奚文武

【摘要】电子招投标系统存在诸多安全隐患，例如易受到互联网的非法攻击和遭遇电子支付问题，从而使得电子招标的过程受到安全威胁，因此对电子招投标进行安全管理具有重要的意义。本文首先对电子招投标做了概述，然后先分析了电子招投标安全隐患的特殊性，最后详细阐述了电子招投标中的安全管理要点。

【关键词】电子招投标；安全管理；身份认证；网络安全；数字信封技术

一、电子招投标概述

当前是我国电子商务和项目管理信息迅速发展的时代，招投标行业也不例外，在招投标工作上采用先进的电子信息技术，能够大大提升招投标工作的公开和公正性，有利于建立起诚信的招投标秩序，从而使得传统的招投标模式得以转变，促进该行业的可持续健康发展。

但是，电子信息技术在未行业带来快捷和便利的同时也带来了信息技术固有的缺陷，那就是信息安全性问题。尤其是在电子招投标中，由于整个招投标的过程都是在网络之中进行，而网络中又存储着大量的感敏性数据和文件，因此需要构建一个极其安全的网络环境来保障这些数据的安全，保障整个电子招投标过程的顺利进行。

二、电子招投标安全隐患的特殊性

（一）伪冒投标人身份

伪冒投标人的身份是电子招投标中存在的较为突出的安全问题，这是由于网上交易毕竟不同于面对面的交易，在虚拟的环境中交易是存在一定的风险的。若是投标企业的秘钥被一些别有用心的人非法盗用，那么这些人就能够轻而易举的伪冒投标人来进行一系列的非法操作，这样的后果是往往扰乱了正常的招投标程序的同时也给投标企业造成了巨大的经济损失。

（二）泄密投标文件内容

第一，标书的上傳过程极其不安全，由于这个过程要通过互联网，那么就极容易被一些黑客捕获，进而被非法利用。

第二，招标人违规操作的问题也普遍存在，招标人的违规操作会导致投标人的利益受损，这种现象极其恶劣，极大的破坏了电子招投标的公平和公正。

三、电子招投标中的安全管理

（一）实行新型的身份认证

在身份认证中，最大的安全问题莫过于密钥的泄露。因此，改革密钥已经成为势不可挡的趋势，其中一次性口令原理则是密钥更新的新方向。

1、新型身份认证的具体流程

要想将身份认证达到具有密钥更新机制的目的，需要经过几个过程，分别为注册、密钥生成、身份验证、签名和密钥更新。

2、安全性分析

一次性口令的原理可以很好的应用在身份认证上，应用这个原理，新型的身份认证就可以对密钥实行更新，一旦密钥出现问题，便能在第一时间发现密钥是否泄漏，不给非法者违法利用的机会。即使密钥存在泄漏的风险，但是如果能在第一时间发现，那么投标人就可以对密钥进行修改，变更注册的密钥信息，通过这种方式可以有效防止一些不法的侵害。

（二）网络安全防护

第一，网络安全防护的首要任务是安全信息平台的建设，该平台就是俗称的安全网管，其主要功能就是对一些安全事件进行专业客观的分析和管理。安全网管管理的内容既涉及到硬件的管理，如安全设备，也涉及到软件的管理，例如防火墙。

第二，要对防火墙、入侵防御、VPN、安全网闸等进行部署。

1、防火墙是为大众广泛熟知的安全管理软件，其主要功能在于防范外部攻击、保护内部安全。通过建设防火墙，能够大大提高网络的安全度。需要注意的是，在建设防火墙之前，要对其进行硬件升级，并进一步在配置上对其进行评估，及时发现系统的漏洞，并对其进行修补。

2、入侵防御部署能很好的对数据流实施监控，尤其是子招标投标系统专网

核心层入口以及内部重要网段的数据流，通过部署入侵防御，能起到实时阻止非法攻击的作用。其中很显著的一个功能就是对服务器群进行的一项管理，即虚拟补丁管理，能有效防范“拒绝服务攻击DOS”。

3、VPN部署是保障专网从外网接入时的安全的，因此VPN部署通过在电子

招标投标系统专网核心层建立VPN接入和认证中心，来达到这一目的。

4、安全网闸部署的作用同样不可小觑，它是保障内网安全的屏障。电子招

标投标系统的专网分为内网和外网，这是由安全分区的方式而来。与此同时，内外网之间要部署安全隔离网闸，该方法可以实现内、外网之间的信息交互，这样即使在内外网隔断的情况下，数据也可以进行流通。

最后需要做的工作就是进行周期性的风险评估，并及时对系统进行加固。这项工作需要一个专业的安全团队来负责，需要进行风险评估的项目包括网络结构、网络服务、主机系统、数据、应用系统、安全系统、安全相关人员、处理流程、安全管理制度、安全策略等，在评估完成后，要得出科学的评估结果，根据评估结果制定相应的加固技术方案，以修补系统中存在的漏洞，维护网络的安全。

（三）数字信封技术解决标书的保密性问题

数字信封技术并广泛用于投标文件的密封以及解封中，另外在电子开标中也应用广泛。数字信封技术有很强的优越性，体现了对称加密算法的优点，即运算速度快并且安全性能好，与此同时也是非对称加密算法优势的体现，即对密钥的便利管理。

第一，投标方要对其投标书进行加密，采用随机对称密钥加密的方法，对称密钥务必用招标代理的公钥加密一次，然后用投标人的公钥再次加密，最后将再次加密的密钥和加密的投标文件一起发送给招标代理。根据我国招投标法明确规定，投标文件必须在截标日前送至招标代理处。而此时的投标文件是已经经过双重加密的，即招标代理公钥加密一次，投标人公钥加密一次，因此，假设是单方的私钥，必然是无法开启招标文件的。这就确保了开标前存放在系统中的招投文件的安全性和绝密性。第二，采用数字信封技术开标时，首先，投标人用私钥将投标文件的第一层数字信封打开；其次，所有投标人的第二层数字信封由招标代理会在开标时间到来时用私钥一次全部打开，这样就取得了初始的对称密钥；最后，用对称密钥逐个开启各投标人的加密投标文件。由此可见，数字信封技术的安全性高，很难找到漏洞，能够有效保障文件的安全。

（四）安全防护制度

1、系统化管理

要针对电子招投标设立一整套系统化的安全管理制度，明确电子招投标的各个岗位的责任，将岗位责任制贯彻到底。除此之外，也要建立电子招投标的报告制度和内审制度以及应急预案制度，使得安全防护有一整套系统化的制度作为保障。

2、工作制度

规范和指导电子招标投标系统全部安全工作的程序和方法需严格遵守安全管理制度，通过安全管理制度才能确保员工各尽所能，克尽厥职，兢兢业业，勤奋工作，各项信息安全活动能够更加高效、高标准进行，并在各职能部门和工作环节之间分工协作、协调稳定地展开。

参考文献

[1]李延才.关于我国电子化招投标的思考[J].内蒙古科技与经济，2013（09）

[2]李福，孙星明，孙光.电子招投标系统的安全体系设计与应用[J].科学技术与工程，2008（13）