透過“棱鏡門”事件看我國電子政務安全

程奎文

（中共天水市委黨校，甘肅 天水 741018）

“棱鏡”項目是一項由美國國家安全局實施的絕密電子監聽項目。NSA依靠美國在信息技術方面的絕對優勢，通過入侵巨型的路由器，一舉侵入成千上萬的電腦，使得網絡信息流中的電郵、即時消息、視頻、照片、存儲數據、語音聊天、文件傳輸、視頻會議、登錄時間和社交網絡資料的細節都被美國政府監控。據斯諾登爆料，美國政府網絡入侵中國網絡至少有四年時間，美國政府黑客攻擊的目標達到上百個，其中還包括學校。電子政務安全是一個非常復雜的系統工程，它遍布在政府信息化的各個環節之中，其范疇已經超越網絡安全所指的技術層面。由于電子政務是建立在信息技術基礎之上的，因此電子政務安全，既包括電子政務網絡的安全，也包括電子政務中信息的安全，電子政務的安全實質上關系到國家安全、公共利益和社會穩定。“棱鏡門”事件為我國電子政務安全狀況敲響了警鐘。

一、我國電子政務發展安全現狀

2013年6月5日中國社會科學院發布的《中國電子政務年鑒（2012）》指出：盡管我國民族IT產業有了一定程度的發展，但是我國電子政務發展過程中信息技術受制于人的問題仍十分突出，關系到國家經濟命脈的重要信息系統使用國產軟硬件的比例還不是很高，信息安全形勢嚴峻。我國電子政務的強大市場需求，培植了許多強大的國外IT企業，但在培植有影響力的民族品牌企業和產品方面的推動力還不夠，國內信息服務業及企業競爭力與國外仍存在較大差距，國內數據庫市場超過90%的份額被Oracle等國際巨頭占領。國產數據庫在眾多領域尤其是高端產品方面還無法與國際巨頭的產品相抗衡。產業大而不強，自主信息技術軟硬件產品和服務還不能形成體系，高端數據庫、芯片、服務器和操作系統等不能自給，電子政務建設成本居高不下，安全無法保障。目前國內很多企業對數據安全建設的概念僅僅停留在計算機安裝殺毒軟件、網絡上部署防火墻的層面。另外，信息系統審計師資格的授予權被國外控制，這也使我國信息安全面臨著重大的潛在威脅。

二、我國電子政務安全中存在的主要問題

一是我國基礎信息產業薄弱，核心技術嚴重依賴國外。據報道，在涉及政府、海關、郵政、金融、鐵路、民航、醫療、軍警等國家關鍵信息基礎設施的建設中，頻頻出現美國“八大金剛”（思科、IBM、谷歌、高通、英特爾、蘋果、甲骨文、微軟）的影子，特別是美國思科參與了中國幾乎所有大型網絡項目的建設——這種情形，無疑對我國信息安全構成了潛在威脅。西方發達國家在向中國輸出信息技術時，盡可能控制向我們輸出有助于增強我們國家綜合國力的技術。國內數據庫市場超過90%的份額被Oracle等國際巨頭占領。國產數據庫在眾多領域尤其是高端產品方面還無法與國際巨頭的產品相抗衡；密匙技術方面，美國對128位的密碼技術是嚴密封鎖的，一律不許出口。我國的軟件開發能力很弱，自主開發的軟件很少，特別是信息安全產品。同時，信息安全技術研究與產業脫節嚴重，理論上、算法上我們并不落后，但是卻無法產品化。

二是因特網的基礎資源被美國掌控，對我國信息安全構成了潛在威脅。“棱鏡”再次充分暴露了中國網絡空間的軟肋。我們所使用的信息技術、設備、系統和服務大多是由參與“棱鏡”這類計劃的公司提供的。我們不得不承認，美國在信息和通信技術領域始終擁有絕對優勢。目前因特網的主根服務器在美國，其余12臺輔根服務器有9臺在美國，2臺在歐洲，1臺在日本。據說，在主根服務器系統上還有一個更高級的、隱藏著的母服務器，當然也在美國。全世界所有的頂級域名都是由這臺母服務器來確定的，即使是中國的頂級域名.cn也同樣依賴于根服務器，所以中國因特網是否可用，控制權在美國手中；而且這種情況在相當長的時間里還很難改變。

域名系統是互聯網的基礎服務，而根服務器更是整個域名系統的基礎。美國控制了域名解析的根服務器，也就控制了相應的所有域名和IP地址，這對于其他國家來說顯然存在著致命的危險。如果哪一天美國屏蔽某國家的域名，那么它們的IP地址將無法解析出來，這些域名所指向的網站就會從互聯網中消失了。由此聯想，如果“.cn”從域名系統中刪除，甚至將分配給中國境內使用的IP地址取消的話，中國將成為國際主干網的看客。

三是對引進的信息技術和設備缺乏保護信息安全所必不可少的有效管理和技術改造。近年來，為大力推進信息化建設，我國從發達國家和跨國公司引進和購買了大量的信息技術和設備。但由于受技術水平等的限制，許多單位和部門對從國外，特別是從美國等引進的關鍵信息設備可能預做手腳的情況卻無從檢測和排除。英國omega基金會在應歐洲議會的要求對當代科學技術與歐洲各種政治控制的關系問題進行評估的報告中第一次以較權威的方式證實了在“歐洲，全部電子郵件、電話和傳真等通訊都處于美國國家安全局的日常監聽之下”，在歐洲大陸截獲的所有信息都傳往美國NsA進行分析。由此可推見我國在引進國外設備、軟件中的信息風險。

四是使用安全產品缺乏統一考慮，具有重硬件輕軟件的不合理傾向性。由于國內外網絡安全產品五花八門，各種產品門類眾多，技術水平也有很大差別，政府部門在選用安全產品的時候經常難辨優劣。而且，在部署安全產品的時候，也缺乏全局性和產品互補性的考慮，各種安全產品的統一部署協調很難維持。對于安全產品的部署還存在的一個問題是，認為把硬件產品買回來就安全了，而忽略安全的動態性，以致產品軟件更新慢，配套的軟件配置落后，造成安全產品的安全功能未能及時跟上安全威脅的變化。

三、電子政務安全管理措施

（一）通過科技創新實現設備底層的操作系統和加密機制的自主可控

網絡設備的安全性會給國家安全帶來很高的風險挑戰，要降低這種風險，首先就要保障基礎網絡設施層面不失控。此前由于技術的相對落后，中國在這一領域一直存在巨大的安全隱患，許多國外通信產品設備占據著國內龐大的市場份額，控制著我國大部分網絡要道。我國各級政府采購過大量的國外IT設備，這其中，一方面軟件類產品可能被預置“后門”程序，本身也可能帶有容易被攻擊的漏洞；另一方面，計算機、路由器等硬件產品所攜帶的操作系統、芯片等也存在安全風險。雖然不少用戶也在關心這些設備的遠程管理口令和補丁升級帶來的安全風險，但要實現真正的安全，唯一的途徑只有一條，那就是實現設備底層的操作系統和加密機制的自主可控。這次“棱鏡”事件表明，那些提供IT設備與服務的美國公司往往會按照美國情報部門的要求行事。使用它們而又不想被此類計劃所監控，恐怕只能是癡心妄想。我們至少應要求IT設備能自主可控，在此基礎上，再努力加強信息安全防護，這樣才有可能保障國家信息安全。因此，應加強安全技術和產品的自主研制和創新，大力發展并掌握自己核心技術，構筑我們自己的網絡信息安全屏障。

（二）網絡與信息安全必須上升為國家戰略

網絡空間的影響力及互聯網管理能力將關系到未來在可能爆發戰爭中的生死存亡，關系到信息時代的榮辱興衰。因此，網絡與信息安全必須上升為國家戰略。應改革網絡安全體制，提升網絡安全主管部門的行政級別。同時，在國內建立新的根服務器。我們已經掌握了下一代互聯網IPv6域名根服務器技術，不管困難多大，都必須建立IPv6域名根服務器，從國家安全戰略高度上建設下一代互聯網，目前至少要保證國內的站點由國內的域名服務器來解析。這樣，即使在最糟糕的情況下，美國終止對中國域名的解析時，雖然國外的用戶無法再連接到我國的網絡，但是我國可以自己解決中國境內的域名解析問題。

（三）網絡與信息安全必須頂層設計統籌謀劃

首先是立法先行。“棱鏡”被曝光后，美國政府、軍方紛紛表態，表明這些計劃的實施有法可依且受到嚴格的法律監督。事實上，美國的確建立了完備的信息安全法律體系，政府信息安全、打擊計算機犯罪、隱私保護、關鍵基礎設施保護及技術采購和出口管制等各種法律一應俱全。近年來，美國國會還在不斷提出各種新法案，為政府保障網絡與信息安全提供充足的“保護傘”。

可見，只有掌握了有力的法理依據，國家才能更好地行使在網絡空間的管轄權。因此，我國在國家層面上盡快提出一個具有戰略眼光的“國家電子政務信息安全計劃”，充分研究和分析國家在信息領域的利益和所面臨的內外部威脅，結合我國國情制訂的計劃應能夠全面加強和指導國家政治、軍事、經濟、文化以及社會生活各個領域的信息網絡安全防范體系，并投入足夠的資金加強關鍵基礎設施的信息安全保護。加快出臺相關法律法規，在網絡安全基礎設施建設中，在軟硬件的服務應用過程中，在與國家利益安全相關聯的跨境數據流動中，一定要有法律作保障；市場監管方面，對數據流動的安全性、合法性要加強監管；要高度重視公民網絡素養培養，并將其納入到國民教育體系。改變目前一些相關法律法規太籠統、缺乏操作性的現狀，對各種信息主體的權利、義務和法律責任，做出明晰的法律界定。

其次是善用規則。美國一方面以所謂“中國通信公司給美國帶來國家安全威脅”為由，把華為、中興等擋在其國門之外，聯想的多次收購之路也充滿坎坷；另一方面，又依據WTO規則，反過來指責中國以國家安全為由設置了貿易壁壘，對其出口中國的IT產品和服務進行審查并要求交出源代碼。而實際情況是，我國的信息安全審核機制仍較薄弱，對進入中國的國外產品幾乎不設防，從而留下較大的安全隱患。核心技術的自主可控是我國扭轉這一被動局面的主要舉措，但自主研發是一個長期的過程，國產化亦非等同于安全，現階段應以可控為主，通過靈活利用國際規則和國際慣例，完善信息安全產品審查和政府采購的立法、政策、機制和手段，提高國外產品入境尤其是進入核心部門的門檻。

最后是營造環境。科學處理技術研發與市場推廣的關系，通過行政手段和市場激勵在社會全面推廣安全意識教育。政府要在社會上形成一種導向，推動國產基礎軟件的市場化和普及化，增加應用試點示范，逐步拓展國產軟硬件的市場占有率，同時也要提高技術研發的針對性，更好地滿足使用者的需求。另外用書面的形式對各項要求做出明文規定，包括人員管理、保密、跟蹤審計、系統維護、數據備份、病毒定期清理等一系列制度。這些制度是保證電子政務系統安全運行的重要保證。

（四）轉變觀念，優先采用本國研發和設計的產品

目前，我國華為、中興等公司的通訊產品在世界市場上已有很強的競爭力，可是在我國國內市場上，思科仍然占據相當大的市場份額。這種情況是反常的，不符合產品性價比的實際情況。實際上，這也是缺乏民族自信、創新自信的表現。究其原因，業內專家表示，一是出于免責的需要。一些采購經辦人更關心如何能規避、降低職業風險，因為即便采購的國外產品出了問題，他們也不用承擔責任。二是出于觀念的原因。一些地方和部門有“習慣思維”，什么重大項目要上馬，首先想到的是找外國跨國公司，通過招商引資，用市場換技術。