把政采打造成信息安全高地

話題聚焦：華為、中興事件給我國政府信息安全領域帶來的啟示

編者按：日前美國國會眾議院情報委員會發表調查報告稱，中國華為技術有限公司和中興通訊股份有限公司對美國國家安全構成威脅。我們不禁要問：美國政府對信息安全的“維權”真實目的是什么？IT產品威脅信息安全的能量有多大？國家在保障信息安全上該如何作為？本期特邀各界人士解讀信息安全與政府采購話題，以饗讀者。 

把政采打造成信息安全高地

主持人： 

本報記者  梁爽

本期嘉賓：  

中國信息安全認證中心副主任 陳曉樺

南開大學法學院教授   何紅鋒

上海市政府采購中心采購二部副部長  秦志龍

福建星網銳捷網絡有限公司政府行業部副總經理 吳吉朋

★實質是阻撓中國產品進入美國市場

主持人：美國國會眾議院對中國企業華為、中興發出禁止令的舉動，在座的各位是如何看待這起事件的呢？我們不如先看看華為與中興就此次事件發布的官方表態。

華為：美國眾議院情報委員會所主導的、歷時11個月完成的報告，仍然未能提供明確的信息或證據證明委員會的擔憂是合理的。

委員會的調查報告對華為所提供的大量事實信息視而不見，甚至早在委員會決定啟動調查之前，委員會的高級成員，就公開通過媒體呼吁美國商界在選擇華為設備上采取謹慎態度，這就使得華為不得不懷疑，報告的唯一目的就是阻礙競爭、阻撓來自中國的ICT公司進入美國市場。（摘自華為公司10月10日晚間發布的官方聲明）

中興：自2012年4月，中興通訊已用事實向美國眾議院情報委員會證明中興通訊是中國最獨立的、透明的、致力于全球貿易的上市公司。在中國企業與美國國會調查的配合方面，中興通訊在透明和合作上已建立一個前所未有的標準。

在中興通訊提供給所有美國運營商的可信賴交付模型里，中興通訊設備是由一個獨立的受美國政府監督的美國安全評估實驗室進行評估的，中興通訊設備不會對美國市場造成任何安全威脅。（摘自中興公司致新華社的書面答復）

何紅鋒：美國的這一行為，在形式上是為了美國的國家安全考慮，實質上有排擠中國企業、保護美國企業市場份額的目的。

吳吉朋：作為數據通訊設備企業，我們也有這樣的感覺。美國靠打國家信息安全牌限制中國企業進入其市場已經是一種慣有手段了。

秦志龍：實際上，類似的外國公司在美商業投資受阻的案例比比皆是，美國給出的理由只有一個：可能損害美國國家安全。在信息產品領域最著名的案例就是2006年美國國務院擬采購16000臺聯想電腦的聯想“安全門”事件。

何紅鋒：盡管我們全都明白美國此舉的實質所在，但是其行為是符合其本國法律的。具體來說，美國的這一行為的主要法律依據是美國《網絡空間安全國家戰略》。

在保護國家信息安全方面，該戰略明確需要開展的3項工作：

通過有效的計劃以減少威脅和阻止惡意攻擊者，并對他們進行確認和懲罰。對那些已被發現的可能對關鍵系統造成重大損失的現存弱點進行確認并補救。開發脆弱性較小的新系統，對新技術的脆弱性進行評估。

總體上看，該戰略屬于鼓勵性和宣示性的立法，即屬于軟法，對私人投資領域，沒有強制性。但對于政府網絡空間的安全問題，如果存在問題，政府機構必須證明已經解決了系統安全方面的重大問題，否則，該系統的投資將不予批準。

★美國不應無端拒絕中國企業

主持人：根據媒體報道，美國眾議院情報委員會從2011年11月便開始著手對華為和中興通訊進行調查，理由是所謂擔心中國政府可能會將這兩家公司售出的電信系統和設備變為在美國本土進行間諜活動的工具。從單純的技術因素上講，目前社會上大面積應用的數據通訊設備、電信設備是否含有影響信息安全的因素呢？我想請在座的專家解答一下。

吳吉朋：單純從技術角度來講，的確存在這個可能性。比如系統后門、非法芯片、木馬程序等威脅信息安全的技術因素都有可能被置入設備中。但是，我們說的僅僅是有這個可能性而已，這也是當前信息技術領域普遍存在的技術風險。在這次事件中，美國政府不能僅僅因為有這種技術可能性就武斷地認為中國企業的進入會對其國家信息安全構成威脅，這是不客觀的。

陳曉樺：我也說幾句。所謂安全，涉及信息是否不被泄漏，是否被隨意修改，是否可以正常使用，是否真實，是否只能被合法人員使用，對信息的操作行為是否不可抵賴等。從信息安全防護的角度來看，至少包含兩個方面的內容，即信息本身（指數據或信息內容）的安全，和信息系統（是否能夠提供持續服務）的安全。當然，制造、散播虛假、不良等信息也被納入網絡治理范疇。所以，從信息的生命周期來看，幾乎所有的信息技術與通信（ICT）類產品都涉及信息安全問題。

何紅鋒：就這次事件來說，中國如果要反制，首先要建章立規，當然最好是立法。因為這不是小問題，確實涉及國家安全。如果立法有困難，至少要由財政部、工信部出臺相關規定。

★我國政府采購市場更加開放

主持人：在我國，包括數據通訊設備在內的電信設備是否屬于政府采購范疇呢？

吳吉朋：單從銳捷網絡來說，我們在國內面向的市場主要是包括政府、金融、教育、醫療等在內的行業和企業市場。除此之外，我們的數據通訊產品還銷往東南亞、印度以及俄羅斯等國家和地區。

何紅鋒：從法理上來講，這些設備有一部分是屬于政府采購市場。至于具體的范圍和采購人，這涉及各個國家對政府采購范圍的規定不同而不同。

主持人：從這次事件中明顯可以看出，美國政府采購市場對我國產品、尤其是信息類產品采取的是近乎隔絕的態度。相對美國而言，在我國政府采購制度體系中，對于他國產品又持什么樣的態度呢？

秦志龍：對比美國政府的做法，中國政府采購中的開放性值得反思，尤其在IT領域，我們采購的部分是美國產品，而且我國對他們沒有設置任何障礙，更為嚴重的是還允許一些美國公司直銷，使得他們可以掌握每臺機器的用戶信息，這個潛在風險實在太大了，我們要引起關注。

吳吉朋：秦老師說得不錯。在平時的業務工作中我們對此也深有體會。可以說，在我國信息技術產業的整體發展水平方面，電信設備幾乎是唯一站在世界同行第一梯隊的產業領域。也正因此，我們這個產業更需要政策的積極引導與政府的有效扶持。但在實際操作中，國產電信設備、數據通訊設備等產品在國內政府采購市場并無明顯優勢。在這點上，我們希望政府相關部門在執行采購方面給予一些政策傾斜，為國內產業的發展提供更多的機遇。

★政采市場應對國內產品適度傾斜

主持人：目前，我國政府采購信息類產品制度體系中對于信息安全的保護是如何規定的呢？執行情況如何？我們想聽聽各位專家的見解。

陳曉樺：保障信息安全十分重要，所以我國對信息安全產品設立了相關管理制度。

參照國內外的管理制度，經過6年的準備工作，財政部、工信部、質檢總局和認監委聯合發布了《關于信息安全產品實施政府采購的通知》，明確了關于信息安全產品實施政府采購的規定。自2010年5月1日實施以來開始，我國信息安全產品認證制度在政府采購領域強制實施。

通過國內相關部門的協商，首批在政府采購領域強制要求認證的產品有8類13種。截至2012年9月底，共有293款信息安全產品獲得了中國信息安全認證中心頒發的國家信息安全產品認證證書。

中國信息安全認證中心成立6年來，還依據國家信息安全與認證認可相關管理法律法規，對無線局域網產品、其他信息技術產品實施了信息安全認證，頒發了580余張認證證書。

秦志龍：因為信息安全是國家安全的一個方面，例如，美國在發動伊拉克戰爭之初，便通過信息技術手段，破壞了伊拉克的指揮系統，使伊拉克毫無還手之力，這是通過信息手段危害國家安全的典型案例之一。

信息安全是一個關系到國家安危、國民經濟、人民生活、社會安定等諸多方面的一個重大現實問題。所以，在進行政府采購時，應盡可能采購國貨，尤其是對敏感部門所使用的產品。

而目前，我國在信息產品領域，幾乎被美國所壟斷，真正的國貨極少，核心技術也都是美國的，例如，CPU、操作系統等等。我們應該充分發揮政府采購的政策功能，盡可能多地扶持我國企業開發、研制國貨，免遭外國勢力打壓，威脅國家安全。

華為、中興事件再次為我們敲響了警鐘，關注信息產品、關注信息安全已經到了刻不容緩的時刻。