密码是什么？

 

　　“天王盖地虎，宝塔镇河妖”这段《林海雪原》智取威虎山选段中，杨子荣和土匪的江湖黑话或者叫暗号估计很多人都知道，是所有暗号中，流传度最广的一句。

 

　　电影《建军大业》贺龙、叶挺共同签署的南昌起义作战命令，起义军 “河山统一”的口令，“领系红领带，膀扎白毛巾”、“在马灯和手电筒上贴红十字”的识别标志。

 

　　再到今天这个“机不离手，手不离机”的时代，启用手机或某个应用时输入的指纹，声音锁、绘制的手势图案，人脸识别、眼纹识别等等，都是密码的一种。

 

　　事实上，密码学领域以及《密码法》中提及的“密码”与大家日常生活中所常用的“密码”有明显不同。日常生活中登录网站、电子邮箱和银行取款时输入的“密码”其实严格来讲应该仅被称作“口令”(Password)，是进入这些端口的“通行证”。而密码学领域以及《密码法》中提及的“密码”对应的英文单词是“cryptography”，是一种复杂而庞大的信息处理系统，指使用特定变换数据等信息进行加密保护或者安全认证的产品、技术和服务。

 

　　密码技术不仅应用于保密通信、军事指挥、航空航天、金融、政务、电网等涉及国家安全的领域，还渗透到电子商务、移动支付、智慧医疗、智慧教育、社保等民生领域。

 

　　不容否认，加快实施“互联网+政府采购”行动，推进电子化政府采购平台和电子卖场建设，加强公共资源交易平台电子系统建设，更是离不开密码的保驾护航。

 

　　密码是保障安全的第一道防线

 

　　众所周知，当下的电子化采购是“互联网+”背景下的产物，覆盖了需求提交、预算审批、采购方式确定、采购信息发布、供应商网上投标报价、开标定标、结果公告公示，合同签订、履约验收、资金支付、信用评价、监督管理等全流程，涵盖了采购的各个环节。

 

　　作为推动深化政府采购制度改革的关键环节，电子化打破了时空与地域的限制，大大节省了人力、物力和财力，节约了采购成本，优化了采购流程，提升了采购效率，增强了透明度，减少腐败发生率，在为人们提供便捷服务的同时，安全问题不容忽视。如何保障招标文件、投标（响应）文件在传输环节的安全？如何保障电子评标环节的安全？如何保障电子合同的信息安全？如何确保资金支付安全？如何让电子化采购变得更安全？已经成为大家普遍关注的问题。

 

　　而密码作为保障网络和信息安全的核心技术和基础支撑，是抵御攻击、保障安全的第一道防线。 在电子化采购活动中发挥着四个方面的安全保障作用。

 

　　1、密码解决用户身份认证问题

 

　　电子化采购交易系统中的用户如果采用最简单的“用户名+口令”登录方式，数据以明文方式在开放的互联网中传输，很容易被非法用户窃取，非法用户可伪造、假冒用户的身份，业务系统无法证明访问的用户是否是真正的合法用户本身，用户也无法知道他们所登录的系统是否为真实、可信的业务系统。因此，通过安全密码认证以保证网络用户双方的真实身份，以维护系统的可靠运行。

 

　　2、密码保证信息的机密性

 

　　采购交易系统中的交互信息都是通过网络进行传输，如果信息都是以明文方式或者以简单的加密技术进行处理，很容易被非法用户截取、破解并加以利用，特别是机密信息被截取会带来严重的损失。

 

　　深圳市一诺软件有限公司质保实施部副经理张义祥表示，为了保证信息在传输和储存过程中的机密性，一般都会对诸如投标文件、投标报价等机密信息进行再加密处理。

 

　　3、密码保证信息完整性

 

　　敏感信息在开放的网络中传输，很可能遭到非法用户的恶意篡改，使得数据不完整或者不真实。因此，需要保证传输数据的完整性。因此通过校验算法，通过数字信封技术进行数据传输加密和数据加密存储，确保非法用户看不到；信息接收者可以判断接收到的信息是否已被改动，如果改动则认为该信息无效，以此保证信息的完整性。

 

　　4、密码保证行为的不可否认性

 

　　不可否认性是指发送信息的一方不能对自己发送的信息进行抵赖，不能否认自己发送信息的行为。网上操作行为一旦被一方所否认，另一方没有类似传统签名或盖章的记录来作为仲裁的依据。因此需要一种有效机制，来保证业务系统中传递信息的不可抵赖性。

 

　　密码为采购信息化保驾护航

 

　　全国人大常委会审议通过了《中华人民共和国密码法》，按照被保护信息的种类不同将密码分为核心密码、普通密码和商用密码。

 

　　核心密码、普通密码属于国家秘密，用于保护国家秘密信息。核心密码保护信息的最高密级为绝密级，普通密码保护信息的最高密级为机密级，两种密码都由密码管理部门依法实行严格统一管理。

 

　　商用密码，是用于保护不属于国家秘密的信息的密码，公民、法人和其他组织可以依法使用。它广泛应用于国民经济发展和社会生活的各个方面。按照分类，为保障电子化采购全流程顺利安全所使用的数字证书认证系统（CA）、证书认证密钥管理系统（KM）、安全电子签章系统、电子文件密码系统、时间戳等密码都属于商用密码管理范畴，在保障电子化安全方面发挥着极为重要的作用。

 

　　“数字证书是一种权威性的电子文档， 其作用类似于日常生活中的身份证。 它提供的是一种互联网上的身份验证，由权威机构CA证书授权中心发行，人们可以在互联网交往中用它来识别对方的身份。通过集成电子证书加密防伪系统、电子证书加密验证系统等信息安全产品，为政府采购活动构建统一网络安全信任体系。确保零见面采购过程中用户身份真实、数据来源可靠、数据传输安全、用户操作行为不可抵赖，真正意义上实现政府采购活动公平、公开、公正。”河南省信息化发展有限公司销售总监段道臣介绍。

 

　　深圳法大大网络科技有限公司副总裁兼云海CA总经理陈立清接受政府采购信息报/网采访时表示，“采购交易的安全是全流程的，动态实时的。在用户身份验证环节，采用挑战应答机制，客户则利用数字证书完成签名、招投标系统后端完成证书有效性验证和数字签名验证，可以有效防止身份伪造和重放攻击；投标环节，对标书加盖电子印章和时间戳，防止标书被篡改，同时利用投标人利用自有证书对标书进行加密上传，防止标底被泄露；评标环节，投标人解密标书以及数字签名验证后，评标人进行评标，并提交评标记录，加盖电子签章，防止评标意见被篡改；公示期后，利用电子合同完成合同签署，安全方便快捷，有效降低合同争议纠纷。以法大大电子合同为例，作为第三方电子合同平台，严格遵照《电子签名法》相关规定，平台电子合同的法律效力是获得仲裁、司法机构认可的，完全合法合规。同时支持电脑网页、手机网页、微信、APP随时签发、查阅合同，高效协同，方便快捷。另外法大大采用领先的信息运维机制严守数据安全；数据传输金融级别加密防止信息泄露，保证信息交互安全稳定，从而保证信息系统的完整性、保密性、可用性、可控性和不可否认性。”

 

　　同样，江西金格科技股份有限公司上海分公司电子招投标副总经理程猛在面对记者采访时，也对密码在保证电子化采购全流程和动态安全的重要作用表示赞同。他表示，电子签章是对平台通过插入中间件的嵌入式技术，完成PDF格式文档进行电子签章操作的功能，并对PDF文档进行读取和录入操作，保证招投标文档的完整性、唯一性和不可更改性。“数字时间戳”技术，可以为任何电子文件各个节点提供准确的时间证明，并能够检验出该节点自加上时间戳后是否变更过，具有不可否认性和强有力的法律效力。比如对招标文件签章、对资格预审文件签章、对投标文件签章、对评标报告签章、对中标通知书、合同签章，而且现在电子签章可以支持电子签章、手写签名、文字批注、二维条码等多种表现形式，手写签名支持WinTab32标准的压感效果。另外，电子签章也很好地解决了投标专用章、合同专用章、公章等印章乱用等问题，这也使得采购交易随时随地都可以进行，实现效率提升、成本精简。

 

　　安全采购 密码先行

 

　　程猛对未来电子化的安全也有着更深的思考，他表示，加快实施“互联网+政府采购”行动，构建全国一体化的采购交易平台体系，打造纵横贯通的全国“一张网”，前提是全流程的电子化，并不是像目前多数地区推广的那样，简简单单将纸质文件通过附件或者扫描件的形式在系统里面流转就是“电子化”，而是能够将纸质文字“数据化、数字化”，通俗的讲就是让文字“活”在系统里面，让数据流动起来，这就为以后的政府采购“大数据分析”做了充分的准备，大数据分析平台可以任意提取文字进行整合分析，从而为政府采购部门做出更为完善的分析需求。这样一来，对安全就提出了更高的要求，需要以发展的眼光，紧跟科技发展的步伐，要加强统筹规划，在电子化采购交易体系设计、规划之初，就要同步规划建设密码保障体系，对于已建的系统要对密码系统改造升级。我们也要加强学习研发，时刻保持创新优化，以更好的产品、技术和服务为电子化安全保驾护航。

 

　　电子化采购，核心是技术驱动，目的是交易和监督协同运行、互联互通、信息共享，目标是实现采购向信息化、智能化转型，关键是密码保护。技术驱动采购、密码保障安全。电子化因密码更高效透明，采购因密码更安全。要通过密码与电子化采购的融合发展，让采购变得更安全，助力打造安全采购、智慧采购。