王雅潔 每經(jīng)記者 李文藝發(fā)自北京、成都

　　針對近期媒體和網(wǎng)民關(guān)心的全國鐵路新一代客票系統(tǒng)招標(biāo)問題，昨日(9月28日)下午，鐵道部宣傳處對《每日經(jīng)濟新聞》記者作出回應(yīng)。

　　但一波未平一波又起，9月27日晚，鐵道部官方訂票網(wǎng)站12306網(wǎng)上訂票系統(tǒng)又被曝出現(xiàn)低級漏洞。

　　漏洞被指簡單且低級

　　國內(nèi)權(quán)威漏洞報告平臺“烏云”發(fā)布了一份名為 “12306漏洞一包裹”的漏洞，相關(guān)廠商為中國鐵道科學(xué)研究院。烏云指出，在國慶節(jié)前訂票高峰期，12306也進(jìn)入了漏洞頻發(fā)高峰期。這是今年9月份以來，12306出現(xiàn)的第6個漏洞。

　　烏云技術(shù)負(fù)責(zé)人還告訴 《每日經(jīng)濟新聞》記者，半月前12306曾曝出一起漏洞，可能直接危害到訂票人的信息安全。這些低級漏洞的出現(xiàn)，系統(tǒng)開發(fā)方中國鐵道科學(xué)研究院恐難辭其咎。

　　9月27日，一名叫“qiaoy”的網(wǎng)友在烏云網(wǎng)站上提交了一個漏洞報告——12306漏洞一包裹，危害等級為“高”。隨后，中國鐵道科學(xué)研究院確認(rèn)并回復(fù)“修補中”。

　　烏云網(wǎng)站技術(shù)負(fù)責(zé)人透露，從安全的角度看，這樣的漏洞有點簡單和低級。“一般網(wǎng)站上線前，公司都會對系統(tǒng)進(jìn)行系列的嚴(yán)格的測試，所以這種簡單的錯誤和漏洞就會避免。12306曝出低級錯誤，說明缺乏這種檢測措施。”

　　9月份以來曝出6個漏洞

　　烏云網(wǎng)站統(tǒng)計數(shù)據(jù)顯示，12306從今年2月份開始，除了6月和8月，幾乎每月都有漏洞報告，9月份以來竟然曝出高達(dá)6個漏洞。而在半個月前12306的確出現(xiàn)一個漏洞，稱12306系統(tǒng)修改任意密碼，有可能會導(dǎo)致訂票人信息泄露。

　　從12306曝出的漏洞類型看，主要為SQL注射漏洞、賬戶體系控制不嚴(yán)、系統(tǒng)/服務(wù)運維配置不當(dāng)、設(shè)計缺陷/邏輯錯誤，其中，SQL注射漏洞這一類型的漏洞最多的，比例達(dá)到78%。

　　由于鐵道部實行購票實名制，低級安全漏洞的出現(xiàn)讓不少訂票者感到了擔(dān)憂。

　　同時，這份低級漏洞報告，也讓系統(tǒng)開發(fā)方中國鐵道科學(xué)研究院浮出水面，因為12306所有的漏洞相關(guān)廠商都是該學(xué)院的名稱。

　　公開資料顯示，中國鐵道科學(xué)研究院成立于1950年3月1日，2002年由事業(yè)單位轉(zhuǎn)制為鐵道部直屬大型科技企業(yè)。在鐵道科學(xué)研究院的官網(wǎng)上，一個鐵道部先進(jìn)集體引起了記者的注意，該集體正是“全路客票發(fā)售和預(yù)訂系統(tǒng)項目組”，于1996年組建而成，這個時間正是鐵路客票系統(tǒng)最早期的開發(fā)時間。

　　資料顯示，承擔(dān)開發(fā)建設(shè)中國鐵路客票發(fā)售和預(yù)訂系統(tǒng)任務(wù)的總體組，組員為抽調(diào)集中了中國鐵道科學(xué)研究院、北方交通大學(xué)、長沙鐵道學(xué)院、上海鐵道大學(xué)、西南交通大學(xué)、華東交通大學(xué)、大連鐵道學(xué)院、蘭州鐵道學(xué)院、石家莊鐵道學(xué)院及有關(guān)鐵路局一批科技精英，歷時4年時間開發(fā)。

　　不過，《每日經(jīng)濟新聞》記者昨日打電話聯(lián)系該項目組的組長和研究員時，學(xué)院方面竟表示“查無此人”。

　　鐵道部說明未涉及核心細(xì)節(jié)

　　昨日下午，針對本報記者此前有關(guān)客票系統(tǒng)招標(biāo)問題的采訪函，鐵道部宣傳處回應(yīng)表示，“共有7家單位購買了招標(biāo)文件，標(biāo)書售出20天后，項目在北京公開開標(biāo)，共有5家投標(biāo)人遞交了投標(biāo)文件，并且均滿足本次招標(biāo)合格投標(biāo)人條件。北京市方正公證處對開標(biāo)過程進(jìn)行了現(xiàn)場公證。”

　　鐵道部稱，12306新一代客票系統(tǒng)的招投標(biāo)項目分為兩個獨立的包件，內(nèi)容主要包括12306網(wǎng)站售票、客服網(wǎng)站、客服語音、互聯(lián)網(wǎng)接入安全、電子支付平臺、系統(tǒng)網(wǎng)絡(luò)、列車服務(wù)、營銷決策、系統(tǒng)監(jiān)控、系統(tǒng)測試環(huán)境、代售點接入安全、機房環(huán)境等系統(tǒng)配套軟硬件設(shè)備的采購及建設(shè)。

　　鐵道部表示，此次招投標(biāo)依法組建的評標(biāo)委員會依據(jù)招標(biāo)文件確定的評標(biāo)辦法進(jìn)行了綜合評分。鐵道部信息技術(shù)中心依據(jù)評標(biāo)委員會的評標(biāo)報告及授標(biāo)建議，確認(rèn)在兩個包件中分別報價最低、得分最高的太極計算機股份有限公司、同方股份有限公司為中標(biāo)單位。評標(biāo)結(jié)果依法在招標(biāo)代理網(wǎng)站上公示滿3個工作日無異議后，向中標(biāo)單位發(fā)出了中標(biāo)通知書。

　　但記者發(fā)現(xiàn)，在這份回復(fù)中，除了公布早已被大眾熟知的太極計算機股份有限公司、同方股份有限公司之外，該回復(fù)并沒有涉及其他投標(biāo)人的名稱、報價及競標(biāo)過程等核心信息。

　　經(jīng)過對比發(fā)現(xiàn)，鐵道部宣傳處的回復(fù)內(nèi)容并未超出中國采購與招標(biāo)網(wǎng)上已經(jīng)公示的《招標(biāo)公示》。中標(biāo)方是否是以 “最低報價、最高得分”獲標(biāo)，并沒有充分的信息能夠佐證。

　　北京交通大學(xué)教授趙堅認(rèn)為，除了公布中標(biāo)的太極計算機股份有限公司、同方股份有限公司之外，其他參與競標(biāo)的企業(yè)信息也應(yīng)該公布。

　　他指出，要想改變客票系統(tǒng)備受詬病的現(xiàn)狀，鐵路客票系統(tǒng)售票的管理應(yīng)該參考航空售票的模式，引入市場化管理，跟上市場技術(shù)的變化，對相關(guān)的事業(yè)單位進(jìn)行改制，再由相關(guān)的企業(yè)來操作招投標(biāo)、售票等。