電子政務安全從何處來

除了被曝光的“棱鏡”項目外，還有多少不為人知的秘密項目？

電子政務安全從何處來

■ 秦志龍

最近發生的幾件事，引發了筆者對我國電子政務安全問題的進一步思考。

第一件事是“習奧會”把網絡安全問題作為話題之一，這充分說明網絡安全問題的嚴重性和重要性。美國總統國家安全事務助理多尼倫6月8號表示，中國國家主席習近平與美國總統奧巴馬的第二天會晤，聚焦經濟和網絡安全議題。

第二件事是英國《衛報》和美國《華盛頓郵報》6月6日報道說，美國國家安全局和聯邦調查局正在開展一個代號為“棱鏡”的秘密項目，通過接入互聯網公司的中心服務器，情報分析人員可直接接觸所有用戶的音頻、視頻、照片、電郵、文件和連接日志等信息，跟蹤互聯網使用者的一舉一動以及他們的所有聯系人。報道還指出，過去6年中，該項目經歷了爆炸性增長，目前美國國家安全局約1/7的情報報告依靠這一項目提供原始數據。過去一年中，總統的每日情報簡報共有1477個條目使用這一項目所獲數據。微軟（包括hotmai1郵件系統）、雅虎、谷歌、蘋果、sKyPe、美國在線、視頻網站YouTube、社交網站“臉譜”以及文字語音聊天軟件Pa1ta1K這9家美國公司參與“棱鏡”項目。雖然各公司緊急撇清關系，總統奧巴馬也為這一項目進行辯護，強調說這一項目不針對美國公民或在美國的人，目的在于反恐和保障美國人安全。但這種辯護恰好說明了該項目的存在，報料人還指出，美國入侵中國網絡已達15年之久。

第三件事是6月5日中國社科院發布的《中國電子政務年鑒(2012)》指出：盡管我國民族IT產業有了一定的發展，但是我國電子政務發展過程中信息技術受制于人的問題仍十分突出，關系到國家經濟命脈的重要信息系統使用國產軟硬件的比例還不是很高，信息安全形勢嚴峻。

所有這些事情無一不說明信息安全、網絡安全的重要性以及我國在電子政務安全領域的嚴重不足。

1.電子政務的五大安全問題

根據《中國電子政務年鑒(2012)》提供的數據，目前，我國電子政務網絡已經覆蓋所有的省、自治區、直轄市，90%以上的市和80%以上的縣。到目前為止，政務外網縱向已連接31個省(區、市)和新疆生產建設兵團、311個市(地、州、盟)和1918個縣(市、區、旗)，地市級和區縣級覆蓋率分別達到93.4%和67.2%，成為我國覆蓋面最廣、連接部門最多、規模最大的政務公開網絡。

在數據庫方面，省和副省級市政府超過70%的部門建有數據庫，地級市和縣級政府超過一半的部門建有數據庫，省市縣各部門數據庫業務覆蓋率達70%以上;各級政府多數部門均實現了部分核心業務應用，除副省級市外(副省級市51.9%的直屬部門實現了全部核心業務應用)，少數部門實現了全部核心業務應用。截至2012年4月，我國海關、稅務、公安、審計、國土、金融監管等重點領域業務信息化覆蓋率近90%。部分部委，如公安部、科技部、人民銀行、審計署等已達到100%，國家統計局主要業務電子政務覆蓋率已經達到82%。從總體來看，全部中央部委主要業務信息化覆蓋率約為50%左右。

中國的電子政務的強大市場需求，滋育了許多強大的國外IT企業，但在培植有影響力的民族品牌企業和產品方面的實際推動力還不夠。據介紹，目前，我國信息服務業及企業競爭力與國外仍存在較大差距。以國產數據庫為例，多年來，國內數據庫市場超過90%的市場份額被Oracle等國際巨頭占領。經過10年的努力，國產數據庫在電子政務等行業取得了突破。但國產數據庫由于起步晚，在眾多領域尤其是高端產品方面無法與國際巨頭相抗衡。

另外，為保障信息系統安全、可靠、穩定運行而開展的信息系統審計，其審計師資格的授予權仍被國外控制。信息系統審計師資格授予權被國外控制的局面，對我國信息安全產生重大的潛在威脅。

具體來說，目前我們面臨的主要安全問題是：

第一，網絡系統日益復雜，安全隱患急劇增加。隨著國家信息化進程的推進，信息技術使用越來越普及，信息網絡的復雜性越來越大；網絡攻擊的重點無論是內部系統，還是遠程撥號、互聯網，都在逐年增多。

第二，應用環境快速變化，安全風險越來越大。隨著商業需求、客戶應用、網絡環境、操作系統、協議、人員、物理環境等等方面的變化，信息化的發展日新月異，使得我們面臨的安全風險也不斷增多。

第三，網絡聯通更加廣泛，惡意連接防不勝防。超大規模、巨型復雜的互聯網絡使得大量匿名用戶活躍在網絡上，所以難以預測的攻擊也就越來越多。

第四，網絡用戶快速增長，黑客攻擊連年翻番。

第五，網絡匿名顯露弊端，道德倫理面臨挑戰。互聯網是一個虛擬的空間，電子政務網絡也是虛擬的，很多網絡攻擊行為，包括對信息的竊取等都與這個匿名的特性有關；由于信息技術發展越來越快，破壞性的、攻擊性的軟件和工具越來越方便，對攻擊者知識的要求也越來越低，所以，入侵攻擊能力的發展同樣是很大的威脅。 

2.構建一個安全的電子政務體系

我國的網絡安全、信息安全無法保障的原因，主要表現在自主信息技術軟硬件產品和服務還不能形成體系，高端數據庫、芯片、服務器和操作系統等不能自給。我們必須從多方面入手、全方位努力，構建一個安全的電子政務體系。

第一，制定安全策略。首先，國家要從政策法規方面進行引導，并需要社會廣泛的參與。因為信息化是一個全社會共同參與的進程，電子政務也不例外。其次，信息網絡是一個全網全程的概念，它的安全保障必須是全局的、綜合的治理，而且要積極防御，既要有效控制現有的安全風險，又要有相應的手段防止可能出現的安全性問題。另外，安全策略的制定還要保證系統運行、系統內信息以及系統管理控制的安全。

第二，健全安全法規。現在，我們已經有了一些相應的法律和法規，但是還需要適應信息化和電子政務的發展，制定新的法律、法規。國務院法制辦和國務院信息辦會同有關部門正在積極就保密與公開，電子文檔的合法性、電子簽名、隱私權的保護等等制定相應的法律、法規，這是一個可喜的信息。 

第三，加強安全管理和服務。要按照《關于我國電子政務建設的指導意見》（中發辦【2002】17號）文件的規定，對涉密網和非涉密網、涉密信息和非涉密信息、安全域和非安全域要進行安全性劃分；對電子政務的工程建設要進行監理和監督；對信息安全產品的采購要進行管理。政務內網和政務外網要實行嚴格的物理隔離，政務外網和互聯網絡要實行邏輯隔離。輔助性的支持機制也需建立，例如安全評估、風險分析、系統設計、測評、人員培訓等等。

第四，建立安全標準。國家成立了信息安全技術委員會，正在就安全管理、PKI、信息安全產品接口、電子文檔的密級進行分級與標識，電子簽名、應急處理等涉及到電子政務的這些方面的標準也在緊鑼密鼓地制定中。 

第五，研發安全產品。我們必須要研究、開發、生產擁有自主知識產權的安全產品，例如VPN、保密傳送設備、防火墻、安全網閘、入侵檢測和漏洞掃描、防病毒、審計系統、ＰＫＩ／ＰＭＩ和安全應用工具等等。

第六，完善安全基礎設施。除了建立國家計算機網絡與信息安全管理中心、國家信息安全測評認證中心外，還應建立PKI／KMI中心、應急處理與災難恢復中心、病毒防治與服務體系、安全測評與認證體系等。

另外，在電子政務安全建設中，需要權衡安全、成本、效率三者的關系。實際上，絕對的安全是沒有的，電子政務系統也不是越安全越好。不同的電子政務系統，對于信息安全的要求是不同的，必須根據電子政務系統的實際要求做到恰到好處。如果一味地強調安全，而忽視對政府信息資源的充分公開，電子政務的價值也會大打折扣。

3.發揮政府采購的政策功能

第一，利用政府采購保護信息安全。隨著信息化時代的到來，我國的政治安全和經濟安全越來越依賴網絡和信息的安全運行。美國很早就認識到了信息安全與國家整體利益和國防的緊密聯系，采取了一系列措施來加強其信息產業在全球的壟斷地位。同時，政府部門通過國家安全局（NSA）對信息產業實行嚴格的控制，NSA派出既懂密碼、電子偵察業務，又懂半導體技術的專家駐在各大公司，其任務就是在銷往全球的信息產品特別是大規模集成電路芯片等關鍵部件上安裝NSA需要的“后門”。經過中國國家信息安全測評認證中心的測試確認，美國ISS公司的產品存在“后門”，即ISS的產品在客戶不知情的情況下，定期向美國回傳200K字節的加密數據，經有關部門解密后得知其中包括重要客戶信息，對用戶構成極大的潛在安全危險。最讓人擔心的是，在今天的技術條件下，將一塊芯片中可能安放的所有后門都排除掉幾乎是不可能的。

在過去的“聯想安全門”事件中，美中經濟與安全評估委員會主席拉里·沃策爾曾表現得“憂心忡忡”。他在接受《紐約時報》采訪時稱，如果歐洲的空中客車公司將一條飛機生產線轉移到中國，他不會因此而感到擔心，但如果聯想開始向美國政府的涉外機構出售電腦，他會坐臥不安。他還說：“如果你是一個外國情報機構，你得知美國聯邦政府機構正從你們國家的電腦公司采購1.6萬臺電腦，難道你能排除其做點手腳的可能性嗎？”

試想，我們的許多信息產品的軟硬件均為美國產品，難道我們不應該更“憂心忡忡”？因此，在進行政府采購時，應盡可能采購國貨，尤其是對敏感部門所使用的產品。

第二，利用政府采購支持民族工業。從國際上看，從來沒有哪一個國家的政府市場是完全對外開放的，政府采購政策一直是各國保護本國企業的合法手段。如美國1933年頒布的《購買美國產品法》開宗明義規定：“扶持和保護美國工業、美國人和美國投資資本”，并規定各政府機構除特殊情況外，必須購買由美國供應商提供的本國產品、工程和服務。

國家信息安全基礎設施的建設是不能建立在從國外進口的CPU產品上的。從長遠來看，我國信息安全產業必須立足在一個完整的體系上，不受國際壟斷集團控制，防止國際敵對勢力對信息安全領域的滲透，關鍵的問題是應當立足于自主開發，研制適應各種信息安全需要的CPU芯片和專門芯片，這樣安全性高，而且成本比進口低很多。所以,我們應該充分利用政府采購的非關稅貿易壁壘大力發展自己的信息產品，尤其是其核心——CPU和操作系統。

第三，利用政府采購手段盡快發展和應用國產軟件。軟件產業是信息產業的核心，是關系國家經濟和社會發展的戰略性產業，是國際競爭的焦點和戰略制高點。但微軟操作系統存在安全“漏洞”的報道屢屢見之于各種媒體。法國國防部委托部外的有關專家對美國微軟公司與美情報機構的關系進行了長期觀察和研究。這些專家于1999年底撰寫了一份長達100多頁、題為《信息系統的安全性、依賴性和脆弱性》的報告，其中列舉了美國微軟公司與美國情報機構之間“秘密和密切關系”的種種可疑之處。他們認為，微軟公司推出的許多產品中含有“間諜程序”，其中“回門程序”能夠解讀所截獲的信息。再如《微軟操作系統暗藏監視中方秘密程序?》一文也提供了類似情況：被諾頓爆出“后門”的微軟中文版操作系統程序，內置了美國政府定向監視中方的秘密程序。

這樣的“后門”還有多少沒有被發現？除了被曝光的“棱鏡”項目外，還有多少我們不知道的秘密項目？如果我們大量采用微軟操作系統的現狀不加改變，其危害是難以估量的。一旦發生戰爭之類的事情，其安全性是絕對沒有保障的。因此，我國的政府部門要盡可能地多使用國產軟件，大力培育國內軟件企業，使其盡快發展壯大，保護我國電子政務的安全。