搜索
数字证书在网上政府采购的解决方案重庆市数字证书认证中心有限公司网上政府采购系统安全应用解决方案重庆市数字证书认证有限公司1目录一.前言.........................................................................................................................2二.网上政采系统的安全需求.....................................................................................32.1.法律保障.............................................................................................................32.2.身份识别需求.....................................................................................................42.3.抗抵赖的需求.....................................................................................................52.4.机密性的需求.....................................................................................................52.5.完整性的需求.....................................................................................................52.6.招投标站点真实性的需求.................................................................................62.7.网上评标的安全性需求.....................................................................................6三.基于PKI/CA技术的解决方案.............................................................................63.1.总体思路.............................................................................................................63.2.安全、可信招投标网站认证.............................................................................83.3.招投标用户认证...............................................................................................103.4.安全电子标书...................................................................................................113.5.安全电子表单...................................................................................................123.6.数据时间戳.......................................................................................................133.7.标书加密系统...................................................................................................143.7.1.服务器证书................................................................................................173.7.2.单位证书....................................................................................................173.7.3.单位员工证书............................................................................................17四.售后服务...............................................................................................................17网上政府采购系统安全应用解决方案重庆CA中心21.前言公平、透明、节约成本、规范政府经济行为是实行政府采购的本意。随着互联网在中国的普及和电子商务应用的推广,一种利用互联网工具进行发布政府采购信息,招标、竞标的新形式——网上政府采购进入人们的视野。传统的政府采购存在诸多弊端。首先是供应商的选择面比较窄,一方面,供应商的多样性和全面性是优质高效采购的前提条件,但目前我国各级政府采购机关缺少足够丰富的供应商信息资源;另一方面,在政府采购的实际过程中部分机构自行操作,造成重复作业和浪费现象。其次,传统的政府采购模式在竞标时采用一次性报价方式,不能保证政府采购机构获得最廉价的产品、服务和工程。另外,传统的采购模式招标书的发布、购买、标书制作、投标全是靠人工手动完成,标书文件的传递过程非常麻烦,效率极低,资源浪费严重。网上政府采购的优势十分明显:利用互联网工具,从在网上实时发布各种采购信息,到最后的采购完成,使整个流程都可以做到透明化,可以极大的提高采购效率,节省采购成本,实现采购优化。也使得政府采购变得更透明、安全、环保、省时、省钱。但是,网上政府采购系统是基于互联网的、采用B/S结构的应用系统,需要通过广泛的、开放的互联网进行数据通信。因此,不可避免地存在着由于互联网的广泛性和开放性所带来的信息安全隐患,网上政府采购系统安全应用解决方案重庆CA中心3存在很多信息安全需求,包括:信息传输的保密性、信息的完整性、信息的不可否认性、身份的确定性等。因此,需要采用一种有效的技术和手段,来保证基于互联网应用的信息安全需求。目前,最成熟有效的解决方案是采用一种叫做PKI(PublicKeyInfrastructure,公钥基础设施)的技术,它使用成熟的公开密钥机制,综合了密码技术、数字摘要技术、数字签名等多项安全技术,以及一套成熟的安全管理机制来提供有效的信息安全服务。重庆市CA中心通过为用户签发数字证书,使用户可以在业务系统中使用PKI安全技术来完成用户的身份认证、访问控制以及信息传输的机密性、完整性和抗抵赖性,从而充分保障招投标过程中相关信息的安全性。2.网上政府采购系统的安全需求2.1.法律保障在采购过程中需要对参与各方的身份进行确认,需要第三方的CA认证机构颁发的数字证书来从法律上保证身份真实性。目前主要由《中华人民共和国电子签名法》(2005年4月1日颁布实施)对数字认证给予法律支持:《中华人民共和国电子签名法》中各法律条款约定:如“第十三条电子签名同时符合下列条件的,视为可靠的电子签名:(一)电子签名制作数据用于电子签名时,属于电子签名人专有;(二)签署时网上政府采购系统安全应用解决方案重庆CA中心4电子签名制作数据仅由电子签名人控制;(三)签署后对电子签名的任何改动能够被发现;(四)签署后对数据电文内容和形式的任何改动能够被发现。”“第十四条可靠的电子签名与手写签名或者盖章具有同等的法律效力。”等。以上条款都对安全的电子签名的法律效力给予规定和法律保障。重庆CA中心是通过国家信息产业部认定的合法的、权威的、公证的第三方认证机构,也是西南地区目前唯一获得《电子认证服务许可证》、《电子认证服务使用密码许可证》的CA机构,其电子认证服务行为具有法律效力。2.2.身份识别需求多年以来为了保证网络安全,科学家、工程师们想了各种办法来实现安全的认证与传输,技术人员首先想到的是:使用用户名口令方式确认用户的合法身份,虽然口令以“*”显示在屏幕上让人无法偷看,但是对于可以截获网络上传输的数据的黑客来说,在网络上窃取以明文传输的用户名口令易如反掌,一旦用户名口令被黑客窃取,网络黑客就可以利用合法的用户名密码为所欲为。另外不太复杂的用户名口令都可能通过穷举攻击的方法进行解密。由于复杂的用户名密码难以记忆,人们开始研究复杂的登录机制,首先人们想到通过人体特有的信息进行登录,例如指纹信息、视网膜信息等。这些信息在单机系统的时代是非常有效的认证手段,但网上政府采购系统安全应用解决方案重庆CA中心5是一旦这些信息被数字代码化,放到网络上明文传输,就如同明文传输的用户名密码一样成为黑客唾手可得的点心。2.3.抗抵赖的需求网上采购特别需要防止操作用户对其行为和提交的数据进行抵赖,大多数纠纷都发生在此,例如,无赖用户可以认为应用系统和数据存储都是由政府采购中心控制,这些系统中记录的内容不是自己操作的,而是其他特权用户操作的,这样将会导致采购网信誉的降低,还会产生一些不必要的纠纷,因此存在一定的风险。通过使用数字证书可以将电子签名技术整合在系统中,这点在《中华人民共和国电子签名法》里面也有法律上的保障,可以防抵赖,在法律的基础上记录所有的操作行为和数据信息。2.4.机密性的需求为了保障网上招投标的安全性、公正性,需要对于一些招投标、采购订单等信息进行加密传输和存储,防止因为招投标信息的泄露造成法律纠纷等不必要的麻烦。2.5.完整性的需求保障信息在传输和存储中的完整性,防止其他人篡改这些记录,从而保障了网上政府采购的公正、公立性,提高采购政府的公信力,树立严谨的政府形象。网上政府采购系统安全应用解决方案重庆CA中心62.6.招投标站点真实性的需求由于网上招投标的网站存储有大量的招投标信息,特别是投标信息,因而往往成为黑客攻击的目标。黑客有可能通过篡改路由信息或DNS信息将用户引导到其他站点,从用户输入的信息或上传的投标书中窃取机密资料,给用户造成重大经济损失,同时也给政府采购造成极坏的负面影响。因此,如何防止站点被假冒,确保网站的真实可靠也是招投标网站不得不重点考虑的问题之一。2.7.网上评标的安全性需求评标人及评标委员会在评标过程中需要确认自己的评标意见,并在完成评标工作后向招标人提交评标报告,评标者需要对自己的评标意见负责,并且不可抵赖,整个评标过程必须符合招标投标法的保密要求。在传统的书面评标中,评标人通过手写签名的方式确认,与传统方式一样,进行网上评标同样需要进行电子签名确认,电子签名必须采用可靠的合法的安全技术来实现。3.基于PKI/CA技术的解决方案3.1.总体思路由于互联网的兴起是建立在TCP/IP这个开放的网络协议之上的,开放给互联网带来了勃勃生机的同时,也由于开放的协议架构,明文传输等特点成为黑客攻击的目标。仅仅靠互联网的通用协议无法网上政府采购系统安全应用解决方案重庆CA中心7实现上述的安全需求。网络技术