国家信息安全关口如何把?

时间: 2006-11-06 14:48:56    来自:中国计算机安全
 

  信息时代的来临,使电子网络的边防比现实中的边防还要重要,而在国家的电子边关上,政府采购制度是一个特别重要的隘口。


  第一关:用可控产品

  黑龙江省科技厅副厅长郑志成使用的是美国某公司生产的笔记本电脑。专家们对他使用的笔记本电脑进行研究后,发现电脑的CPU上面有一个端口,没人知道用途是什么。

  “电脑的CPU不是我国设计、制造的,我们目前还不能完全明白其中的奥秘。这使得我国信息安全的形势更为严峻”。郑志成说。国家信息中心首席工程师宁家骏也认为,在国家各种关键信息系统建设中大量使用国外产品的现象,给我国信息安全带来很大的隐患。

  我国在关键领域使用国外产品,等于把自己的秘密置于别人的眼皮底下。一家国产数据库公司老总介绍,某航天部门使用了甲骨文公司的数据库。结果有一天,数据库突然失灵,必须让甲骨文公司的人来修理。由于数据库中存放的信息关系国防机密,不能让外国人看到,只好忍痛彻底删除。

  还有GIS软件(地理信息系统)。这种软件是通过电脑技术或多媒体技术分析一个地区的地形地貌特征,以提供有效的电子地图。如果我们广泛使用国外软件,势必要把我国的山川地形地貌等信息提供给国外公司。谁能保证日后这些数据不会存放到外国的导弹中呢?

  公安部信息安全等级保护评估中心副主任毕马宁说,安全的信息产品必须是可控的,具体讲,“在产品技术来源、产品生产过程、产品生产环境和人员管理这些环节上,都必须是可以控制的”。在联想安全门事件中,虽然联想电脑还是使用原来IBM的技术和其在美国、
墨西哥的生产基地,但由于企业易主,在美国人眼里,生产过程和人员管理不再可控,因此美国人认为,即使完全美国化,联想电脑也不是安全的。

  针对在信息化建设中,有些人只认产品的技术水平,不考虑可能引发的信息安全隐患的现状,毕马宁强调,除技术因素以外,产品的可控性是保证信息安全至关重要的核心环节。

  “如何保证产品的可控性?这项工作不能交由企业来做,也不能指望由纯粹的第三方机构来做,而必须由政府有关职能部门来完成。”毕马宁说。有关政府职能部门指的谁?主要指专门的国家信息安全主管部门。

  第二关:买国产可控产品

  在信息产品的可控性方面,从技术来源、生产过程、人员管理等等环节来看,国产信息产品无疑具有国外品牌无法比拟的可信度。

  但长期以来,存在一种认识,就是国产设备基本属于低端产品,不能满足高端需求,服务也不如国外品牌好,尤其是国产服务器。这种认识严重阻碍了国产信息产品在政府信息化进程中的使用。

  针对这种老观念,中国工程院院士、中科院计算机所所长李国杰表示,“在服务器领域,国产品牌已经完全可以和国际知名品牌媲美了,这不但表现在产品本身,还表现在国内厂家专业良好的本地服务和全面的整体解决方案提供上”。

  在今年济南市金盾工程建设中,经过公安部专家反复、慎重的对比测试以及对未来服务器产业发展趋势的分析,曙光二代小型机击败公安部门一直使用的国外UNIX小型机,成功中选。济南市公安局选用曙光小型机搭建的机群,成为目前我国规模最大的电子政务机群和亚洲规模最大的双核机群,而总投资仅相当于同档次国外小型机的40%。此外,曙光在湖北地税、贵州电子政务建设中,均有诸多收获。曙光销售总监王成江强调,在技术可以满足的前提下,应该优先采购国内的服务器,这是国货采购政策功能的重要体现,也是国家信息安全的重要保证。

  济南公安的抉择,为金盾工程乃至整个电子政务工程探索了具有借鉴意义的低成本高安全度信息化建设新模式,为通过政府采购保障信息安全做了示范。

  中科院院士倪光南指出,从保护国家信息安全的角度出发,信息产品、设备的采购应当尽量采购国产产品、设备,以达到信息安全自主可控的要求。“如果构成信息系统的产品、设备不是自主可控的,就不能排除其中‘后门’、‘远程钥匙’、‘非正常功能’和各种恶意代码、指令存在的可能性,也就谈不上是安全的。”因此,我国政府部门应该切实履行职责,采购使用国产信息产品,保护国家的信息安全。

  “政府采购应当采购本国货物、工程和服务。”《政府采购法》第十条的规定,使得我国可以通过政府采购的合法途径,加强对优质可靠的国产产品的采购,提高对国家信息安全的保护。

  我国信息安全面临的严峻现实以及法律赋予政府采购的政策功能都说明,通过购买国产品来保护国家信息安全,政府采购这道“门槛”必不可少。

  第三关:国外产品审查

  联想收购IBM全球PC业务,受到严格审查。美国政府在签署同意收购文件时,对联想参加美国政府采购提出了种种限制,其中第一条就是联想向美国政府部门提供产品时必须通过美国的一系列审查。

  在有些领域,的确存在我国产品不能满足需要的问题。我国毕竟是快速发展的国家,需要引进一定数量的技术和设备来壮大自己。这时应该如何考虑保护信息安全的问题呢?

  “完全可以学习美国人的做法,对外国产品进行安全审查。”知名专家、中国社科院工业经济研究所研究员赵英认为。最近,赵英主笔的国家课题《开放环境中的国家经济安全》的发表引起了社会广泛的关注。

  “重视信息安全,要避免空喊口号。在自己还拿不出有自主
知识产权的硬产品时,要尽快拿出管用的硬措施。”天津市人民政府办公厅副主任刘彦凯说。

  权威人士一致呼吁,在我国企业生产的产品能够满足政府需求时,应该采购本国产品。在我国产品满足不了需求而必须购买外国产品时,至少要做到三点:第一,公开技术标准、源代码、设计等;第二,生产与运输过程可控;第三,通过第三方代理,屏蔽我国政府部门的重要信息,包括项目信息与个人信息。

 
期期必出30码网站