甘肃筑牢交易数据“安全堤坝”
本报讯 记者郑杨报道 甘肃省发展和改革委员会与甘肃省公共资源交易中心近日联合印发《甘肃省公共资源交易网络信息安全管理办法》(以下简称《办法》),明确了各级公共资源交易中心在网络信息安全保护工作中的主体责任,并对设备与网络管理、数据安全管理、运行维护管理等作出具体要求。
《办法》明确,公共资源交易中心应建立并严格落实网络信息安全责任制,构建公共资源交易网络信息安全防护体系,保障信息系统及其相关的设备、设施、网络安全。自觉接受国家和各级网安、网信、保密、大数据等部门的指导、监督、考核。
在设备与网络管理方面,《办法》明确对涉及国家秘密及商业秘密的设备,必须做到专机专用,严禁接入互联网。所有需要连接互联网或允许通过互联网访问的设备设施,要统一规范设置IP地址和访问端口,要通过白名单控制其访问权限。要定期对内部局域网进行安全扫描,对发现的漏洞及时修补、并统一提供修补程序及修补办法。对内部局域网上的设备设施的网络配置信息进行登记管理,对所有设备的IP地址进行统筹分配和登记,局域网内部所有设备必须使用单位统筹分配的IP地址,不得私自修改。
在数据安全管理方面,《办法》要求严禁擅自公开公共资源交易相关数据或将其用于商业用途。未经允许,不得对相关的软件系统、数据资源进行查阅、删除、修改。软件系统中的数据传输要采用安全套接层(SSL)实现加密;软件系统要具备防结构化查询语言(SQL)注入功能;支撑平台应具备入侵监测、病毒查杀、漏洞修复、网页防篡改等功能。
在运行维护管理方面,《办法》提出要通过定期开展网络安全等级保护测评和密码应用安全性评估来发现并整改隐患。运维工作要做到处处留痕、可溯可查;软件系统代码或数据资源的任何修改,必须经公共资源交易中心负责人审批后进行修改并记录;系统平台要具备入侵检测、网页防篡改等主动防御功能。
《办法》还规定公共资源交易中心应定期对工作人员及第三方运维单位相关人员进行网络安全培训、教育和考核,强化保密意识。专门安全管理部门负责人或关键岗位人员上岗前需进行安全背景审查,并与运维服务单位签订保密协议。
本报拥有此文版权,若需转载或复制,请注明来源于中国政府采购报,标注作者,并保持文章的完整性。否则,将追究法律责任。
