然而,网络在带来便利的同时也带来了不安全因素。网络的另一端是否是自己真正想交流的对象,已成为一种新的担忧。网络上信息的传输过程是否安全将直接影响到企业、社会乃至整个国家的利益。因此,网上招标投标系统必须将安全提高到与业务相同的高度来对待。
目前网上招投标系统存在的安全问题
1、身份认证的问题
目前国内的网上招标投标系统主要是采用注册的用户名与自定的密码方式登录进行 *** 作,这在招标投标这类严肃的且对安全级别要求极高的业务中,已经暴露越来越多的问题:
(1)投标方的用户名是由中介方的系统管理员设定的,而系统管理员具有至高无上的权限,他们可轻易得到用户提交的投标信息,如果信息被非法修改,监察方没有相关的证据可以指正。
(2)用户自身密码容易泄漏。由于使用者的安全意识淡薄,经常在无意之间将密码泄漏出去。如为了不忘记密码,将密码写在纸上;委托他人办理业务时,将密码告诉他人,而过后又不更改密码;为了好记而采用自己熟悉的数字或字母作为密码等等。此外,由于字母或数字的个数有限,用户密码的可选择空间也有限。而目前计算机的处理能力不断增强,采用穷举法猜测密码也不是意见很困难的事。
2、传输数据加密问题
投标业务的执行过程必须在安全的环境中进行,敏感数据(如标单信息、招标投标文件等)在网上仍然是明文传送,这同样存在着安全隐患。
3、数据存储加密问题
目前相当多的招投标系统没有对存储在服务器的数据进行加密处理,中介方的数据库管理员可以避开系统直接对数据库进行 *** 作。
网上招投标系统的安全技术
1、数字签名技术
数字证书采用PKI公开密钥基础架构技术,利用以互相匹配的密钥进行加密和解密。每个用户自己设定一把特定的仅为本人所知的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥),由本人公开为一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密。通过数字的手段保证加解密过程是一个不可逆过程,即会自用私有密钥才能解密,这样保证信息安全无误的到达目的地。用户也可以采用自己的死要对发送信息加以处理,形成数字签名。由于私钥为本人所独有,这样可以确定发送者的身份,防止发送者对发送信息的抵赖性。接收方通过验证签名还可以判断信息是否被篡改过。在网上招投标系统中,彻底摒弃了用户名/密码的身份验证方式,引入数字证书概念利用PKI技术实现身份认证和传输加密,进而实现了数据完整性的要求。
数字证书作为网络上的身份z,为电子商务、网上银行等应用提供了很多便利。数字证书+SSL协议可以很好的实现信息传输的加密。如果利用数字证书进行数字签名,那么数字证书的持有者在网络上的 *** 作具有不可抵赖性,而且保证了这种 *** 作的完整性和不可假冒性,为事后追踪、明确责任和解决纠纷提供了依据。
2、数字时间戳技术
在招投标系统中,时间和数字签名都是很重要的证明文件有效性的内容。数字时间戳(DTS)就是用来证明电子数据的收发时间。用户将需要加时间戳的文件经加密后形成文档,然后将摘要发送到专门提供数字时间戳服务的权威机构,该机构对原稿加上时间后,进行数字签名,用私钥加密,并发送给原用户。数字时间戳有效地为文件发表时间提供了很好的证据。
3、CA认证
为配合网上招投标系统的部署和实施,必须建立相应的CA认证的权威机构,为每一个用户签发一张个人数字证书,用于对用户进行身份认证。CA系统和网上招投标系统各是一个独立的系统,招投标系统取用CA系统的用户数据库。数字证书中包含了用户姓名、所属公司等基本信息,这些信息将作为用户登录系统后身份验证和权限控制的依据,拥有有效数字证书的用户只能看到与自已证书权限项对应的内容并执行相应的 *** 作。
CA是证书的签发机构,它是PKI的核心。众所周知,构建密码服务系统的核心内容是如何实现密钥管理。
4、数据存储加密
对数据库服务器中的数据文件必须进行加密处理,以保护文件的保密性和管理的方便性。用户上载的文件存储在数据库服务器中,用户只能通过使用自己的数字证书在限定的时间内通过特定的网页下载文件,而无法通过其他方式打开其他人上传的文件。即使是数据库管理员也无法通过特权查看文件。
构筑网上交易安全的法制环境
网上招标投标是电子商务的一部分,而电子商务的一个显著特点是其全球性。随着我国加入世界贸易组织,国外企业会参与我国重大项目的招标,同样我国的企业也将走出国门,竞标国外的一些工程项目。因此,电子商务得以健康持续的发展将取决于法律框架的制订,使电子市场中的交易具有统一性及法律上的确定性。
世界上很多国家对电子商务的使用都制定了一部分法律法规,但是不同法系的法律不可能很快协调完善。为适应当前国际上对电子商务统一法的要求,1996年6月,联合国国际贸易法委员会提出了“电子商务示范法”,这为各国电子商务的立法提供了一个范本。它的出台,使电子商务的主要法律问题有了法律依据。
目前,我国关于计算机领域的法律、法规、办法有《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中国公众多媒体通信管理办法》、《国际联网安全保护管理办法》等。还有一些相关的法律从不同的角度来保护计算机信息系统的有效性和安全性,如有《中华人民共和国合同法》第十一条确定了数据电子的合法地位,第十六条明确了采用数据电子形式订立合同的生效时间,第三十四条明确了数据电文生效的地点;《中华人民共和国刑法》第二百八十六条中规定,违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加 *** 作,传播计算机病毒等破坏性程序的行为要进行相应的处罚。但是在我国现行的招投标法的第三十条规定了投标文件必须是密封的书面文件,而对传统的纸质文件之外的电子文件尚无法律约束力。
在网上进行的交易活动中,参与交易各方可能在整个交易过程中都不会见面,而我们传统的签字方式就很难满足这种网上交易。如何使彼此的要约、承诺具有可信赖性,当出现违约责任时,又如何让违约方承担法律责任,这就涉及到交易各方的身法呢确认问题。目前,在网络上确定交易各方身份的有效方式是使用数字签名。世界上已经又很多国家都制定了数字签名法,为数字签名的有效性提供了法律依据,如新加坡的《电子交易法案》、美国的《全球及国内商务电子签名法案》、日本的《电子签名与认证服务法》等。我国《合同法》确定了数据电文的合法性,但没有对电子签名问题作出规定,该法第三十二条的规定显然是针对传统交易方式的。因此,修改现行的签名规定或者制定数字签名法才能确定数字签名的法律地位。
2002年4月15日在北京成立的全国信息安全标准化技术委员会,承担数字签名、信息安全评估管理等公共信息安全的国家标准的制订。中央办公厅、国务院办公厅2002年8月联合转发《国家信息化领导小组关于我国电子政务建设指导意见》,明确提出抓网络与信息安全,并制定完善电子政务网络与信息安全保障体系。
此外,数字签名安全认证机构在数字签名制度中占据十分重要地位。在网上交易过程中,认证机构(CA)是提供身份验证的第三方机构,由一个或多个用户信任的具有权威性质组织实体。数字签名安全认证机构的法律地位,现行的法律中尚未涉及,但随着电子商务的发展,CA认证机构对网上交易各方来说都是非常重要的,为了保障我国电子商务的健康发展,由政府组建或者授权认证机构担任数字签名的安全认证中心很有必要性。
总之,保障网上招标投标的健康发展,要采用必要的技术和行政手段来落实各项安全措施,要在网上招标投标系统中设置必要的审核机制,对用户身份合法性进行检验,防止非法用户进入系统。为了保护信息的完整性、有效性、不可抵赖性和交易身份的真实性,要不断完善和加强各种安全管理手段和技术防范,行政管理与技术方法相结合,才能有效保证网上招标投标的安全。
电子招标投标则是以网络技术为基础,把传统招标、投标、评标、合同等业务过程全部实现数字化、网络化、高度集成化的新型招投标方式,同时具备数据库管理、信息查询分析等功能,是一种真正意义上的全流程、全方位、无纸化的创新型采购交易方式。
企业使用电子招标采购平台的优势:
1.促进公开透明,实现阳光运行。
招投标活动所涉及的(项目登记、招标公告发布、资格预审、发出招标文件、递交投标文件、开标、评标、中标公示等)所有环节均可在网上进行,涵盖招投标全过程,交易参与各方可登录网上招投标管理系统实时掌握了解与其相关的各类公开信息,实现了招标投标的阳光运行,避免了因信息不对称造成的暗箱 *** 作。同时可以通过版式文件技术加上非对称加密技术的运用,强化信息安全保密。
2.降低交易成本,节约社会资源。
网上招标投标可以实现全流程无纸化 *** 作,节约了投标成本,同时还可免去办事人反复往返于招标人、监管机构、交易中心等地,通信、交通、印刷、人力、等方面费用的支出,降低各类资源的消耗。对节约社会资源,保护生态环境具有一定的促进作用。
3. *** 作过程留痕,强化节点监控。
网上招投标系统不仅能将招投标全过程中事项办理、经办人员产生的时间节点完整记载,并将所有文件资料完整记录;而且具备“客户端日志监控”功能,各级建设、审计、纪检等部门可直接对所有项目招标活动进行实时监督和后续检查,保证招投标监管适时准确、全面到位。同时科学合理地固化相应办事流程,特别是对政府投资项目,可以规范办事程序,强化监管管理。
4.减少人为干预,防治腐败滋生。
网上报名、网上资格预审、网上答疑、评委异地远程评标等系统的应用,使得各方对中标结果的人为因素影响大大降低,减小投标企业行贿的冲动;弱化建设单位经办人对评标结果的影响,降低当事人的腐败风险,保护建设单位当事人;评委名单完全保密,减少各方对评委的 *** 控可能;投标单位分散,网上联系,可有效实现投标单位的相互保密,使围标串标难以实现。
5.抬高违规成本,推动诚信建设。
网上招投标系统以企业诚信库为支撑,只有业绩良好的投标者才能入围,弄虚作假的企业一经确认将进入黑名单库,无法获得网上报名资格;通过投标单位对建设单位的评估反馈,有效遏制建设单位工程款的恶意拖欠,有助提高建设单位的诚信建设;完善评委评价体系,有利监督评委的专业能力和道德 *** 守。
首先,先介绍下加密函数,PASSWORD(string)函数可以对字符串string进行加密,代码如下:SELECT
PASSWORD('you')
如下图所示:
执行第一步的SQL语句,查询结果是一串字符串,并且PASSWORD(string)函数加密是不可逆转,
如下图所示:
另外一个加密函数MD5(string),主要针对普通的数据进行加密,代码如下:
SELECT
MD5('hai')
如下图所示:
最后一个加密函数ENCODE(string,pass),可以使用字符串pass来加密字符串string。首先要创建一个数据库表t_pass_info,代码如下:
CREATE
TABLE
t_pass_info(
id
int(10),
pass_info
blob
)
如下图所示:
然后,向这个数据库表插入一条数据,代码如下:
INSERT
INTO
t_pass_info(id,pass_info)
VALUES
(1,ENCODE('dong','bb'))
如下图所示:
6
查看插入数据库表t_pass_info记录,代码如下:
SELECT
*
FROM
t_pass_info
如下图所示:
7
MySQL自带还有一个解密函数DECODE(str,pass_str),可以使用字符串pass_str来为str解密,代码如下:
SELECT
DECODE(ENCODE('dong','aa'),'aa')
如下图所示:
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)