“棱镜门”事件让我们震惊的同时,使我们认识到我国信息安全存在着巨大风险,其中我国政府、国企和金融机构大量采购国外信息类产品是重要隐患之一。信息类产品采购是政府采购的重点实施领域之一,如何通过政府采购手段加强对信息类产品采购的管理,保护国家信息安全,确保我国信息网络安全可控,已成为亟待研究和解决的问题。
一、我国政府大量采购国外信息类产品致使国家信息安全存在严重隐患
据统计,在京中央国家机关各单位政府采购具有自主知识产权的软件产品仅占通用软件产品采购总金额的10%。其中,数据库及中间件软件为国外产品所垄断,操作系统和办公软件95%为美国微软公司的产品。各部门采购的大中型主机、高端服务器基本被美国IBM、HP和SUN公司的产品所垄断,路由器、交换机等网络设备,国外产品也占据了50%以上的市场份额。
目前,我国政府部门的信息安全防护主要通过加装防火墙、入侵监测设备等网络安全防护产品来实现。这些技术手段可以在很大程度上保护计算机信息系统免受病毒、黑客的攻击、破坏和窃密,但却无法防护国外产品中预留的“安全漏洞”和“后门”程序。这使外国政府在战争等非常状况下对我国的政务办公网络实施瘫痪性打击成为可能。而且,国外企业及外资控股企业通过销售产品,直接参与产品的售后服务,可以轻易掌握政府用户的信息以及政务网络的运行状况;在用户保密意识不强的时候,涉及国家安全的信息、核心数据等都有可能会遭到窃取。某中央单位就曾经出现过因维修台式计算机致使硬盘上存储的机密文件泄漏以及复印机存储器中的保密文件被复制的事件。可见,我国政府信息安全的长城建立由国外产品组成,政府的许多核心信息数据处于“无防护的暴露状态”。
二、我国信息产品和服务的采购制度不完善
我国于2003年正式颁布实施了《政府采购法》,第十条明确规定,政府采购应当采购本国货物、工程和服务。由于信息安全产品和服务在国家经济社会中的特殊重要性,我国对信息安全产品政府采购进行了相关规定。2009年国家质检总局印发了《关于调整信息安全产品强制性认证实施要求的公告》,要求8类13种信息安全产品进入政府采购前必须实行强制性认证。2010年财政部、工信部、国家质检总局、国家认监委等多个部委联合发布了《关于信息安全产品实施政府采购的通知》,要求供应商必须具备中国信息安全认证中心按国家标准认证颁发的有效认证证书。但是我国信息产品和服务的采购仍然存在以下问题:
(一)“国货”认定缺乏标准
我国《政府采购法》第十条要求“政府采购应当采购本国货物、工程和服务”,其中“国货”界定依照国务院规定执行。目前,相关法规仍处于起草修改阶段。国务院法制办于2010年1月11日公布的《政府采购法实施条例(征求意见稿)》中对“本国货物”的规定是“在中国境内生产,且国内生产成本超过一定比例的最终产品”,仅通过产品成本组成界定,未涉及技术要求。2010年5月21日,财政部、商务部、发展改革委、海关总署联合起草了《政府采购本国产品管理办法(征求意见稿)》,延续了《政府采购法实施条例(征求意见稿)》的内容,并明确规定“本办法所称本国产品是指在中国关境内生产,且国内生产成本比例超过50%的最终产品。”从已出台的法律法规来看,我国最基本的国货标准还没有形成,对国货的界定还处于无法可依的阶段。
(二)强制性要求执行力度不够
由于信息安全产品和服务在国家经济社会中的特殊重要性,我国对信息安全产品政府采购进行了相关规定。2009年国家质检总局印发了《关于调整信息安全产品强制性认证实施要求的公告》,要求8类13种信息安全产品进入政府采购前必须实行强制性认证。2010年财政部等多个部委联合发布了《关于信息安全产品实施政府采购的通知》,要求供应商必须具备中国信息安全认证中心按国家标准认证颁发的有效认证证书。但有关采访显示,在实际招标文件中有些并未要求获得信息安全强制性认证资格。造成上述问题的原因一是管理不完善,二是缺乏可操作的执行标准,同时缺少权威的信息安全产品和服务采购要求和采购目录也是一个重要原因。
(三)国家基础网络和重要信息系统的信息安全产品和服务采购没有制度支持
由于我国《政府采购法》只适用于国家机关、事业单位和人民团体,对国有企业不适用。而作为信息安全产品和服务采购大户的基础网络和重要信息系统运营单位主要为国有企业或国有金融机构,因此目前其采购行为属于企业行为,不受政府采购法律的管辖,无需购买国货和强制认证。这就导致事关国家安全和国计民生的基础网络和重要信息系统采购信息安全产品和服务时主要由企业自行决定,大量采购国外或外资控股企业提供的产品和服务,安全隐患十分突出。
三、国外政府采购成为保护国家信息安全的重要手段
2006年3月,美国国务院经招标确定采购联想集团价值约1300万美元1.6万多台计算机设备。美中经济安全调查委员会以“使用联想计算机会对美国国家安全产生灾难性后果”为由,提出强烈反对,并将意见提交于国会。最后美国政府调整了原来的采购计划,在联想与美国国土安全部签订的安全协定上又多加了限制条件,要求联想在参与美国的政府采购时,不得以任何形式索取、接受、维护、鉴别有关美国政府定购电脑产品的用户信息,同时还宣布将会修改政府采购流程。由此,联想必须通过美国政府认可的本地第三方公司代理而不能直接向美国政府部门提供产品及售后服务,同时必须无条件接受美国安全部门对其信息系统使用情况的检查。另外,联想必须通过美国政府认可的本国公司提供产品售后服务,而不能直接进行产品售后服务。通过这些举措,完全排除了联想直接接触美国的重要机构及其系统的可能性,甚至连哪些部门购买了其计算机设备都无从知晓。
IBM的台式计算机曾一直是日本防卫厅采购目录的“注册厂商”,也曾经是日本防卫厅重要的计算机设备提供者。但IBM的台式计算机部门被联想收购后,日本防卫厅在2006年4月,以防止“中国制造”的台式计算机“渗透”而造成 “泄密”为理由,拒绝接受联想生产的IBM品牌台式计算机,从此联想彻底无缘日本防卫厅电脑采购招标。
可见,美国及日本政府通过政府采购的手段,对非本国货物设置严格的市场准入限制,来维护本国的信息安全和经济利益。2013年3月26日,奥巴马签署了一项新开支法案中,包含一条禁止美国政府机构购买与中国政府有关公司信息技术的条款。这项法案规定,有关机构考虑购买IT系统时须向执法机关咨询“网络间谍或破坏”风险,必须包括中国“所有、领导或补贴的一个或多个实体生产、制造、装配IT系统的任何风险”评估。
四、发挥政府采购政策功能、保护国家信息安全的政策建议
(一)建议成立由公安部、安全部、财政部、工业与信息化部、国管局、国家保密局等部门参加的中央国家机关信息安全保护协调工作小组。按照政令统一、权责一致、运转协调的原则,健全科学、协调、高效的政府集中采购工作机制,形成国家信息安全保护的整体合力。定期召开会议,统一协调中央国家机关的信息安全保护工作;统一梳理相关政策法规,使相关政策规定能够协调统一,以便于各部门执行。
(二)设立国家级数据中心,统一管理各部门信息化建设。按照“统筹规划、统一建设和集中维护”的思路,成立国家级数据中心,集中管理中央单位的信息化建设。先期可仿照国外的先进经验,建设统一的中心数据机房和容灾备份中心,进行各单位数据业务的托管。这样各单位就不必再各自为政的建设信息机房,重复购置硬件设备,以及付出大量的日常维护成本,大大降低政府在信息化建设中的运行成本。同时,软件系统应用与设备日常维护管理的分离还有利于破除原使用单位选择设备时的品牌倾向性;设备的统一采购也有利于管理部门统筹规划,选用基于通用平台的硬件设备,破除高端设备领域国外产品的垄断、对具有自主知识产权的产品进行扶持采购,从而进一步发挥政府采购的政策性功能。
(三)针对政府部门,强化对国产信息类产品的采购执行力度。要在不违背WTO的前提下进行政策设计,明确“本国货物”的认定标准及量化指标,建立信息安全标准化体系和政府信息类产品采购指南;强制要求各部门在本国货物能够满足应用需求时,必须采购本国货物并优先采购目录内的产品;因技术原因确需采购非本国货物时,必须按照有关规定报相关部门审批,同时该产品也必须通过国家的信息安全检测认证,并以此为对价,要求国外厂商开放涉及信息安全的关键技术。
(四)针对特殊行业的企业采购设立专门制度规范。对于涉及国计民生、国家安全和社会稳定的行业,如石油、电力、军工和金融等,其信息产品采购行为不能与一般的企业采购所等同。应借鉴政府采购法律有关规定和程序要求,设立专门制度,加强对特殊行业企业采购的管理。
(五)对国外企业及外资控股企业参与信息类产品的政府采购设定更为严格的准入措施。对外资控股企业的售后服务必须通过中国第三方非外资控股企业代理进行,禁止国外企业及外资控股企业直接为政府部门服务。
(六)加强采购招标程序管理。一是继续坚持公开招标项目技术指标公开征求意见或专家论证会制度,除论证招标技术需求的合理性,力求最大限度地鼓励充分竞争外,还要将信息安全的评估列入论证范围。二是要求各部门在本国货物能够满足应用需求时,必须采购本国货物并优先采购自主创新产品;因技术原因确需采购非本国货物时,必须提供政府采购管理部门的审批文件,同时在招标文件中明确:非本国货物只有通过国家信息安全检测认证的才能参与投标。三是建议有关部门在对重大项目的可行性研究报告进行审批时,增加对信息安全的评估程序,对未履行安全评估程序或评估未通过的项目,不得进行采购。
(七)加强涉密项目采购管理。一是制定涉密部门和涉密岗位目录以及涉密产品目录,颁布强制性规定,要求涉密部门和涉密岗位进行设备采购时必须采购涉密产品目录中的产品或采购本国货物。二是在涉密项目采购工作中,严格执行信息安全分级保护办法,建议采购人与中标供应商签订安全保密协议,严格限制国外企业及外资控股企业获取我国政府组织、人员等机密信息,不允许其将获得的信息通过企业内部信息系统传递到境外,同时所有中标供应商必须无条件接受政府采购管理部门和安全部门对其信息系统使用情况的检查。
|
