新時期設備采購的信息安全問題思考

馬雙成河北省廊坊市中國人民武裝警察部隊學院

新時期設備采購的信息安全問題思考

馬雙成
河北省廊坊市中國人民武裝警察部隊學院

信息，在英法德等國均是“information”一詞。我國古代據《辭源》解釋，信息就是“消息”[1]。現代對信息一詞的解釋有很多種。它通常以文字、聲音、圖像等形式來表現，一般指音訊、消息、也可以是通訊系統傳輸和處理的對象，泛指人類社會傳播的一切內容。信息，從個人方面講有信息產權概念，從國家角度來說有信息主權概念，所以它存在很多的安全風險。國家安全的一種重要方面就是信息安全。所謂信息安全，是指保障國家、機構、個人的信息空間、信息載體和信息資源不受來自內外各種形式的危險、威脅、侵害和誤導的外在狀態和方式及內在主體感受[2]。進入21世紀后，信息安全已經是世界各國安全領域關注的焦點問題之一。

一、政府設備采購面臨的威脅與挑戰

政府采購也可以被稱為公共采購，是指國家機關，為了滿足正常進行公務活動或者為公眾提供公共服務的需要，在預算范圍內，在依法監督之下，以規定的的方式、程序，對有關產品、公共工程或者服務進行的購買[3]。十幾年來，我國的信息化建設飛速發展，同時面臨的信息安全形勢也非常嚴峻，由于來自外部的信息竊取和攻擊接連不斷，因而政府信息化設備采購的信息安全威脅日益凸顯。無論是2005年大眾媒體曝光打印機廠商在用戶打印輸出的文件中設置識別信息暗記，還是2013年“斯諾登”事件，都向我們沉重地敲響了信息安全的警鐘。

在國外，美國國務院曾于2006年3月招標采購中國聯想1.6萬多臺計算機設備，美中經濟安全調查委員會認為“使用聯想計算機會對美國國家安全產生災難性后果”。最后使得美國政府對聯想增加限制條件，不允許聯想在參與美國的政府采購時以任何形式索取、接受、維護、鑒別有關美國政府定購電腦產品的用戶信息。同年4月日本防衛廳以存在安全隱患為由，拒絕接受聯想生產的IBM品牌計算機，自此聯想無緣日本防衛廳電腦采購招標。2013年美國奧巴馬總統簽署了一項新開支法案，其中包含了美國政府機構購買與中國政府有關公司信息技術的相關約束條款。

在國內，據統計，政府各部門采購的高端服務器、大中型主機相當一部分是美國SUN、IBM和HP公司等公司的產品，網絡設備例如交換機、路由器等也有很大市場份額由國外品牌占據[4]。如果這些企業被利用，則可以通過銷售產品或參與售后服務等途徑，獲取政府用戶的資料、政務網絡運行狀況等信息[4]。軟件方面，具有我國自主知識產權的軟件產品在京中央國家機關各單位政府采購中僅占通用軟件產品采購總金額的10%。95%的操作系統和辦公軟件為美國微軟公司產品[4]。由此可見，我國政府采購大量國外IT產品已經成為國家信息安全的一個重要隱患。

二、完善設備采購的信息安全對策

（一）不斷完善法律法規有力提供制度保障

目前，我國政府采購信息安全法規制度建設不斷完善，以更有力地確保國家信息的絕對保密。國家質檢總局2009年印發了《關于調整信息安全產品強制性認證實施要求的公告》，對8類13種信息安全產品進入政府采購前必須實行強制性認證。2010年《關于信息安全產品實施政府采購的通知》由財政部、工信部、國家質檢總局等多個部委聯合發布。它對供應商提出了嚴格要求，即其必須具備中國信息安全認證中心按國家標準認證頒發的有效認證證書。中央國家機關政府采購中心于2013年發布了《關于信息安全產品資質審核的通知》，就招標時實際入圍產品的型號如果與中國信息安全產品認證證書上的“產品名稱和型號、規格、版本”不一致時，制訂了嚴格的規定。

（二）加強制度和措施確保信息化設備安全

政府相關采購管理部門務必要把國家信息安全放在第一位，以便能更有力地發揮政府采購的政策功能。

1、信息化設備的生產單位一定要可靠。優先采購自主可控、安全可信的信息化設備。采購時選擇設備的生產單位一定是經過國家保密部門指定的測評機構進行認證的單位。在設備的生產過程中要有當地保密部門進行監督檢查，同時生產單位人員都要經過嚴格審查方能進行作業。

2、信息化設備的供貨渠道一定要安全。一種是認證后的生產單位直接提供給購買部門；另一種是建立二級批發供貨制度，現有生產單位批發給二級單位，二級單位再在當地保密部門的監督下，供貨給采購部門。

3、涉密信息系統的采購一定要嚴格遵守相關流程。采購單位在施工前應提交涉密系統的規劃、設計和安全方案給予保密行政管理部門，待方案通過審查后才能進入下一步的采購程序，進行涉密系統的具體建設。實施整體完成后，再由國家授權的系統測評機構對系統進行安全保密測評。

（三）建設采購信息化設備信息安全人才隊伍

由于目前國內現有信息安全專業的人才出現供不應求的情況，使得政府采購信息化設備時信息安全管理方面面臨人才缺口，采購時信息安全人才層次達不到要求。為了更好地進行國家信息化建設，我們應努力健全人才培養體系建設。要培養采購信息化設備信息安全后備人才，提高現有采購人員素質，必要時不定期進行培訓。加強保密技能的學習，使相關人員的能力和素質不斷提高，以便更加適應政府采購的專業性和特殊性。此外，建立評審專家信息庫準入制度。多渠道增加信息安全專家儲備數量，確保在招標評標過程中充分發揮專家特長。

[1]李國武.關于信息概念的研究述評(社會科學版),重慶郵電大學學報,2012年01期

[2]上海社會科學院信息研究所.信息安全辭典[M].上海:上海辭書出版社，2013

[3]王利明，崔建遠.《合同法新論總則》，中國政法大學出版社2000年版

[4]發揮政采政策功能保障國家信息安全——國家信息安全與政府采購座談會發言摘要，中國政府采購報，2014年10月10日第002版

Thinking about Information Security Problem on Equipment Procurement in the New Period

Ma shuangcheng
The Chinese Armed Police Force Academy，Langfang，Hebei

近年來隨著信息化建設的迅猛發展，政府在進行設備采購時面臨著很多問題。本文就設備采購的信息安全問題，從完善法律法規、加強制度管理和建設人才隊伍等方面探討了政府采購信息化設備時可采取的一些措施。

信息化設備；采購；信息安全

With the rapid development of information construc?tion in recent years,the government faces many problems in the equipment procurement.From improving the system of laws and reg?ulations,strengthening the management and the constructing of tal?ent team,this paper discusses some measures that our government procures information devices,in view of the information security problems on the equipment procurement

Information Devices;Purchase;Information Security

馬雙成（1976-），男，河北霸州人，單位：河北省廊坊市中國人民武裝警察部隊學院，碩士學位，高級工程師。