0 (991) 2819290 周一~周五, 10:00 - 19:00

公共资源交易密码应用安全解决方案(简化)

日期: 2017-12-06 10:40:24 作者: 点击数:   返回

公共资源交易平台密码应用安全解决方案

一、 应用背景

2013年2月4日,国家发展改革委、工信部等8部委为了规范公共资源交易活动,促进公共资源交易健康发展,联合制定并发布了《电子招标投标办法》(以下简称《办法》),并出台《公共资源交易系统技术规范》,规定了公共资源交易平台的结构、基本功能、信息资源库、系统接口、技术支撑和保障以及数据项格式等方面的要求,同时规定了公共资源交易系统研发、检测、认证、运营应当符合技术规范的要求。

2016年4月,自治区人民政府下发《关于印发自治区整合建立统一规范的公共资源交易平台实施方案的通知》(新政发〔2016〕54号)文件,提出整合自治区各级、各部门分散设立的工程建设项目招标投标、土地使用权和矿业权出让、国有产权交易、政府采购、药品采购等交易平台,在统一的平台体系上实现信息和资源共享,依法推进公共资源交易高效规范运行。积极有序推进其他公共资源交易纳入统一平台体系。民间投资不属于依法必须招标的项目,由建设单位自主决定是否进入统一平台。统一规范的自治区公共资源交易平台信息系统由政府推动建立,坚持公共服务职能定位,由统一的制度规则、共享的信息系统、规范透明的运行机制,以及必要的场所构成,为市场主体、社会公众、行政监管部门等提供综合服务。

二、 需求分析

交易安全作为推进公共资源交易的生命线。公共资源交易系统的安全建设在应用层面上,公共资源交易系统有着符合自身特点的特殊安全性需求。

1. 身份认证

参与招投标业务各用户通过网络进行信息交换,必须能够确认招投标人身份,保证只有权限的人才能访问适当的业务。

2. 电子签名、电子签章有效性

招投标文件在交换的过程中需要对相关文件进行签名、盖章确认,并保证所使用电子签名、电子签章与在纸质文件上的签名或盖章具有同等的法律效力。

3. 时效性

在公共资源交易活动中,要保证招标等活动的准时生效,防止有人从中舞弊。

4. 行为的不可抵赖

公共资源交易必须确保招投标过程中责任明确清晰和可追溯,需要通过采用数字签名等技术手段为招投标各方建立相应的责任机制。

三、 方案设计

建立与各大运营商公共互联网主干线路直接联接的互联网接入网络,保障公共资源平台信息系统的公共服务功能实现。依托自治区电子政务外网,建立与外网的直接联接端口,实现与国家公共资源交易平台信息系统和各地州市公共资源交易平台信息系统的对接和资源共享。系统运行于政务云平台之上。

公共资源交易系统基于数字证书的应用安全架构设计如下:


如图所示,公共资源交易系统的电子认证体系核心是由加密服务器、电子认证网关,时间戳服务器、电子印章系统组成。
 

加密服务器是提供安全运算功能,以硬件方式为应用系统提供服务器端数据机密性、数据完整性、身份认证、防抵赖等运算服务,符合国密办《证书认证系统密码及其相关安全技术规范》,具有稳定、可靠、高效、易管理的特点。

电子认证网关系统提供多CA证书兼容验证服务、密码运算服务以及进行应用权限关联和权限控制管理的接口软件系统。

TSP Server时间戳服务器提供准确时间证据。

电子签章系统实现数字签名技术在word、pdf、html等电子文档中的应用,并具有传统印章直观的图章效果。