电子化政府采购系统安全解决方案

一、方案背景

  我国的政府采购是伴随着财政预算管理体制改革而不断发展和完善起来的,随着2003年1月1日《中华人民共和国政府采购法》正式实施,我国的政府采购进入了全面推行阶段。随着电子化政府采购平台建设的不断推进,各地方政府采购电子化发展日益加快。据2008年统计显示,全国57%省市的政府采购实现了网上下载招标文件,30%省市的政府采购可以进行网上招标。伴随着政府采购的全面推进,使得电子化政府采购系统应运而生,电子化政府采购系统作为一种网络信息系统,也存在着其他信息系统类似的安全隐患和安全问题。


二、需求分析

  电子化政府采购系统作为一种实现特殊业务的特有系统,也具有一些自身特点的安全需求,以及需要满足这些特殊需求的特有解决方案。在政府采购电子化的过程中,用户不得不面临着新的安全挑战,主要有以下几点:

  (1) 身份认证需求:在电子化平台上保障政府采购参与各方的身份合法性和真实性;

  (2) 责任认定需求:确保招投标行为和文档内容的不可抵赖性;

  (3) 合法时间需求:确保招投标行为的时效性;

  (4) 传输安全需求:保障招投标过程中重要信息的机密性。


三、方案简介

  1、设计思路

  本方案的设计思想是由BJCA提供第三方认证服务,为电子化政府采购系统用户提供数字证书的发放,更新,注销等证书生命周期的管理;在电子化政府采购系统中集成BJCA证书应用中间件实现证书登录及信息传输安全;使用电子签章实现电子文件的文档真实性和责任认定;利用时间戳服务系统保证电子化政府采购系统时间的有效性、合法性。

  2、方案设计

zszfcg-01.png

方案设计框架图

  根据《政府采购法》对电子化政府采购系统的安全要求,结合上述的安全需求分析,BJCA根据多年在网上招投标及电子化政府采购项目实施中积累的丰富经验,提出了一整套全面满足电子化政府采购平台安全需求的解决方案。具体方案如下:

  (1)依托电子签名法,引入国家认可的第三方认证机构颁发的数字证书,为招投标业务提供具有法律保障的数字签名,保障招投标业务中涉及的各类操作和文档的法律有效性。

  (2)由BJCA为参与招投标的各方发放数字证书,提供基于数字证书生命周期的管理,保障政府采购业务顺利开展。

  (3)通过在招投标系统上部署证书应用中间件(Web信息安全系统)产品,解决招投标过程的身份认证、信息完整性、机密性保护。

  (4)为保障招投标过程中关键环节时间的准确性和一致性,可在本地建设或获取北京CA提供的第三方可信时间服务来获取标准时间服务,并为招投标关键环节生成时间戳,一旦发生纠纷,时间戳可作为时间证明为司法提供证据。

  (5)部署电子签章系统,提供与传统电子化政府采购业务文档打印盖章相似的电子签章图形化功能,提供视觉上的签章图形显示,结合数字证书及可靠的数字签名技术确保了招投标电子文档中的数字签名与现实世界中签字盖章拥有相同的法律效力。

  3、系统部署

  下图作为电子化政府采购的典型应用场景,通过部署上述的产品和服务,实现对电子化政府采购业务全面的安全保护。

zszfcg-02.png

方案部署典型示例

  4、方案特点

  (1)CA中心的法律保障性

  北京数字证书认证中心(BJCA)是政府批准成立的认证机构,在《电子签名法》颁布以后,成为首批具有信息产业部颁发《电子认证服务许可证》的合法第三方电子认证服务机构。基于权威可靠的北京数字证书认证中心体系,在第三方电子认证这个特殊的领域,既符合国家政策和法律,也具有安全可靠的保证。

  (2)电子签名过程的合法性

  BJCA提供了完全符合《电子签名法》要求的电子签名解决方案,根据这个方案产生的交易证据可以作为法律上认可的依据。

  (3)规范的运营支撑服务

  BJCA作为国内首家通过ISO9001-2000质量管理体系认证的CA机构,建立起了一套规范的运营管理制度和策略。这些制度和规范包括:《可信雇员政策》、《机房访问制度》、《安全应急管理办法》等等。同时,BJCA制定了《电子认证业务规则》,其中对BJCA所承担的电子认证责任和相应的赔偿做出了明确的规定。这一切使BJCA能够为网上招投标系统提供规范、全面的证书运营服务。

  (4)成熟可靠的安全解决方案

  在本方案中,针对政府采购系统的现有安全措施、业务处理流程、技术开发模式进行了全面分析,并在此基础上设计了成熟可靠的证书服务体系和电子签名、加密的招投标流程,提出了相应的证书集成方案,能够确保现有业务流程的平滑过渡,具有很强的项目工程实施可行性。

  (5)全面的证书应用产品支撑

  BJCA围绕数字证书应用,已经开发了统一认证平台、电子签章、安全电子桌面等一系列具有自主知识产权的证书应用产品,能够满足不同层面的安全需求。BJCA积累了无数的产品应用案例经验,并提供随需定制的证书应用开发服务。

  (6)丰富的证书应用及安全服务成功案例

  BJCA大力开发数字证书应用技术,形成了网上审批、网上办税、网上银行、网上证券、网上办公、B2B交易、网上支付、网上博彩等大量证书应用成功案例,这为本方案奠定了坚实的技术基础。

 

四、产品清单

序号

产品名称

功能说明

1

个人数字证书

可靠标识使用人网络身份,电子印章与数字

证书绑定实现电子签章

2

单位数字证书

可靠标识使用单位网络身份,电子印章与数

字证书绑定实现电子签章

3

服务器证书

可靠标识应用系统网络身份

4

Web信息安全系统

解决招投标过程的身份认证、信息完整性、机密性保护

5

时间戳服务系统

获取标准时间服务,并为招投标关键环节生成时间戳,一旦发生纠纷,时间戳可作为时间证明为司法提供证据。

6

电子签章系统

提供与传统电子化政府采购业务文档打印盖章相似的电子签章图形化功能,提供视觉上的签章图形显示,结合数字证书及可靠的数字签名技术确保招投标电子文档中的数字签名与现实世界中签字盖章拥有相同的法律效力。