电子采购系统[编辑]

概念

电子采购系统是将招标投标过程中的各个角色，如供应商、招标机构、评标专家、政府监督机构等连接起来，企业、机关和个人在网上传递投标数据，评标、开标均采用电子手段，通过网络发布中标结果的一种招投标方式。

简述

　　随着计算机网络的快速发展，招标投标也由原来的手工操作方式逐步转变到在Internet网上进行的方式。网上招标投标是指通过专用招标投标电子商务平台。凭借互联网的运行成本低、覆盖面广的优势，网上招标将传统的招标投标过程转变为一个简单、方便、快捷的过程，并通过无处不在的网络将招标投标信息传送到各行各业。

　　然而，网络在带来便利的同时也带来了不安全因素。网络的另一端是否是自己真正想交流的对象，已成为一种新的担忧。网络上信息的传输过程是否安全将直接影响到企业、社会乃至整个国家的利益。因此，网上招标投标系统必须将安全提高到与业务相同的高度来对待。

安全问题

　　1、身份认证的问题

　　目前国内的网上招标投标系统主要是采用注册的用户名与自定的密码方式登录进行操作，这在招标投标这类严肃的且对安全级别要求极高的业务中，已经暴露越来越多的问题：

　　（1）投标方的用户名是由中介方的系统管理员设定的，而系统管理员具有至高无上的权限，他们可轻易得到用户提交的投标信息，如果信息被非法修改，监察方没有相关的证据可以指正。

　　（2）用户自身密码容易泄漏。由于使用者的安全意识淡薄，经常在无意之间将密码泄漏出去。如为了不忘记密码，将密码写在纸上；委托他人办理业务时，将密码告诉他人，而过后又不更改密码；为了好记而采用自己熟悉的数字或字母作为密码等等。此外，由于字母或数字的个数有限，用户密码的可选择空间也有限。而目前计算机的处理能力不断增强，采用穷举法猜测密码也不是意见很困难的事。

　　2、传输数据加密问题

　　投标业务的执行过程必须在安全的环境中进行，敏感数据（如标单信息、招标投标文件等）在网上仍然是明文传送，这同样存在着安全隐患。

　　3、数据存储加密问题

　　目前相当多的招投标系统没有对存储在服务器的数据进行加密处理，中介方的数据库管理员可以避开系统直接对数据库进行操作。

安全技术

　　1、数字签名技术

　　数字证书采用PKI公开密钥基础架构技术，利用以互相匹配的密钥进行加密和解密。每个用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥），由本人公开为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密。通过数字的手段保证加解密过程是一个不可逆过程，即会自用私有密钥才能解密，这样保证信息安全无误的到达目的地。用户也可以采用自己的死要对发送信息加以处理，形成数字签名。由于私钥为本人所独有，这样可以确定发送者的身份，防止发送者对发送信息的抵赖性。接收方通过验证签名还可以判断信息是否被篡改过。在网上招投标系统中，彻底摒弃了用户名/密码的身份验证方式，引入数字证书概念利用PKI技术实现身份认证和传输加密，进而实现了数据完整性的要求。

　　数字证书作为网络上的身份证，为电子商务、网上银行等应用提供了很多便利。数字证书＋SSL协议可以很好的实现信息传输的加密。如果利用数字证书进行数字签名，那么数字证书的持有者在网络上的操作具有不可抵赖性，而且保证了这种操作的完整性和不可假冒性，为事后追踪、明确责任和解决纠纷提供了依据。

　　2、数字时间戳技术

　　在招投标系统中，时间和数字签名都是很重要的证明文件有效性的内容。数字时间戳（DTS）就是用来证明电子数据的收发时间。用户将需要加时间戳的文件经加密后形成文档，然后将摘要发送到专门提供数字时间戳服务的权威机构，该机构对原稿加上时间后，进行数字签名，用私钥加密，并发送给原用户。数字时间戳有效地为文件发表时间提供了很好的证据。

　　3、CA认证

　　为配合网上招投标系统的部署和实施，必须建立相应的CA认证的权威机构，为每一个用户签发一张个人数字证书，用于对用户进行身份认证。CA系统和网上招投标系统各是一个独立的系统，招投标系统取用CA系统的用户数据库。数字证书中包含了用户姓名、所属公司等基本信息，这些信息将作为用户登录系统后身份验证和权限控制的依据，拥有有效数字证书的用户只能看到与自已证书权限项对应的内容并执行相应的操作。

　　CA是证书的签发机构，它是PKI的核心。众所周知，构建密码服务系统的核心内容是如何实现密钥管理。

　　4、数据存储加密

　　对数据库服务器中的数据文件必须进行加密处理，以保护文件的保密性和管理的方便性。用户上载的文件存储在数据库服务器中，用户只能通过使用自己的数字证书在限定的时间内通过特定的网页下载文件，而无法通过其他方式打开其他人上传的文件。即使是数据库管理员也无法通过特权查看文件。

总结

　　总之，保障网上招标投标的健康发展，要采用必要的技术和行政手段来落实各项安全措施，要在网上招标投标系统中设置必要的审核机制，对用户身份合法性进行检验，防止非法用户进入系统。为了保护信息的完整性、有效性、不可抵赖性和交易身份的真实性，要不断完善和加强各种安全管理手段和技术防范，行政管理与技术方法相结合，才能有效保证网上招标投标的安全。

参考资料：

扩展阅读：