海虹药通电子商招标网安全解决方案.docVIP

海虹药通电子商务 招标网安全解决方案 (版本1.0) 北京天威诚信电子商务服务有限公司 2004年8月  目 录 1 概述 1 2 安全需求分析 1 2.1 身份认证与访问控制 2 2.2 通信安全 2 2.3 业务应用安全 3 3 解决方案设计思路 4 4 CA系统设计 5 4.1 系统设计思路 5 4.2 认证体系设计 6 4.3 系统架构与组成 7 4.4 系统功能 9 4.5 工作流程设计 10 4.5.1 最终用户的证书申请流程 10 4.5.2 证书查询流程 12 4.5.3 证书更新流程 12 4.5.4 证书吊销流程 12 4.6 证书存储介质 12 4.7 网络拓扑结构（建议） 13 4.8 软硬件需求（建议） 13 5 网上招投标系统安全设计 14 5.1 系统组成 14 5.2 身份认证授权及通信安全设计 16 5.2.1 原理与组成 16 5.2.2 工作流程 17 5.3 招投标业务安全设计 17 5.3.1 系统组成 18 5.3.2 安全流程设计 19 5.4 证书应用API 20 6 名词与术语表 21 附件 22 天威诚信公司简介 22 公司简介 22 技术优势 23 品牌优势 23 政策优势 23 安全行业资质 23 概述 以Internet为代表的全球性信息化浪潮迅猛发展，信息网络技术的应用正日益普及和广泛，应用层次正在深入，应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩展，从典型的如金融业务系统、网上证券交易业务系统逐渐扩展到政府办公系统、招投标系统以及其他的企业商务应用。伴随网络的普及，越来越多的企业、个人通过互联网进行重要数据的传输、资金的交割和各种商务活动和政务活动的实现。 为了促进医药医疗行业的信息化房展，海虹药通作为一家医药医疗领域从事电子商务的专业化公司，利用信息网络技术，建设了海虹药通招标网站，通过招标网，发布有关招标的产品、价格和公告信息等，为广大海虹药通提供信息服务。另外，在海虹药通中，具有一个专门的应用系统——海虹药通网上招标系统。通过招标系统，招标会员（用户）可以发布招标公告和信息，发布标书；投标会员（用户）可以通过招标系统，查询招标公告和信息，下载标书，进行应标。网上招投标系统的将海虹药通招投标活动公开化，简化了传统招投标业务的流程，提供了招投标活动的效率。 但是，我们知道电子商务的开展是基于互联网进行，由于互联网的广泛性和开放性，给电子商务的提出了很多挑战，其中最为重要的是如何解决电子商务的安全问题，包括如何解决电子商务信息传输的机密性、完整性和不抵赖性，以及身份认证和访问控制等问题。 本方案旨在分析海虹药通和网上招投标系统的信息安全需求，提出海虹药通安全解决方案，解决海虹药通网上招投标应用中存在的各种安全问题。 安全需求分析 海虹药通的安全需求重点在于海虹药通网上招投标系统的安全需求，为此，分析海虹药通的安全需求时，重点是对海虹药通网上招投标系统的安全需求进行分析。我们知道，网上招投标系统可以快速帮助企业建立跨地域、高效率、低成本、高度安全和高度灵活的网上招标电子商务服务系统，全面提高企业的竞争力。网上招投标系统以大量的互联网电子商务标准技术为核心，解决传统招标过程效率低，公平性、透明度和范围广泛性上的不足，利用成熟的B2B和B2C技术，将传统的招标活动搬迁到互联网上，充分发挥电子商务技术的优势，提高招标活动的效率、降低招标活动的成本。 ???网上招投标活动一般都会提供项目管理、招标立项、发售招标书、应标、评标、评定结果、结束招标、灵活多样的招标信息发布等服务，在会员单位使用这些服务会面临着许多安全隐患访问控制 海虹药通网上招投标应用是按照资源来划分权限的，保证只有经过授权的用户才能使用被授权的资源，例如一般的大众用户（未注册的访问者）只能浏览各类公开信息，包括新闻浏览、公开招标的公告、招投标人的产品浏览、可公开的招标记录和公示结果（不能复制、拷贝）等，而会员可以登录到会员区，参与海虹药通的招标活动等。而访问控制的基础是身份认证，如果对登录的用户不能够识别其真实身份，则访问控制无从谈起。 身份认证 登录到海虹药通网上招投标系统的用户既有浏览一般页面的普通广大用户，也有进入网站发布招标信息的招标会员，也有进入网站参与投标的投标会员，还有进入网站对招投标信息进行管理的管理员，此外，也可能会出现伺机对系统进行攻击的黑客分子。在用户访问网上招投标网站时，网站需要通过有效的方式来验证对方的身份，知道访问用户到底是谁。如果不解决这些身份认证的问题，海虹药通网上招投标业务就无法正常开展，甚至还会给带来许多不可估量的其他负面影响，例如：企业形象、客户信心等。 访问控制 按照用户的合法性和资源的控制策略来划分，访问控制一般包括三种形式