馬雙成河北省廊坊市中國人民武裝警察部隊(duì)學(xué)院

新時(shí)期設(shè)備采購的信息安全問題思考

馬雙成
河北省廊坊市中國人民武裝警察部隊(duì)學(xué)院

信息，在英法德等國均是“information”一詞。我國古代據(jù)《辭源》解釋，信息就是“消息”[1]?，F(xiàn)代對(duì)信息一詞的解釋有很多種。它通常以文字、聲音、圖像等形式來表現(xiàn)，一般指音訊、消息、也可以是通訊系統(tǒng)傳輸和處理的對(duì)象，泛指人類社會(huì)傳播的一切內(nèi)容。信息，從個(gè)人方面講有信息產(chǎn)權(quán)概念，從國家角度來說有信息主權(quán)概念，所以它存在很多的安全風(fēng)險(xiǎn)。國家安全的一種重要方面就是信息安全。所謂信息安全，是指保障國家、機(jī)構(gòu)、個(gè)人的信息空間、信息載體和信息資源不受來自內(nèi)外各種形式的危險(xiǎn)、威脅、侵害和誤導(dǎo)的外在狀態(tài)和方式及內(nèi)在主體感受[2]。進(jìn)入21世紀(jì)后，信息安全已經(jīng)是世界各國安全領(lǐng)域關(guān)注的焦點(diǎn)問題之一。

一、政府設(shè)備采購面臨的威脅與挑戰(zhàn)

政府采購也可以被稱為公共采購，是指國家機(jī)關(guān)，為了滿足正常進(jìn)行公務(wù)活動(dòng)或者為公眾提供公共服務(wù)的需要，在預(yù)算范圍內(nèi)，在依法監(jiān)督之下，以規(guī)定的的方式、程序，對(duì)有關(guān)產(chǎn)品、公共工程或者服務(wù)進(jìn)行的購買[3]。十幾年來，我國的信息化建設(shè)飛速發(fā)展，同時(shí)面臨的信息安全形勢也非常嚴(yán)峻，由于來自外部的信息竊取和攻擊接連不斷，因而政府信息化設(shè)備采購的信息安全威脅日益凸顯。無論是2005年大眾媒體曝光打印機(jī)廠商在用戶打印輸出的文件中設(shè)置識(shí)別信息暗記，還是2013年“斯諾登”事件，都向我們沉重地敲響了信息安全的警鐘。

在國外，美國國務(wù)院曾于2006年3月招標(biāo)采購中國聯(lián)想1.6萬多臺(tái)計(jì)算機(jī)設(shè)備，美中經(jīng)濟(jì)安全調(diào)查委員會(huì)認(rèn)為“使用聯(lián)想計(jì)算機(jī)會(huì)對(duì)美國國家安全產(chǎn)生災(zāi)難性后果”。最后使得美國政府對(duì)聯(lián)想增加限制條件，不允許聯(lián)想在參與美國的政府采購時(shí)以任何形式索取、接受、維護(hù)、鑒別有關(guān)美國政府定購電腦產(chǎn)品的用戶信息。同年4月日本防衛(wèi)廳以存在安全隱患為由，拒絕接受聯(lián)想生產(chǎn)的IBM品牌計(jì)算機(jī)，自此聯(lián)想無緣日本防衛(wèi)廳電腦采購招標(biāo)。2013年美國奧巴馬總統(tǒng)簽署了一項(xiàng)新開支法案，其中包含了美國政府機(jī)構(gòu)購買與中國政府有關(guān)公司信息技術(shù)的相關(guān)約束條款。

在國內(nèi)，據(jù)統(tǒng)計(jì)，政府各部門采購的高端服務(wù)器、大中型主機(jī)相當(dāng)一部分是美國SUN、IBM和HP公司等公司的產(chǎn)品，網(wǎng)絡(luò)設(shè)備例如交換機(jī)、路由器等也有很大市場份額由國外品牌占據(jù)[4]。如果這些企業(yè)被利用，則可以通過銷售產(chǎn)品或參與售后服務(wù)等途徑，獲取政府用戶的資料、政務(wù)網(wǎng)絡(luò)運(yùn)行狀況等信息[4]。軟件方面，具有我國自主知識(shí)產(chǎn)權(quán)的軟件產(chǎn)品在京中央國家機(jī)關(guān)各單位政府采購中僅占通用軟件產(chǎn)品采購總金額的10%。95%的操作系統(tǒng)和辦公軟件為美國微軟公司產(chǎn)品[4]。由此可見，我國政府采購大量國外IT產(chǎn)品已經(jīng)成為國家信息安全的一個(gè)重要隱患。

二、完善設(shè)備采購的信息安全對(duì)策

（一）不斷完善法律法規(guī)有力提供制度保障

目前，我國政府采購信息安全法規(guī)制度建設(shè)不斷完善，以更有力地確保國家信息的絕對(duì)保密。國家質(zhì)檢總局2009年印發(fā)了《關(guān)于調(diào)整信息安全產(chǎn)品強(qiáng)制性認(rèn)證實(shí)施要求的公告》，對(duì)8類13種信息安全產(chǎn)品進(jìn)入政府采購前必須實(shí)行強(qiáng)制性認(rèn)證。2010年《關(guān)于信息安全產(chǎn)品實(shí)施政府采購的通知》由財(cái)政部、工信部、國家質(zhì)檢總局等多個(gè)部委聯(lián)合發(fā)布。它對(duì)供應(yīng)商提出了嚴(yán)格要求，即其必須具備中國信息安全認(rèn)證中心按國家標(biāo)準(zhǔn)認(rèn)證頒發(fā)的有效認(rèn)證證書。中央國家機(jī)關(guān)政府采購中心于2013年發(fā)布了《關(guān)于信息安全產(chǎn)品資質(zhì)審核的通知》，就招標(biāo)時(shí)實(shí)際入圍產(chǎn)品的型號(hào)如果與中國信息安全產(chǎn)品認(rèn)證證書上的“產(chǎn)品名稱和型號(hào)、規(guī)格、版本”不一致時(shí)，制訂了嚴(yán)格的規(guī)定。

（二）加強(qiáng)制度和措施確保信息化設(shè)備安全

政府相關(guān)采購管理部門務(wù)必要把國家信息安全放在第一位，以便能更有力地發(fā)揮政府采購的政策功能。

1、信息化設(shè)備的生產(chǎn)單位一定要可靠。優(yōu)先采購自主可控、安全可信的信息化設(shè)備。采購時(shí)選擇設(shè)備的生產(chǎn)單位一定是經(jīng)過國家保密部門指定的測評(píng)機(jī)構(gòu)進(jìn)行認(rèn)證的單位。在設(shè)備的生產(chǎn)過程中要有當(dāng)?shù)乇Ｃ懿块T進(jìn)行監(jiān)督檢查，同時(shí)生產(chǎn)單位人員都要經(jīng)過嚴(yán)格審查方能進(jìn)行作業(yè)。

2、信息化設(shè)備的供貨渠道一定要安全。一種是認(rèn)證后的生產(chǎn)單位直接提供給購買部門；另一種是建立二級(jí)批發(fā)供貨制度，現(xiàn)有生產(chǎn)單位批發(fā)給二級(jí)單位，二級(jí)單位再在當(dāng)?shù)乇Ｃ懿块T的監(jiān)督下，供貨給采購部門。

3、涉密信息系統(tǒng)的采購一定要嚴(yán)格遵守相關(guān)流程。采購單位在施工前應(yīng)提交涉密系統(tǒng)的規(guī)劃、設(shè)計(jì)和安全方案給予保密行政管理部門，待方案通過審查后才能進(jìn)入下一步的采購程序，進(jìn)行涉密系統(tǒng)的具體建設(shè)。實(shí)施整體完成后，再由國家授權(quán)的系統(tǒng)測評(píng)機(jī)構(gòu)對(duì)系統(tǒng)進(jìn)行安全保密測評(píng)。

（三）建設(shè)采購信息化設(shè)備信息安全人才隊(duì)伍

由于目前國內(nèi)現(xiàn)有信息安全專業(yè)的人才出現(xiàn)供不應(yīng)求的情況，使得政府采購信息化設(shè)備時(shí)信息安全管理方面面臨人才缺口，采購時(shí)信息安全人才層次達(dá)不到要求。為了更好地進(jìn)行國家信息化建設(shè)，我們應(yīng)努力健全人才培養(yǎng)體系建設(shè)。要培養(yǎng)采購信息化設(shè)備信息安全后備人才，提高現(xiàn)有采購人員素質(zhì)，必要時(shí)不定期進(jìn)行培訓(xùn)。加強(qiáng)保密技能的學(xué)習(xí)，使相關(guān)人員的能力和素質(zhì)不斷提高，以便更加適應(yīng)政府采購的專業(yè)性和特殊性。此外，建立評(píng)審專家信息庫準(zhǔn)入制度。多渠道增加信息安全專家儲(chǔ)備數(shù)量，確保在招標(biāo)評(píng)標(biāo)過程中充分發(fā)揮專家特長。

[1]李國武.關(guān)于信息概念的研究述評(píng)(社會(huì)科學(xué)版),重慶郵電大學(xué)學(xué)報(bào),2012年01期

[2]上海社會(huì)科學(xué)院信息研究所.信息安全辭典[M].上海:上海辭書出版社，2013

[3]王利明，崔建遠(yuǎn).《合同法新論總則》，中國政法大學(xué)出版社2000年版

[4]發(fā)揮政采政策功能保障國家信息安全——國家信息安全與政府采購座談會(huì)發(fā)言摘要，中國政府采購報(bào)，2014年10月10日第002版

Thinking about Information Security Problem on Equipment Procurement in the New Period

Ma shuangcheng
The Chinese Armed Police Force Academy，Langfang，Hebei

近年來隨著信息化建設(shè)的迅猛發(fā)展，政府在進(jìn)行設(shè)備采購時(shí)面臨著很多問題。本文就設(shè)備采購的信息安全問題，從完善法律法規(guī)、加強(qiáng)制度管理和建設(shè)人才隊(duì)伍等方面探討了政府采購信息化設(shè)備時(shí)可采取的一些措施。

信息化設(shè)備；采購；信息安全

With the rapid development of information construc?tion in recent years,the government faces many problems in the equipment procurement.From improving the system of laws and reg?ulations,strengthening the management and the constructing of tal?ent team,this paper discusses some measures that our government procures information devices,in view of the information security problems on the equipment procurement

Information Devices;Purchase;Information Security

馬雙成（1976-），男，河北霸州人，單位：河北省廊坊市中國人民武裝警察部隊(duì)學(xué)院，碩士學(xué)位，高級(jí)工程師。