【IT168资讯】电力行业信息安全建设发展迅速，其行业系统具有一定的特殊性。电力行业的系统为分层结构，各部分系统在独立运行的同时也在进行着信息互送、汇总等。在整个电力行业中，由于各级机构分散较广，信息只能通过互联网传递，一些拥有敏感信息的业务系统中相关信息的安全性受到了业内的广泛重视和关注。电力行业的招投标系统是其中的典型代表，招投标系统中的敏感信息如果被窃取、篡改都会引发严重的后果，给企业带来巨大的损失。

    如何避免造成上述损失呢？针对电力行业的实际情况，国富安公司提出了安全链路接入网关与数字证书相结合的解决方案，方案专门针对电力行业中电子商务平台中的招投标系统，通过安全链路接入网关和为客户提供证书服务，实现身份认证和访问控制，通过加密技术和数字签名技术，实现信息传输的机密性与抗抵赖性。从而有效的保障传输信息的安全。

    1、需求分析

    电力行业的电子商务平台是商务工作对外的电子门户，主要用于各电厂的物资采购及商务的统一管理，各发电企业通过电子商务平台向注册供应商进行网上招投标采购。注册供应商通过电子商务平台展示并管理企业资源和产品信息，与采购方信息共享，全面提高购销效率，电子商务平台提供招投标、询比价、目录采购等多种采购方式，具有供应商管理、商务信息管理、专家管理等多种功能，面对平台所有注册用户提供各项增值服务。然而电子商务平台业务的开展是通过开放的互联网进行的，势必在应用过程中产生一系列的安全问题，具体体现在以下几点：

    （1）如何保障投标人身份的可靠性

    目前系统所采取的“用户名＋密码”技术来进行用户身份的识别，在一定程度上解决了应用安全隐患。但由于技术本身的局限性，导致密码容易被窃取或被破解，同时无法完成数据保密、抗抵赖等安全需求。因此需要采取更为可靠、成熟的技术来保证招投标用户在登陆系统时身份的合法性。

    （2）如何保障保证投标文件在开标前的机密性和完整性

    由于招投标业务的特殊性，投标文件在投标截止日期前具有很高的机密性，机密数据如果被竞争对手获得将严重影响到投标企业的利益。因此，需要通过技术手段来保证投标文件在开标前的机密性和完整性。

    （3）如何体现投标文件的不可抵赖性和法律依据

    招投标业务在网上开展时，由于无法进行传统形式下的盖章和签字，因此对于投标文件的不可抵赖性和相关法律效力的要求具有很高的要求。只有解决了投标文件的不可否认性和认可其法律效力，才能使网上招投标业务能够正常开展。

    2、方案简介

    从需求分析可以看出，由于目前在电子商务平台招投标系统所使用的安全技术本身的局限性，目前导致无法满足招投标系统的安全需求。国富安提出了以下解决方案

    如图，国富安建立了以第三方数字证书为基础的电子认证体系，利用数字证书登陆国富安安全链路接入网关，实现的SSL加密通道实现投标数据的加密传输，利用国富安安密通套件完成投标文件的加/解密和签名及签名验证

    3、实施效果

    通过第三方数字证书为基础的电子认证体系，既节省了认证系统建设的投资费用，同时也满足了各电厂管理各自供应商的需要，又实现了数字证书使用的合法性。

    利用数字证书登陆国富安安全链路接入网关，实现招投标系统双端的强身份认证。

    利用国富安安全链路接入网关所实现的SSL加密通道实现投标数据的加密传输，保证投标数据在传输过程中的保密性和完整性。

    利用国富安安密通套件完成投标文件的加/解密和签名及签名验证，实现投标文件在开标时间截止前的机密性和不可抵赖性。达到投标方自由控制投标文件解密时间，同时使投标文件具有相应的法律效力。

    国富安作为第三方认证机构，深入了解电力行业信息化状况，制定出一系列针对电力行业的解决方案，并在电力行业拥有众多成功案例。国富安通过行业领先的研发实力和技术水平在电力行业客户群中享有很高的美誉度，在2010年将全力推动电力行业的信息安全建设向前发展。