1. 网上招投标的发展历程

1.1 招投标制度的发展历程

招标投标，是在市场经济条件下，按照公开、公正、公平的原则，采用竞争的手段实现大宗货物和服务的采购最优化的方式。

这种竞争交易的方式既有利于节省和合理使用采购资金，保证采购项目的质量，又有利于创造公平竞争的市场环境，促进企业间的公平竞争，还有利于堵住采购活动中行贿受贿等腐败和不正当竞争行为的“黑洞” 。

第一个采用招标投标这种交易方式的国家是英国。早在1782年英国政府就设立了文具公用局，作为负责政府部门所需要公用品采购的特别机构。继英国之后，世界上许多国家陆续成立了类似的专门机构，许多国家还立了法，通过专门的法律确定了招标采购及专职招标机构的重要地位。1861年，美国通过了《联邦政府采购法》，规定超过一定金额的联邦政府采购都必须使用公开招标方式;后来又进一步明确联邦事务管理总署专职采购招标。欧洲共同体在政府采购上也建立了统一的招投标制度，法国、意大利、奥地利、比利时等均以法律形式对政府采购的规则、程序、实施和招标机构作出了相应规定。

我国自80年代初开始逐步推行招标投标制度，首先在建筑业推行，取得了明显成效，节省了大量的项目资金。但是由于招投标制度缺乏明确的规范，致使在实际操作过程中缺乏明确的操作规范。

1999年在认真总结我国推行招标投标制度的实践经验，研究借鉴国际上招标投标的通行作法的基础上，国家制定颁布了《中华人民共和国招投标法》。以法律的形式规范招标投标活动，充分发挥招标投标制度在我国社会主义市场经济中的重要作用，进一步规范了招投标操作流程，推进了招投标的发展。目前我国的基本建设项目、机械成套设备、进口机电设备、科技项目、项目融资、土地承包、城镇土地使用权出让、政府采购等众多领域，都推行了招标投标制度，为国家节省了大量的资金，缩短了项目周期，保证了项目质量。

1.2 网上招投标的产生与发展

随着科技的发展，尤其是以计算机技术为基础的互联网技术的发展，信息技术逐渐融入人们生产生活的各个方面，提高了生产效率，为人们的生活节约了时间和金钱。

信息技术在招投标工作当中的应用，经过了一个从简单到复杂的过程:

开始，随着人们花费越来越多的时间用于上网，网络上的内容也越来越丰富，网络逐渐成为继报纸、杂志、收音机、电视之后的又一主流媒体，关于招标信息的发布也自然而然的利用web网页的方式，投标厂商不再需要时刻购买报纸用来获取招标信息，只要经常在上网的时候顺便到招标信息发布的网站上“溜溜”，就可以方便的获取招标信息。

网络媒体既具有传统的信息发布功能，也具有传统媒体所没有的智能计算和双向交互功能，人们可以利用网络计算功能进行复杂的程序处理和流程控制，还可以利用网络的双向交互作用实现人与人之间的交流和交易。正是由于网络的这种特性。人们逐步以网络为工具实现了内部办公的自动化和外部交易的电子化。而利用网络计算和交互的特性实行全面的网上招投标也可以带来如下好处:

·由于不需要租用场地进行信息发布和答疑工作，节省了招标单位的会务费用和交通费用

·不需要为了投标的出差和异地办公，大大降低企业的投标成本，最终也会以更低廉的采购成本回馈招标单位。

·通过网络进行沟通，大大提高了办事效率，缩短了招投标的时间;

·通过网络进行的招投标活动，招标过程中双方人员可以不见面，减少可能发生的暗箱操作。更加透明，体现了公开、公平、公正的招投标理念。

正是因为看到网上招投标所能带来的这些好处，我国很多的招投标单位都在开始着手将整套的招投标的流程搬到网上，开始体验网上招投标的优势。

据调查目前招投标单位利用网络的情况如表格 1‑1所示，可以看出大多数招标单位都在利用网络进行信息发布活动，包括招标信息发布和中标信息发布。并且也在利用网络下载电子版的招标文件，节省纸张和印刷的费用。但是利用网络进行投标文件的上传和答疑、评标的活动的单位则较少。究其原因主要还是对网络安全的担心，对出现问题后法律责任难以认定的顾虑。

表格 1‑1网上招投标应用统计标

活动　　　　　　　　　　　　应用比率

使用网络进行招标信息发布　　98%

使用网络下载招标文件　　　　60%

利用网络进行答疑　　　　　　　5%

利用网络上传投标文件　　　　12%

利用网络进行评标　　　　　　　2%

利用网络发布招标结果　　　　39%

而PKI技术体系的成熟和电子签名法的颁布实施为解决网络安全等问题找到了答案。国富安公司就利用自己多年在PKI安全领域的知识和经验，帮助浙江省电力物资公司等企业实现了全面的网络招投标流程，并投入了实际的应用。

1.3 网上招投标中的信息安全问题

信息化带给人们的是方便和快捷，网络缩短了人与人之间距离。随之而来的还有怎样保障网络系统安全可靠的问题。作为一种智能双向的大众媒体，网络从诞生当初就不可避免的伴生着这样那样的安全问题。设备故障，病毒、网络黑客的攻击，甚至是内部人员的破坏，都可能给网上招投标业务带来很大的危害，影响招投标工作的顺利进行。

网上招投标系统也是一种网络信息系统，因此具有其他的信息系统类似的安全隐患和安全问题，但是作为一种实现特殊业务的特有系统，网上招投标也具有一些其自身特点的安全需求，以及满足这些特殊需求的特有的解决方案。

信息的安全保障随着信息技术的发展而发展，计算机诞生之初，人们只能靠机器码和打孔纸带与计算机沟通，那时的安全保障只要把计算机锁在一间结实楼房里，派专人掌管钥匙就可以了。当PC出现并普遍使用磁盘作为计算机之间转储程序的介质后，计算机病毒才开始出现。相应的安全保障发展为经常的要用杀毒软件对硬盘进行杀毒。而计算机联网以后机与机之间的通话变得更加快捷的同时，网络病毒开始泛滥。随着网络上有价值的信息越来越多，而网络黑客也开始利用网络进行大肆的攻击。。

因此发展到现在互联网时代，如图 1‑1所示，信息安全成为涉及物理层安全，主机安全，网络层安全，应用安全，安全审计等组成部分的综合安全体系。

信息安全技术的复杂化，也使得人们不得不整体信息安全模块化，组件化。将具有共同特征的安全技术抽取出来，独立于其他部分而存在，从而让应用开发工作尽量简化，让网络业务的开发尽量简化。

图 1‑1网上招投标系统整体安全架构

图 1‑1所示的整体安全架构中，物理安全通过对网络架构的一系列设计理念和制造工艺得以保证。

主机安全通过不断强化的操作系统安全，主动监测和解决系统漏洞来防止黑客的入侵，防病毒和漏洞扫描作为专门的一个安全学科加以研究和使用。

在网络层，防火墙技术，入侵监测技术也成为专门的学科而逐渐成熟。

但是在应用层，安全的认证、加密、权限控制、安全存储由于和业务紧密结合，历来是作为应用开发的一部分。但是随着加密技术的不断发展，上述功能的实现变得越来越复杂和艰深了，如果不是像国富安这样的专注在安全认证领域多年的公司，是很难对这项技术有着深刻和全面的认识的。

国富安公司将上述安全功能进行封装，形成产品和模块，应用开发人员只需要调用标准的接口就能实现身份认证、权限控制、安全传输和加密存储等功能，实现专业级的安全保证，大大简化了业务应用的开发工作。

1.4 安全认证技术

由于互联网的兴起是建立在TCP/IP这个开放的网络之上的，开放给互联网带来了勃勃生机的同时，也由于开放的协议架构，明文传输等特点成为黑客攻击的目标。仅仅靠互联网的通用协议无法帮助人们实现以上的安全特征。

多年以来为了保证网络安全，科学家、工程师们想了各种办法来实现安全的认证与传输，技术人员首先想到的是:使用用户名口令方式确认用户的合法身份，虽然口令以“*”显示在屏幕上让人无法偷看，但是对于可以截获网络上传输的数据的黑客来说，在网络上窃取以明文传输的用户名口令易如反掌，一旦用户名口令被黑客窃取，网络黑客就可以利用合法的用户名密码为所欲为。另外不太复杂的用户名口令都可能通过穷举攻击的方法进行解密。

由于复杂的用户名密码难以记忆，人们开始研究复杂的登录机制，首先人们想到通过人体特有的信息进行登录，例如指纹信息、视网膜信息等。这些信息在单机系统的时代是非常有效的认证手段，但是一旦这些信息被数字代码化，放到网络上明文传输，就如同明文传输的用户名密码一样成为黑客唾手可得的点心。

人们转而开始研究利用加密技术保证安全，设想如果网络上传输的信息都是被加密过的信息，计算机上存储的信息也都是被加密的信息，那么即使这些信息被黑客所窃取，黑客也无法确知其内容。但是传统的对称加密方法，如同我们的传统的锁具一样，一把钥匙开一把锁。一方面，我们将信息加密传输给对方，如同送给对方一把上锁的箱子，为了让对方打开箱子，还要将箱子的钥匙(密钥)送达对方，才能让对方读懂信息的内容。这就产生了两方面的问题，一方面，我们的钥匙在传输过程中是否会被黑客所窃取，这样黑客就可能看到我们的信息，或是对我们原有的信息进行修改，从而破坏我们信息的本来面目。另一方面对方在拿到我们的箱子和钥匙之后，怎么识别这个箱子是我送给他的，而不是别有用心的人的恶作剧。这是困扰科学界多年的一个难题。直到非对称加密算法的提出，为加密的历史掀开了新的篇章。

1976年，Diffie和Hellman为解决密钥的分发与管理问题，在他们奠基性的工作“密码学的新方向”一文中，提出一种密钥交换协议，允许在不安全的媒体上通过通讯双方交换信息，安全地传送秘密密钥。在此新思想的基础上，很快出现了非对称密钥密码体制，即公钥密码体制。在公钥体制中，同时产生一对密钥，加密密钥和解密密钥，将加密密钥发送给发送方，谁都可以使用;而解密密钥只有解密人自己知道。由于解密密钥不会在网络上传输，而通过加密密钥又无法推导出解密密钥，因此黑客无法获得解密密钥，也就无法了解经过加密后的信息，从而保证了信息在传输过程中的安全。

迄今为止的所有公钥密码体系中，RSA系统是最著名、使用最广泛的一种。RSA公开密钥密码系统是由R. Rivest、A. Shamir和L. Adleman三位教授于1977年提出的。RSA的取名就是来自于这三位发明者的姓的第一个字母。

非对称密钥的出现解决了网络时代的加密问题，同时也解决了网络时代的数字签名问题，因为用一对密钥中私钥签名的信息只有本对密钥中的公钥才能解开。因此可以通过确认公钥的有效性来确认私钥持有者的身份。为了保证签名的可信性需要建立一套完整的认证体系，(例如为了确认公钥的身份需要通过第三方的权威机构对公钥进行签名。)在使用过程中，工程技术人员对公钥技术不断的完善和扩充，最终形成完善的PKI(公钥基础设施)体系，解决了数字签名的相关问题。

网络技术发展以来，PKI(公钥基础设施)体系以其特有的安全性成为目前为止最安全的加密认证体系，为上述在招投标系统中的认证、授权、抗抵赖提供了可靠的保障。国富安公司从1998年以来就开始潜心研究PKI技术，并承担了国家863计划和国家火炬计划等多项重大课题的研究，取得了多项成果，成功运用到包括安全网上招投标平台等许多项目中。

1.5 电子签名法的实施

PKI体系的完善从技术上保证了电子签名的实现，但是从技术到现实的应用还需要跨越法律制度的障碍。

十几年前，人们的商务交易和政务审批还完全依靠纸制界面的传递和签名图章的应用。因此我们的合同法等相关法律是依照手写签名和纸制资料的传递流程制定的。随着互联网的影响越来越大，网上交易技术的越来越成熟，从事网上交易的人也越来越多。而网上交易一旦出现纠纷，由于没有相应的法律规范，无法将纠纷诉诸于法律，形成法律的空白。

2004年8月28日，中华人民共和国第十届全国人民代表大会常务委员会第十一次会议通过了《中华人民共和国电子签名法》，并于2005年4月1日起施行。电子签名法的制定和实施解决了电子商务、电子政务当中最为重要的数据电文原件、电子签名的法律效力等问题。国富安作为业界领先的安全认证企业，在电子签名法的制定过程中也贡献了自己的一份力量。

重要的商务活动要求提供和保存相关原件，在发生纠纷提起仲裁或诉讼时，要求以原件作为证据。而电子商务以数据电文在计算机网络间传递信息，电子数据都记录在计算机内，输入到打印机打印出来的都只能算是“副本”。那么，如何确定数据电文的“原件”，什么样的数据电文可以视为符合法律要求的书面形式，需要明确。

另外，传统商务活动中，交易双方在纸质文件上手书签名或盖章，一是为了证明身份，二是表示对所签名盖章的书面文件的认可，受其约束，不得反悔。鉴于签名盖章对保证交易安全极为重要，有关法律规定，书面合同等重要的商务文件，须经当事人签名盖章始生效力。而在电子商务中，通过计算机网络以数据电文传递交易信息，不可能采用传统的手书签名、盖章方式，为此人们创造了在数据电文中用电子数据“签名”的技术，以其作为保证网上交易安全的重要手段。这种签名的可靠性如何?是否具有与手写签名同等的法律效力?也需要法律予以明确。

电子签名法第十四条规定:“可靠的电子签名与手写签名或者盖章具有同等的法律效力。”

电子签名法第五条规定:“符合下列条件的数据电文，视为满足法律、法规规定的原件形式要求:(一)能够有效地表现所载内容并可供随时调取查用…

电子签名法没有规定采用哪一种技术的电子签名是可靠的电子签名。但是目前为止能够达到电子签名法要求的技术实现手段只有基于PKI技术的电子签名手段。

2. 网上招投标的流程分析

2.1 网上招投标业务流程

网上招投标的业务流程可以分为以下几个阶段，

·招标信息制定预发布阶段;

·投标企业查阅招标信息阶段;

·投标企业制作投标书参加投标阶段;

·评标阶段;

·招标结果发布阶段

每个阶段有包含若干个步骤，图 2‑1简单描述了网上招投标的流程。从图中可以看出整个业务流程中几乎每一个环节都需要安全保障。

图 2‑1网上招标流程简图

2.2 流程中特有的安全需求

在建设网上招投标平台的过程当中，国富安公司看到，除去通用的物理层安全、主机安全和网络安全外，在应用层面上，网上招投标系统有着符合自身特点的特殊安全性需求:

·身份合法性:必须能够确认招投标人身份，保证只有适当的人才能访问适当的业务;

·权限的控制:招标方操作人员、主管领导，投标方操作人员，评标专家各司其职，每个角色只能完成自己份内的工作，查看自己份内的信息;

·不可抵赖性:投标企业在发送投标书后不能抵赖，不能否认自己的投标行为和投标书内容;

·安全传输:投标信息在网络上传输时，要不能被其他投标人了解和窜改，要能够证明投标信息的真实性和完整性。

·时效性:招标信息要在同一时间通知投标方，投标资料需要在同一时间被打开，防止有人从中舞弊;

·安全存储:即使网络主机被黑客攻破，存储的投标文件被竞争对手获取，由于招标文件是采用数字信封封装的加密信息，竞争对手也无法获得招标文件的内容。

为了满足以上这些安全需求，应用开发商也曾尝试自己开发相应的安全传输和认证加密程序，而由于应用开发商缺乏在安全加密领域的经验，往往花费了大量的人力物力，还是做不出完善的安全程序。

2.3 安全的网上招投标流程

针对以上安全问题，国富安公司与招投标企业共同合作，制定出安全的网上招投标流程，主要包括以下内容:

·招标信息制定预发布阶段;

制定招标信息摘要，招标申请报主管部门审批;

业务人员和主管领导持有的数字证书和电子钥匙通过iPass双向身份认证进行登录进入招投标平台，拟定审批招标公告信息，实现认证、权限控制、加密传输、抗抵赖。

企业浏览相关信息;

具有电子钥匙的投标企业可以通过iPass双向认证后访问招标摘要信息，决定是否投标;

企业报名参加投标并交纳投标保证金;

投标企业填写投标申请表，并对申请表进行数字签名，然后通过iPass加密传输到招标网站;

招标单位制作正式的招标文件并使用数字信封进行加密，还设置访问权限;

对通过报名资格审查并交纳投标保证金的企业进行授权。

·投标企业查阅信息阶段

投标企业经过授权，通过iPass进行双向身份认证，建立加密通道下载正式的招标文件;下载企业利用自己的私钥解密标书;

网上答疑;

通过iPass构筑安全加密通道，并验证参加网上答疑的用户的身份，只有相关的招标人员和被授权的投标企业的人员才能登录到网上答疑的应用当中。

·制作投标书参加投标阶段;

投标企业上传投标文件;

投标企业在提交投标书时首先进行数字信封的封装，然后用户端安全API产生随机密钥进行加密，然后使用投标企业的私钥信息进行签名，实现保密、抗抵赖，并防止篡改。然后上传到招投标平台。

·评标阶段;

系统锁定投标文件直到开标时间;

对投标文件进行锁定，直到开标时间，才允许开标人员访问投标文件

专家委员会技术评审;

评标专家使用个人证书登录招投标系统，经过通过iPass子系统实现双向身份认证，并利用加密通道下载投标文件进行技术评审;

·招标结果发布

验证中标企业已经交纳相关费用;

发布中标公告;

授权的管理人员，经过iPass双向验证，通过VPN发布中标公告;

3. 结束语

国富安公司凭借自己在信息安全领域的专业经验，已经帮助几家招投标平台实现了安全的招投标业务。对于目前多数没有使用PKI技术体系进行认证和加密的网上招投标平台来说，信息安全问题仍然面临着巨大潜在的威胁。

由于认识信息化建设带来的巨大效益，近年来国家大力推进各个部门信息化进程，对于招投标管理单位来说实现安全的网上招投标平台，无疑是企业发展的关键而重要一步，愿此文能够提供一些借鉴。