政府采購難堵政府信息安全漏洞
政府采購難堵政府信息安全漏洞
■ 本報記者 程紅琳 梁爽
如果說2006年的“聯想安全門”事件讓公眾對國家信息安全問題一度“猜想”的話,那么由斯諾登引爆的“棱鏡門”則把猜想變成了事實:中國的網絡安全近乎裸體地站在“武裝到牙齒”的對手面前。
輿論仿佛又回到了2006年:要求政府采購扛起信息安全的大旗,把好最后一道關。為此,本報記者開始了一路的探究……
政策法規:折翼的天使
翻出“聯想安全門”事件的舊日報道會發現:政策法規不給力、采購人沒有安全意識是主要“罪狀”。事隔多年之后,事實還是如此嗎?
“鑒于信息安全產品和服務在國家經濟社會中的特殊地位,目前,我國對信息安全產品政府采購已有相關規定。”國家信息安全中心助理研究員呂漢陽博士向記者介紹道,2009年,國家質檢總局印發了《關于調整信息安全產品強制性認證實施要求的公告》,要求8類13種信息安全產品進入政府采購前必須實行強制性認證。2010年,財政部等多個部委聯合發布了《關于信息安全產品實施政府采購的通知》,要求自2010年5月1日起,防火墻、安全路由器、安全數據庫系統等13種產品須在《政府采購法》規定的范圍內實行強制性認證,未獲得強制性認證證書和未加施中國強制性認證標志的,不得進入政府采購領域。
那么,這些規定在執行中的效果如何?記者通過調查發現,現有的政策在執行中被打了折扣。截至2013年5月31日,中國信息安全認證中心雖已頒發了350張信息安全產品認證證書,強制認證作用卻不甚明顯。“信息安全產品有54個品種,但是目前已經進入強制性認證范圍的只有13類。” 中國信息安全認證中心副主任陳曉樺告訴記者。
“除了有相當一部分信息安全產品未進行政府采購強制認證外,防火墻等13種信息安全產品的招標文件中,有些并未將信息安全產品證書作為強制性準入資格。”呂漢陽告訴記者。
為什么會出現這種情況?常年從事IT類產品政府采購的上海市政府采購中心采購二部副部長、高級工程師秦志龍給出了他的答案:“我國的網絡安全、信息安全無法保障的原因,主要在于自主信息技術軟硬件產品和服務還不能自成體系,高端數據庫、芯片、服務器和操作系統等不能自給。”秦志龍指出,信息正常運行的關鍵在于交換機、手機、芯片、系統等設備,這些設備的主流軟硬件廠商均來自美國,如英特爾、微軟、谷歌、蘋果等公司,計算機的核心技術,包括CPU和操作系統等也都源自美國。
秦志龍的這種說法,記者不但在不少IT行業的從業者處得到證實,而且日前出版的《瞭望》新聞周刊也對此論述:整體而言,我國信息安全自主可控的進展相對有限。目前,高端信息產品尚不能完全自主,特別是核心設備技術、整體解決方案、信息安全標準等嚴重依賴于國外廠商,國民經濟重要部門有近70%的信息設備來自國外。
即便是自主產品,多數仍屬“穿衣”模式,基本建立在以WINTEL(微軟+英特爾的縮寫)為代表的國外技術平臺上,其硬件主要通過對外采購產品或向外購買專利獲得,仍然嚴重受制于人。
那么,采購人的安全意識否一如往昔?在記者的隨機采訪中,絕大多數的采購人單位都對信息安全有了一個非常明確的認識,而且也認為應該采購國貨。然而,面對為什么不能落實的追問,國內產品不好用,滿足不了使用需求,不知道哪些是國貨等問題成為最主要的原因。
面對不給力的技術,再好的政策法規亦如折翼的天使。
再談國貨:仍是一聲嘆息
即便有現行的政策法規,有業內人士仍然坦言,在現有法律的框架下,政府采購還是難以最大程度地守衛信息安全,主要原因是“國貨”的界定仍然是一道難解的題。
“目前國貨缺乏認定標準。”呂漢陽說道,我國《政府采購法》第10條要求“政府采購應當采購本國貨物、工程和服務”,其中“國貨”界定依照國務院規定執行。2010年5月,財政部、商務部、發展改革委、海關總署聯合起草了《政府采購本國產品管理辦法(征求意見稿)》,延續了《政府采購法實施條例(征求意見稿)》中的相關內容,并明確規定“本辦法所稱本國產品是指在中國關境內生產,且國內生產成本比例超過50%的最終產品。”
《征求意見稿》一經發布便在IT行業引發了極大的爭議。爭論的焦點不僅集中在標準上,還有適用范圍。有觀點甚至提出,國貨標準不適用于核心技術完全掌控在國外企業的IT產業中,中國工程院院士倪光南和原中國開源軟件推進聯盟副秘書長袁萌還為此在媒體上口舌相戰。
事實上,盡管政府采購主管部門做出了巨大的努力,但時至今日國貨的認定標準依然無法明確。在以往單一經濟環境下,本國產品、本土企業都是非常容易認定的,國有企業的產品就代表著本國產品。但是在多種經濟體并存的環境條件下,問題就變得非常復雜。一方面為吸引外資,就要給外商創造良好的投資環境,如果將外企在華的企業所研發、制造產品視為本國產品,就涉及到核心技術究竟掌握在誰手里的問題。另一方面,越來越多的國外信息類產品廠商加速本土化,即便是采購“所謂的國貨”,也可能難以實現信息類產品的安全可控。
盡管如此,有關專家學者們仍然努力地尋找可行的方法。呂漢陽認為,應在不違背WTO的前提下進行政策設計,明確“本國貨物”的認定標準及量化指標,建立信息安全標準化體系和政府信息安全產品采購指南;強制要求各部門在本國貨物能夠滿足應用需求時,必須采購本國貨物并優先采購目錄內的產品;因技術原因確需采購非本國貨物時,必須按照有關規定報相關部門審批。同時該產品也必須通過國家的信息安全檢測認證,并以此要求國外廠商開放涉及信息安全的關鍵技術。
“此外,在堅持采購本國貨物的基礎上,對國外企業及外資控股企業參與信息類產品的政府采購設定更為嚴格的準入措施。例如,對于微軟、IBM等外資控股企業的售后服務必須通過中國第三方非外資控股企業代理進行,禁止國外企業及外資控股企業直接為政府部門服務。”呂漢陽說道。
專家呼吁:頂層設計亟待銜接
與中國政府機關的用戶親睞國外信息類產品形成鮮明對比的是,美國政府機關在采購信息產品采購方面慎之又慎。
從1809年為政府采購立法至今,美國已經制定相關法律法規500余部,并利用這些疏密有致的法律法規最大程度地維護了本國國家安全。此外,在機構設置上,負責美國《聯邦采購條例》(FAR)修改工作的聯邦政府采購政策管理辦公室,下設FAR理事會,成員包括國防部、聯邦總務署(GSA)和航天航空局的行政首長。《聯邦采購條例》第二十五部分就美國政府部門的對外采購行為做出了具體規定,包括美國與其他國家間貿易協定的執行;采購程序;合同標的物的價格評估及中標者評定辦法等內容,規定并原則上限制美國政府部門從國外采購應用于國內的物品、服務及建材等,并就可以購買外國產品的情形做了明確列舉。
不僅如此,就在“棱鏡門”事件曝光3個月以前,受“網絡攻擊”是美國媒體熱議的大事,對此,美國甚至呼吁國會就網絡安全問題開啟新一輪立法進程。今年3月底,美國總統奧巴馬簽署了一項政府經費法案,對政府IT設備采購加強安全評估,矛頭直指聯想、華為等中國廠商。
相比起來,無論從立法層面以及機構的設置上,我國在保護國家信息安全方面難掩捉襟見肘的尷尬。“雖然危險不斷、威脅巨大,但不等于我們可以無所作為,聽之任之。我們可利用政府采購支持民族信息產業。”秦志龍認為,從長遠戰略眼光看,我國信息安全產業必須立足在一個完整的體系上,不受國際壟斷集團控制,防止國際敵對勢力對信息安全領域的滲透,關鍵的問題是應當立足于自主開發,研制適應各種信息安全需要的CPU芯片和專門芯片,這樣安全性高,而且成本比進口低很多。因此,他認為,政府采購應更好地發揮其政策功能,扶持民族信息產業發展。
中國人民大學公共管理學院行政管理系副教授王叢虎認為,反觀“棱鏡門”事件,下一步我國政府采購有兩個問題需要解決:一是《政府采購法》需加強與《保密法》的銜接。涉及國家安全的采購,不受自由貿易的限制,政府采購應充分結合《保密法》對國家安全和利益的相關規定。在制度層面,對涉及國家安全的信息類產品采購實行限定措施。二是在目前政府采購涉及國家安全領域的規定處于空缺狀態下,我們的政府采購工作人員在組織采購的過程中,執行多過應該理解法律的內涵和初衷,靈活操作。在他看來,政府采購信息類產品可以上升到國家安全高度,采購自主或是安全可控的信息類產品,無可厚非,這種理由在國際上也是成立的。
責任編輯:
點擊排行
歡迎訂閱中國政府采購報
我國政府采購領域第一份“中”字頭的專業報紙——《中國政府采購報》已于2010年5月7日正式創刊!
《中國政府采購報》由中國財經報社主辦,作為財政部指定的政府采購信息發布媒體,服務政府采購改革,支持政府采購事業,推動政府采購發展是國家和時代賦予《中國政府采購報》的重大使命。
《中國政府采購報》的前身是伴隨我國政府采購事業一路同行12年的《中國財經報?政府采購周刊》。《中國政府采購報》以專業的水準、豐富的資訊、及時的報道、權威的影響,與您一起把握和感受中國政府采購發展事業的脈搏與動向。
《中國政府采購報》為國際流行對開大報,精美彩色印刷;每周二、周五出版,每期8個版,全年訂價276元,每月定價23元,每季定價69元。零售每份3元。可以破月、破季訂閱。 可以破月、破季訂閱。
歡迎訂閱《中國政府采購報》!
訂閱方式:郵局訂閱(請到當地郵局直接訂閱)