电子化采购系统安全方案

业务背景

政府采购是指各级国家机关、事业单位和团体组织,使用财政性资金采购依法制定的集中采购目录以内的或者采购限额标准以上的货物、工程和服务的行为。政府采购不仅是指具体的采购过程,而且是采购政策、采购程序、采购过程及采购管理的总称,是一种对公共采购管理的制度,是一种政府行为。政府采购分中央政府采购及地方政府采购。

政府采购网,一般是本级财政相关单位建设的服务于本级政府采购的门户网站,主要的功能模块有采购方式审核、公告发布、专家管理、资质审批等,系统用户主要由采购人、代理机构工作人员、供应商企业和评标专家四类组成。

政府采购网是服务于网上采购交易管理的系统,相比于其它的应用,它需要更高级别的保护,从安全性和合法性的角度来分析,系统至少应具备、符合下面几个条件:1.站点安全可信, 2.用户身份鉴别, 3.数据安全保护, 4.操作不可否认, 5.可视电子印章, 6.时间权威可信。如何保证政府采购网的安全性是目前急需解决的问题。

解决方案

中央、地方各级政府采购办、采购中心都可以以财政身份认证与授权管理系统中的PKI/CA为信任基础,为政府采购网站颁发可信服务器站点证书,为系统辖内用户(采购人、代理机构、采购商、评标专家)颁发个人或机构证书,并结合安全应用组件(身份认证网关、签名服务器、时间戳服务器、电子签章系统等),为各级政府采购网提供网站安全、身份认证、数据保护、操作抗抵赖、电子印章及时间戳等安全支撑功能。

  • 利用财政部外网CA为各级政府采购网颁发可信站点服务器证书,确保网站站点的安全性;
  • 为采购中心工作人员、采购人、供应商及评标专家等颁发数字证书,访问时政府采购网服务器向身份认证网关发起认证请求,只有身份认证网关认证通过的用户方可正常登录;
  • 政府采购网中所有敏感数据的防篡改、关键操作的抗抵赖都可以通过数字签名/验签来保障,提供该服务的设备主要为签名服务器; 对于招、投标书等需要图形化电子签章的,可以采用电子印章技术来实现,该功能由电子印章服务器及相关客户端插件来提供;
  • 对于投、开标这类具有较强时效性的操作,可采用时间戳技术,时间戳服务器所采用的时间源由财政部从国家授时中心引进的专用标准时间同步设备提供,确保了时间的权威性及精确性。

产品配置

  • 电子证书认证系统
  • 电子文档管理系统
  • 电子印章管理系统
  • 数字签名服务器
  • 时间戳服务器
  • 身份认证网关时间源服务器

成功案例

  • 中央政府采购网
  • 河北省政府采购网
  • 黑龙江省政府采购网