然而,網絡帶來了便利,也帶來了不安全。網絡的另壹端是否是妳真正想交流的對象,成了新的關註點。網絡上的信息傳輸過程是否安全,將直接影響到企業、社會乃至整個國家的利益。因此,網上招投標系統必須將安全性提高到與業務同等的高度。
目前網上招投標系統存在的安全問題
1,身份認證問題
目前,國內網上招投標系統主要采用註冊用戶名和自定義密碼登錄,在招投標這種嚴肅的、要求高安全級別的業務中暴露出越來越多的問題:
(1)投標人的用戶名是由中介的系統管理員設置的,系統管理員擁有至高無上的權限,所以他們可以很容易的得到用戶提交的投標信息。如果信息被非法修改,主管沒有相關證據可以糾正。
(2)用戶自己的密碼容易泄露。由於用戶安全意識薄弱,密碼經常在不經意間泄露出去。比如為了不忘記密碼,把密碼寫在紙上;委托他人辦理業務時,告知他人密碼,之後不要更改密碼;使用熟悉的數字或字母作為密碼,便於記憶等。此外,由於字母或數字的數量有限,用戶密碼的可選空間也有限。目前計算機的處理能力越來越強,用窮舉法猜測密碼並不難。
2、傳輸數據加密問題
招標業務的執行必須在安全的環境下進行,敏感數據(如招標信息、招標文件等。)在網上還是明文傳輸,同樣存在安全隱患。
3、數據存儲加密問題
目前相當多的招投標系統並沒有對存儲在服務器上的數據進行加密,中介的數據庫管理員可以不通過系統直接操作數據庫。
網上招投標系統的安全技術
1,數字簽名技術
數字證書采用PKI公鑰基礎設施技術,使用匹配的密鑰進行加密和解密。每個用戶設置壹個只有自己知道的特定私鑰(private key),用它來解密和簽名;同時設置壹個公鑰(public key),由本人公開,壹組用戶享有,用於加密和簽名驗證。發送機密文檔時,發送方使用接收方的公鑰加密數據,而接收方使用自己的私鑰解密數據。通過數字手段,加密和解密過程是壹個不可逆的過程,即僅用私鑰就可以解密,從而保證信息能夠安全、正確地到達目的地。用戶還可以使用他們自己的信息來處理和形成數字簽名。因為私鑰對我來說是唯壹的,它可以確定發送者的身份,防止發送者否認發送的信息。接收者還可以通過驗證簽名來判斷信息是否被篡改。在網上招投標系統中,完全摒棄用戶名/密碼認證方式,引入數字證書的概念,通過PKI技術實現身份認證和傳輸加密,從而實現數據完整性的要求。
數字證書作為互聯網上的身份證,為電子商務、網上銀行等應用提供了很多便利。數字證書++SSL協議可以很好地實現信息傳輸的加密。如果使用數字證書進行數字簽名,數字證書持有人在網絡上的操作是不可否認的,保證了這種操作的完整性和不可偽造性,為事後追蹤、明確責任、解決糾紛提供了依據。
2.數字時間戳技術
在招投標系統中,時間和數字簽名是證明文件有效性的非常重要的內容。數字時間戳(DTS)用於證明電子數據的發送和接收時間。用戶將需要加蓋時間戳的文件加密形成文檔,然後將摘要發送給提供數字時間戳服務的權威機構。在原始手稿中添加時間後,該組織對其進行數字簽名,用私鑰對其進行加密,然後將其發送給原始用戶。數字時間戳有效地為文檔的出版時間提供了很好的證據。
3.CA認證
為了配合網上招投標系統的部署和實施,需要建立相應的CA認證機構,為每個用戶頒發個人數字證書,對用戶進行身份認證。CA系統和網上競價系統是獨立的系統,競價系統使用CA系統的用戶數據庫。數字證書包含用戶姓名、公司等基本信息,將作為用戶登錄系統後進行身份驗證和權限控制的依據。擁有有效數字證書的用戶只能看到與自己的證書權限項對應的內容,並執行相應的操作。
CA是證書的頒發機構,是PKI的核心。眾所周知,構建密碼服務系統的核心內容是如何實現密鑰管理。
4、數據存儲加密
數據庫服務器中的數據文件必須加密,以保護文件的機密性和管理的方便性。用戶上傳的文件存儲在數據庫服務器中。用戶只能使用自己的數字證書在限定的時間內通過特定的網頁下載文件,不能通過其他方式打開他人上傳的文件。即使是數據庫管理員也不能用特權查看文件。
構建網上交易安全的法律環境
網上招投標是電子商務的壹部分,電子商務的壹個顯著特點是全球性。隨著中國加入世界貿易組織,外國企業將參與中國重大項目的投標,中國企業也將走出國門,投標壹些外國項目。因此,電子商務的健康持續發展將取決於法律框架的制定,使電子市場中的交易具有統壹性和法律確定性。
世界上許多國家都制定了壹些關於電子商務使用的法律法規,但不同法系的法律不能很快協調和完善。為了滿足目前國際上對電子商務統壹法的要求,聯合國國際貿易法委員會於6月提出了《電子商務示範法》,為各國的電子商務立法提供了範本。它的出臺為電子商務的主要法律問題提供了法律依據。
目前,中國在計算機領域的法律法規和措施有《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網絡國際聯網管理暫行規定》、《中國公眾多媒體通信管理辦法》、《國際聯網安全保護管理辦法》等。也有壹些相關法律從不同角度保護計算機信息系統的有效性和安全性。如《中華人民共和國合同法》第十壹條確定了數據電子的法律地位,第十六條規定了以數據電子形式訂立合同的生效時間,第三十四條規定了數據電文的有效地點;《中華人民共和國刑法》第二百八十六條規定,違反國家規定,對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加操作,傳播計算機病毒等破壞性程序的行為,應當受到相應處罰。而我國現行《招標投標法》第三十條規定,招標文件必須是密封的書面文件,但對傳統紙質文件以外的電子文件不具有法律約束力。
在網上交易活動中,參與交易的當事人可能在整個交易過程中不見面,我們傳統的簽名方式很難滿足這種網上交易。如何讓對方的要約和承諾可靠,在存在違約責任時如何讓違約方承擔法律責任,這就涉及到交易雙方的認定問題。目前,在互聯網上確定交易各方身份的壹種有效方法是使用數字簽名。世界上許多國家都制定了數字簽名法,為數字簽名的有效性提供了法律依據,如新加坡的《電子交易法》、美國的《全球和國內電子簽名法》、日本的《電子簽名和認證服務法》等。我國《合同法》確定了數據電文的合法性,但沒有對電子簽名做出規定。該法第32條的規定明顯是針對傳統交易方式的。因此,只能通過修改現有的簽名法規或制定《數字簽名法》來確定數字簽名的法律地位。
全國信息安全標準化技術委員會於2002年4月65438+5月在北京成立,負責數字簽名、信息安全評估和管理等公共信息安全國家標準的制定。2002年8月,中央辦公廳、國務院辦公廳聯合轉發了《全國電子政務建設領導小組指導意見》,明確提出要重視網絡與信息安全,制定和完善電子政務網絡與信息安全體系。
此外,數字簽名安全認證中心在數字簽名系統中占有非常重要的地位。在網上交易過程中,認證機構(CA)是提供認證的第三方機構,是壹個或多個用戶信任的權威組織實體。數字簽名安全認證機構的法律地位在現行法律中尚未涉及,但隨著電子商務的發展,CA認證機構對網上交易的各方都非常重要。為了保證我國電子商務的健康發展,政府有必要設立或授權認證機構作為數字簽名安全認證中心。
總之,要保證網上招投標的健康發展,就要采取必要的技術和行政手段,落實各項安全措施,並在網上招投標系統中設置必要的審核機制,檢查用戶身份的合法性,防止非法用戶進入系統。為了保護信息的完整性、有效性、不可否認性和交易身份的真實性,需要不斷完善和加強各種安全管理手段和技術防範措施,將行政管理和技術手段相結合,有效保障網上競價的安全。