合格評定國家認可中心。

戴征宇（1987-），第二作者，男，碩士，工程師，主要研究方向：采購供應鏈、招標管理、電子招標。單位：中國石油天然氣集團公司物資裝備部。

劉佳穎（1983-），通信作者，女，碩士，高級工程師，主要研究方向：供應鏈信息化，電子商務(wù)。單位：浙江鴻程計算機系統有限公司。