信息安全產(chǎn)品插上強采“硬翅膀”

◎本報記者陳昂

信息安全產(chǎn)品將在《政府采購法》規(guī)定的范圍內(nèi)實施強制認(rèn)證。

按照質(zhì)檢總局、財政部和認(rèn)監(jiān)委于2009年4月印發(fā)的《關(guān)于調(diào)整信息安全產(chǎn)品強制性認(rèn)證實施要求的公告》要求，從2010年5月1日起，防火墻、網(wǎng)絡(luò)安全隔離卡與線路選擇器、安全隔離與信息交換、安全路由器、智能卡COS、數(shù)據(jù)備份與恢復(fù)、安全操作系統(tǒng)、安全數(shù)據(jù)庫系統(tǒng)、反垃圾郵件、入侵檢測系統(tǒng)、網(wǎng)絡(luò)脆弱性掃描、安全審計、網(wǎng)站恢復(fù)等13種產(chǎn)品須在《政府采購法》規(guī)定的范圍內(nèi)實行強制性認(rèn)證。未獲得強制性認(rèn)證證書和未加施中國強制性認(rèn)證標(biāo)志的，不得進(jìn)入政府采購領(lǐng)域。

中央地方上緊“安全弦”

據(jù)記者了解，國家質(zhì)檢總局和國家認(rèn)監(jiān)委于2008年1月聯(lián)合發(fā)布的《關(guān)于部分信息安全產(chǎn)品實施強制性認(rèn)證的公告》要求，對部分信息安全產(chǎn)品實施強制性認(rèn)證。已獲得信息安全產(chǎn)品國家認(rèn)證證書的產(chǎn)品涵蓋邊界安全、通信安全、身份鑒別與訪問控制、數(shù)據(jù)安全、基礎(chǔ)平臺、內(nèi)容安全、評估審計與監(jiān)控、應(yīng)用安全等方面。

與之相呼應(yīng)，從中央到地方近兩年都加緊了對采購信息安全類產(chǎn)品的重視程度。央企在新一輪采購正版軟件過程中也將信息安全擺在第一位，中國軟件企業(yè)一躍成為由國資委推動的央企正版軟件集中采購的供應(yīng)商。

繼2009年可信安全計算機、安全服務(wù)器、安全域網(wǎng)關(guān)等品目作為涉密產(chǎn)品納入國采中心協(xié)議供貨之后，2010年國采中心在此基礎(chǔ)上又將網(wǎng)絡(luò)安全產(chǎn)品剝離出來，單獨進(jìn)行采購。無獨有偶，黑龍江省也在近期悄然開啟該省信息安全產(chǎn)品采購目錄的收錄工作。

國家認(rèn)證認(rèn)可監(jiān)督管理委員會主任孫大偉表示，獲得國家信息安全產(chǎn)品認(rèn)證證書，表明產(chǎn)品的質(zhì)量和安全性符合相關(guān)標(biāo)準(zhǔn)和技術(shù)規(guī)范的要求，并具備了進(jìn)入政府采購領(lǐng)域的必要條件。

國采中心負(fù)責(zé)人則表示，對于網(wǎng)絡(luò)安全類產(chǎn)品的采購，其總體要求是政策性或是政治性要高于經(jīng)濟(jì)性，首要關(guān)注的是確保進(jìn)入?yún)f(xié)議供貨的產(chǎn)品沒有安全問題。

對此，南京市政府采購中心主任助理王九洲認(rèn)為，國家或相關(guān)部門應(yīng)通過立法形式對信息類產(chǎn)品采購項目的涉密范圍、涉密等級、涉密事項予以界定，并對不同涉密等級的信息類產(chǎn)品項目的政府采購程序、方法、要求作明確規(guī)定，以規(guī)范采購行為，制止和糾正涉密信息類產(chǎn)品采購的隨意性，讓采購當(dāng)事人有法可依。

政采應(yīng)率先為信息安全買單

目前，由公安部等四部委出臺的《信息安全等級安全保護(hù)管理辦法》要求，政府采購的安全產(chǎn)品原廠商必須是中國公民或國家投資，產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識產(chǎn)權(quán)，產(chǎn)品研制沒有故意設(shè)置漏洞、后門、木馬等。

目前在政府采購領(lǐng)域，無法阻止由進(jìn)口零件組裝的國產(chǎn)品牌產(chǎn)品進(jìn)入政府采購，只要在中國組裝就成了非進(jìn)口產(chǎn)品，大搖大擺地進(jìn)入了政府采購市場。

浪潮集團(tuán)董事長兼CEO孫丕恕在今年全國兩會期間曾對本報記者說過：“我國信息安全絕對不能捏在他人手里。”他認(rèn)為，目前我國核心IT設(shè)備嚴(yán)重依賴國外品牌的狀況已嚴(yán)重威脅到國家信息安全，政府采購應(yīng)加大采購本國產(chǎn)品的力度，鑄造信息安全的盾牌。

在眾多的信息安全威脅中，最令孫丕恕揪心的是核心電子設(shè)備，尤其是存儲和服務(wù)器領(lǐng)域大量采用進(jìn)口產(chǎn)品的現(xiàn)狀讓人擔(dān)憂，這些產(chǎn)品中預(yù)留的“后門”有可能為他國獲取我國數(shù)據(jù)提供便利。

“只有國產(chǎn)化才能安全化。”孫丕恕如是說，“目前我國IT行業(yè)的核心技術(shù)確實比較薄弱，核心技術(shù)的發(fā)展應(yīng)該循序漸進(jìn)，可分兩步走：第一步，從成品的設(shè)計層面實現(xiàn)國產(chǎn)化；第二步可以嘗試使用本國產(chǎn)品，最終實現(xiàn)100%的自主可控。”

硬件才是信息安全的“心臟”

在同方股份有限公司副總裁、計算機系統(tǒng)本部總經(jīng)理李健航看來，要真正實現(xiàn)信息安全，必須從硬件層面保證安全。在面對病毒攻擊時，傳統(tǒng)的軟件保護(hù)雖然能應(yīng)付大部分情況，但依然存在被攻破的可能，只有硬件加密才能萬無一失。

李健航表示，要想從根本上扭轉(zhuǎn)政府信息安全的弱勢局面，必須在計算機芯片中建立防線，采購具有安全芯片的可信計算產(chǎn)品。他建議在諸多政府機構(gòu)已制定的計算機類產(chǎn)品的配置標(biāo)準(zhǔn)中，應(yīng)進(jìn)一步規(guī)定涉密單位的計算機類產(chǎn)品配置必須是可信計算產(chǎn)品，進(jìn)而使政府采購可信計算產(chǎn)品成為常態(tài)。

“構(gòu)建政府信息安全系統(tǒng)必須由國內(nèi)具有自主安全技術(shù)的廠商守衛(wèi)，如果使用國外技術(shù)無異于把國門拱手讓人。”李健航的話表達(dá)了這樣一層意思：如果可信計算產(chǎn)品在芯片方面不使用具有自主知識產(chǎn)權(quán)的核心技術(shù)，那么信息安全就會變成沒有地基的空中樓閣。