【行业经验】电子招标投标系统安全风险分析及应对措施.pdfVIP

【行业经验】电子招标投标系统安全风险分析及应对措

施

随着《网络安全法》的正式颁布和实施，网络安全问题已经上升到国

家层面。电子招标投标系统作为电子政务的重要组成部分，需要确保电子

招标投标过程的安全性，而系统内的招标投标主体的数据信息和招标投标

过程中产生的重要数据信息容易成为互联网的非法攻击目标，如何将安全

防护工作落到实处，在当前形势下尤为迫切。

中国招标公共服务平台已经与200多家电子招标投标交易平台实施了

数据对接，在与交易平台沟通业务的过程中，很多交易平台表达了在安全

建设过程中的困惑，部分交易平台的安全防护建设现状令人担忧。为此，

平台公司组织了安全专家就电子招标投标平台的安全问题进行了专项研

究，本文将结合电子招标投标全流程和大家分享这方面的经验。

电子招标投标全流程的主要节点分为招标、投标、开标、评标、定标

五个主要阶段，其中招标公告信息中招标内容和资格条件的确认、确保投

标单位信息的保密、评标专家的抽取和名单的保密、投标文件内容的防窃

取与防篡改、开标环节的防解密失败、评标过程中的防泄密和评标结果防

篡改是电子招标投标工作中的重点安全问题，总结五大环节中需要解决的

风险点，主要可以归为六类问题，即：电子招标投标用户的身份确认问

题、投标报名阶段投标人的名单泄露风险、专家抽取环节专家名单的泄露

风险、投标文件的防窃取和防篡改问题、开标环节的防解密失败风险以及

评委评标过程的防泄密和评标结果的防篡改问题。

针对以上需要解决的风险和问题，我们需要从信息技术和管理制度两

个方向入手，建立一个完整的安全防御体系。通过必要的安全架构、技术

和安全管理制度，做到事前防范和事后的风险控制。

一、信息技术安全

（一）信息操作者（主体）的身份合法性

1.身份标识与鉴别

在《电子招标投标系统技术规范》中要求应对招标人、招标代理机

构、投标人、评标专家等登录用户进行身份标识与鉴别，并提供身份标识

唯一性检查功能。应采用以下措施，确保用户身份不易被冒用：

（1）提供鉴别信息复杂度检查功能。比如系统登录用户的密码复杂度

检测，要有密码强度提示。

（2）对身份标识与鉴别异常提供保护措施。比如在系统登录失败多次

后，应自动锁定账户，再通过其他认证手段进行解锁。

（3）使用CA数字证书对交易主体的身份进行标识与鉴别。需要进行

身份标识与鉴别的电子招标投标交易行为包括：递交资格预审申请文件、

递交投标文件、递交投标保证金、撤回投标文件、确认开标记录、递交回

执、发出中标通知书、签订合同（协议书）等需要招标投标主体承担相应

法律责任的电子招标投标行为。

（4）采用两种或两种以上上述措施进行组合鉴别技术。

2.电子签名

通过电子签名来确保电子招标投标文件的完整性和不可抵赖性。电子

签名使用的数字证书应采用合法的CA机构颁发的证书，提供按照国家授时

中心的标准时间源对需要电子签名的文件生成时间戳的功能。

应使用电子签名的文件包括：招标公告（资格预审公告）、投标邀请

书、资格预审文件（澄清和修改）、资格预审申请文件（澄清和修改）、

资格审查报告、招标文件（澄清和修改）、投标文件（补充、修改、撤

回、澄清）、开标记录、评标报告、中标通知书、合同（协议书）及相关

文件的签收回执等具有法律约束力的文件。

（二）信息传输过程的安全性

对于招标投标的信息传输，一是使用SSL协议进行通道加密传输，同

时使用公开密钥体质和数字证书技术保护信息传输的机密性；二是对于投

标单位名单、评委名单、评标结果等敏感数据采用自定义的加密技术。

《电子招标投标系统技术规范》中对于数据接口的安全要求有具体规定，

在传输的接入点实施网络边界安全控制，接口的安全控制应包括：安全评

估、访问控制、入侵检测、口令认证、安全审计、防恶意代码、加密等内

容。

数据接口访问应进行双方身份安全认证，确保接口访问的安全性。比

如在和国家公共服务平台数据接口进行传输时，首先采用双方白名单互认

机制，指定IP才能访问和调用接口，传输前先进行身份验证确认，再进行

数据传输，从交易平台到国家公共平台的传输通道采用SSL协议加密。

（三）信息存储环节的安全性

采用加密或其他保护措施确保重要数据存储的保密性。对于投标人的

名单、评标专家名单、评标结果等数据，要进行