电子招投标中的安全管理初探.docVIP

电子招投标中的安全管理初探 　　【摘要】电子招投标系统存在诸多安全隐患，例如易受到互联网的非法攻击和遭遇电子支付问题，从而使得电子招标的过程受到安全威胁，因此对电子招投标进行安全管理具有重要的意义。本文首先对电子招投标做了概述，然后先分析了电子招投标安全隐患的特殊性，最后详细阐述了电子招投标中的安全管理要点。 　　【关键词】电子招投标；安全管理；身份认证；网络安全；数字信封技术 　　一、电子招投标概述 　　当前是我国电子商务和项目管理信息迅速发展的时代，招投标行业也不例外，在招投标工作上采用先进的电子信息技术，能够大大提升招投标工作的公开和公正性，有利于建立起诚信的招投标秩序，从而使得传统的招投标模式得以转变，促进该行业的可持续健康发展。 　　但是，电子信息技术在未行业带来快捷和便利的同时也带来了信息技术固有的缺陷，那就是信息安全性问题。尤其是在电子招投标中，由于整个招投标的过程都是在网络之中进行，而网络中又存储着大量的感敏性数据和文件，因此需要构建一个极其安全的网络环境来保障这些数据的安全，保障整个电子招投标过程的顺利进行。 　　二、电子招投标安全隐患的特殊性 　　（一）伪冒投标人身份 　　伪冒投标人的身份是电子招投标中存在的较为突出的安全问题，这是由于网上交易毕竟不同于面对面的交易，在虚拟的环境中交易是存在一定的风险的。若是投标企业的秘钥被一些别有用心的人非法盗用，那么这些人就能够轻而易举的伪冒投标人来进行一系列的非法操作，这样的后果是往往扰乱了正常的招投标程序的同时也给投标企业造成了巨大的经济损失。 　　（二）泄密投标文件内容 　　第一，标书的上传过程极其不安全，由于这个过程要通过互联网，那么就极容易被一些黑客捕获，进而被非法利用。 　　第二，招标人违规操作的问题也普遍存在，招标人的违规操作会导致投标人的利益受损，这种现象极其恶劣，极大的破坏了电子招投标的公平和公正。 　　三、电子招投标中的安全管理 　　（一）实行新型的身份认证 　　在身份认证中，最大的安全问题莫过于密钥的泄露。因此，改革密钥已经成为势不可挡的趋势，其中一次性口令原理则是密钥更新的新方向。 　　1、新型身份认证的具体流程 　　要想将身份认证达到具有密钥更新机制的目的，需要经过几个过程，分别为注册、密钥生成、身份验证、签名和密钥更新。 　　2、安全性分析 　　一次性口令的原理可以很好的应用在身份认证上，应用这个原理，新型的身份认证就可以对密钥实行更新，一旦密钥出现问题，便能在第一时间发现密钥是否泄漏，不给非法者违法利用的机会。即使密钥存在泄漏的风险，但是如果能在第一时间发现，那么投标人就可以对密钥进行修改，变更注册的密钥信息，通过这种方式可以有效防止一些不法的侵害。 　　（二）网络安全防护 　　第一，网络安全防护的首要任务是安全信息平台的建设，该平台就是俗称的安全网管，其主要功能就是对一些安全事件进行专业客观的分析和管理。安全网管管理的内容既涉及到硬件的管理，如安全设备，也涉及到软件的管理，例如防火墙。 　　第二，要对防火墙、入侵防御、VPN、安全网闸等进行部署。 　　1、防火墙是为大众广泛熟知的安全管理软件，其主要功能在于防范外部攻击、保护内部安全。通过建设防火墙，能够大大提高网络的安全度。需要注意的是，在建设防火墙之前，要对其进行硬件升级，并进一步在配置上对其进行评估，及时发现系统的漏洞，并对其进行修补。 　　2、入侵防御部署能很好的对数据流实施监控，尤其是子招标投标系统专网 　　核心层入口以及内部重要网段的数据流，通过部署入侵防御，能起到实时阻止非法攻击的作用。其中很显著的一个功能就是对服务器群进行的一项管理，即虚拟补丁管理，能有效防范“拒绝服务攻击DOS”。 　　3、VPN部署是保障专网从外网接入时的安全的，因此VPN部署通过在电子 　　招标投标系统专网核心层建立VPN接入和认证中心，来达到这一目的。 　　4、安全网闸部署的作用同样不可小觑，它是保障内网安全的屏障。电子招 　　标投标系统的专网分为内网和外网，这是由安全分区的方式而来。与此同时，内外网之间要部署安全隔离网闸，该方法可以实现内、外网之间的信息交互，这样即使在内外网隔断的情况下，数据也可以进行流通。 　　最后需要做的工作就是进行周期性的风险评估，并及时对系统进行加固。这项工作需要一个专业的安全团队来负责，需要进行风险评估的项目包括网络结构、网络服务、主机系统、数据、应用系统、安全系统、安全相关人员、处理流程、安全管理制度、安全策略等，在评估完成后，要得出科学的评估结果，根据评估结果制定相应的加固技术方案，以修补系统中存在的漏洞，维护网络的安全。 　　（三）数字信封技术解决标书的保密性问题 　　数字信封技术并广泛用于投标