解决方案
当前位置: 首页 > 解决方案 > 通用行业解决方案
电子招投标应用安全解决方案

一、用户背景

中国联通某省分公司在全省设有273个营业网点,移动电话用户总数已突破430万户,各类综合用户突破500万户。公司具有常年供应商200余家,随着招投标系统的投入使用,将越来越多采用在线招投标方式。

二、用户需求

  1. 确保身份的真实性

招投标系统涉及到诸多的招投标敏感问题,需要保证在线招投标用户身份的真实性。

  1. 确保标书操作的防抵赖、防篡改

招标书的发放和投标书的上传将通过电子方式,需要实现招标书和投标书的完整性和不可抵赖性。

  1. 确保传输的机密性

所有的招标书和投标书必须进行加密传输,确保其在传输过程中不能被窃听和篡改。

  1. 确保存储的安全性和时效性

所有投标书要求被加密存储,不到开标时间,业主单位,专家都不能解密阅览,要确保招投标的严肃性和公平性。

三、解决方案

  1. 建设数字证书认证服务器,解决服务器和单位用户身份真实性的问题。具体建设方案如下:
    • 1) 证书服务器负责证书的全生命周期管理,部署在独立的基础认证域;
    • 2) 为应用服务器颁发服务器证书,为投标单位颁发单位签名证书(用于登录时验证单位身份和对标书进行签名)和单位加密证书(用于对标书进行加密和解密),为联通分公司颁发加密证书(标书加密和解密);
    • 3) 单位证书存储于USB KEY,确保私钥的安全。USB KEY是带有密码芯片算法的KEY,存储量大于等于64K。
  1. 建设签名验签服务器,对招投标系统中的招标书及单位用户的投标书进行数字签名和验证,保证投标数据的完整性,实现抗抵赖的功能。具体建设方案如下:
    • 1) 将签名验签服务器部署在应用服务域,在浏览器安装签名控件;
    • 2) 用户的操作需要用私钥进行签名,服务器端对用户的签名数据进行验签;
    • 3) 进行服务器和客户端双向签名和验签;
    • 4) 应用数据和签名数据进行分别存储。
  1. 建设安全认证网关,解决身份认证、访问控制、传输加密问题,实现统一认证和单点登录。具体建设方案如下:
    • 1) 安全认证网关部署在防火墙之后,采用串联方式,热备部署。部署中心化、简单化,不改变整体网络的结构;
    • 2) 对互联网发布的应用服务器全部在安全认证网关的保护之下,用户远程登陆,通过安全认证网关的身份认证后,在授权范围内访问有权限的应用服务;
    • 3) 所有传输的数据全部进行加密,保证数据的完整性和机密性,防止被黑客窃听和截取;
    • 4) 实现统一认证和单点登录,提高用户的操作便捷性,带来良好的用户体验。
  1. 建设数据加密服务器,解决标书文件的加密和解密需求。具体过程如下:
    • 1) 将数据加密服务器部署在应用服务域,在浏览器安装加密控件;
    • 2) 招投标应用服务器在接收到投标单位的投标书后,将内存中的标书文件(密文)使用标书加密证书进行再次加密,存放在系统中;
    • 3) 标书加密密钥由专人持有,并有严格管理规定,不能擅自使用,如擅自使用将承担管理责任和法律责任;
    • 4) 开标时,联通分公司的项目开标人申请使用标书加密证书对投标书进行解密。之后,通知各投标人对投标书进行再次解密,获得明文投标书,开始进入评标流程。

四、网络拓扑

应用安全设备部署拓扑图

五、用户收益

  1. 通过强身份认证手段的采用,确保所有登录OA系统用户身份的真实性。
  2. 通过对操作、交易的数字签名和验签,满足了抗抵赖性、事后责任可追溯的要求。
  3. 通过加密传输保证了数据传输的机密性和完整性,通过单点登录提高了应用的便捷性。
  4. 通过对标书加密和解密的处理,实现了与传统招标流程一样的严肃性,保证了招投标流程的权威性、合法性。