把政采打造成信息安全高地

話題聚焦：華為、中興事件給我國政府信息安全領(lǐng)域帶來的啟示

編者按：日前美國國會眾議院情報(bào)委員會發(fā)表調(diào)查報(bào)告稱，中國華為技術(shù)有限公司和中興通訊股份有限公司對美國國家安全構(gòu)成威脅。我們不禁要問：美國政府對信息安全的“維權(quán)”真實(shí)目的是什么？IT產(chǎn)品威脅信息安全的能量有多大？國家在保障信息安全上該如何作為？本期特邀各界人士解讀信息安全與政府采購話題，以饗讀者。 

把政采打造成信息安全高地

主持人： 

本報(bào)記者  梁爽

本期嘉賓：  

中國信息安全認(rèn)證中心副主任 陳曉樺

南開大學(xué)法學(xué)院教授   何紅鋒

上海市政府采購中心采購二部副部長  秦志龍

福建星網(wǎng)銳捷網(wǎng)絡(luò)有限公司政府行業(yè)部副總經(jīng)理 吳吉朋

★實(shí)質(zhì)是阻撓中國產(chǎn)品進(jìn)入美國市場

主持人：美國國會眾議院對中國企業(yè)華為、中興發(fā)出禁止令的舉動，在座的各位是如何看待這起事件的呢？我們不如先看看華為與中興就此次事件發(fā)布的官方表態(tài)。

華為：美國眾議院情報(bào)委員會所主導(dǎo)的、歷時(shí)11個(gè)月完成的報(bào)告，仍然未能提供明確的信息或證據(jù)證明委員會的擔(dān)憂是合理的。

委員會的調(diào)查報(bào)告對華為所提供的大量事實(shí)信息視而不見，甚至早在委員會決定啟動調(diào)查之前，委員會的高級成員，就公開通過媒體呼吁美國商界在選擇華為設(shè)備上采取謹(jǐn)慎態(tài)度，這就使得華為不得不懷疑，報(bào)告的唯一目的就是阻礙競爭、阻撓來自中國的ICT公司進(jìn)入美國市場。（摘自華為公司10月10日晚間發(fā)布的官方聲明）

中興：自2012年4月，中興通訊已用事實(shí)向美國眾議院情報(bào)委員會證明中興通訊是中國最獨(dú)立的、透明的、致力于全球貿(mào)易的上市公司。在中國企業(yè)與美國國會調(diào)查的配合方面，中興通訊在透明和合作上已建立一個(gè)前所未有的標(biāo)準(zhǔn)。

在中興通訊提供給所有美國運(yùn)營商的可信賴交付模型里，中興通訊設(shè)備是由一個(gè)獨(dú)立的受美國政府監(jiān)督的美國安全評估實(shí)驗(yàn)室進(jìn)行評估的，中興通訊設(shè)備不會對美國市場造成任何安全威脅。（摘自中興公司致新華社的書面答復(fù)）

何紅鋒：美國的這一行為，在形式上是為了美國的國家安全考慮，實(shí)質(zhì)上有排擠中國企業(yè)、保護(hù)美國企業(yè)市場份額的目的。

吳吉朋：作為數(shù)據(jù)通訊設(shè)備企業(yè)，我們也有這樣的感覺。美國靠打國家信息安全牌限制中國企業(yè)進(jìn)入其市場已經(jīng)是一種慣有手段了。

秦志龍：實(shí)際上，類似的外國公司在美商業(yè)投資受阻的案例比比皆是，美國給出的理由只有一個(gè)：可能損害美國國家安全。在信息產(chǎn)品領(lǐng)域最著名的案例就是2006年美國國務(wù)院擬采購16000臺聯(lián)想電腦的聯(lián)想“安全門”事件。

何紅鋒：盡管我們?nèi)济靼酌绹伺e的實(shí)質(zhì)所在，但是其行為是符合其本國法律的。具體來說，美國的這一行為的主要法律依據(jù)是美國《網(wǎng)絡(luò)空間安全國家戰(zhàn)略》。

在保護(hù)國家信息安全方面，該戰(zhàn)略明確需要開展的3項(xiàng)工作：

通過有效的計(jì)劃以減少威脅和阻止惡意攻擊者，并對他們進(jìn)行確認(rèn)和懲罰。對那些已被發(fā)現(xiàn)的可能對關(guān)鍵系統(tǒng)造成重大損失的現(xiàn)存弱點(diǎn)進(jìn)行確認(rèn)并補(bǔ)救。開發(fā)脆弱性較小的新系統(tǒng)，對新技術(shù)的脆弱性進(jìn)行評估。

總體上看，該戰(zhàn)略屬于鼓勵性和宣示性的立法，即屬于軟法，對私人投資領(lǐng)域，沒有強(qiáng)制性。但對于政府網(wǎng)絡(luò)空間的安全問題，如果存在問題，政府機(jī)構(gòu)必須證明已經(jīng)解決了系統(tǒng)安全方面的重大問題，否則，該系統(tǒng)的投資將不予批準(zhǔn)。

★美國不應(yīng)無端拒絕中國企業(yè)

主持人：根據(jù)媒體報(bào)道，美國眾議院情報(bào)委員會從2011年11月便開始著手對華為和中興通訊進(jìn)行調(diào)查，理由是所謂擔(dān)心中國政府可能會將這兩家公司售出的電信系統(tǒng)和設(shè)備變?yōu)樵诿绹就吝M(jìn)行間諜活動的工具。從單純的技術(shù)因素上講，目前社會上大面積應(yīng)用的數(shù)據(jù)通訊設(shè)備、電信設(shè)備是否含有影響信息安全的因素呢？我想請?jiān)谧膶＜医獯鹨幌隆?/p>

吳吉朋：單純從技術(shù)角度來講，的確存在這個(gè)可能性。比如系統(tǒng)后門、非法芯片、木馬程序等威脅信息安全的技術(shù)因素都有可能被置入設(shè)備中。但是，我們說的僅僅是有這個(gè)可能性而已，這也是當(dāng)前信息技術(shù)領(lǐng)域普遍存在的技術(shù)風(fēng)險(xiǎn)。在這次事件中，美國政府不能僅僅因?yàn)橛羞@種技術(shù)可能性就武斷地認(rèn)為中國企業(yè)的進(jìn)入會對其國家信息安全構(gòu)成威脅，這是不客觀的。

陳曉樺：我也說幾句。所謂安全，涉及信息是否不被泄漏，是否被隨意修改，是否可以正常使用，是否真實(shí)，是否只能被合法人員使用，對信息的操作行為是否不可抵賴等。從信息安全防護(hù)的角度來看，至少包含兩個(gè)方面的內(nèi)容，即信息本身（指數(shù)據(jù)或信息內(nèi)容）的安全，和信息系統(tǒng)（是否能夠提供持續(xù)服務(wù)）的安全。當(dāng)然，制造、散播虛假、不良等信息也被納入網(wǎng)絡(luò)治理范疇。所以，從信息的生命周期來看，幾乎所有的信息技術(shù)與通信（ICT）類產(chǎn)品都涉及信息安全問題。

何紅鋒：就這次事件來說，中國如果要反制，首先要建章立規(guī)，當(dāng)然最好是立法。因?yàn)檫@不是小問題，確實(shí)涉及國家安全。如果立法有困難，至少要由財(cái)政部、工信部出臺相關(guān)規(guī)定。

★我國政府采購市場更加開放

主持人：在我國，包括數(shù)據(jù)通訊設(shè)備在內(nèi)的電信設(shè)備是否屬于政府采購范疇呢？

吳吉朋：單從銳捷網(wǎng)絡(luò)來說，我們在國內(nèi)面向的市場主要是包括政府、金融、教育、醫(yī)療等在內(nèi)的行業(yè)和企業(yè)市場。除此之外，我們的數(shù)據(jù)通訊產(chǎn)品還銷往東南亞、印度以及俄羅斯等國家和地區(qū)。

何紅鋒：從法理上來講，這些設(shè)備有一部分是屬于政府采購市場。至于具體的范圍和采購人，這涉及各個(gè)國家對政府采購范圍的規(guī)定不同而不同。

主持人：從這次事件中明顯可以看出，美國政府采購市場對我國產(chǎn)品、尤其是信息類產(chǎn)品采取的是近乎隔絕的態(tài)度。相對美國而言，在我國政府采購制度體系中，對于他國產(chǎn)品又持什么樣的態(tài)度呢？

秦志龍：對比美國政府的做法，中國政府采購中的開放性值得反思，尤其在IT領(lǐng)域，我們采購的部分是美國產(chǎn)品，而且我國對他們沒有設(shè)置任何障礙，更為嚴(yán)重的是還允許一些美國公司直銷，使得他們可以掌握每臺機(jī)器的用戶信息，這個(gè)潛在風(fēng)險(xiǎn)實(shí)在太大了，我們要引起關(guān)注。

吳吉朋：秦老師說得不錯。在平時(shí)的業(yè)務(wù)工作中我們對此也深有體會。可以說，在我國信息技術(shù)產(chǎn)業(yè)的整體發(fā)展水平方面，電信設(shè)備幾乎是唯一站在世界同行第一梯隊(duì)的產(chǎn)業(yè)領(lǐng)域。也正因此，我們這個(gè)產(chǎn)業(yè)更需要政策的積極引導(dǎo)與政府的有效扶持。但在實(shí)際操作中，國產(chǎn)電信設(shè)備、數(shù)據(jù)通訊設(shè)備等產(chǎn)品在國內(nèi)政府采購市場并無明顯優(yōu)勢。在這點(diǎn)上，我們希望政府相關(guān)部門在執(zhí)行采購方面給予一些政策傾斜，為國內(nèi)產(chǎn)業(yè)的發(fā)展提供更多的機(jī)遇。

★政采市場應(yīng)對國內(nèi)產(chǎn)品適度傾斜

主持人：目前，我國政府采購信息類產(chǎn)品制度體系中對于信息安全的保護(hù)是如何規(guī)定的呢？執(zhí)行情況如何？我們想聽聽各位專家的見解。

陳曉樺：保障信息安全十分重要，所以我國對信息安全產(chǎn)品設(shè)立了相關(guān)管理制度。

參照國內(nèi)外的管理制度，經(jīng)過6年的準(zhǔn)備工作，財(cái)政部、工信部、質(zhì)檢總局和認(rèn)監(jiān)委聯(lián)合發(fā)布了《關(guān)于信息安全產(chǎn)品實(shí)施政府采購的通知》，明確了關(guān)于信息安全產(chǎn)品實(shí)施政府采購的規(guī)定。自2010年5月1日實(shí)施以來開始，我國信息安全產(chǎn)品認(rèn)證制度在政府采購領(lǐng)域強(qiáng)制實(shí)施。

通過國內(nèi)相關(guān)部門的協(xié)商，首批在政府采購領(lǐng)域強(qiáng)制要求認(rèn)證的產(chǎn)品有8類13種。截至2012年9月底，共有293款信息安全產(chǎn)品獲得了中國信息安全認(rèn)證中心頒發(fā)的國家信息安全產(chǎn)品認(rèn)證證書。

中國信息安全認(rèn)證中心成立6年來，還依據(jù)國家信息安全與認(rèn)證認(rèn)可相關(guān)管理法律法規(guī)，對無線局域網(wǎng)產(chǎn)品、其他信息技術(shù)產(chǎn)品實(shí)施了信息安全認(rèn)證，頒發(fā)了580余張認(rèn)證證書。

秦志龍：因?yàn)樾畔踩菄野踩囊粋€(gè)方面，例如，美國在發(fā)動伊拉克戰(zhàn)爭之初，便通過信息技術(shù)手段，破壞了伊拉克的指揮系統(tǒng)，使伊拉克毫無還手之力，這是通過信息手段危害國家安全的典型案例之一。

信息安全是一個(gè)關(guān)系到國家安危、國民經(jīng)濟(jì)、人民生活、社會安定等諸多方面的一個(gè)重大現(xiàn)實(shí)問題。所以，在進(jìn)行政府采購時(shí)，應(yīng)盡可能采購國貨，尤其是對敏感部門所使用的產(chǎn)品。

而目前，我國在信息產(chǎn)品領(lǐng)域，幾乎被美國所壟斷，真正的國貨極少，核心技術(shù)也都是美國的，例如，CPU、操作系統(tǒng)等等。我們應(yīng)該充分發(fā)揮政府采購的政策功能，盡可能多地扶持我國企業(yè)開發(fā)、研制國貨，免遭外國勢力打壓，威脅國家安全。

華為、中興事件再次為我們敲響了警鐘，關(guān)注信息產(chǎn)品、關(guān)注信息安全已經(jīng)到了刻不容緩的時(shí)刻。