政府采购难堵政府信息安全漏洞

政府采购难堵政府信息安全漏洞

■ 本报记者 程红琳 梁爽

如果说2006年的“联想安全门”事件让公众对国家信息安全问题一度“猜想”的话，那么由斯诺登引爆的“棱镜门”则把猜想变成了事实：中国的网络安全近乎裸体地站在“武装到牙齿”的对手面前。

舆论仿佛又回到了2006年：要求政府采购扛起信息安全的大旗，把好最后一道关。为此，本报记者开始了一路的探究……

政策法规：折翼的天使

翻出“联想安全门”事件的旧日报道会发现：政策法规不给力、采购人没有安全意识是主要“罪状”。事隔多年之后，事实还是如此吗？

“鉴于信息安全产品和服务在国家经济社会中的特殊地位，目前，我国对信息安全产品政府采购已有相关规定。”国家信息安全中心助理研究员吕汉阳博士向记者介绍道,2009年，国家质检总局印发了《关于调整信息安全产品强制性认证实施要求的公告》，要求8类13种信息安全产品进入政府采购前必须实行强制性认证。2010年，财政部等多个部委联合发布了《关于信息安全产品实施政府采购的通知》，要求自2010年5月1日起，防火墙、安全路由器、安全数据库系统等13种产品须在《政府采购法》规定的范围内实行强制性认证，未获得强制性认证证书和未加施中国强制性认证标志的，不得进入政府采购领域。

那么，这些规定在执行中的效果如何？记者通过调查发现，现有的政策在执行中被打了折扣。截至2013年5月31日，中国信息安全认证中心虽已颁发了350张信息安全产品认证证书，强制认证作用却不甚明显。“信息安全产品有54个品种，但是目前已经进入强制性认证范围的只有13类。” 中国信息安全认证中心副主任陈晓桦告诉记者。

“除了有相当一部分信息安全产品未进行政府采购强制认证外，防火墙等13种信息安全产品的招标文件中，有些并未将信息安全产品证书作为强制性准入资格。”吕汉阳告诉记者。

为什么会出现这种情况？常年从事IT类产品政府采购的上海市政府采购中心采购二部副部长、高级工程师秦志龙给出了他的答案：“我国的网络安全、信息安全无法保障的原因，主要在于自主信息技术软硬件产品和服务还不能自成体系，高端数据库、芯片、服务器和操作系统等不能自给。”秦志龙指出，信息正常运行的关键在于交换机、手机、芯片、系统等设备，这些设备的主流软硬件厂商均来自美国，如英特尔、微软、谷歌、苹果等公司，计算机的核心技术，包括CPU和操作系统等也都源自美国。

秦志龙的这种说法，记者不但在不少IT行业的从业者处得到证实，而且日前出版的《瞭望》新闻周刊也对此论述：整体而言，我国信息安全自主可控的进展相对有限。目前，高端信息产品尚不能完全自主，特别是核心设备技术、整体解决方案、信息安全标准等严重依赖于国外厂商，国民经济重要部门有近70%的信息设备来自国外。

即便是自主产品，多数仍属“穿衣”模式，基本建立在以WINTEL(微软+英特尔的缩写)为代表的国外技术平台上，其硬件主要通过对外采购产品或向外购买专利获得，仍然严重受制于人。

那么，采购人的安全意识否一如往昔？在记者的随机采访中，绝大多数的采购人单位都对信息安全有了一个非常明确的认识，而且也认为应该采购国货。然而，面对为什么不能落实的追问，国内产品不好用，满足不了使用需求，不知道哪些是国货等问题成为最主要的原因。

面对不给力的技术，再好的政策法规亦如折翼的天使。

再谈国货：仍是一声叹息

即便有现行的政策法规，有业内人士仍然坦言，在现有法律的框架下，政府采购还是难以最大程度地守卫信息安全，主要原因是“国货”的界定仍然是一道难解的题。

“目前国货缺乏认定标准。”吕汉阳说道，我国《政府采购法》第10条要求“政府采购应当采购本国货物、工程和服务”，其中“国货”界定依照国务院规定执行。2010年5月，财政部、商务部、发展改革委、海关总署联合起草了《政府采购本国产品管理办法（征求意见稿）》，延续了《政府采购法实施条例（征求意见稿）》中的相关内容，并明确规定“本办法所称本国产品是指在中国关境内生产，且国内生产成本比例超过50%的最终产品。”

《征求意见稿》一经发布便在IT行业引发了极大的争议。争论的焦点不仅集中在标准上，还有适用范围。有观点甚至提出，国货标准不适用于核心技术完全掌控在国外企业的IT产业中，中国工程院院士倪光南和原中国开源软件推进联盟副秘书长袁萌还为此在媒体上口舌相战。

事实上，尽管政府采购主管部门做出了巨大的努力，但时至今日国货的认定标准依然无法明确。在以往单一经济环境下,本国产品、本土企业都是非常容易认定的,国有企业的产品就代表着本国产品。但是在多种经济体并存的环境条件下,问题就变得非常复杂。一方面为吸引外资,就要给外商创造良好的投资环境，如果将外企在华的企业所研发、制造产品视为本国产品，就涉及到核心技术究竟掌握在谁手里的问题。另一方面，越来越多的国外信息类产品厂商加速本土化，即便是采购“所谓的国货”，也可能难以实现信息类产品的安全可控。

尽管如此，有关专家学者们仍然努力地寻找可行的方法。吕汉阳认为，应在不违背WTO的前提下进行政策设计，明确“本国货物”的认定标准及量化指标，建立信息安全标准化体系和政府信息安全产品采购指南；强制要求各部门在本国货物能够满足应用需求时，必须采购本国货物并优先采购目录内的产品；因技术原因确需采购非本国货物时，必须按照有关规定报相关部门审批。同时该产品也必须通过国家的信息安全检测认证，并以此要求国外厂商开放涉及信息安全的关键技术。

“此外，在坚持采购本国货物的基础上，对国外企业及外资控股企业参与信息类产品的政府采购设定更为严格的准入措施。例如，对于微软、IBM等外资控股企业的售后服务必须通过中国第三方非外资控股企业代理进行，禁止国外企业及外资控股企业直接为政府部门服务。”吕汉阳说道。

专家呼吁：顶层设计亟待衔接

与中国政府机关的用户亲睐国外信息类产品形成鲜明对比的是，美国政府机关在采购信息产品采购方面慎之又慎。

从1809年为政府采购立法至今，美国已经制定相关法律法规500余部，并利用这些疏密有致的法律法规最大程度地维护了本国国家安全。此外，在机构设置上，负责美国《联邦采购条例》(FAR)修改工作的联邦政府采购政策管理办公室，下设FAR理事会，成员包括国防部、联邦总务署（GSA）和航天航空局的行政首长。《联邦采购条例》第二十五部分就美国政府部门的对外采购行为做出了具体规定，包括美国与其他国家间贸易协定的执行；采购程序；合同标的物的价格评估及中标者评定办法等内容，规定并原则上限制美国政府部门从国外采购应用于国内的物品、服务及建材等，并就可以购买外国产品的情形做了明确列举。

不仅如此，就在“棱镜门”事件曝光3个月以前，受“网络攻击”是美国媒体热议的大事，对此，美国甚至呼吁国会就网络安全问题开启新一轮立法进程。今年3月底，美国总统奥巴马签署了一项政府经费法案，对政府IT设备采购加强安全评估，矛头直指联想、华为等中国厂商。

相比起来，无论从立法层面以及机构的设置上，我国在保护国家信息安全方面难掩捉襟见肘的尴尬。“虽然危险不断、威胁巨大，但不等于我们可以无所作为，听之任之。我们可利用政府采购支持民族信息产业。”秦志龙认为，从长远战略眼光看，我国信息安全产业必须立足在一个完整的体系上，不受国际垄断集团控制，防止国际敌对势力对信息安全领域的渗透，关键的问题是应当立足于自主开发，研制适应各种信息安全需要的CPU芯片和专门芯片，这样安全性高，而且成本比进口低很多。因此，他认为，政府采购应更好地发挥其政策功能，扶持民族信息产业发展。

中国人民大学公共管理学院行政管理系副教授王丛虎认为，反观“棱镜门”事件，下一步我国政府采购有两个问题需要解决：一是《政府采购法》需加强与《保密法》的衔接。涉及国家安全的采购，不受自由贸易的限制，政府采购应充分结合《保密法》对国家安全和利益的相关规定。在制度层面，对涉及国家安全的信息类产品采购实行限定措施。二是在目前政府采购涉及国家安全领域的规定处于空缺状态下，我们的政府采购工作人员在组织采购的过程中，执行多过应该理解法律的内涵和初衷，灵活操作。在他看来，政府采购信息类产品可以上升到国家安全高度，采购自主或是安全可控的信息类产品，无可厚非，这种理由在国际上也是成立的。