中國政府采購報(bào)社主辦 財(cái)政部指定政府采購信息發(fā)布媒體
當(dāng)前位置:首頁 >>理論實(shí)務(wù) >> 理論前沿 >> 電子政務(wù)安全從何處來

電子政務(wù)安全從何處來

欄目: 理論前沿 時(shí)間:2014-02-21 19:46:47 發(fā)布:測(cè)試 分享到:

除了被曝光的“棱鏡”項(xiàng)目外,還有多少不為人知的秘密項(xiàng)目?

電子政務(wù)安全從何處來

 

■ 秦志龍

最近發(fā)生的幾件事,引發(fā)了筆者對(duì)我國電子政務(wù)安全問題的進(jìn)一步思考。

第一件事是“習(xí)奧會(huì)”把網(wǎng)絡(luò)安全問題作為話題之一,這充分說明網(wǎng)絡(luò)安全問題的嚴(yán)重性和重要性。美國總統(tǒng)國家安全事務(wù)助理多尼倫6月8號(hào)表示,中國國家主席習(xí)近平與美國總統(tǒng)奧巴馬的第二天會(huì)晤,聚焦經(jīng)濟(jì)和網(wǎng)絡(luò)安全議題。

第二件事是英國《衛(wèi)報(bào)》和美國《華盛頓郵報(bào)》6月6日?qǐng)?bào)道說,美國國家安全局和聯(lián)邦調(diào)查局正在開展一個(gè)代號(hào)為“棱鏡”的秘密項(xiàng)目,通過接入互聯(lián)網(wǎng)公司的中心服務(wù)器,情報(bào)分析人員可直接接觸所有用戶的音頻、視頻、照片、電郵、文件和連接日志等信息,跟蹤互聯(lián)網(wǎng)使用者的一舉一動(dòng)以及他們的所有聯(lián)系人。報(bào)道還指出,過去6年中,該項(xiàng)目經(jīng)歷了爆炸性增長,目前美國國家安全局約1/7的情報(bào)報(bào)告依靠這一項(xiàng)目提供原始數(shù)據(jù)。過去一年中,總統(tǒng)的每日情報(bào)簡報(bào)共有1477個(gè)條目使用這一項(xiàng)目所獲數(shù)據(jù)。微軟(包括hotmai1郵件系統(tǒng))、雅虎、谷歌、蘋果、sKyPe、美國在線、視頻網(wǎng)站YouTube、社交網(wǎng)站“臉譜”以及文字語音聊天軟件Pa1ta1K這9家美國公司參與“棱鏡”項(xiàng)目。雖然各公司緊急撇清關(guān)系,總統(tǒng)奧巴馬也為這一項(xiàng)目進(jìn)行辯護(hù),強(qiáng)調(diào)說這一項(xiàng)目不針對(duì)美國公民或在美國的人,目的在于反恐和保障美國人安全。但這種辯護(hù)恰好說明了該項(xiàng)目的存在,報(bào)料人還指出,美國入侵中國網(wǎng)絡(luò)已達(dá)15年之久。

第三件事是6月5日中國社科院發(fā)布的《中國電子政務(wù)年鑒(2012)》指出:盡管我國民族IT產(chǎn)業(yè)有了一定的發(fā)展,但是我國電子政務(wù)發(fā)展過程中信息技術(shù)受制于人的問題仍十分突出,關(guān)系到國家經(jīng)濟(jì)命脈的重要信息系統(tǒng)使用國產(chǎn)軟硬件的比例還不是很高,信息安全形勢(shì)嚴(yán)峻。

所有這些事情無一不說明信息安全、網(wǎng)絡(luò)安全的重要性以及我國在電子政務(wù)安全領(lǐng)域的嚴(yán)重不足。

1.電子政務(wù)的五大安全問題

根據(jù)《中國電子政務(wù)年鑒(2012)》提供的數(shù)據(jù),目前,我國電子政務(wù)網(wǎng)絡(luò)已經(jīng)覆蓋所有的省、自治區(qū)、直轄市,90%以上的市和80%以上的縣。到目前為止,政務(wù)外網(wǎng)縱向已連接31個(gè)省(區(qū)、市)和新疆生產(chǎn)建設(shè)兵團(tuán)、311個(gè)市(地、州、盟)和1918個(gè)縣(市、區(qū)、旗),地市級(jí)和區(qū)縣級(jí)覆蓋率分別達(dá)到93.4%和67.2%,成為我國覆蓋面最廣、連接部門最多、規(guī)模最大的政務(wù)公開網(wǎng)絡(luò)。

在數(shù)據(jù)庫方面,省和副省級(jí)市政府超過70%的部門建有數(shù)據(jù)庫,地級(jí)市和縣級(jí)政府超過一半的部門建有數(shù)據(jù)庫,省市縣各部門數(shù)據(jù)庫業(yè)務(wù)覆蓋率達(dá)70%以上;各級(jí)政府多數(shù)部門均實(shí)現(xiàn)了部分核心業(yè)務(wù)應(yīng)用,除副省級(jí)市外(副省級(jí)市51.9%的直屬部門實(shí)現(xiàn)了全部核心業(yè)務(wù)應(yīng)用),少數(shù)部門實(shí)現(xiàn)了全部核心業(yè)務(wù)應(yīng)用。截至2012年4月,我國海關(guān)、稅務(wù)、公安、審計(jì)、國土、金融監(jiān)管等重點(diǎn)領(lǐng)域業(yè)務(wù)信息化覆蓋率近90%。部分部委,如公安部、科技部、人民銀行、審計(jì)署等已達(dá)到100%,國家統(tǒng)計(jì)局主要業(yè)務(wù)電子政務(wù)覆蓋率已經(jīng)達(dá)到82%。從總體來看,全部中央部委主要業(yè)務(wù)信息化覆蓋率約為50%左右。

中國的電子政務(wù)的強(qiáng)大市場(chǎng)需求,滋育了許多強(qiáng)大的國外IT企業(yè),但在培植有影響力的民族品牌企業(yè)和產(chǎn)品方面的實(shí)際推動(dòng)力還不夠。據(jù)介紹,目前,我國信息服務(wù)業(yè)及企業(yè)競(jìng)爭(zhēng)力與國外仍存在較大差距。以國產(chǎn)數(shù)據(jù)庫為例,多年來,國內(nèi)數(shù)據(jù)庫市場(chǎng)超過90%的市場(chǎng)份額被Oracle等國際巨頭占領(lǐng)。經(jīng)過10年的努力,國產(chǎn)數(shù)據(jù)庫在電子政務(wù)等行業(yè)取得了突破。但國產(chǎn)數(shù)據(jù)庫由于起步晚,在眾多領(lǐng)域尤其是高端產(chǎn)品方面無法與國際巨頭相抗衡。

另外,為保障信息系統(tǒng)安全、可靠、穩(wěn)定運(yùn)行而開展的信息系統(tǒng)審計(jì),其審計(jì)師資格的授予權(quán)仍被國外控制。信息系統(tǒng)審計(jì)師資格授予權(quán)被國外控制的局面,對(duì)我國信息安全產(chǎn)生重大的潛在威脅。

具體來說,目前我們面臨的主要安全問題是:

第一,網(wǎng)絡(luò)系統(tǒng)日益復(fù)雜,安全隱患急劇增加。隨著國家信息化進(jìn)程的推進(jìn),信息技術(shù)使用越來越普及,信息網(wǎng)絡(luò)的復(fù)雜性越來越大;網(wǎng)絡(luò)攻擊的重點(diǎn)無論是內(nèi)部系統(tǒng),還是遠(yuǎn)程撥號(hào)、互聯(lián)網(wǎng),都在逐年增多。

第二,應(yīng)用環(huán)境快速變化,安全風(fēng)險(xiǎn)越來越大。隨著商業(yè)需求、客戶應(yīng)用、網(wǎng)絡(luò)環(huán)境、操作系統(tǒng)、協(xié)議、人員、物理環(huán)境等等方面的變化,信息化的發(fā)展日新月異,使得我們面臨的安全風(fēng)險(xiǎn)也不斷增多。

第三,網(wǎng)絡(luò)聯(lián)通更加廣泛,惡意連接防不勝防。超大規(guī)模、巨型復(fù)雜的互聯(lián)網(wǎng)絡(luò)使得大量匿名用戶活躍在網(wǎng)絡(luò)上,所以難以預(yù)測(cè)的攻擊也就越來越多。

第四,網(wǎng)絡(luò)用戶快速增長,黑客攻擊連年翻番。

第五,網(wǎng)絡(luò)匿名顯露弊端,道德倫理面臨挑戰(zhàn)。互聯(lián)網(wǎng)是一個(gè)虛擬的空間,電子政務(wù)網(wǎng)絡(luò)也是虛擬的,很多網(wǎng)絡(luò)攻擊行為,包括對(duì)信息的竊取等都與這個(gè)匿名的特性有關(guān);由于信息技術(shù)發(fā)展越來越快,破壞性的、攻擊性的軟件和工具越來越方便,對(duì)攻擊者知識(shí)的要求也越來越低,所以,入侵攻擊能力的發(fā)展同樣是很大的威脅。 

2.構(gòu)建一個(gè)安全的電子政務(wù)體系

我國的網(wǎng)絡(luò)安全、信息安全無法保障的原因,主要表現(xiàn)在自主信息技術(shù)軟硬件產(chǎn)品和服務(wù)還不能形成體系,高端數(shù)據(jù)庫、芯片、服務(wù)器和操作系統(tǒng)等不能自給。我們必須從多方面入手、全方位努力,構(gòu)建一個(gè)安全的電子政務(wù)體系。

第一,制定安全策略。首先,國家要從政策法規(guī)方面進(jìn)行引導(dǎo),并需要社會(huì)廣泛的參與。因?yàn)樾畔⒒且粋€(gè)全社會(huì)共同參與的進(jìn)程,電子政務(wù)也不例外。其次,信息網(wǎng)絡(luò)是一個(gè)全網(wǎng)全程的概念,它的安全保障必須是全局的、綜合的治理,而且要積極防御,既要有效控制現(xiàn)有的安全風(fēng)險(xiǎn),又要有相應(yīng)的手段防止可能出現(xiàn)的安全性問題。另外,安全策略的制定還要保證系統(tǒng)運(yùn)行、系統(tǒng)內(nèi)信息以及系統(tǒng)管理控制的安全。

第二,健全安全法規(guī)?,F(xiàn)在,我們已經(jīng)有了一些相應(yīng)的法律和法規(guī),但是還需要適應(yīng)信息化和電子政務(wù)的發(fā)展,制定新的法律、法規(guī)。國務(wù)院法制辦和國務(wù)院信息辦會(huì)同有關(guān)部門正在積極就保密與公開,電子文檔的合法性、電子簽名、隱私權(quán)的保護(hù)等等制定相應(yīng)的法律、法規(guī),這是一個(gè)可喜的信息。 

第三,加強(qiáng)安全管理和服務(wù)。要按照《關(guān)于我國電子政務(wù)建設(shè)的指導(dǎo)意見》(中發(fā)辦【2002】17號(hào))文件的規(guī)定,對(duì)涉密網(wǎng)和非涉密網(wǎng)、涉密信息和非涉密信息、安全域和非安全域要進(jìn)行安全性劃分;對(duì)電子政務(wù)的工程建設(shè)要進(jìn)行監(jiān)理和監(jiān)督;對(duì)信息安全產(chǎn)品的采購要進(jìn)行管理。政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)要實(shí)行嚴(yán)格的物理隔離,政務(wù)外網(wǎng)和互聯(lián)網(wǎng)絡(luò)要實(shí)行邏輯隔離。輔助性的支持機(jī)制也需建立,例如安全評(píng)估、風(fēng)險(xiǎn)分析、系統(tǒng)設(shè)計(jì)、測(cè)評(píng)、人員培訓(xùn)等等。

第四,建立安全標(biāo)準(zhǔn)。國家成立了信息安全技術(shù)委員會(huì),正在就安全管理、PKI、信息安全產(chǎn)品接口、電子文檔的密級(jí)進(jìn)行分級(jí)與標(biāo)識(shí),電子簽名、應(yīng)急處理等涉及到電子政務(wù)的這些方面的標(biāo)準(zhǔn)也在緊鑼密鼓地制定中。 

第五,研發(fā)安全產(chǎn)品。我們必須要研究、開發(fā)、生產(chǎn)擁有自主知識(shí)產(chǎn)權(quán)的安全產(chǎn)品,例如VPN、保密傳送設(shè)備、防火墻、安全網(wǎng)閘、入侵檢測(cè)和漏洞掃描、防病毒、審計(jì)系統(tǒng)、PKI/PMI和安全應(yīng)用工具等等。

第六,完善安全基礎(chǔ)設(shè)施。除了建立國家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心、國家信息安全測(cè)評(píng)認(rèn)證中心外,還應(yīng)建立PKI/KMI中心、應(yīng)急處理與災(zāi)難恢復(fù)中心、病毒防治與服務(wù)體系、安全測(cè)評(píng)與認(rèn)證體系等。

另外,在電子政務(wù)安全建設(shè)中,需要權(quán)衡安全、成本、效率三者的關(guān)系。實(shí)際上,絕對(duì)的安全是沒有的,電子政務(wù)系統(tǒng)也不是越安全越好。不同的電子政務(wù)系統(tǒng),對(duì)于信息安全的要求是不同的,必須根據(jù)電子政務(wù)系統(tǒng)的實(shí)際要求做到恰到好處。如果一味地強(qiáng)調(diào)安全,而忽視對(duì)政府信息資源的充分公開,電子政務(wù)的價(jià)值也會(huì)大打折扣。

3.發(fā)揮政府采購的政策功能

第一,利用政府采購保護(hù)信息安全。隨著信息化時(shí)代的到來,我國的政治安全和經(jīng)濟(jì)安全越來越依賴網(wǎng)絡(luò)和信息的安全運(yùn)行。美國很早就認(rèn)識(shí)到了信息安全與國家整體利益和國防的緊密聯(lián)系,采取了一系列措施來加強(qiáng)其信息產(chǎn)業(yè)在全球的壟斷地位。同時(shí),政府部門通過國家安全局(NSA)對(duì)信息產(chǎn)業(yè)實(shí)行嚴(yán)格的控制,NSA派出既懂密碼、電子偵察業(yè)務(wù),又懂半導(dǎo)體技術(shù)的專家駐在各大公司,其任務(wù)就是在銷往全球的信息產(chǎn)品特別是大規(guī)模集成電路芯片等關(guān)鍵部件上安裝NSA需要的“后門”。經(jīng)過中國國家信息安全測(cè)評(píng)認(rèn)證中心的測(cè)試確認(rèn),美國ISS公司的產(chǎn)品存在“后門”,即ISS的產(chǎn)品在客戶不知情的情況下,定期向美國回傳200K字節(jié)的加密數(shù)據(jù),經(jīng)有關(guān)部門解密后得知其中包括重要客戶信息,對(duì)用戶構(gòu)成極大的潛在安全危險(xiǎn)。最讓人擔(dān)心的是,在今天的技術(shù)條件下,將一塊芯片中可能安放的所有后門都排除掉幾乎是不可能的。

在過去的“聯(lián)想安全門”事件中,美中經(jīng)濟(jì)與安全評(píng)估委員會(huì)主席拉里·沃策爾曾表現(xiàn)得“憂心忡忡”。他在接受《紐約時(shí)報(bào)》采訪時(shí)稱,如果歐洲的空中客車公司將一條飛機(jī)生產(chǎn)線轉(zhuǎn)移到中國,他不會(huì)因此而感到擔(dān)心,但如果聯(lián)想開始向美國政府的涉外機(jī)構(gòu)出售電腦,他會(huì)坐臥不安。他還說:“如果你是一個(gè)外國情報(bào)機(jī)構(gòu),你得知美國聯(lián)邦政府機(jī)構(gòu)正從你們國家的電腦公司采購1.6萬臺(tái)電腦,難道你能排除其做點(diǎn)手腳的可能性嗎?”

試想,我們的許多信息產(chǎn)品的軟硬件均為美國產(chǎn)品,難道我們不應(yīng)該更“憂心忡忡”?因此,在進(jìn)行政府采購時(shí),應(yīng)盡可能采購國貨,尤其是對(duì)敏感部門所使用的產(chǎn)品。

第二,利用政府采購支持民族工業(yè)。從國際上看,從來沒有哪一個(gè)國家的政府市場(chǎng)是完全對(duì)外開放的,政府采購政策一直是各國保護(hù)本國企業(yè)的合法手段。如美國1933年頒布的《購買美國產(chǎn)品法》開宗明義規(guī)定:“扶持和保護(hù)美國工業(yè)、美國人和美國投資資本”,并規(guī)定各政府機(jī)構(gòu)除特殊情況外,必須購買由美國供應(yīng)商提供的本國產(chǎn)品、工程和服務(wù)。

國家信息安全基礎(chǔ)設(shè)施的建設(shè)是不能建立在從國外進(jìn)口的CPU產(chǎn)品上的。從長遠(yuǎn)來看,我國信息安全產(chǎn)業(yè)必須立足在一個(gè)完整的體系上,不受國際壟斷集團(tuán)控制,防止國際敵對(duì)勢(shì)力對(duì)信息安全領(lǐng)域的滲透,關(guān)鍵的問題是應(yīng)當(dāng)立足于自主開發(fā),研制適應(yīng)各種信息安全需要的CPU芯片和專門芯片,這樣安全性高,而且成本比進(jìn)口低很多。所以,我們應(yīng)該充分利用政府采購的非關(guān)稅貿(mào)易壁壘大力發(fā)展自己的信息產(chǎn)品,尤其是其核心——CPU和操作系統(tǒng)。

第三,利用政府采購手段盡快發(fā)展和應(yīng)用國產(chǎn)軟件。軟件產(chǎn)業(yè)是信息產(chǎn)業(yè)的核心,是關(guān)系國家經(jīng)濟(jì)和社會(huì)發(fā)展的戰(zhàn)略性產(chǎn)業(yè),是國際競(jìng)爭(zhēng)的焦點(diǎn)和戰(zhàn)略制高點(diǎn)。但微軟操作系統(tǒng)存在安全“漏洞”的報(bào)道屢屢見之于各種媒體。法國國防部委托部外的有關(guān)專家對(duì)美國微軟公司與美情報(bào)機(jī)構(gòu)的關(guān)系進(jìn)行了長期觀察和研究。這些專家于1999年底撰寫了一份長達(dá)100多頁、題為《信息系統(tǒng)的安全性、依賴性和脆弱性》的報(bào)告,其中列舉了美國微軟公司與美國情報(bào)機(jī)構(gòu)之間“秘密和密切關(guān)系”的種種可疑之處。他們認(rèn)為,微軟公司推出的許多產(chǎn)品中含有“間諜程序”,其中“回門程序”能夠解讀所截獲的信息。再如《微軟操作系統(tǒng)暗藏監(jiān)視中方秘密程序?》一文也提供了類似情況:被諾頓爆出“后門”的微軟中文版操作系統(tǒng)程序,內(nèi)置了美國政府定向監(jiān)視中方的秘密程序。

這樣的“后門”還有多少?zèng)]有被發(fā)現(xiàn)?除了被曝光的“棱鏡”項(xiàng)目外,還有多少我們不知道的秘密項(xiàng)目?如果我們大量采用微軟操作系統(tǒng)的現(xiàn)狀不加改變,其危害是難以估量的。一旦發(fā)生戰(zhàn)爭(zhēng)之類的事情,其安全性是絕對(duì)沒有保障的。因此,我國的政府部門要盡可能地多使用國產(chǎn)軟件,大力培育國內(nèi)軟件企業(yè),使其盡快發(fā)展壯大,保護(hù)我國電子政務(wù)的安全。

責(zé)任編輯:

本文來源:
歡迎訂閱中國政府采購報(bào)

我國政府采購領(lǐng)域第一份“中”字頭的專業(yè)報(bào)紙——《中國政府采購報(bào)》已于2010年5月7日正式創(chuàng)刊!

《中國政府采購報(bào)》由中國財(cái)經(jīng)報(bào)社主辦,作為財(cái)政部指定的政府采購信息發(fā)布媒體,服務(wù)政府采購改革,支持政府采購事業(yè),推動(dòng)政府采購發(fā)展是國家和時(shí)代賦予《中國政府采購報(bào)》的重大使命。

《中國政府采購報(bào)》的前身是伴隨我國政府采購事業(yè)一路同行12年的《中國財(cái)經(jīng)報(bào)?政府采購周刊》。《中國政府采購報(bào)》以專業(yè)的水準(zhǔn)、豐富的資訊、及時(shí)的報(bào)道、權(quán)威的影響,與您一起把握和感受中國政府采購發(fā)展事業(yè)的脈搏與動(dòng)向。

《中國政府采購報(bào)》為國際流行對(duì)開大報(bào),精美彩色印刷;每周二、周五出版,每期8個(gè)版,全年訂價(jià)276元,每月定價(jià)23元,每季定價(jià)69元。零售每份3元??梢云圃?、破季訂閱。 可以破月、破季訂閱。

歡迎訂閱《中國政府采購報(bào)》!

訂閱方式:郵局訂閱(請(qǐng)到當(dāng)?shù)剜]局直接訂閱)