电子政务安全从何处来

最近发生的几件事，引发了笔者对我国电子政务安全问题的进一步思考。

第一件事是“习奥会”把网络安全问题作为话题之一，这充分说明网络安全问题的严重性和重要性。美国总统国家安全事务助理多尼伦6月8号表示，中国国家主席习近平与美国总统奥巴马的第二天会晤，聚焦经济和网络安全议题。

第二件事是英国《卫报》和美国《华盛顿邮报》6月6日报道说，美国国家安全局和联邦调查局正在开展一个代号为“棱镜”的秘密项目，通过接入互联网公司的中心服务器，情报分析人员可直接接触所有用户的音频、视频、照片、电邮、文件和连接日志等信息，跟踪互联网使用者的一举一动以及他们的所有联系人。报道还指出，过去6年中，该项目经历了爆炸性增长，目前美国国家安全局约1/7的情报报告依靠这一项目提供原始数据。过去一年中，总统的每日情报简报共有1477个条目使用这一项目所获数据。微软（包括hotmai1邮件系统）、雅虎、谷歌、苹果、sKyPe、美国在线、视频网站YouTube、社交网站“脸谱”以及文字语音聊天软件Pa1ta1K这9家美国公司参与“棱镜”项目。虽然各公司紧急撇清关系，总统奥巴马也为这一项目进行辩护，强调说这一项目不针对美国公民或在美国的人，目的在于反恐和保障美国人安全。但这种辩护恰好说明了该项目的存在，报料人还指出，美国入侵中国网络已达15年之久。

第三件事是6月5日中国社科院发布的《中国电子政务年鉴(2012)》指出：尽管我国民族IT产业有了一定的发展，但是我国电子政务发展过程中信息技术受制于人的问题仍十分突出，关系到国家经济命脉的重要信息系统使用国产软硬件的比例还不是很高，信息安全形势严峻。

所有这些事情无一不说明信息安全、网络安全的重要性以及我国在电子政务安全领域的严重不足。

1.电子政务的五大安全问题

根据《中国电子政务年鉴(2012)》提供的数据，目前，我国电子政务网络已经覆盖所有的省、自治区、直辖市，90%以上的市和80%以上的县。到目前为止，政务外网纵向已连接31个省(区、市)和新疆生产建设兵团、311个市(地、州、盟)和1918个县(市、区、旗)，地市级和区县级覆盖率分别达到93.4%和67.2%，成为我国覆盖面最广、连接部门最多、规模最大的政务公开网络。

在数据库方面，省和副省级市政府超过70%的部门建有数据库，地级市和县级政府超过一半的部门建有数据库，省市县各部门数据库业务覆盖率达70%以上;各级政府多数部门均实现了部分核心业务应用，除副省级市外(副省级市51.9%的直属部门实现了全部核心业务应用)，少数部门实现了全部核心业务应用。截至2012年4月，我国海关、税务、公安、审计、国土、金融监管等重点领域业务信息化覆盖率近90%。部分部委，如公安部、科技部、人民银行、审计署等已达到100%，国家统计局主要业务电子政务覆盖率已经达到82%。从总体来看，全部中央部委主要业务信息化覆盖率约为50%左右。
中国的电子政务的强大市场需求，滋育了许多强大的国外IT企业，但在培植有影响力的民族品牌企业和产品方面的实际推动力还不够。据介绍，目前，我国信息服务业及企业竞争力与国外仍存在较大差距。以国产数据库为例，多年来，国内数据库市场超过90%的市场份额被Oracle等国际巨头占领。经过10年的努力，国产数据库在电子政务等行业取得了突破。但国产数据库由于起步晚，在众多领域尤其是高端产品方面无法与国际巨头相抗衡。

另外，为保障信息系统安全、可靠、稳定运行而开展的信息系统审计，其审计师资格的授予权仍被国外控制。信息系统审计师资格授予权被国外控制的局面，对我国信息安全产生重大的潜在威胁。

具体来说，目前我们面临的主要安全问题是：

第一，网络系统日益复杂，安全隐患急剧增加。随着国家信息化进程的推进，信息技术使用越来越普及，信息网络的复杂性越来越大；网络攻击的重点无论是内部系统，还是远程拨号、互联网，都在逐年增多。

第二，应用环境快速变化，安全风险越来越大。随着商业需求、客户应用、网络环境、操作系统、协议、人员、物理环境等等方面的变化，信息化的发展日新月异，使得我们面临的安全风险也不断增多。

第三，网络联通更加广泛，恶意连接防不胜防。超大规模、巨型复杂的互联网络使得大量匿名用户活跃在网络上，所以难以预测的攻击也就越来越多。

第四，网络用户快速增长，黑客攻击连年翻番。

第五，网络匿名显露弊端，道德伦理面临挑战。互联网是一个虚拟的空间，电子政务网络也是虚拟的，很多网络攻击行为，包括对信息的窃取等都与这个匿名的特性有关；由于信息技术发展越来越快，破坏性的、攻击性的软件和工具越来越方便，对攻击者知识的要求也越来越低，所以，入侵攻击能力的发展同样是很大的威胁。

2.构建一个安全的电子政务体系

我国的网络安全、信息安全无法保障的原因，主要表现在自主信息技术软硬件产品和服务还不能形成体系，高端数据库、芯片、服务器和操作系统等不能自给。我们必须从多方面入手、全方位努力，构建一个安全的电子政务体系。

第一，制定安全策略。首先，国家要从政策法规方面进行引导，并需要社会广泛的参与。因为信息化是一个全社会共同参与的进程，电子政务也不例外。其次，信息网络是一个全网全程的概念，它的安全保障必须是全局的、综合的治理，而且要积极防御，既要有效控制现有的安全风险，又要有相应的手段防止可能出现的安全性问题。另外，安全策略的制定还要保证系统运行、系统内信息以及系统管理控制的安全。

第二，健全安全法规。现在，我们已经有了一些相应的法律和法规，但是还需要适应信息化和电子政务的发展，制定新的法律、法规。国务院法制办和国务院信息办会同有关部门正在积极就保密与公开，电子文档的合法性、电子签名、隐私权的保护等等制定相应的法律、法规，这是一个可喜的信息。

第三，加强安全管理和服务。要按照《关于我国电子政务建设的指导意见》（中发办【2002】17号）文件的规定，对涉密网和非涉密网、涉密信息和非涉密信息、安全域和非安全域要进行安全性划分；对电子政务的工程建设要进行监理和监督；对信息安全产品的采购要进行管理。政务内网和政务外网要实行严格的物理隔离，政务外网和互联网络要实行逻辑隔离。辅助性的支持机制也需建立，例如安全评估、风险分析、系统设计、测评、人员培训等等。

第四，建立安全标准。国家成立了信息安全技术委员会，正在就安全管理、PKI、信息安全产品接口、电子文档的密级进行分级与标识，电子签名、应急处理等涉及到电子政务的这些方面的标准也在紧锣密鼓地制定中。

第五，研发安全产品。我们必须要研究、开发、生产拥有自主知识产权的安全产品，例如VPN、保密传送设备、防火墙、安全网闸、入侵检测和漏洞扫描、防病毒、审计系统、PKI／PMI和安全应用工具等等。

第六，完善安全基础设施。除了建立国家计算机网络与信息安全管理中心、国家信息安全测评认证中心外，还应建立PKI／KMI中心、应急处理与灾难恢复中心、病毒防治与服务体系、安全测评与认证体系等。

另外，在电子政务安全建设中，需要权衡安全、成本、效率三者的关系。实际上，绝对的安全是没有的，电子政务系统也不是越安全越好。不同的电子政务系统，对于信息安全的要求是不同的，必须根据电子政务系统的实际要求做到恰到好处。如果一味地强调安全，而忽视对政府信息资源的充分公开，电子政务的价值也会大打折扣。

3.发挥政府采购的政策功能

第一，利用政府采购保护信息安全。随着信息化时代的到来，我国的政治安全和经济安全越来越依赖网络和信息的安全运行。美国很早就认识到了信息安全与国家整体利益和国防的紧密联系，采取了一系列措施来加强其信息产业在全球的垄断地位。同时，政府部门通过国家安全局（NSA）对信息产业实行严格的控制，NSA派出既懂密码、电子侦察业务，又懂半导体技术的专家驻在各大公司，其任务就是在销往全球的信息产品特别是大规模集成电路芯片等关键部件上安装NSA需要的“后门”。经过中国国家信息安全测评认证中心的测试确认，美国ISS公司的产品存在“后门”，即ISS的产品在客户不知情的情况下，定期向美国回传200K字节的加密数据，经有关部门解密后得知其中包括重要客户信息，对用户构成极大的潜在安全危险。最让人担心的是，在今天的技术条件下，将一块芯片中可能安放的所有后门都排除掉几乎是不可能的。

在过去的“联想安全门”事件中，美中经济与安全评估委员会主席拉里·沃策尔曾表现得“忧心忡忡”。他在接受《纽约时报》采访时称，如果欧洲的空中客车公司将一条飞机生产线转移到中国，他不会因此而感到担心，但如果联想开始向美国政府的涉外机构出售电脑，他会坐卧不安。他还说：“如果你是一个外国情报机构，你得知美国联邦政府机构正从你们国家的电脑公司采购1.6万台电脑，难道你能排除其做点手脚的可能性吗？”

试想，我们的许多信息产品的软硬件均为美国产品，难道我们不应该更“忧心忡忡”？因此，在进行政府采购时，应尽可能采购国货，尤其是对敏感部门所使用的产品。

第二，利用政府采购支持民族工业。从国际上看，从来没有哪一个国家的政府市场是完全对外开放的，政府采购政策一直是各国保护本国企业的合法手段。如美国1933年颁布的《购买美国产品法》开宗明义规定：“扶持和保护美国工业、美国人和美国投资资本”，并规定各政府机构除特殊情况外，必须购买由美国供应商提供的本国产品、工程和服务。

国家信息安全基础设施的建设是不能建立在从国外进口的CPU产品上的。从长远来看，我国信息安全产业必须立足在一个完整的体系上，不受国际垄断集团控制，防止国际敌对势力对信息安全领域的渗透，关键的问题是应当立足于自主开发，研制适应各种信息安全需要的CPU芯片和专门芯片，这样安全性高，而且成本比进口低很多。所以,我们应该充分利用政府采购的非关税贸易壁垒大力发展自己的信息产品，尤其是其核心——CPU和操作系统。

第三，利用政府采购手段尽快发展和应用国产软件。软件产业是信息产业的核心，是关系国家经济和社会发展的战略性产业，是国际竞争的焦点和战略制高点。但微软操作系统存在安全“漏洞”的报道屡屡见之于各种媒体。法国国防部委托部外的有关专家对美国微软公司与美情报机构的关系进行了长期观察和研究。这些专家于1999年底撰写了一份长达100多页、题为《信息系统的安全性、依赖性和脆弱性》的报告，其中列举了美国微软公司与美国情报机构之间“秘密和密切关系”的种种可疑之处。他们认为，微软公司推出的许多产品中含有“间谍程序”，其中“回门程序”能够解读所截获的信息。再如《微软操作系统暗藏监视中方秘密程序?》一文也提供了类似情况：被诺顿爆出“后门”的微软中文版操作系统程序，内置了美国政府定向监视中方的秘密程序。

这样的“后门”还有多少没有被发现？除了被曝光的“棱镜”项目外，还有多少我们不知道的秘密项目？如果我们大量采用微软操作系统的现状不加改变，其危害是难以估量的。一旦发生战争之类的事情，其安全性是绝对没有保障的。因此，我国的政府部门要尽可能地多使用国产软件，大力培育国内软件企业，使其尽快发展壮大，保护我国电子政务的安全。