2013年，國務(wù)院八部委共同發(fā)布實施《電子招標投標辦法》及其配套文件《電子招標投標系統(tǒng)技術(shù)規(guī)范 第1部分：交易平臺技術(shù)規(guī)范》（以下簡稱《交易平臺技術(shù)規(guī)范》）。在此政策的推動下，近年來電子招標采購行業(yè)得到了快速的發(fā)展，各政府部門、國有企業(yè)、代理機構(gòu)也建設(shè)運營了大量的電子招投標交易平臺，同時市場上還存在不少在建、待建的電子招投標交易平臺。電子招投標交易平臺在提高工作效率，降低采購成本，規(guī)范業(yè)務(wù)流程以及保障交易信息安全等方面發(fā)揮了巨大作用。

2017年，國務(wù)院六部委共同發(fā)布實施《”互聯(lián)網(wǎng)+“招標采購行動方案（2017-2019）》，方案要求推進依法必須招標項目的全流程電子化招標采購。同時，強調(diào)電子招投標交易平臺運營機構(gòu)通過有關(guān)管理措施和技術(shù)手段，加強風險管理和防范，及時識別和評估平臺安全風險，確保平臺運營安全和數(shù)據(jù)安全。同年，《網(wǎng)絡(luò)安全法》正式實施，該法律將網(wǎng)絡(luò)安全上升到了國家戰(zhàn)略高度，明確規(guī)定了網(wǎng)絡(luò)運營者等主體的法律義務(wù)和責任，以及我國實行網(wǎng)絡(luò)安全等級保護制度。

等級保護在網(wǎng)絡(luò)安全保障方面起著至關(guān)重要的作用。為了適應(yīng)新技術(shù)的發(fā)展，解決云計算、移動互聯(lián)、大數(shù)據(jù)等領(lǐng)域信息系統(tǒng)等級保護工作的需要，網(wǎng)絡(luò)安全等級保護制度2.0標準于今年5月正式發(fā)布，并將于12月1日全面實施。等保2.0新政的出臺，為電子招投標交易平臺的安全體系提供了新的參考標準，對規(guī)范電子招投標交易平臺的安全建設(shè)和運營，推動其健康發(fā)展起到了重要作用。

等保2.0標準根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素劃分為一級至五級，等級逐級增高。每一個等級根據(jù)業(yè)務(wù)目標、使用技術(shù)、應(yīng)用場景等的不同，分為安全通用要求和針對云計算、移動互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)的安全擴展要求。每一個要求由技術(shù)和管理兩部分組成，技術(shù)部分包括安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境和安全管理中心5個方面；管理部分包括安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理和安全運維管理5個方面。

《交易平臺技術(shù)規(guī)范》根據(jù)平臺重要業(yè)務(wù)信息安全保密的要求引入了等保1.0中二級和三級的部分內(nèi)容，側(cè)重從技術(shù)安全的角度對系統(tǒng)的接口技術(shù)要求、安全性、可靠性以及運行環(huán)境四個部分進行了闡述。其中安全性的部分作為重點，又具體細分為身份標識與鑒別、電子簽名、電子加密和解密、訪問控制、通信安全、存儲安全、資源控制、數(shù)據(jù)安全及備份恢復、安全缺陷防范及安全審計10個方面。

等保2.0標準出臺以前，電子招投標交易平臺主要是參考《交易平臺技術(shù)規(guī)范》的內(nèi)容進行安全體系建設(shè)，重點關(guān)注架構(gòu)安全以及被動防御能力的要求，如漏洞管理、系統(tǒng)加固、安全域的劃分等。等保2.0標準結(jié)合《網(wǎng)絡(luò)安全法》中對于持續(xù)監(jiān)測、威脅情報、快速響應(yīng)類的要求，提出了更加具體的主動防御管控措施。因此，在等保2.0標準出臺后，也有越來越多的交易平臺運營機構(gòu)開啟了等保2.0三級的安全升級建設(shè)。圖（1）給出了等保2.0三級基本要求與《技術(shù)規(guī)范》安全要求的對應(yīng)關(guān)系，可以看到除了“資源控制”安全要求以外，《技術(shù)規(guī)范》的所有其它安全要求都包含進了等保2.0三級基本要求技術(shù)部分的四個方面，而對會話連接數(shù)限制、資源監(jiān)測等方面的資源控制則在等保2.0標準中降低了要求。

本章節(jié)將摘選等保2.0三級技術(shù)部分與《技術(shù)規(guī)范》對比，將新增或加強的重要安全控制點進行簡要分析。

1、邊界防護

等保2.0三級基本要求增強了內(nèi)外網(wǎng)訪問的權(quán)限控制，首先對外部非授權(quán)設(shè)備聯(lián)到內(nèi)網(wǎng)行為進行檢查或限制，其次對內(nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)進行檢查或限制。交易平臺可采用VPN、堡壘機設(shè)備通過配置賬號、IP、端口訪問等審計策略來控制外部設(shè)備及內(nèi)部設(shè)備安全訪問內(nèi)外網(wǎng)。

2、身份鑒別

《技術(shù)規(guī)范》中主要強調(diào)了使用CA證書對交易主體以及需要交易主體承擔相應(yīng)法律責任的在線交易行為進行身份標識與鑒別。等保2.0三級基本要求增強了身份鑒別的方式，要求采取口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)實現(xiàn)。CA就屬于密碼技術(shù)，主要作用于對招投標文件的加解密和簽名蓋章等，它也可與短信密碼動態(tài)口令技術(shù)組合使用，實現(xiàn)如用戶注冊、登錄驗證、密碼修改等其它關(guān)鍵業(yè)務(wù)環(huán)節(jié)的用戶身份鑒別。

3、訪問控制

《技術(shù)規(guī)范》對訪問控制的要求主要體現(xiàn)在對用戶的賬號、功能權(quán)限及數(shù)據(jù)權(quán)限的控制上。等保2.0三級在《技術(shù)規(guī)范》要求之上還提出了要實現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制，以及對重要的主體、客體采用強制訪問控制機制。

傳統(tǒng)的安全訪問控制主要是在安全防護區(qū)域邊界處設(shè)置防火墻、路由器、交換機等網(wǎng)絡(luò)安全設(shè)備，對流經(jīng)的數(shù)據(jù)進行嚴格的訪問控制。隨著網(wǎng)絡(luò)安全態(tài)勢的日益嚴峻，交易平臺還需要部署專門應(yīng)對Web應(yīng)用攻擊的防護產(chǎn)品，如WAF。WAF分為硬件、軟件、以及云等不同形態(tài)，主要特點是對應(yīng)用層的HTTP/HTTPS協(xié)議以及頁面的輸入驗證進行控制，從而提供安全區(qū)域最前端的安全邊界防護。

強制訪問控制機制可以防范木馬攻擊，它的核心是為主體、客體做標記，根據(jù)標記的安全級別來決定一個主體是否可以訪問某個客體。安全標記是強制性的屬性，它由安全管理員或操作系統(tǒng)根據(jù)限定的規(guī)則確定，用戶或用戶的程序不能加以修改。如果系統(tǒng)認為具有某一個安全屬性的用戶不適于訪問某個文件，那么任何人都無法使該用戶具有訪問該文件的權(quán)力。強制訪問控制比自主訪問控制具有更高的安全性，能有效防范木馬，也可以防止在用戶無意或不負責任的操作時泄露機密信息，適用于專用或安全性要求較高的系統(tǒng)。在招標全流程執(zhí)行過程中，存在一些易發(fā)生泄漏影響交易公平公正的重要敏感信息，如投標人信息、開標一覽表信息、評標委員會名單、評標過程相關(guān)信息等，可對后臺運維權(quán)限采用強制訪問控制機制，以保護這些敏感信息不被泄露。

4、入侵防范和惡意代碼防范

加強對網(wǎng)絡(luò)攻擊的主動防御是等保2.0的重點內(nèi)容。相比《技術(shù)規(guī)范》“不應(yīng)存在可能引起安全缺陷的語句、命令；應(yīng)能夠識別和屏蔽非法訪問”的要求，三級要求在安全域邊界和安全計算環(huán)境方面提出了更為全面的主動防御要求：

4.1 主動防范來自外部和內(nèi)部的網(wǎng)絡(luò)攻擊行為，對攻擊行為進行分析及報警。交易平臺可在網(wǎng)絡(luò)和應(yīng)用層面部署IPS設(shè)備，防DDOS設(shè)備實現(xiàn)對明確判斷為攻擊的行為和會對網(wǎng)絡(luò)、數(shù)據(jù)造成危害的惡意行為進行主動防御；安裝網(wǎng)絡(luò)流量分析系統(tǒng)，對DDoS流量、網(wǎng)絡(luò)濫用誤用、蠕蟲爆發(fā)、P2P流量等異常流量進行分析檢測，同時對連接數(shù)，累計流量數(shù)，數(shù)據(jù)庫訪問連接及流量進行每日比較，對超過告警閾值的流量進行告警；安裝數(shù)據(jù)泄露防護系統(tǒng)，通過身份認證和加密控制以及日志統(tǒng)計對內(nèi)部文件進行控制，最大程度避免因內(nèi)部攻擊導致的信息泄露事件。

4.2 對操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進行最小化安裝和最小權(quán)限配置。交易平臺是用戶實時在線交互的互聯(lián)網(wǎng)平臺，應(yīng)盡量減少其在互聯(lián)網(wǎng)中的暴露面，如將平臺生產(chǎn)系統(tǒng)的運維訪問地址、測試系統(tǒng)、培訓系統(tǒng)訪問地址都設(shè)置為內(nèi)網(wǎng)訪問；還可按照最小使用權(quán)限的原則，最小化設(shè)置主機間的訪問規(guī)則數(shù)量。

4.3 及時修復漏洞和防范入侵及病毒行為。漏洞的修復可通過部署漏洞管理平臺，實時同步最新漏洞信息、內(nèi)網(wǎng)主機掃描結(jié)果信息，對資源漏洞信息進行統(tǒng)一關(guān)聯(lián)、展現(xiàn)和告警。防范入侵及病毒可通過搭建統(tǒng)一的網(wǎng)絡(luò)防毒服務(wù)器，對計算域中的服務(wù)器設(shè)置統(tǒng)一的防毒策略，定期保持防病毒代碼的更新來實時檢測和查殺惡意代碼。對網(wǎng)頁掛馬、網(wǎng)頁篡改、信息泄露等網(wǎng)絡(luò)攻擊還可通過安裝防篡改系統(tǒng)或者在應(yīng)用程序中添加防御安全模塊等方式進行主動防御，即時檢測出網(wǎng)頁中存在的安全風險。

5、數(shù)據(jù)保密性與完整性

等保2.0三級相比《技術(shù)規(guī)范》“應(yīng)采用加密或其他保護措施實現(xiàn)鑒別信息存儲的保密性”，加強了保證數(shù)據(jù)存儲過程中的保密性和完整性的要求，除了鑒別信息以外，重要業(yè)務(wù)數(shù)據(jù)、重要個人信息等其它重要信息也應(yīng)保證保密性和完整性。上文提到的交易過程重要敏感信息，也可采取加密存儲的方式來增強數(shù)據(jù)保密性。同時，招標項目的投標文件、評標報告、后臺操作日志等信息作為重要的電子證據(jù)具有法律效力，為了確保它們的完整性及防篡改，可用哈希計算方法來進行完整性校驗。

6、數(shù)據(jù)備份恢復

等保2.0三級基本要求提出重要數(shù)據(jù)應(yīng)異地實時備份，相比《技術(shù)規(guī)范》“關(guān)鍵數(shù)據(jù)提供自動定時本地備份與恢復”的要求更為嚴格。本地定時備份主要指基于磁帶庫和本地服務(wù)器的數(shù)據(jù)級備份。異地實時備份作為本地定時備份的補充，主要是針對生產(chǎn)環(huán)境機房搬遷、發(fā)生重大事故，人為破壞以及重大災(zāi)害等意外事件所造成的數(shù)據(jù)損毀，保證系統(tǒng)數(shù)據(jù)、應(yīng)用能在短時間內(nèi)恢復使用。

異地實時備份可分為數(shù)據(jù)級備份和應(yīng)用級備份。通過建立異地數(shù)據(jù)系統(tǒng)將本地關(guān)鍵應(yīng)用數(shù)據(jù)的實時同步復制，實現(xiàn)數(shù)據(jù)級容災(zāi)備份。如有條件，也可建立一套完整的與本地生產(chǎn)系統(tǒng)相當?shù)膫浞輵?yīng)用系統(tǒng)，實現(xiàn)應(yīng)用級容災(zāi)備份。當主機房出現(xiàn)問題，遠程系統(tǒng)被啟用，迅速接管業(yè)務(wù)運行。對于交易平臺而言，異地應(yīng)用級容災(zāi)能夠最大程度保障平臺用戶的實時交易，避免因長時間中斷服務(wù)帶來的安全風險和法律風險。

7、可信驗證

《網(wǎng)絡(luò)安全法》發(fā)布時，法律的第十六條提到“推廣安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)”，后面出臺的《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》也再次強調(diào)“加快安全可信產(chǎn)品推廣引用”。之前，可信產(chǎn)品多使用在等保四級以上的重要信息系統(tǒng)中。等保2.0標準出臺后，對二級、三級的“安全通信網(wǎng)絡(luò)”、“安全區(qū)域邊界”和“安全計算環(huán)境”控制項中也新增了可信驗證的要求。

可信驗證的關(guān)鍵支撐技術(shù)是可信計算。它采用了公鑰密碼身份識別、對稱密碼加密存儲、智能控制與安全執(zhí)行雙重體系結(jié)構(gòu)、環(huán)境免疫抗病毒原理、對用戶透明的數(shù)字定義可信策略等技術(shù)方法，在計算運算的同時進行安全防護，計算全程可測可控，不被干擾。

圖（2）是部署了可信產(chǎn)品的云計算安全架構(gòu)圖。對于交易平臺來說，不用改動原有應(yīng)用系統(tǒng)，只需在原系統(tǒng)架構(gòu)上對設(shè)備進行升級，使新老設(shè)備融為一體，就可構(gòu)建可信免疫的主動防御安全防護體系，實現(xiàn)高安全等級結(jié)構(gòu)化保護。

8、安全管理中心

安全管理中心是等保2.0新增的一個重要控制項，對等級保護對象的安全策略，安全通信網(wǎng)絡(luò)、安全區(qū)域邊界及安全計算環(huán)境的安全機制實施統(tǒng)一管理的系統(tǒng)平臺。三級要求提出安全管理中心應(yīng)在系統(tǒng)管理、安全管理、審計管理三個方面實現(xiàn)集中管控。系統(tǒng)管理主要實現(xiàn)對系統(tǒng)資源和運行進行配置與管控；審計管理主要實現(xiàn)對審計記錄進行分析；安全管理主要實現(xiàn)對系統(tǒng)的安全策略進行配置。

圖（3）給出《GB/T 36958-2018信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護安全管理中心技術(shù)要求》中的安全管理中心模型圖，圖中規(guī)劃了特定的管理區(qū)域?qū)DS、堡壘機、防火墻等安全設(shè)備和組件進行集中管控。這些設(shè)備在運行過程中產(chǎn)生了大量有用的審計數(shù)據(jù)，如包數(shù)據(jù)、會話數(shù)據(jù)、日志、告警等。通過對這些數(shù)據(jù)進行收集匯總和集中分析，實現(xiàn)全面、準確、細粒度的網(wǎng)絡(luò)整體安全態(tài)勢感知，進而提升平臺主動防御能力。

目前的技術(shù)水平和人工智能還處于初級階段，如何將來自多個信息源的數(shù)據(jù)收集起來，進行有效的關(guān)聯(lián)組合，提升數(shù)據(jù)的有效性和精確度，需要運營機構(gòu)去做持續(xù)的研究和投入。

等保2.0三級的管理部分由安全管理制度、安全管理機構(gòu)和安全管理人員三大要素組成，同時對等級保護對象建設(shè)和運維過程中的重要活動提出了管控要求。

1、安全管理制度

交易平臺的網(wǎng)絡(luò)安全管理制度體系包括統(tǒng)一的安全策略、管理制度、操作規(guī)程和記錄表單。安全策略是根據(jù)交易平臺的安全目標而制定的管理策略，范圍包括組織的所有信息資源，設(shè)施、硬件、軟件、信息、人員，通過設(shè)計物理安全策略、網(wǎng)絡(luò)安全策略、數(shù)據(jù)加密及備份策略、病毒防護策略、系統(tǒng)安全策略、身份認證及授權(quán)策略、口令管理策略、災(zāi)難恢復策略等，形成體系化的安全策略確保組織運作的連續(xù)性、信息完整性和機密性。同時還可根據(jù)交易平臺的總體安全策略和業(yè)務(wù)應(yīng)用需求，制定安全管理的規(guī)程和制度，如平臺物理環(huán)境、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)等各層面的安全管理規(guī)程，第三方訪問控制和相關(guān)的操作規(guī)程，資產(chǎn)和設(shè)備管理制度，災(zāi)備管理制度，安全教育管理制度，平臺安全風險管理制度，安全監(jiān)控管理制度，還可針對重點防御的網(wǎng)絡(luò)攻擊制定專門的網(wǎng)絡(luò)安全事件應(yīng)急處置預案等。

2、安全管理機構(gòu)

按照等保2.0三級管理的基本要求，設(shè)立或明確指導和管理網(wǎng)絡(luò)安全工作的領(lǐng)導機構(gòu)和職能部門。按照《網(wǎng)絡(luò)安全法》相關(guān)制度的設(shè)計，國有企事業(yè)單位的網(wǎng)絡(luò)安全管理工作的職能部門通常設(shè)置在信息化管理部門。《電子招標投標辦法》的制度體系，則明確了運營機構(gòu)的組織概念，并且對運營機構(gòu)賦予了交易平臺安全管理的職責。從近些年國有企業(yè)交易平臺的運營情況來看，運營機構(gòu)通常設(shè)置在與信息化管理部門平行的采購管理部門或者是采購管理部門下屬的獨立運營公司。對以上兩個制度體系進行梳理，運營機構(gòu)本身應(yīng)做好交易平臺的網(wǎng)絡(luò)安全管理工作，同時還應(yīng)加強與信息化管理部門之間的合作與溝通，共同協(xié)作處理好網(wǎng)絡(luò)安全工作中所遇到的問題。

建立崗位和人員安全責任制度，將平臺安全責任分解到每位員工自身崗位職責中，重點明確與網(wǎng)絡(luò)安全相關(guān)的系統(tǒng)管理員、審計管理員和安全管理員三類崗位的職責與任務(wù)，其中安全管理員應(yīng)是專職人員，不可兼任；通過在員工績效考核中增加安全KPI指標，落實安全管理責任制。

3、安全管理人員

平臺安全是運營機構(gòu)全體成員的責任。運營機構(gòu)需定期組織全員學習國家安全法律法規(guī)，企事業(yè)單位安全管理制度以及安全基礎(chǔ)知識，以強化安全責任意識，提升整體安全工作能力。核心的安全管理崗位人員最好具備相關(guān)專業(yè)資格（如CISP或CISSP認證）和技術(shù)技能，同時還需與運營機構(gòu)簽訂安全承諾責任書和信息保密協(xié)議。

運營機構(gòu)如對部分職能進行外包，外包人員可能需要進行駐場工作，也可能遠程訪問到企業(yè)的內(nèi)部系統(tǒng)，這就需要對外包人員的訪問控制進行嚴格的管控，做好書面記錄和備案，最關(guān)鍵的也是落實外包人員相應(yīng)的安全責任。

4、安全管理建設(shè)

此前，多數(shù)交易平臺主要是參考《電子招標投標系統(tǒng)檢測技術(shù)規(guī)范》進行建設(shè)，隨著等保2.0新政的出臺，今年也有一些交易平臺開啟了滿足等保2.0第三級要求的安全升級建設(shè)?；诎踩ぷ鳌巴揭?guī)劃、同步組織實施、同步運作投產(chǎn)”的三同步原則，在規(guī)劃階段可參考《GB/T 25070-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求》進行系統(tǒng)安全整體設(shè)計；在實施階段應(yīng)保證在軟件開發(fā)過程中注重代碼編寫安全規(guī)范，注重對安全性進行測試，平臺上線前需對可能存在的惡意代碼進行檢測，同時整個實施過程需通過第三方工程監(jiān)理來進行控制；在試運行階段開展定級、安全等級測評和備案工作，等保三級測評工作需要每年開展一次。

《技術(shù)規(guī)范》出臺的這些年，促進了一些國內(nèi)交易軟件廠商發(fā)展壯大。運營機構(gòu)將交易平臺委托外部專業(yè)供應(yīng)商進行建設(shè)的情況較為常見。在委托建設(shè)中，運營機構(gòu)應(yīng)注意在合同中對雙方的安全責任邊界進行明確，并建立有效的供應(yīng)商定期審查機制，對其服務(wù)安全性進行評估，以便及時識別潛在風險，加強信息安全的管控。

5、安全運維管理

安全運維首先要求運營機構(gòu)加強對網(wǎng)頁掛馬、網(wǎng)頁篡改、病毒等網(wǎng)絡(luò)安全攻擊事件的主動防御，如定期對防惡意代碼庫進行更新升級；定期開展安全測評，發(fā)現(xiàn)并及時有效的處理各類漏洞；指定專人做每日巡檢工作，分析和統(tǒng)計各類日志、監(jiān)測、報警數(shù)據(jù)，及時發(fā)現(xiàn)可疑行為。其次，運營機構(gòu)應(yīng)加強對變更性運維工作的管控，如各種配置變更操作需經(jīng)審批后才可改變，配置信息變更需同步更新維護配置信息庫，同時操作日志需留存且不可更改。對于安全事件的處置，運營機構(gòu)也應(yīng)形成一套處理流程和信息上報機制，針對不同等級類型的安全事件要有相應(yīng)的應(yīng)急預案作為保障，定期組織應(yīng)急演練，以檢驗應(yīng)急預案的實用性、可用性和運維隊伍的協(xié)同反應(yīng)水平和實戰(zhàn)能力。

如運營機構(gòu)對運維工作進行外包，選擇的外包運維服務(wù)商應(yīng)在技術(shù)和管理方面具備安全運維的能力，還應(yīng)對雙方在整個服務(wù)供應(yīng)鏈中所需履行的網(wǎng)絡(luò)安全相關(guān)義務(wù)進行明確，并應(yīng)定期對外包運維服務(wù)進行監(jiān)督、評審和審核。

等保2.0新政下的網(wǎng)絡(luò)信息安全管理，是加強交易平臺安全管理不可缺失的部分。隨著交易平臺逐步的深化建設(shè)，對于云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)等各類新技術(shù)場景也有相應(yīng)的拓展應(yīng)用，如何在日益成熟的新技術(shù)環(huán)境下實行等級保護，也是運營機構(gòu)下一步需要深入研究的內(nèi)容。

參考文獻：

[1]中華人民共和國網(wǎng)絡(luò)安全法，中華人民共和國主席令（第五十三號），2016,11.

[2]信息安全等級保護評估中心，GB/T 22239-2019 信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求[M].中國標準出版社，2019.

[3]信息安全等級保護評估中心，GB/T 28448-2019 信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求[M].中國標準出版社，2019.

[4]夏冰.網(wǎng)絡(luò)安全法和網(wǎng)絡(luò)等級保護，[M].電子工業(yè)出版社，2017.

[5]杜嘉薇.網(wǎng)絡(luò)安全態(tài)勢感知：提取、理解和預測，[M].機械工業(yè)出版社，2018.

[6]許程亮. 電子招標投標系統(tǒng)安全風險分析及應(yīng)對措施[J].招標采購管理，2017.10：55-59.

[7]鄢翔. 基于安全等級保護2_0的高校一卡通應(yīng)用系統(tǒng)安全方案設(shè)計[J].電子技術(shù)與軟件工程，2019.1：192-195.

靳冬（1982-），第一作者，男，碩士，高級工程師，主要研究方向：檢測認證、質(zhì)量管理。單位：中國合格評定國家認可中心。

戴征宇（1987-），第二作者，男，碩士，工程師，主要研究方向：采購供應(yīng)鏈、招標管理、電子招標。單位：中國石油天然氣集團公司物資裝備部。

劉佳穎（1983-），通信作者，女，碩士，高級工程師，主要研究方向：供應(yīng)鏈信息化，電子商務(wù)。單位：浙江鴻程計算機系統(tǒng)有限公司。