王雅潔 每經記者 李文藝發自北京、成都

　　針對近期媒體和網民關心的全國鐵路新一代客票系統招標問題，昨日(9月28日)下午，鐵道部宣傳處對《每日經濟新聞》記者作出回應。

　　但一波未平一波又起，9月27日晚，鐵道部官方訂票網站12306網上訂票系統又被曝出現低級漏洞。

　　漏洞被指簡單且低級

　　國內權威漏洞報告平臺“烏云”發布了一份名為 “12306漏洞一包裹”的漏洞，相關廠商為中國鐵道科學研究院。烏云指出，在國慶節前訂票高峰期，12306也進入了漏洞頻發高峰期。這是今年9月份以來，12306出現的第6個漏洞。

　　烏云技術負責人還告訴 《每日經濟新聞》記者，半月前12306曾曝出一起漏洞，可能直接危害到訂票人的信息安全。這些低級漏洞的出現，系統開發方中國鐵道科學研究院恐難辭其咎。

　　9月27日，一名叫“qiaoy”的網友在烏云網站上提交了一個漏洞報告——12306漏洞一包裹，危害等級為“高”。隨后，中國鐵道科學研究院確認并回復“修補中”。

　　烏云網站技術負責人透露，從安全的角度看，這樣的漏洞有點簡單和低級。“一般網站上線前，公司都會對系統進行系列的嚴格的測試，所以這種簡單的錯誤和漏洞就會避免。12306曝出低級錯誤，說明缺乏這種檢測措施。”

　　9月份以來曝出6個漏洞

　　烏云網站統計數據顯示，12306從今年2月份開始，除了6月和8月，幾乎每月都有漏洞報告，9月份以來竟然曝出高達6個漏洞。而在半個月前12306的確出現一個漏洞，稱12306系統修改任意密碼，有可能會導致訂票人信息泄露。

　　從12306曝出的漏洞類型看，主要為SQL注射漏洞、賬戶體系控制不嚴、系統/服務運維配置不當、設計缺陷/邏輯錯誤，其中，SQL注射漏洞這一類型的漏洞最多的，比例達到78%。

　　由于鐵道部實行購票實名制，低級安全漏洞的出現讓不少訂票者感到了擔憂。

　　同時，這份低級漏洞報告，也讓系統開發方中國鐵道科學研究院浮出水面，因為12306所有的漏洞相關廠商都是該學院的名稱。

　　公開資料顯示，中國鐵道科學研究院成立于1950年3月1日，2002年由事業單位轉制為鐵道部直屬大型科技企業。在鐵道科學研究院的官網上，一個鐵道部先進集體引起了記者的注意，該集體正是“全路客票發售和預訂系統項目組”，于1996年組建而成，這個時間正是鐵路客票系統最早期的開發時間。

　　資料顯示，承擔開發建設中國鐵路客票發售和預訂系統任務的總體組，組員為抽調集中了中國鐵道科學研究院、北方交通大學、長沙鐵道學院、上海鐵道大學、西南交通大學、華東交通大學、大連鐵道學院、蘭州鐵道學院、石家莊鐵道學院及有關鐵路局一批科技精英，歷時4年時間開發。

　　不過，《每日經濟新聞》記者昨日打電話聯系該項目組的組長和研究員時，學院方面竟表示“查無此人”。

　　鐵道部說明未涉及核心細節

　　昨日下午，針對本報記者此前有關客票系統招標問題的采訪函，鐵道部宣傳處回應表示，“共有7家單位購買了招標文件，標書售出20天后，項目在北京公開開標，共有5家投標人遞交了投標文件，并且均滿足本次招標合格投標人條件。北京市方正公證處對開標過程進行了現場公證。”

　　鐵道部稱，12306新一代客票系統的招投標項目分為兩個獨立的包件，內容主要包括12306網站售票、客服網站、客服語音、互聯網接入安全、電子支付平臺、系統網絡、列車服務、營銷決策、系統監控、系統測試環境、代售點接入安全、機房環境等系統配套軟硬件設備的采購及建設。

　　鐵道部表示，此次招投標依法組建的評標委員會依據招標文件確定的評標辦法進行了綜合評分。鐵道部信息技術中心依據評標委員會的評標報告及授標建議，確認在兩個包件中分別報價最低、得分最高的太極計算機股份有限公司、同方股份有限公司為中標單位。評標結果依法在招標代理網站上公示滿3個工作日無異議后，向中標單位發出了中標通知書。

　　但記者發現，在這份回復中，除了公布早已被大眾熟知的太極計算機股份有限公司、同方股份有限公司之外，該回復并沒有涉及其他投標人的名稱、報價及競標過程等核心信息。

　　經過對比發現，鐵道部宣傳處的回復內容并未超出中國采購與招標網上已經公示的《招標公示》。中標方是否是以 “最低報價、最高得分”獲標，并沒有充分的信息能夠佐證。

　　北京交通大學教授趙堅認為，除了公布中標的太極計算機股份有限公司、同方股份有限公司之外，其他參與競標的企業信息也應該公布。

　　他指出，要想改變客票系統備受詬病的現狀，鐵路客票系統售票的管理應該參考航空售票的模式，引入市場化管理，跟上市場技術的變化，對相關的事業單位進行改制，再由相關的企業來操作招投標、售票等。