把政采打造成信息安全高地

话题聚焦：华为、中兴事件给我国政府信息安全领域带来的启示

编者按：日前美国国会众议院情报委员会发表调查报告称，中国华为技术有限公司和中兴通讯股份有限公司对美国国家安全构成威胁。我们不禁要问：美国政府对信息安全的“维权”真实目的是什么？IT产品威胁信息安全的能量有多大？国家在保障信息安全上该如何作为？本期特邀各界人士解读信息安全与政府采购话题，以飨读者。 

把政采打造成信息安全高地

主持人： 

本报记者  梁爽

本期嘉宾：  

中国信息安全认证中心副主任 陈晓桦

南开大学法学院教授   何红锋

上海市政府采购中心采购二部副部长  秦志龙

福建星网锐捷网络有限公司政府行业部副总经理 吴吉朋

★实质是阻挠中国产品进入美国市场

主持人：美国国会众议院对中国企业华为、中兴发出禁止令的举动，在座的各位是如何看待这起事件的呢？我们不如先看看华为与中兴就此次事件发布的官方表态。

华为：美国众议院情报委员会所主导的、历时11个月完成的报告，仍然未能提供明确的信息或证据证明委员会的担忧是合理的。

委员会的调查报告对华为所提供的大量事实信息视而不见，甚至早在委员会决定启动调查之前，委员会的高级成员，就公开通过媒体呼吁美国商界在选择华为设备上采取谨慎态度，这就使得华为不得不怀疑，报告的唯一目的就是阻碍竞争、阻挠来自中国的ICT公司进入美国市场。（摘自华为公司10月10日晚间发布的官方声明）

中兴：自2012年4月，中兴通讯已用事实向美国众议院情报委员会证明中兴通讯是中国最独立的、透明的、致力于全球贸易的上市公司。在中国企业与美国国会调查的配合方面，中兴通讯在透明和合作上已建立一个前所未有的标准。

在中兴通讯提供给所有美国运营商的可信赖交付模型里，中兴通讯设备是由一个独立的受美国政府监督的美国安全评估实验室进行评估的，中兴通讯设备不会对美国市场造成任何安全威胁。（摘自中兴公司致新华社的书面答复）

何红锋：美国的这一行为，在形式上是为了美国的国家安全考虑，实质上有排挤中国企业、保护美国企业市场份额的目的。

吴吉朋：作为数据通讯设备企业，我们也有这样的感觉。美国靠打国家信息安全牌限制中国企业进入其市场已经是一种惯有手段了。

秦志龙：实际上，类似的外国公司在美商业投资受阻的案例比比皆是，美国给出的理由只有一个：可能损害美国国家安全。在信息产品领域最著名的案例就是2006年美国国务院拟采购16000台联想电脑的联想“安全门”事件。

何红锋：尽管我们全都明白美国此举的实质所在，但是其行为是符合其本国法律的。具体来说，美国的这一行为的主要法律依据是美国《网络空间安全国家战略》。

在保护国家信息安全方面，该战略明确需要开展的3项工作：

通过有效的计划以减少威胁和阻止恶意攻击者，并对他们进行确认和惩罚。对那些已被发现的可能对关键系统造成重大损失的现存弱点进行确认并补救。开发脆弱性较小的新系统，对新技术的脆弱性进行评估。

总体上看，该战略属于鼓励性和宣示性的立法，即属于软法，对私人投资领域，没有强制性。但对于政府网络空间的安全问题，如果存在问题，政府机构必须证明已经解决了系统安全方面的重大问题，否则，该系统的投资将不予批准。

★美国不应无端拒绝中国企业

主持人：根据媒体报道，美国众议院情报委员会从2011年11月便开始着手对华为和中兴通讯进行调查，理由是所谓担心中国政府可能会将这两家公司售出的电信系统和设备变为在美国本土进行间谍活动的工具。从单纯的技术因素上讲，目前社会上大面积应用的数据通讯设备、电信设备是否含有影响信息安全的因素呢？我想请在座的专家解答一下。

吴吉朋：单纯从技术角度来讲，的确存在这个可能性。比如系统后门、非法芯片、木马程序等威胁信息安全的技术因素都有可能被置入设备中。但是，我们说的仅仅是有这个可能性而已，这也是当前信息技术领域普遍存在的技术风险。在这次事件中，美国政府不能仅仅因为有这种技术可能性就武断地认为中国企业的进入会对其国家信息安全构成威胁，这是不客观的。

陈晓桦：我也说几句。所谓安全，涉及信息是否不被泄漏，是否被随意修改，是否可以正常使用，是否真实，是否只能被合法人员使用，对信息的操作行为是否不可抵赖等。从信息安全防护的角度来看，至少包含两个方面的内容，即信息本身（指数据或信息内容）的安全，和信息系统（是否能够提供持续服务）的安全。当然，制造、散播虚假、不良等信息也被纳入网络治理范畴。所以，从信息的生命周期来看，几乎所有的信息技术与通信（ICT）类产品都涉及信息安全问题。

何红锋：就这次事件来说，中国如果要反制，首先要建章立规，当然最好是立法。因为这不是小问题，确实涉及国家安全。如果立法有困难，至少要由财政部、工信部出台相关规定。

★我国政府采购市场更加开放

主持人：在我国，包括数据通讯设备在内的电信设备是否属于政府采购范畴呢？

吴吉朋：单从锐捷网络来说，我们在国内面向的市场主要是包括政府、金融、教育、医疗等在内的行业和企业市场。除此之外，我们的数据通讯产品还销往东南亚、印度以及俄罗斯等国家和地区。

何红锋：从法理上来讲，这些设备有一部分是属于政府采购市场。至于具体的范围和采购人，这涉及各个国家对政府采购范围的规定不同而不同。

主持人：从这次事件中明显可以看出，美国政府采购市场对我国产品、尤其是信息类产品采取的是近乎隔绝的态度。相对美国而言，在我国政府采购制度体系中，对于他国产品又持什么样的态度呢？

秦志龙：对比美国政府的做法，中国政府采购中的开放性值得反思，尤其在IT领域，我们采购的部分是美国产品，而且我国对他们没有设置任何障碍，更为严重的是还允许一些美国公司直销，使得他们可以掌握每台机器的用户信息，这个潜在风险实在太大了，我们要引起关注。

吴吉朋：秦老师说得不错。在平时的业务工作中我们对此也深有体会。可以说，在我国信息技术产业的整体发展水平方面，电信设备几乎是唯一站在世界同行第一梯队的产业领域。也正因此，我们这个产业更需要政策的积极引导与政府的有效扶持。但在实际操作中，国产电信设备、数据通讯设备等产品在国内政府采购市场并无明显优势。在这点上，我们希望政府相关部门在执行采购方面给予一些政策倾斜，为国内产业的发展提供更多的机遇。

★政采市场应对国内产品适度倾斜

主持人：目前，我国政府采购信息类产品制度体系中对于信息安全的保护是如何规定的呢？执行情况如何？我们想听听各位专家的见解。

陈晓桦：保障信息安全十分重要，所以我国对信息安全产品设立了相关管理制度。

参照国内外的管理制度，经过6年的准备工作，财政部、工信部、质检总局和认监委联合发布了《关于信息安全产品实施政府采购的通知》，明确了关于信息安全产品实施政府采购的规定。自2010年5月1日实施以来开始，我国信息安全产品认证制度在政府采购领域强制实施。

通过国内相关部门的协商，首批在政府采购领域强制要求认证的产品有8类13种。截至2012年9月底，共有293款信息安全产品获得了中国信息安全认证中心颁发的国家信息安全产品认证证书。

中国信息安全认证中心成立6年来，还依据国家信息安全与认证认可相关管理法律法规，对无线局域网产品、其他信息技术产品实施了信息安全认证，颁发了580余张认证证书。

秦志龙：因为信息安全是国家安全的一个方面，例如，美国在发动伊拉克战争之初，便通过信息技术手段，破坏了伊拉克的指挥系统，使伊拉克毫无还手之力，这是通过信息手段危害国家安全的典型案例之一。

信息安全是一个关系到国家安危、国民经济、人民生活、社会安定等诸多方面的一个重大现实问题。所以，在进行政府采购时，应尽可能采购国货，尤其是对敏感部门所使用的产品。

而目前，我国在信息产品领域，几乎被美国所垄断，真正的国货极少，核心技术也都是美国的，例如，CPU、操作系统等等。我们应该充分发挥政府采购的政策功能，尽可能多地扶持我国企业开发、研制国货，免遭外国势力打压，威胁国家安全。

华为、中兴事件再次为我们敲响了警钟，关注信息产品、关注信息安全已经到了刻不容缓的时刻。