編者按：電子招標投標系統(tǒng)作為電子政務的重要組成部分，需要確保電子招標投標過程的安全性，而系統(tǒng)內(nèi)的招標投標主體的數(shù)據(jù)信息和招標投標過程中產(chǎn)生的重要數(shù)據(jù)信息容易成為互聯(lián)網(wǎng)的非法攻擊目標，文章提出，應從信息技術和管理制度兩個方向入手，建立一個完整的安全防御體系。通過必要的安全架構、技術和安全管理制度，做到事前防范和事后的風險控制。

隨著《網(wǎng)絡安全法》的正式頒布和實施，網(wǎng)絡安全問題已經(jīng)上升到國家層面。電子招標投標系統(tǒng)作為電子政務的重要組成部分，需要確保電子招標投標過程的安全性，而系統(tǒng)內(nèi)的招標投標主體的數(shù)據(jù)信息和招標投標過程中產(chǎn)生的重要數(shù)據(jù)信息容易成為互聯(lián)網(wǎng)的非法攻擊目標，如何將安全防護工作落到實處，在當前形勢下尤為迫切。

中國招標公共服務平臺已經(jīng)與200多家電子招標投標交易平臺實施了數(shù)據(jù)對接，在與交易平臺溝通業(yè)務的過程中，很多交易平臺表達了在安全建設過程中的困惑，部分交易平臺的安全防護建設現(xiàn)狀令人擔憂。為此，平臺公司組織了安全專家就電子招標投標平臺的安全問題進行了專項研究，本文將結合電子招標投標全流程和大家分享這方面的經(jīng)驗。

電子招標投標全流程的主要節(jié)點分為招標、投標、開標、評標、定標五個主要階段，其中招標公告信息中招標內(nèi)容和資格條件的確認、確保投標單位信息的保密、評標專家的抽取和名單的保密、投標文件內(nèi)容的防竊取與防篡改、開標環(huán)節(jié)的防解密失敗、評標過程中的防泄密和評標結果防篡改是電子招標投標工作中的重點安全問題，總結五大環(huán)節(jié)中需要解決的風險點，主要可以歸為六類問題，即：電子招標投標用戶的身份確認問題、投標報名階段投標人的名單泄露風險、專家抽取環(huán)節(jié)專家名單的泄露風險、投標文件的防竊取和防篡改問題、開標環(huán)節(jié)的防解密失敗風險以及評委評標過程的防泄密和評標結果的防篡改問題。

針對以上需要解決的風險和問題，我們需要從信息技術和管理制度兩個方向入手，建立一個完整的安全防御體系。通過必要的安全架構、技術和安全管理制度，做到事前防范和事后的風險控制。

一、信息技術安全

(一)信息操作者(主體)的身份合法性

1.身份標識與鑒別

在《電子招標投標系統(tǒng)技術規(guī)范》中要求應對招標人、招標代理機構、投標人、評標專家等登錄用戶進行身份標識與鑒別，并提供身份標識唯一性檢查功能。應采用以下措施，確保用戶身份不易被冒用：

(1)提供鑒別信息復雜度檢查功能。比如系統(tǒng)登錄用戶的密碼復雜度檢測，要有密碼強度提示。

(2)對身份標識與鑒別異常提供保護措施。比如在系統(tǒng)登錄失敗多次后，應自動鎖定賬戶，再通過其他認證手段進行解鎖。