政府采购 能否成为我国信息安全的底线？

　　“如果中国制造商的目标是为美国政府的保密信息系统提供产品，他们的麻烦将多得多。”美国美中经济安全审查委员会主席拉里·沃特兹尔(Larry Wortzel)的安全论调令人侧目。那么，中国政府的信息安全底线又应如何设定呢？

　　中国电子政务建设中大量采购国外产品，这些产品会不会对中国信息安全有不良影响？信息安全底线，是否可以通过政府采购对不同应用范围、不同来源的IT产品进行严格区分来划定？

　　我国信息安全目前有两条主要的防线：各种软硬件信息安全产品的技术防护和电子政务内外网物理隔离的基础设施防护。这是不是足够保护我国的信息资产？信息安全的底线到底在哪里呢？

　　安全产品技术防护第一关

　　通过给计算机信息系统安装各种信息安全产品，可以在很大程度上保护计算机信息系统免受病毒、黑客以及其他人为侵害的攻击、破坏和窃密。根据《中华人民共和国计算机信息系统安全保护条例》和公安部《计算机信息系统安全专用产品检测和销售许可证管理办法》等规定，我国信息安全专用产品实行销售许可证制度，以保证市场上的信息安全产品本身的安全可靠

　　政策要求在电子政务建设中安全产品应优先使用中国自有知识产权的产品。如必须用国外产品，则外国产品也必须通过国内信息安全检测认证，而且要求外方尽可能做到涉及安全的关键技术要开放给中国，微软部分开放源代码就属于这种情况。

　　“安全产品只占电子政务采购的很小份额，实际执行得也不是很理想。”有关专家表示。据权威人士透露，目前中国市场上涉及可信技术的安全产品有90%来自美国。

　　内外网物理隔离第二关

　　按照中办发[2002]17号文件要求，我国电子政务网络由政务内网和政务外网构成，政务内网主要是副省级以上政务部门的办公网，政务外网是政府的业务专网，两网之间物理隔离。根据这一政策，政务内网上运行的就是需要高度保护的国家涉密信息资产。

　　“电子政务建设和使用中要严格区分涉及的信息资产的重要性，要区分是一般工作秘密还是国家秘密。” 国家信息中心首席工程师宁家骏说。内网显然是涉及国家秘密的。

　　与电子政务外网进行物理隔离就可以完全保证电子政务内网和安全吗？国家信息安全的底线究竟在哪里？中国电子政务建设中大量采购国外产品，这些产品会不会对中国信息安全有不良影响呢？

　　“严格说是有影响的。”针对记者这个问题，宁家骏做了肯定的回答。

　　政府采购充当第三关

　　是否应该给信息安全增加第三条防线，并由此“划定”信息安全的“底线”，即通过政府采购对不同应用范围、不同来源的IT产品进行严格区分呢？

　　据国家发改委一位不愿具名的官员透露，实际上目前中国的电子政务建设中，涉及的IT产品有95%是国外的。而另据有关机构市场数据显示，今年上半年，中央政府各部门采购的各种电脑产品中，美国品牌赫然占据了采购总量的半壁江山。按照规定，中央部门的电子政务全是属于应该高度保护的内网的范围。

　　从信息安全的角度出发，这无疑是需要改变的情况。“政府采购应当采购本国货物、工程和服务。”《政府采购法》第十条的规定，使得中国可以通过政府采购的合法途径来区别对待不同的产品，提高保护国家信息安全的底线。

　　要通过政府采购对产品进行区分，首先要确定不同产品在保护信息安全上的底线，对此宁家骏认为：“要根据需要保护的信息资产不同的重要性，区别对待，不可能有一个整齐划一的标准”。

　　技术可行 国货可担重任

　　中科院院士倪光南则进一步阐释对这一问题的看法：“应当要求与国计民生有重大关系的信息系统尽可能采用国产软硬件，以确保国家安全。这在技术上已经基本可行。”

　　倪光南给出了自己心目中理想的有利于信息安全的“电子政务采购清单”：“在电子政务领域，目前大多数硬件都可以用国产的，这点已经得到了很好的认可。”

　　倪光南提出：“根据目前国产软件的水平和烟台市、北京平谷区、荆门掇刀区等地的试点经验，在电子政务建设中，基础软件方面的服务器Linux操作系统、中间件、Office等可以基本采用国产的。数据库管理系统在中、小型应用中可以采用国产的。至于应用软件、安全产品等大多应采用国产的。桌面Linux操作系统根据情况可以部分采用，随着应用系统的改造进程，扩大使用面。”

　　“我国政府相关部门要切实执行国家支持自主创新的政策。”他特别强调了国务院[2006]6号文件《国家中长期科技发展规划纲要若干配套政策》，其中政府采购排在国家支持自主创新政策的第四位。