马双成河北省廊坊市中国人民武装警察部队学院
新时期设备采购的信息安全问题思考
马双成
河北省廊坊市中国人民武装警察部队学院
信息,在英法德等国均是“information”一词。我国古代据《辞源》解释,信息就是“消息”[1]。现代对信息一词的解释有很多种。它通常以文字、声音、图像等形式来表现,一般指音讯、消息、也可以是通讯系统传输和处理的对象,泛指人类社会传播的一切内容。信息,从个人方面讲有信息产权概念,从国家角度来说有信息主权概念,所以它存在很多的安全风险。国家安全的一种重要方面就是信息安全。所谓信息安全,是指保障国家、机构、个人的信息空间、信息载体和信息资源不受来自内外各种形式的危险、威胁、侵害和误导的外在状态和方式及内在主体感受[2]。进入21世纪后,信息安全已经是世界各国安全领域关注的焦点问题之一。
政府采购也可以被称为公共采购,是指国家机关,为了满足正常进行公务活动或者为公众提供公共服务的需要,在预算范围内,在依法监督之下,以规定的的方式、程序,对有关产品、公共工程或者服务进行的购买[3]。十几年来,我国的信息化建设飞速发展,同时面临的信息安全形势也非常严峻,由于来自外部的信息窃取和攻击接连不断,因而政府信息化设备采购的信息安全威胁日益凸显。无论是2005年大众媒体曝光打印机厂商在用户打印输出的文件中设置识别信息暗记,还是2013年“斯诺登”事件,都向我们沉重地敲响了信息安全的警钟。
在国外,美国国务院曾于2006年3月招标采购中国联想1.6万多台计算机设备,美中经济安全调查委员会认为“使用联想计算机会对美国国家安全产生灾难性后果”。最后使得美国政府对联想增加限制条件,不允许联想在参与美国的政府采购时以任何形式索取、接受、维护、鉴别有关美国政府定购电脑产品的用户信息。同年4月日本防卫厅以存在安全隐患为由,拒绝接受联想生产的IBM品牌计算机,自此联想无缘日本防卫厅电脑采购招标。2013年美国奥巴马总统签署了一项新开支法案,其中包含了美国政府机构购买与中国政府有关公司信息技术的相关约束条款。
在国内,据统计,政府各部门采购的高端服务器、大中型主机相当一部分是美国SUN、IBM和HP公司等公司的产品,网络设备例如交换机、路由器等也有很大市场份额由国外品牌占据[4]。如果这些企业被利用,则可以通过销售产品或参与售后服务等途径,获取政府用户的资料、政务网络运行状况等信息[4]。软件方面,具有我国自主知识产权的软件产品在京中央国家机关各单位政府采购中仅占通用软件产品采购总金额的10%。95%的操作系统和办公软件为美国微软公司产品[4]。由此可见,我国政府采购大量国外IT产品已经成为国家信息安全的一个重要隐患。
(一)不断完善法律法规有力提供制度保障
目前,我国政府采购信息安全法规制度建设不断完善,以更有力地确保国家信息的绝对保密。国家质检总局2009年印发了《关于调整信息安全产品强制性认证实施要求的公告》,对8类13种信息安全产品进入政府采购前必须实行强制性认证。2010年《关于信息安全产品实施政府采购的通知》由财政部、工信部、国家质检总局等多个部委联合发布。它对供应商提出了严格要求,即其必须具备中国信息安全认证中心按国家标准认证颁发的有效认证证书。中央国家机关政府采购中心于2013年发布了《关于信息安全产品资质审核的通知》,就招标时实际入围产品的型号如果与中国信息安全产品认证证书上的“产品名称和型号、规格、版本”不一致时,制订了严格的规定。
(二)加强制度和措施确保信息化设备安全
政府相关采购管理部门务必要把国家信息安全放在第一位,以便能更有力地发挥政府采购的政策功能。
1、信息化设备的生产单位一定要可靠。优先采购自主可控、安全可信的信息化设备。采购时选择设备的生产单位一定是经过国家保密部门指定的测评机构进行认证的单位。在设备的生产过程中要有当地保密部门进行监督检查,同时生产单位人员都要经过严格审查方能进行作业。
2、信息化设备的供货渠道一定要安全。一种是认证后的生产单位直接提供给购买部门;另一种是建立二级批发供货制度,现有生产单位批发给二级单位,二级单位再在当地保密部门的监督下,供货给采购部门。
3、涉密信息系统的采购一定要严格遵守相关流程。采购单位在施工前应提交涉密系统的规划、设计和安全方案给予保密行政管理部门,待方案通过审查后才能进入下一步的采购程序,进行涉密系统的具体建设。实施整体完成后,再由国家授权的系统测评机构对系统进行安全保密测评。
(三)建设采购信息化设备信息安全人才队伍
由于目前国内现有信息安全专业的人才出现供不应求的情况,使得政府采购信息化设备时信息安全管理方面面临人才缺口,采购时信息安全人才层次达不到要求。为了更好地进行国家信息化建设,我们应努力健全人才培养体系建设。要培养采购信息化设备信息安全后备人才,提高现有采购人员素质,必要时不定期进行培训。加强保密技能的学习,使相关人员的能力和素质不断提高,以便更加适应政府采购的专业性和特殊性。此外,建立评审专家信息库准入制度。多渠道增加信息安全专家储备数量,确保在招标评标过程中充分发挥专家特长。
[1]李国武.关于信息概念的研究述评(社会科学版),重庆邮电大学学报,2012年01期
[2]上海社会科学院信息研究所.信息安全辞典[M].上海:上海辞书出版社,2013
[3]王利明,崔建远.《合同法新论总则》,中国政法大学出版社2000年版
[4]发挥政采政策功能保障国家信息安全——国家信息安全与政府采购座谈会发言摘要,中国政府采购报,2014年10月10日第002版
Thinking about Information Security Problem on Equipment Procurement in the New Period
Ma shuangcheng
The Chinese Armed Police Force Academy,Langfang,Hebei
近年来随着信息化建设的迅猛发展,政府在进行设备采购时面临着很多问题。本文就设备采购的信息安全问题,从完善法律法规、加强制度管理和建设人才队伍等方面探讨了政府采购信息化设备时可采取的一些措施。
信息化设备;采购;信息安全
With the rapid development of information construc⁃tion in recent years,the government faces many problems in the equipment procurement.From improving the system of laws and reg⁃ulations,strengthening the management and the constructing of tal⁃ent team,this paper discusses some measures that our government procures information devices,in view of the information security problems on the equipment procurement
Information Devices;Purchase;Information Security
马双成(1976-),男,河北霸州人,单位:河北省廊坊市中国人民武装警察部队学院,硕士学位,高级工程师。