bbs.ebnew

 找回密码
 立即注册
查看: 1673|回复: 0
打印 上一主题 下一主题

网上招标投标的安全性

[复制链接]

0

主题

0

好友

2363

积分

精灵王

日事日毕,日清日高

跳转到指定楼层
楼主
发表于 2009-3-20 14:38:01 |只看该作者 |倒序浏览
随着计算机网络的快速发展,招标投标也由原来的手工操作方式逐步转变到在Internet网上进行的方式。网上招标投标是指通过专用招标投标电子商务平台,将招标投标过程中的各个角色,如供应商、招标机构、评标专家、政府监督机构等连接起来,企业、机关和个人在网上传递投标数据,评标、开标均采用电子手段,通过网络发布中标结果的一种招投标方式。凭借互联网的运行成本低、覆盖面广的优势,网上招标将传统的招标投标过程转变为一个简单、方便、快捷的过程,并通过无处不在的网络将招标投标信息传送到各行各业。
   
  然而,网络在带来便利的同时也带来了不安全因素。网络的另一端是否是自己真正想交流的对象,已成为一种新的担忧。网络上信息的传输过程是否安全将直接影响到企业、社会乃至整个国家的利益。因此,网上招标投标系统必须将安全提高到与业务相同的高度来对待。

  目前网上招投标系统存在的安全问题

  1、身份认证的问题
   
  目前国内的网上招标投标系统主要是采用注册的用户名与自定的密码方式登录进行操作,这在招标投标这类严肃的且对安全级别要求极高的业务中,已经暴露越来越多的问题:
   
  (1)投标方的用户名是由中介方的系统管理员设定的,而系统管理员具有至高无上的权限,他们可轻易得到用户提交的投标信息,如果信息被非法修改,监察方没有相关的证据可以指正。
   
  (2)用户自身密码容易泄漏。由于使用者的安全意识淡薄,经常在无意之间将密码泄漏出去。如为了不忘记密码,将密码写在纸上;委托他人办理业务时,将密码告诉他人,而过后又不更改密码;为了好记而采用自己熟悉的数字或字母作为密码等等。此外,由于字母或数字的个数有限,用户密码的可选择空间也有限。而目前计算机的处理能力不断增强,采用穷举法猜测密码也不是意见很困难的事。

  2、传输数据加密问题
   
  投标业务的执行过程必须在安全的环境中进行,敏感数据(如标单信息、招标投标文件等)在网上仍然是明文传送,这同样存在着安全隐患。

  3、数据存储加密问题
   
  目前相当多的招投标系统没有对存储在服务器的数据进行加密处理,中介方的数据库管理员可以避开系统直接对数据库进行操作。

  网上招投标系统的安全技术

  1、数字签名技术
   
  数字证书采用PKI公开密钥基础架构技术,利用以互相匹配的密钥进行加密和解密。每个用户自己设定一把特定的仅为本人所知的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥),由本人公开为一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密。通过数字的手段保证加解密过程是一个不可逆过程,即会自用私有密钥才能解密,这样保证信息安全无误的到达目的地。用户也可以采用自己的死要对发送信息加以处理,形成数字签名。由于私钥为本人所独有,这样可以确定发送者的身份,防止发送者对发送信息的抵赖性。接收方通过验证签名还可以判断信息是否被篡改过。在网上招投标系统中,彻底摒弃了用户名/密码的身份验证方式,引入数字证书概念利用PKI技术实现身份认证和传输加密,进而实现了数据完整性的要求。
   
  数字证书作为网络上的身份证,为电子商务、网上银行等应用提供了很多便利。数字证书+SSL协议可以很好的实现信息传输的加密。如果利用数字证书进行数字签名,那么数字证书的持有者在网络上的操作具有不可抵赖性,而且保证了这种操作的完整性和不可假冒性,为事后追踪、明确责任和解决纠纷提供了依据。

  2、数字时间戳技术
   
  在招投标系统中,时间和数字签名都是很重要的证明文件有效性的内容。数字时间戳(DTS)就是用来证明电子数据的收发时间。用户将需要加时间戳的文件经加密后形成文档,然后将摘要发送到专门提供数字时间戳服务的权威机构,该机构对原稿加上时间后,进行数字签名,用私钥加密,并发送给原用户。数字时间戳有效地为文件发表时间提供了很好的证据。

  3、CA认证
   
  为配合网上招投标系统的部署和实施,必须建立相应的CA认证的权威机构,为每一个用户签发一张个人数字证书,用于对用户进行身份认证。CA系统和网上招投标系统各是一个独立的系统,招投标系统取用CA系统的用户数据库。数字证书中包含了用户姓名、所属公司等基本信息,这些信息将作为用户登录系统后身份验证和权限控制的依据,拥有有效数字证书的用户只能看到与自已证书权限项对应的内容并执行相应的操作。
   
  CA是证书的签发机构,它是PKI的核心。众所周知,构建密码服务系统的核心内容是如何实现密钥管理。

  4、数据存储加密
   
  对数据库服务器中的数据文件必须进行加密处理,以保护文件的保密性和管理的方便性。用户上载的文件存储在数据库服务器中,用户只能通过使用自己的数字证书在限定的时间内通过特定的网页下载文件,而无法通过其他方式打开其他人上传的文件。即使是数据库管理员也无法通过特权查看文件。

  构筑网上交易安全的法制环境
   
  网上招标投标是电子商务的一部分,而电子商务的一个显著特点是其全球性。随着我国加入世界贸易组织,国外企业会参与我国重大项目的招标,同样我国的企业也将走出国门,竞标国外的一些工程项目。因此,电子商务得以健康持续的发展将取决于法律框架的制订,使电子市场中的交易具有统一性及法律上的确定性。
   
  世界上很多国家对电子商务的使用都制定了一部分法律法规,但是不同法系的法律不可能很快协调完善。为适应当前国际上对电子商务统一法的要求,1996年6月,联合国国际贸易法委员会提出了“电子商务示范法”,这为各国电子商务的立法提供了一个范本。它的出台,使电子商务的主要法律问题有了法律依据。
   
  目前,我国关于计算机领域的法律、法规、办法有《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中国公众多媒体通信管理办法》、《国际联网安全保护管理办法》等。还有一些相关的法律从不同的角度来保护计算机信息系统的有效性和安全性,如有《中华人民共和国合同法》第十一条确定了数据电子的合法地位,第十六条明确了采用数据电子形式订立合同的生效时间,第三十四条明确了数据电文生效的地点;《中华人民共和国刑法》第二百八十六条中规定,违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加操作,传播计算机病毒等破坏性程序的行为要进行相应的处罚。但是在我国现行的招投标法的第三十条规定了投标文件必须是密封的书面文件,而对传统的纸质文件之外的电子文件尚无法律约束力。
   
  在网上进行的交易活动中,参与交易各方可能在整个交易过程中都不会见面,而我们传统的签字方式就很难满足这种网上交易。如何使彼此的要约、承诺具有可信赖性,当出现违约责任时,又如何让违约方承担法律责任,这就涉及到交易各方的身法呢确认问题。目前,在网络上确定交易各方身份的有效方式是使用数字签名。世界上已经又很多国家都制定了数字签名法,为数字签名的有效性提供了法律依据,如新加坡的《电子交易法案》、美国的《全球及国内商务电子签名法案》、日本的《电子签名与认证服务法》等。我国《合同法》确定了数据电文的合法性,但没有对电子签名问题作出规定,该法第三十二条的规定显然是针对传统交易方式的。因此,修改现行的签名规定或者制定数字签名法才能确定数字签名的法律地位。
   
  2002年4月15日在北京成立的全国信息安全标准化技术委员会,承担数字签名、信息安全评估管理等公共信息安全的国家标准的制订。中央办公厅、国务院办公厅2002年8月联合转发《国家信息化领导小组关于我国电子政务建设指导意见》,明确提出抓网络与信息安全,并制定完善电子政务网络与信息安全保障体系。
   
  此外,数字签名安全认证机构在数字签名制度中占据十分重要地位。在网上交易过程中,认证机构(CA)是提供身份验证的第三方机构,由一个或多个用户信任的具有权威性质组织实体。数字签名安全认证机构的法律地位,现行的法律中尚未涉及,但随着电子商务的发展,CA认证机构对网上交易各方来说都是非常重要的,为了保障我国电子商务的健康发展,由政府组建或者授权认证机构担任数字签名的安全认证中心很有必要性。
   
  总之,保障网上招标投标的健康发展,要采用必要的技术和行政手段来落实各项安全措施,要在网上招标投标系统中设置必要的审核机制,对用户身份合法性进行检验,防止非法用户进入系统。为了保护信息的完整性、有效性、不可抵赖性和交易身份的真实性,要不断完善和加强各种安全管理手段和技术防范,行政管理与技术方法相结合,才能有效保证网上招标投标的安全。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

Archiver|手机版|bbs.ebnew.com

GMT+8, 2024-11-13 06:39 , Processed in 0.070726 second(s), 21 queries .

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部