電子政務(wù)安全從何處來

除了被曝光的“棱鏡”項目外，還有多少不為人知的秘密項目？

電子政務(wù)安全從何處來

■ 秦志龍

最近發(fā)生的幾件事，引發(fā)了筆者對我國電子政務(wù)安全問題的進(jìn)一步思考。

第一件事是“習(xí)奧會”把網(wǎng)絡(luò)安全問題作為話題之一，這充分說明網(wǎng)絡(luò)安全問題的嚴(yán)重性和重要性。美國總統(tǒng)國家安全事務(wù)助理多尼倫6月8號表示，中國國家主席習(xí)近平與美國總統(tǒng)奧巴馬的第二天會晤，聚焦經(jīng)濟(jì)和網(wǎng)絡(luò)安全議題。

第二件事是英國《衛(wèi)報》和美國《華盛頓郵報》6月6日報道說，美國國家安全局和聯(lián)邦調(diào)查局正在開展一個代號為“棱鏡”的秘密項目，通過接入互聯(lián)網(wǎng)公司的中心服務(wù)器，情報分析人員可直接接觸所有用戶的音頻、視頻、照片、電郵、文件和連接日志等信息，跟蹤互聯(lián)網(wǎng)使用者的一舉一動以及他們的所有聯(lián)系人。報道還指出，過去6年中，該項目經(jīng)歷了爆炸性增長，目前美國國家安全局約1/7的情報報告依靠這一項目提供原始數(shù)據(jù)。過去一年中，總統(tǒng)的每日情報簡報共有1477個條目使用這一項目所獲數(shù)據(jù)。微軟（包括hotmai1郵件系統(tǒng)）、雅虎、谷歌、蘋果、sKyPe、美國在線、視頻網(wǎng)站YouTube、社交網(wǎng)站“臉譜”以及文字語音聊天軟件Pa1ta1K這9家美國公司參與“棱鏡”項目。雖然各公司緊急撇清關(guān)系，總統(tǒng)奧巴馬也為這一項目進(jìn)行辯護(hù)，強(qiáng)調(diào)說這一項目不針對美國公民或在美國的人，目的在于反恐和保障美國人安全。但這種辯護(hù)恰好說明了該項目的存在，報料人還指出，美國入侵中國網(wǎng)絡(luò)已達(dá)15年之久。

第三件事是6月5日中國社科院發(fā)布的《中國電子政務(wù)年鑒(2012)》指出：盡管我國民族IT產(chǎn)業(yè)有了一定的發(fā)展，但是我國電子政務(wù)發(fā)展過程中信息技術(shù)受制于人的問題仍十分突出，關(guān)系到國家經(jīng)濟(jì)命脈的重要信息系統(tǒng)使用國產(chǎn)軟硬件的比例還不是很高，信息安全形勢嚴(yán)峻。

所有這些事情無一不說明信息安全、網(wǎng)絡(luò)安全的重要性以及我國在電子政務(wù)安全領(lǐng)域的嚴(yán)重不足。

1.電子政務(wù)的五大安全問題

根據(jù)《中國電子政務(wù)年鑒(2012)》提供的數(shù)據(jù)，目前，我國電子政務(wù)網(wǎng)絡(luò)已經(jīng)覆蓋所有的省、自治區(qū)、直轄市，90%以上的市和80%以上的縣。到目前為止，政務(wù)外網(wǎng)縱向已連接31個省(區(qū)、市)和新疆生產(chǎn)建設(shè)兵團(tuán)、311個市(地、州、盟)和1918個縣(市、區(qū)、旗)，地市級和區(qū)縣級覆蓋率分別達(dá)到93.4%和67.2%，成為我國覆蓋面最廣、連接部門最多、規(guī)模最大的政務(wù)公開網(wǎng)絡(luò)。

在數(shù)據(jù)庫方面，省和副省級市政府超過70%的部門建有數(shù)據(jù)庫，地級市和縣級政府超過一半的部門建有數(shù)據(jù)庫，省市縣各部門數(shù)據(jù)庫業(yè)務(wù)覆蓋率達(dá)70%以上;各級政府多數(shù)部門均實現(xiàn)了部分核心業(yè)務(wù)應(yīng)用，除副省級市外(副省級市51.9%的直屬部門實現(xiàn)了全部核心業(yè)務(wù)應(yīng)用)，少數(shù)部門實現(xiàn)了全部核心業(yè)務(wù)應(yīng)用。截至2012年4月，我國海關(guān)、稅務(wù)、公安、審計、國土、金融監(jiān)管等重點領(lǐng)域業(yè)務(wù)信息化覆蓋率近90%。部分部委，如公安部、科技部、人民銀行、審計署等已達(dá)到100%，國家統(tǒng)計局主要業(yè)務(wù)電子政務(wù)覆蓋率已經(jīng)達(dá)到82%。從總體來看，全部中央部委主要業(yè)務(wù)信息化覆蓋率約為50%左右。

中國的電子政務(wù)的強(qiáng)大市場需求，滋育了許多強(qiáng)大的國外IT企業(yè)，但在培植有影響力的民族品牌企業(yè)和產(chǎn)品方面的實際推動力還不夠。據(jù)介紹，目前，我國信息服務(wù)業(yè)及企業(yè)競爭力與國外仍存在較大差距。以國產(chǎn)數(shù)據(jù)庫為例，多年來，國內(nèi)數(shù)據(jù)庫市場超過90%的市場份額被Oracle等國際巨頭占領(lǐng)。經(jīng)過10年的努力，國產(chǎn)數(shù)據(jù)庫在電子政務(wù)等行業(yè)取得了突破。但國產(chǎn)數(shù)據(jù)庫由于起步晚，在眾多領(lǐng)域尤其是高端產(chǎn)品方面無法與國際巨頭相抗衡。

另外，為保障信息系統(tǒng)安全、可靠、穩(wěn)定運行而開展的信息系統(tǒng)審計，其審計師資格的授予權(quán)仍被國外控制。信息系統(tǒng)審計師資格授予權(quán)被國外控制的局面，對我國信息安全產(chǎn)生重大的潛在威脅。

具體來說，目前我們面臨的主要安全問題是：

第一，網(wǎng)絡(luò)系統(tǒng)日益復(fù)雜，安全隱患急劇增加。隨著國家信息化進(jìn)程的推進(jìn)，信息技術(shù)使用越來越普及，信息網(wǎng)絡(luò)的復(fù)雜性越來越大；網(wǎng)絡(luò)攻擊的重點無論是內(nèi)部系統(tǒng)，還是遠(yuǎn)程撥號、互聯(lián)網(wǎng)，都在逐年增多。

第二，應(yīng)用環(huán)境快速變化，安全風(fēng)險越來越大。隨著商業(yè)需求、客戶應(yīng)用、網(wǎng)絡(luò)環(huán)境、操作系統(tǒng)、協(xié)議、人員、物理環(huán)境等等方面的變化，信息化的發(fā)展日新月異，使得我們面臨的安全風(fēng)險也不斷增多。

第三，網(wǎng)絡(luò)聯(lián)通更加廣泛，惡意連接防不勝防。超大規(guī)模、巨型復(fù)雜的互聯(lián)網(wǎng)絡(luò)使得大量匿名用戶活躍在網(wǎng)絡(luò)上，所以難以預(yù)測的攻擊也就越來越多。

第四，網(wǎng)絡(luò)用戶快速增長，黑客攻擊連年翻番。

第五，網(wǎng)絡(luò)匿名顯露弊端，道德倫理面臨挑戰(zhàn)。互聯(lián)網(wǎng)是一個虛擬的空間，電子政務(wù)網(wǎng)絡(luò)也是虛擬的，很多網(wǎng)絡(luò)攻擊行為，包括對信息的竊取等都與這個匿名的特性有關(guān)；由于信息技術(shù)發(fā)展越來越快，破壞性的、攻擊性的軟件和工具越來越方便，對攻擊者知識的要求也越來越低，所以，入侵攻擊能力的發(fā)展同樣是很大的威脅。 

2.構(gòu)建一個安全的電子政務(wù)體系

我國的網(wǎng)絡(luò)安全、信息安全無法保障的原因，主要表現(xiàn)在自主信息技術(shù)軟硬件產(chǎn)品和服務(wù)還不能形成體系，高端數(shù)據(jù)庫、芯片、服務(wù)器和操作系統(tǒng)等不能自給。我們必須從多方面入手、全方位努力，構(gòu)建一個安全的電子政務(wù)體系。

第一，制定安全策略。首先，國家要從政策法規(guī)方面進(jìn)行引導(dǎo)，并需要社會廣泛的參與。因為信息化是一個全社會共同參與的進(jìn)程，電子政務(wù)也不例外。其次，信息網(wǎng)絡(luò)是一個全網(wǎng)全程的概念，它的安全保障必須是全局的、綜合的治理，而且要積極防御，既要有效控制現(xiàn)有的安全風(fēng)險，又要有相應(yīng)的手段防止可能出現(xiàn)的安全性問題。另外，安全策略的制定還要保證系統(tǒng)運行、系統(tǒng)內(nèi)信息以及系統(tǒng)管理控制的安全。

第二，健全安全法規(guī)。現(xiàn)在，我們已經(jīng)有了一些相應(yīng)的法律和法規(guī)，但是還需要適應(yīng)信息化和電子政務(wù)的發(fā)展，制定新的法律、法規(guī)。國務(wù)院法制辦和國務(wù)院信息辦會同有關(guān)部門正在積極就保密與公開，電子文檔的合法性、電子簽名、隱私權(quán)的保護(hù)等等制定相應(yīng)的法律、法規(guī)，這是一個可喜的信息。 

第三，加強(qiáng)安全管理和服務(wù)。要按照《關(guān)于我國電子政務(wù)建設(shè)的指導(dǎo)意見》（中發(fā)辦【2002】17號）文件的規(guī)定，對涉密網(wǎng)和非涉密網(wǎng)、涉密信息和非涉密信息、安全域和非安全域要進(jìn)行安全性劃分；對電子政務(wù)的工程建設(shè)要進(jìn)行監(jiān)理和監(jiān)督；對信息安全產(chǎn)品的采購要進(jìn)行管理。政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)要實行嚴(yán)格的物理隔離，政務(wù)外網(wǎng)和互聯(lián)網(wǎng)絡(luò)要實行邏輯隔離。輔助性的支持機(jī)制也需建立，例如安全評估、風(fēng)險分析、系統(tǒng)設(shè)計、測評、人員培訓(xùn)等等。

第四，建立安全標(biāo)準(zhǔn)。國家成立了信息安全技術(shù)委員會，正在就安全管理、PKI、信息安全產(chǎn)品接口、電子文檔的密級進(jìn)行分級與標(biāo)識，電子簽名、應(yīng)急處理等涉及到電子政務(wù)的這些方面的標(biāo)準(zhǔn)也在緊鑼密鼓地制定中。 

第五，研發(fā)安全產(chǎn)品。我們必須要研究、開發(fā)、生產(chǎn)擁有自主知識產(chǎn)權(quán)的安全產(chǎn)品，例如VPN、保密傳送設(shè)備、防火墻、安全網(wǎng)閘、入侵檢測和漏洞掃描、防病毒、審計系統(tǒng)、ＰＫＩ／ＰＭＩ和安全應(yīng)用工具等等。

第六，完善安全基礎(chǔ)設(shè)施。除了建立國家計算機(jī)網(wǎng)絡(luò)與信息安全管理中心、國家信息安全測評認(rèn)證中心外，還應(yīng)建立PKI／KMI中心、應(yīng)急處理與災(zāi)難恢復(fù)中心、病毒防治與服務(wù)體系、安全測評與認(rèn)證體系等。

另外，在電子政務(wù)安全建設(shè)中，需要權(quán)衡安全、成本、效率三者的關(guān)系。實際上，絕對的安全是沒有的，電子政務(wù)系統(tǒng)也不是越安全越好。不同的電子政務(wù)系統(tǒng)，對于信息安全的要求是不同的，必須根據(jù)電子政務(wù)系統(tǒng)的實際要求做到恰到好處。如果一味地強(qiáng)調(diào)安全，而忽視對政府信息資源的充分公開，電子政務(wù)的價值也會大打折扣。

3.發(fā)揮政府采購的政策功能

第一，利用政府采購保護(hù)信息安全。隨著信息化時代的到來，我國的政治安全和經(jīng)濟(jì)安全越來越依賴網(wǎng)絡(luò)和信息的安全運行。美國很早就認(rèn)識到了信息安全與國家整體利益和國防的緊密聯(lián)系，采取了一系列措施來加強(qiáng)其信息產(chǎn)業(yè)在全球的壟斷地位。同時，政府部門通過國家安全局（NSA）對信息產(chǎn)業(yè)實行嚴(yán)格的控制，NSA派出既懂密碼、電子偵察業(yè)務(wù)，又懂半導(dǎo)體技術(shù)的專家駐在各大公司，其任務(wù)就是在銷往全球的信息產(chǎn)品特別是大規(guī)模集成電路芯片等關(guān)鍵部件上安裝NSA需要的“后門”。經(jīng)過中國國家信息安全測評認(rèn)證中心的測試確認(rèn)，美國ISS公司的產(chǎn)品存在“后門”，即ISS的產(chǎn)品在客戶不知情的情況下，定期向美國回傳200K字節(jié)的加密數(shù)據(jù)，經(jīng)有關(guān)部門解密后得知其中包括重要客戶信息，對用戶構(gòu)成極大的潛在安全危險。最讓人擔(dān)心的是，在今天的技術(shù)條件下，將一塊芯片中可能安放的所有后門都排除掉幾乎是不可能的。

在過去的“聯(lián)想安全門”事件中，美中經(jīng)濟(jì)與安全評估委員會主席拉里·沃策爾曾表現(xiàn)得“憂心忡忡”。他在接受《紐約時報》采訪時稱，如果歐洲的空中客車公司將一條飛機(jī)生產(chǎn)線轉(zhuǎn)移到中國，他不會因此而感到擔(dān)心，但如果聯(lián)想開始向美國政府的涉外機(jī)構(gòu)出售電腦，他會坐臥不安。他還說：“如果你是一個外國情報機(jī)構(gòu)，你得知美國聯(lián)邦政府機(jī)構(gòu)正從你們國家的電腦公司采購1.6萬臺電腦，難道你能排除其做點手腳的可能性嗎？”

試想，我們的許多信息產(chǎn)品的軟硬件均為美國產(chǎn)品，難道我們不應(yīng)該更“憂心忡忡”？因此，在進(jìn)行政府采購時，應(yīng)盡可能采購國貨，尤其是對敏感部門所使用的產(chǎn)品。

第二，利用政府采購支持民族工業(yè)。從國際上看，從來沒有哪一個國家的政府市場是完全對外開放的，政府采購政策一直是各國保護(hù)本國企業(yè)的合法手段。如美國1933年頒布的《購買美國產(chǎn)品法》開宗明義規(guī)定：“扶持和保護(hù)美國工業(yè)、美國人和美國投資資本”，并規(guī)定各政府機(jī)構(gòu)除特殊情況外，必須購買由美國供應(yīng)商提供的本國產(chǎn)品、工程和服務(wù)。

國家信息安全基礎(chǔ)設(shè)施的建設(shè)是不能建立在從國外進(jìn)口的CPU產(chǎn)品上的。從長遠(yuǎn)來看，我國信息安全產(chǎn)業(yè)必須立足在一個完整的體系上，不受國際壟斷集團(tuán)控制，防止國際敵對勢力對信息安全領(lǐng)域的滲透，關(guān)鍵的問題是應(yīng)當(dāng)立足于自主開發(fā)，研制適應(yīng)各種信息安全需要的CPU芯片和專門芯片，這樣安全性高，而且成本比進(jìn)口低很多。所以,我們應(yīng)該充分利用政府采購的非關(guān)稅貿(mào)易壁壘大力發(fā)展自己的信息產(chǎn)品，尤其是其核心——CPU和操作系統(tǒng)。

第三，利用政府采購手段盡快發(fā)展和應(yīng)用國產(chǎn)軟件。軟件產(chǎn)業(yè)是信息產(chǎn)業(yè)的核心，是關(guān)系國家經(jīng)濟(jì)和社會發(fā)展的戰(zhàn)略性產(chǎn)業(yè)，是國際競爭的焦點和戰(zhàn)略制高點。但微軟操作系統(tǒng)存在安全“漏洞”的報道屢屢見之于各種媒體。法國國防部委托部外的有關(guān)專家對美國微軟公司與美情報機(jī)構(gòu)的關(guān)系進(jìn)行了長期觀察和研究。這些專家于1999年底撰寫了一份長達(dá)100多頁、題為《信息系統(tǒng)的安全性、依賴性和脆弱性》的報告，其中列舉了美國微軟公司與美國情報機(jī)構(gòu)之間“秘密和密切關(guān)系”的種種可疑之處。他們認(rèn)為，微軟公司推出的許多產(chǎn)品中含有“間諜程序”，其中“回門程序”能夠解讀所截獲的信息。再如《微軟操作系統(tǒng)暗藏監(jiān)視中方秘密程序?》一文也提供了類似情況：被諾頓爆出“后門”的微軟中文版操作系統(tǒng)程序，內(nèi)置了美國政府定向監(jiān)視中方的秘密程序。

這樣的“后門”還有多少沒有被發(fā)現(xiàn)？除了被曝光的“棱鏡”項目外，還有多少我們不知道的秘密項目？如果我們大量采用微軟操作系統(tǒng)的現(xiàn)狀不加改變，其危害是難以估量的。一旦發(fā)生戰(zhàn)爭之類的事情，其安全性是絕對沒有保障的。因此，我國的政府部門要盡可能地多使用國產(chǎn)軟件，大力培育國內(nèi)軟件企業(yè)，使其盡快發(fā)展壯大，保護(hù)我國電子政務(wù)的安全。