目前，政府采购电子化的发展速度非常快，年均增长近40%，但规模总量与国际上政府采购规模占GDP比重10%相比，仍然有很大差距。中国政府采购电子化还处在初级阶段，其原因是电子采购发展始终停留在信息流数字化层面，即用户在网上获知商品信息，并进行商品信息交流，而之后的物流和资金处理都尚未数字化，仍然是在线下通过物理方式来完成，这种交易方式是不完全的电子商务。

    政府采购电子化是政府采购的发展方向，旨在利用先进的计算机网络技术在网上建立电子化政府采购平台，招投标中心可以通过门户网站发布招投标信息，供应商登录系统后进行投标竞价，然后由招标中心组织网上开标和专家评标，并将采购过程及时、完整地公布于互联网上，接受社会公众的监督，实现“阳光下的交易”。这样能够真正体现“公开、公平、公正和诚实信用”的政府采购基本原则，对增强透明度、提高政府采购效率、增强竞争和减少欺诈将发挥重要作用。
 
    信息安全制约政府采购电子化步伐
    政府采购电子化的推广主要取决于上层领导的决心。从技术上讲，已经存在一定的手段保障整套系统的建设，相对国外的实现方式而言，基本上处于一个相同的层次，部分领域甚至优于国外。

    以广东省的电子化政府采购情况为例，它起步较早，目前推广的速度也比较快，广东省以及下属大的地级市和部分行业局基本上都已建成或正在建设相关的系统。在这些系统中，基本都采用了数字认证技术来保障系统的安全。部分系统的功能已经做得非常贴近实际采购流程，并有稳定的用户群体和多年的持续稳定运行经验。例如: 深圳市政府采购中心从2003年至2007年7月，共完成采购预算84.67亿元、节约资金10.19亿元,节资率为12%; 广东省药品阳光采购服务平台自2007年在全省范围内率先实行药品网上阳光采购改革以来，全年药品采购总额达192.7亿元，节约患者费用近20亿元。

    由于政府采购涉及金额巨大、影响面广、本身业务逻辑也很复杂，因此对安全性要求非常高。但目前的电子化政府采购的信息化程度还不彻底，在技术方面，大多尚停留在信息发布或部分采购业务网上进行阶段; 在业务方面，多数还处于小规模探索和系统建设阶段。

    在政府采购电子化过程中，信息安全是其中的重中之重。电子化政府采购的安全问题亟待解决，例如用户身份确认、电子标书内容保密、网上操作电子数据法律有效性、投标竞价防抵赖等问题。PKI（Public Key Infrastructure，公钥基础设施）技术被公认为是解决这一难题的最成熟、最有效的解决方案，并得到广泛应用。
   安全需求分析

   电子化政府采购总体需求是:

    1. 系统安全性由软件和硬件相结合来解决;

    2. 保障网上招投标操作的法律有效性;

    3. 安全和业务分离，安全以中间件的形式为上层应用提供服务;

    4. 正确性、安全性和信息率要兼顾;

    5. 在注重安全的同时，还必须兼顾操作的简便性和性能的稳定性。

    详细的安全功能需求包括对用户身份确认的安全性保障、对数据传输的安全性保障、网上表单数据的安全保障、用户操作的可信时间保障、标书的密封（保密）、开标过程控制，以及网上招投标操作行为的不可抵赖性。

    通过引入CA（Certificate Authority）认证服务系统，可以提高以下操作安全性。

    1. 真实性的保证: 能够通过数字证书来确认交互双方的身份;

    2. 机密性的保证: 信息除交互双方外不被第三方窃取;

    3. 完整性的保证: 确保通过网络传递的信息保持完整且不被非法篡改;

    4. 不可否认性的保证: 使用数字证书完成合法的电子签名后，无法否认其签名行为。
    五大安全应用
    ●  采用SSL通信保障信息传输安全

    SSL(Secure Socket Layer)通信能够保障传输的安全，SSL最通常的应用场合是加密Web浏览器和Web服务器之间的通信。使用了SSL，可以保证连接不被窃听、信息不被修改。

    ●  用户认证与安全登录

    用户指涉及政府采购整个周期的参与人，包括招标人、投标人、中介人、评标专家等。对登录用户的验证及用户权限的控制是系统的安全基础之一，通过采用PKI安全中间件可以实现应用系统从基于“用户名+口令”的登录快速转换到数字证书登录，解决传统“用户名＋密码”的方式所带来的安全隐患和管理难度。

   数字证书登录是应用安全改造中一个最基本的部分，其应用的可靠性是基于证书的不可伪造和惟一性，保障了操作结果在法律上的有效性。

    在具体实现的过程中，我们必须考虑以下几方面的问题。

    1. 在尽可能的情况下，采用双向SSL通信做应用系统的改造。双向SSL通信的安全密码由服务器和客户端证书共同协商产生，能够充分保障传输的安全。

    还有一种方式是采用客户端控件签名的挑战响应模式，这种方法仅仅是替代了用户名密码方式，对传输形式无任何加密，信息存在被监听伪造的可能。

    2. CRL（Certificate Revocation List，证书废止列表）验证功能。

    由于政府采购业务注重安全性，必须对每一张证书进行CRL的验证。证书一旦废止成功，该证书的序号将被列入证书的CRL（证书废止列表）。CRL是一种包含废止证书列表的签名数据结构，CA会对废止的证书生成CRL，供用户定时更新。

   3. OCSP（Online Certificate Status Protocol，在线证书状态协议）验证。

   因为CRL签发需要一定的周期、响应有一定延迟，对于那些对证书有效性十分敏感的应用系统（如需要大额转账）来说，采用OCSP是获取证书当前状态最为准确的一种方式。

   ●  数字签名及验证

    凡是相关招标投标法规中规定的“……应该……”等行为，一般都可以采取证书签名的方式来保障，确认是谁、具体做了什么操作。

    招投标中涉及到需要电子签名的行为非常多，这也是应用安全实施过程中非常耗时的一个环节。数字签名一般采用国际通用的PKCS7方式编码，在这种编码中，证书和加密算法、摘要算法全部包含在编码信息中，验证时接收方只需要知道原文和签名信息就可以进行验证。

    ●  时间戳签名

    在采购应用中，用户的某些操作必须有很强的时效性，如标书必须在某一时间段才可以上传，开标必须在某一时间段才可以进行，这些过程都必须有一个不依赖于系统的第三方可信的时间源，来确保用户在某一时间做了什么操作，这就需要用户采用时间戳签名来保障。

   

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。