그러나 인터넷은 편리함과 불안정을 가져왔다. 인터넷의 다른 끝이 당신이 정말로 소통하고 싶은 대상인지 새로운 관심사가 되었다. 인터넷상의 정보 전송 과정이 안전한지 여부는 기업, 사회, 국가 전체의 이익에 직접적인 영향을 미칠 것이다. 따라서 온라인 입찰 시스템은 업무와 같은 수준으로 보안을 높여야 합니다.
현재 온라인 입찰 시스템에 존재하는 보안 문제
1, 인증 질문
현재, 국내 온라인 입찰 시스템은 주로 등록 사용자 이름과 사용자 정의 암호를 사용하여 로그인하며, 입찰과 같은 진지하고 높은 수준의 보안이 필요한 업무에 점점 더 많은 문제가 노출되고 있습니다.
(1) 입찰자의 사용자 이름은 중개인의 시스템 관리자가 설정하며, 시스템 관리자는 최고 권한을 가지고 있으므로 사용자가 제출한 입찰 정보를 쉽게 얻을 수 있습니다. 정보가 불법으로 수정되면 주관자는 관련 증거가 없어 바로잡을 수 있다.
(2) 사용자 자신의 비밀번호가 쉽게 유출됩니다. 사용자 안전 의식이 약하기 때문에 비밀번호가 부주의하게 유출되는 경우가 많다. 예를 들어, 암호를 잊지 않기 위해 종이에 암호를 씁니다. 다른 사람에게 업무를 의뢰할 때, 다른 사람에게 비밀번호를 알려주고, 이후에는 비밀번호를 변경하지 마십시오. 익숙한 숫자나 글자를 비밀번호로 사용하여 기억하기 쉽다. 또한 문자나 숫자의 수가 제한되어 있기 때문에 사용자 암호에 사용할 수 있는 옵션 공간도 제한되어 있습니다. 현재 컴퓨터의 처리 능력이 갈수록 강해지고 있어 철저한 방법으로 비밀번호를 추측하는 것은 어렵지 않다.
2, 전송 데이터 암호화 문제
입찰 업무의 집행은 반드시 안전한 환경, 민감한 데이터 (예: 입찰 정보, 입찰 서류 등) 에서 진행되어야 한다. ) 인터넷이나 일반 텍스트 전송에도 보안 위험이 있습니다.
3, 데이터 저장소 암호화 문제
현재 상당수의 입찰 시스템은 서버에 저장된 데이터를 암호화하지 않고 있으며, 브로커의 데이터베이스 관리자는 시스템을 통해 데이터베이스를 직접 조작할 수 있습니다.
온라인 입찰 시스템 보안 기술
1, 디지털 서명 기술
디지털 인증서는 PKI 공개 키 인프라 기술을 사용하여 암호화 및 암호 해독에 일치하는 키를 사용합니다. 각 사용자는 본인만 알고 있는 특정 개인 키 (private key) 를 설정하여 암호를 해독하고 서명합니다. 공개 키 (public key) 도 설정하고, 본인 공개, 사용자 그룹, 암호화 및 서명 인증을 위해 설정합니다. 기밀 문서를 보낼 때 발신자는 수신자의 공개 키를 사용하여 데이터를 암호화하고 수신자는 자신의 개인 키를 사용하여 데이터를 해독합니다. 디지털 수단을 통해 암호화 및 암호 해독 프로세스는 개인 키로만 암호를 해독할 수 있는 돌이킬 수 없는 프로세스입니다. 이를 통해 정보가 안전하고 정확하게 대상에 도달할 수 있습니다. 사용자는 자신의 정보를 사용하여 디지털 서명을 처리하고 형성할 수도 있습니다. 개인키는 나에게 고유하기 때문에 발신자의 신분을 확인하고 발신자가 보낸 메시지를 부인하는 것을 막을 수 있다. 수신자는 서명을 검증하여 정보가 변조되었는지 여부를 확인할 수도 있습니다. 온라인 입찰 시스템에서 사용자 이름/암호 인증 방식을 완전히 배제하고 디지털 인증서 개념을 도입하며 PKI 기술을 통한 인증 및 전송 암호화를 통해 데이터 무결성 요구 사항을 충족합니다.
디지털 인증서는 인터넷상의 신분증으로서 전자상거래, 인터넷은행 등 응용에 많은 편리함을 제공한다. 디지털 인증서 ++SSL 프로토콜은 정보 전송 암호화를 잘 구현합니다. 디지털 서명을 위해 디지털 인증서를 사용하는 경우, 디지털 인증서 보유자의 네트워크 운영은 부인할 수 없고, 이러한 작업의 무결성과 위조성을 보장하며, 사후 추적, 명확한 책임, 분쟁 해결을 위한 근거를 제공합니다.
2. 디지털 타임 스탬프 기술
입찰 시스템에서 시간과 디지털 서명은 문서의 유효성을 증명하는 매우 중요한 내용이다. 디지털 타임스탬프 (DTS) 는 전자 데이터의 전송 및 수신 시간을 증명하는 데 사용됩니다. 사용자는 타임스탬프가 찍힌 파일을 암호화하여 문서를 만든 다음 디지털 타임스탬프 서비스를 제공하는 기관에 요약을 보냅니다. 원본 원고에 시간을 추가하면 조직은 디지털 서명을 하고 개인 키로 암호화한 다음 원본 사용자에게 보냅니다. 디지털 타임스탬프는 문서의 출판 시간에 대한 좋은 증거를 효과적으로 제공합니다.
3.CA 인증
온라인 입찰 시스템의 배치 및 구현에 맞춰 각 사용자에게 개인 디지털 인증서를 발급하고 사용자를 인증하는 해당 CA 인증 기관을 구축해야 합니다. CA 시스템과 온라인 입찰 시스템은 CA 시스템의 사용자 데이터베이스를 사용하는 독립형 시스템입니다. 디지털 인증서에는 사용자 이름, 회사 등의 기본 정보가 포함되어 있으며 사용자가 시스템에 로그인한 후 인증 및 권한 제어의 기준으로 사용됩니다. 유효한 디지털 인증서를 가진 사용자는 자신의 인증서 권한 항목에 해당하는 내용만 보고 적절한 작업을 수행할 수 있습니다.
CA 는 인증서의 발급 기관이며 PKI 의 핵심입니다. 암호 서비스 시스템 구축의 핵심 내용은 키 관리 방법을 잘 알고 있습니다.
4, 데이터 저장소 암호화
데이터베이스 서버의 데이터 파일은 파일 기밀성 및 관리 용이성을 보호하기 위해 암호화해야 합니다. 사용자가 업로드한 파일은 데이터베이스 서버에 저장됩니다. 사용자는 자신의 디지털 인증서를 사용하여 제한된 시간 동안 특정 웹 페이지를 통해 파일을 다운로드할 수 있을 뿐 다른 사람이 업로드한 파일은 열 수 없습니다. 데이터베이스 관리자도 권한으로 파일을 볼 수 없습니다.
온라인 거래 보안을위한 법적 환경 구축
온라인 입찰은 전자 상거래의 일부이며, 전자 상거래의 두드러진 특징은 글로벌이다. 중국이 세계무역기구에 가입함에 따라 외국 기업은 중국 중대 프로젝트의 입찰에 참여할 것이며, 중국 기업도 출국하여 일부 외국 프로젝트에 입찰할 것이다. 따라서 전자 상거래의 건강하고 지속적인 발전은 전자 시장에서의 거래를 통일성과 법적 확실성으로 만드는 법적 틀의 제정에 달려 있습니다.
세계 여러 나라에서 전자 상거래 사용에 관한 법률과 규정을 제정했지만, 서로 다른 법계의 법률은 신속하게 조화되고 보완될 수 없다. 현재 국제적으로 전자상거래 통일법에 대한 요구를 충족시키기 위해 유엔국제무역법위원회는 지난 6 월' 전자상거래 시범법' 을 제출하여 각국의 전자상거래 입법에 대한 패러다임을 제공했다. 그것의 출범은 전자 상거래의 주요 법적 문제에 대한 법적 근거를 제공한다.
현재, 컴퓨터 분야에서 중국의 법률, 규정 및 조치는 "중화 인민 공화국 컴퓨터 정보 시스템 보안 규정", "중화 인민 공화국 컴퓨터 정보 네트워크 국제 네트워크 관리 잠정 규정", "중국 공공 멀티미디어 통신 관리 조치", "국제 네트워크 보안 관리 조치" 등입니다. 컴퓨터 정보 시스템의 효율성과 보안을 다양한 각도에서 보호하는 관련 법도 있습니다. 예를 들어, "중화인민공화국 계약법" 제 11 조는 데이터 전자의 법적 지위를 결정하고, 제 16 조는 데이터 전자로 계약을 체결하는 발효 시기를 규정하고, 제 34 조는 데이터 전신문의 유효 장소를 규정하고 있다. 중화인민공화국 형법 제 286 조는 국가 규정을 위반하고 컴퓨터 정보 시스템에서 저장, 처리 또는 전송되는 데이터와 응용 프로그램을 삭제, 수정 또는 늘리고, 컴퓨터 바이러스 등 파괴적인 절차를 전파하는 행위는 상응하는 처벌을 받아야 한다고 규정하고 있다. 우리나라의 현행' 입찰법' 제 30 조는 입찰서류는 반드시 밀봉된 서면서류여야 하지만, 전통 종이서류 이외의 전자문서에는 법적 구속력이 없다고 규정하고 있다.
온라인 거래 활동에서는 거래에 참여하는 당사자가 전체 거래 과정에서 만나지 못할 수도 있으며, 우리의 전통적인 서명 방식은 이런 온라인 거래를 만족시키기 어렵다. 상대방의 제안과 약속을 믿을 수 있게 하는 방법, 위약 책임이 있을 때 위약 당사자가 법적 책임을 지게 하는 방법, 이는 거래 쌍방의 인정 문제를 포함한다. 현재 인터넷에서 거래 당사자의 신분을 확인하는 효과적인 방법은 디지털 서명을 사용하는 것이다. 세계 여러 나라에서 디지털 서명법을 제정해 싱가포르의' 전자거래법', 미국의' 글로벌 및 국내 전자서명법', 일본의' 전자서명 및 인증서비스법' 등 디지털 서명의 효과에 대한 법적 근거를 제공하고 있다. 우리나라' 계약법' 은 데이터전신문의 합법성을 확정했지만 전자서명에 대한 규정은 하지 않았다. 이 법 제 32 조의 규정은 분명히 전통적인 거래 방식을 겨냥한 것이다. 따라서 기존 서명 법규를 수정하거나' 디지털 서명법' 을 제정해 디지털 서명의 법적 지위를 결정할 수밖에 없다.
전국정보안전표준화기술위원회는 2002 년 4 월 65438+5 월 베이징에 설립되어 디지털서명, 정보안전평가, 관리 등 공공정보안전국가기준 제정을 담당하고 있다. 2002 년 8 월 중앙사무청, 국무원 사무청은' 전국전자정무건설 지도부 지도 의견' 을 공동으로 전달해 네트워크와 정보안전을 중시하고 전자정무네트워크와 정보안전체계를 개발하고 보완할 것을 분명히 제시했다.
또한 디지털 서명 보안 인증 센터는 디지털 서명 시스템에서 매우 중요한 위치를 차지하고 있습니다. 온라인 거래 과정에서 인증 기관 (CA) 은 인증을 제공하는 제 3 자 기관이며 하나 이상의 사용자가 신뢰하는 권위 있는 조직 실체입니다. 디지털 서명 보안 인증 기관의 법적 지위는 현행법에는 아직 언급되지 않았지만, 전자 상거래가 발전함에 따라 CA 인증 기관은 온라인 거래의 모든 당사자에게 매우 중요하다. 우리나라 전자상거래의 건강한 발전을 보장하기 위해 정부는 인증 기관을 디지털 서명 안전 인증 센터로 설립하거나 허가할 필요가 있다.
결론적으로, 온라인 입찰의 건강한 발전을 보장하기 위해서는 필요한 기술과 행정 수단을 취하고, 각종 안전조치를 실시하고, 온라인 입찰 시스템에 필요한 감사 메커니즘을 설치하고, 사용자 신분의 합법성을 점검하고, 불법 사용자가 시스템에 진입하는 것을 방지해야 한다. 정보의 무결성, 유효성, 부인 방지 및 거래 정체성의 신뢰성을 보호하기 위해서는 다양한 보안 관리 수단 및 기술 예방 조치를 지속적으로 개선하고 강화하고 관리 및 기술 수단을 결합하여 온라인 입찰의 보안을 효과적으로 보장해야합니다.