编者按：电子招标投标系统作为电子政务的重要组成部分，需要确保电子招标投标过程的安全性，而系统内的招标投标主体的数据信息和招标投标过程中产生的重要数据信息容易成为互联网的非法攻击目标，文章提出，应从信息技术和管理制度两个方向入手，建立一个完整的安全防御体系。通过必要的安全架构、技术和安全管理制度，做到事前防范和事后的风险控制。

随着《网络安全法》的正式颁布和实施，网络安全问题已经上升到国家层面。电子招标投标系统作为电子政务的重要组成部分，需要确保电子招标投标过程的安全性，而系统内的招标投标主体的数据信息和招标投标过程中产生的重要数据信息容易成为互联网的非法攻击目标，如何将安全防护工作落到实处，在当前形势下尤为迫切。

中国招标公共服务平台已经与200多家电子招标投标交易平台实施了数据对接，在与交易平台沟通业务的过程中，很多交易平台表达了在安全建设过程中的困惑，部分交易平台的安全防护建设现状令人担忧。为此，平台公司组织了安全专家就电子招标投标平台的安全问题进行了专项研究，本文将结合电子招标投标全流程和大家分享这方面的经验。

电子招标投标全流程的主要节点分为招标、投标、开标、评标、定标五个主要阶段，其中招标公告信息中招标内容和资格条件的确认、确保投标单位信息的保密、评标专家的抽取和名单的保密、投标文件内容的防窃取与防篡改、开标环节的防解密失败、评标过程中的防泄密和评标结果防篡改是电子招标投标工作中的重点安全问题，总结五大环节中需要解决的风险点，主要可以归为六类问题，即：电子招标投标用户的身份确认问题、投标报名阶段投标人的名单泄露风险、专家抽取环节专家名单的泄露风险、投标文件的防窃取和防篡改问题、开标环节的防解密失败风险以及评委评标过程的防泄密和评标结果的防篡改问题。

针对以上需要解决的风险和问题，我们需要从信息技术和管理制度两个方向入手，建立一个完整的安全防御体系。通过必要的安全架构、技术和安全管理制度，做到事前防范和事后的风险控制。

一、信息技术安全

(一)信息操作者(主体)的身份合法性

1.身份标识与鉴别

在《电子招标投标系统技术规范》中要求应对招标人、招标代理机构、投标人、评标专家等登录用户进行身份标识与鉴别，并提供身份标识唯一性检查功能。应采用以下措施，确保用户身份不易被冒用：

(1)提供鉴别信息复杂度检查功能。比如系统登录用户的密码复杂度检测，要有密码强度提示。

(2)对身份标识与鉴别异常提供保护措施。比如在系统登录失败多次后，应自动锁定账户，再通过其他认证手段进行解锁。