工程建设电子化招投标安全问题初探.pdfVIP

工程建设电子化招投标安全问题初探 重庆市工程建设招标投标交易中心向庆华 【摘要】随着《招投标法》和《招投标法实施条例》在建筑业招投标 交易市场的约束力和制约力不断增强，越来越多的工程建设项目必须 进入统一的招投标交易市场集中交易，这给传统招投标方式的效率带 来了极大的挑战。目前部分省市建筑市场招投标正向电子化方向转 型，改变招投标部分环节原有交易模式，但由于信息安全问题，招投 标的关键环节需要严密的加解密体系，以防止数据拦截、篡改，用户 抵赖等问题的发生。本文从电子化招投标过程的关键环节出发，分析 存在的主要安全问题，针对这些安全问题，从技术上提出了解决措施， 可供电子化招投标系统设计与研发参考，以确保招投标数据的完整、 可信、真实、安全和合法。 【关键词】电子招投标 安全 加解密 数字签名 一、引 言 电子化目前已成为工程建设招投标交易模式转型的趋势，越来越多的省市 根据自身实际情况，探索推进工程建设招投标工作电子化，以提升交易的便捷性 和高效性。从招投标电子化推行的情况来看，招投标环节中的下载招标文件、发 布招标公告、中标公示等环节运行较为成熟，但投标、开标、评标等关键环节运 用程度还不高。究其原因，主要是电子化招投标系统不很专业也不严密，招投标 各方对其安全性尚有疑虑。作为一种网络信息系统，电子招投标系统同样具有其 他信息系统类似的安全隐患，如服务器站点易受到黑客、病毒攻击，用户身份假 冒，信息被盗、被删除或被篡改，没有严密的加解密体系等，正是由于这一系列 安全问题，导致关键环节的电子化运用程度不高，从而制约招投标全过程电子化 的运用。 二、电子化招投标安全问题分析 1 工程建设类招投标过程的角色主要包括行业监管部门、招投人、投标人、招 标代理机构、评标专家等，按工程建设招投标基本过程，电子化招投系统涉及的 主要角色和主要过程如图1： 图1电子化招投标过程示意图 从图1可以看出，通过电子化取代传统招投标方式，涉及招投标过程的数据 安全，服务器和客户端的站点安全，数据传输的互联网安全，各角色的身份真实 性，加解密体系等一系列安全问题，需要在设计时充分考虑。 （一）站点安全 电子招投标系统通过服务器站点提供招标文件下载、投标文件上传、发布 招标公告和中标结果。站点是信息交流的中转站,由于站点容易遭到恶意程序破 坏,如计算机病毒、特洛伊木马等，因此必须保证其安全性,防止假冒站点伪装 成招投标站点,诱骗用户资料,干扰正常的招投标活动。 （二）身份认证 身份认证主要解决投标、开标、评标等主要环节用户身份的真实性问题， 主要目的是确认信息发送和接收者身份和信息完整性, 即确认信息传递和存储 始终是由可信用户在操作。电子招投标推行初期，承载网络一般是专用网,因此 可以使用比较复杂的专用加密和认证技术进行身份认证。但从图1中可以看出， 招投标用户所处的物理位置决定了互联网必然作为数据传输网络，因此安全性难 以得到保证。用户在登录系统时,必须通过有效的身份认证，同时系统可以根据 用户身份控制访问权限,防止信息泄露和非授权用户执行非法操作。 （三）信息真实性和完整性 投标人在发送投标书后不能否认自己的投标行为和投标书内容,一旦投标 人以虚假的信息干扰评标专家的判断,会严重损害其他投标人的合法利益,造 2 成招投标过程混乱。另外，敏感信息(如投标价格)在网络传输过程中,可能被他 人非法修改、删除或重用,使信息失去真实性和完整性，因此敏感文件在传输和 存储过程中,必须保证不能被修改。 （四）密钥安全 作为非专业人员，用户一般无法确认客户端的安全性，从而面临很大的安 全风险。由于用户没有密码处理能力,因此必须将密钥提供给客户端程序完成。 对于一个恶意或存在安全缺陷的客户端程序而言,攻击者很容易获取用户密钥, 从而进一步获取用户所有权限，而且密钥本身还存在安全问题,面临着传统但也 有效的字典（暴力）攻击的威胁。提高电子招投标系统或客户端的安全性,需要 有合理的加解密体系,同时也需要附加安全设备来保证密钥安全。 三、电子招投标系统安全问题解决措施 从以