電子採購系統

隨著計算機網路的快速發展，招標投標也由原來的手工操作方式逐步轉變到在Internet網上進行的方式。網上招標投標是指通過專用招標投標電子商務平台。憑藉網際網路的運行成本低、覆蓋面廣的優勢，網上招標將傳統的招標投標過程轉變為一個簡單、方便、快捷的過程，並通過無處不在的網路將招標投標信息傳送到各行各業。

然而，網路在帶來便利的同時也帶來了不安全因素。網路的另一端是否是自己真正想交流的對象，已成為一種新的擔憂。網路上信息的傳輸過程是否安全將直接影響到企業、社會乃至整個國家的利益。因此，網上招標投標系統必須將安全提高到與業務相同的高度來對待。

1、身份認證的問題

目前國內的網上招標投標系統主要是採用註冊的用戶名與自定的密碼方式登錄進行操作，這在招標投標這類嚴肅的且對安全級別要求極高的業務中，已經暴露越來越多的問題：

（1）投標方的用戶名是由中介方的系統管理員設定的，而系統管理員具有至高無上的許可權，他們可輕易得到用戶提交的投標信息，如果信息被非法修改，監察方沒有相關的證據可以指正。

（2）用戶自身密碼容易泄漏。由於使用者的安全意識淡薄，經常在無意之間將密碼泄漏出去。如為了不忘記密碼，將密碼寫在紙上；委託他人辦理業務時，將密碼告訴他人，而過後又不更改密碼；為了好記而採用自己熟悉的數字或字母作為密碼等等。此外，由於字母或數字的個數有限，用戶密碼的可選擇空間也有限。而目前計算機的處理能力不斷增強，採用窮舉法猜測密碼也不是一件很困難的事。

2、傳輸數據加密問題

投標業務的執行過程必須在安全的環境中進行，敏感數據（如標單信息、招標投標檔案等）在網上仍然是明文傳送，這同樣存在著安全隱患。

3、數據存儲加密問題

目前相當多的招投標系統沒有對存儲在伺服器的數據進行加密處理，中介方的資料庫管理員可以避開系統直接對資料庫進行操作。

1、數字簽名技術

數字證書採用PKI公開密鑰基礎架構技術，利用以互相匹配的密鑰進行加密和解密。每個用戶自己設定一把特定的僅為本人所知的私有密鑰（私鑰），用它進行解密和簽名；同時設定一把公共密鑰（公鑰），由本人公開為一組用戶所共享，用於加密和驗證簽名。當傳送一份保密檔案時，傳送方使用接收方的公鑰對數據加密，而接收方則使用自己的私鑰解密。通過數字的手段保證加解密過程是一個不可逆過程，即會自用私有密鑰才能解密，這樣保證信息安全無誤的到達目的地。用戶也可以採用自己的私鑰對傳送信息加以處理，形成數字簽名。由於私鑰為本人所獨有，這樣可以確定傳送者的身份，防止傳送者對傳送信息的抵賴性。接收方通過驗證簽名還可以判斷信息是否被篡改過。在網上招投標系統中，徹底摒棄了用戶名/密碼的身份驗證方式，引入數字證書概念利用PKI技術實現身份認證和傳輸加密，進而實現了數據完整性的要求。

數字證書作為網路上的身份證，為電子商務、網上銀行等套用提供了很多便利。數字證書+SSL協定可以很好的實現信息傳輸的加密。如果利用數字證書進行數字簽名，那么數字證書的持有者在網路上的操作具有不可抵賴性，而且保證了這種操作的完整性和不可假冒性，為事後追蹤、明確責任和解決糾紛提供了依據。

2、數字時間戳技術

在招投標系統中，時間和數字簽名都是很重要的證明檔案有效性的內容。數字時間戳（DTS）就是用來證明電子數據的收發時間。用戶將需要加時間戳的檔案經加密後形成文檔，然後將摘要傳送到專門提供數字時間戳服務的權威機構，該機構對原稿加上時間後，進行數字簽名，用私鑰加密，並傳送給原用戶。數字時間戳有效地為檔案發表時間提供了很好的證據。

3、CA認證

為配合網上招投標系統的部署和實施，必須建立相應的CA認證的權威機構，為每一個用戶簽發一張個人數字證書，用於對用戶進行身份認證。CA系統和網上招投標系統各是一個獨立的系統，招投標系統取用CA系統的用戶資料庫。數字證書中包含了用戶姓名、所屬公司等基本信息，這些信息將作為用戶登錄系統後身份驗證和許可權控制的依據，擁有有效數字證書的用戶只能看到與自已證書許可權項對應的內容並執行相應的操作。

CA是證書的簽發機構，它是PKI的核心。眾所周知，構建密碼服務系統的核心內容是如何實現密鑰管理。

4、數據存儲加密

對資料庫伺服器中的數據檔案必須進行加密處理，以保護檔案的保密性和管理的方便性。用戶上載的檔案存儲在資料庫伺服器中，用戶只能通過使用自己的數字證書在限定的時間內通過特定的網頁下載檔案，而無法通過其他方式打開其他人上傳的檔案。即使是資料庫管理員也無法通過特權查看檔案。

網上招標投標是電子商務的一部分，而電子商務的一個顯著特點是其全球性。隨著我國加入世界貿易組織，國外企業會參與我國重大項目的招標，同樣我國的企業也將走出國門，競標國外的一些工程項目。因此，電子商務得以健康持續的發展將取決於法律框架的制訂，使電子市場中的交易具有統一性及法律上的確定性。

世界上很多國家對電子商務的使用都制定了一部分法律法規，但是不同法系的法律不可能很快協調完善。為適應當前國際上對電子商務統一法的要求，1996年6月，聯合國國際貿易法委員會提出了“電子商務示範法”，這為各國電子商務的立法提供了一個範本。它的出台，使電子商務的主要法律問題有了法律依據。

目前，我國關於計算機領域的法律、法規、辦法有《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網路國際聯網管理暫行規定》、《中國公眾多媒體通信管理辦法》、《國際聯網安全保護管理辦法》等。還有一些相關的法律從不同的角度來保護計算機信息系統的有效性和安全性，如有《中華人民共和國契約法》第十一條確定了數據電子的合法地位，第十六條明確了採用數據電子形式訂立契約的生效時間，第三十四條明確了數據電文生效的地點；《中華人民共和國刑法》第二百八十六條中規定，違反國家規定，對計算機信息系統中存儲、處理或者傳輸的數據和應用程式進行刪除、修改、增加操作，傳播計算機病毒等破壞性程式的行為要進行相應的處罰。但是在我國現行的招投標法的第三十條規定了投標檔案必須是密封的書面檔案，而對傳統的紙質檔案之外的電子檔案尚無法律約束力。

在網上進行的交易活動中，參與交易各方可能在整個交易過程中都不會見面，而我們傳統的簽字方式就很難滿足這種網上交易。如何使彼此的要約、承諾具有可信賴性，當出現違約責任時，又如何讓違約方承擔法律責任，這就涉及到交易各方的身法呢確認問題。目前，在網路上確定交易各方身份的有效方式是使用數字簽名。世界上已經又很多國家都制定了數字簽名法，為數字簽名的有效性提供了法律依據，如新加坡的《電子交易法案》、美國的《全球及國內商務電子簽名法案》、日本的《電子簽名與認證服務法》等。我國《契約法》確定了數據電文的合法性，但沒有對電子簽名問題作出規定，該法第三十二條的規定顯然是針對傳統交易方式的。因此，修改現行的簽名規定或者制定數字簽名法才能確定數字簽名的法律地位。

2002年4月15日在北京成立的全國信息安全標準化技術委員會，承擔數字簽名、信息安全評估管理等公共信息安全的國家標準的制訂。中央辦公廳、國務院辦公廳2002年8月聯合轉發《國家信息化領導小組關於我國電子政務建設指導意見》，明確提出抓網路與信息安全，並制定完善電子政務網路與信息安全保障體系。

此外，數字簽名安全認證機構在數字簽名制度中占據十分重要地位。在網上交易過程中，認證機構（CA）是提供身份驗證的第三方機構，由一個或多個用戶信任的具有權威性質組織實體。數字簽名安全認證機構的法律地位，現行的法律中尚未涉及，但隨著電子商務的發展，CA認證機構對網上交易各方來說都是非常重要的，為了保障我國電子商務的健康發展，由政府組建或者授權認證機構擔任數字簽名的安全認證中心很有必要性。

總之，保障網上招標投標的健康發展，要採用必要的技術和行政手段來落實各項安全措施，要在網上招標投標系統中設定必要的審核機制，對用戶身份合法性進行檢驗，防止非法用戶進入系統。為了保護信息的完整性、有效性、不可抵賴性和交易身份的真實性，要不斷完善和加強各種安全管理手段和技術防範，行政管理與技術方法相結合，才能有效保證網上招標投標的安全。