透過“棱鏡門”事件看我國電子政務(wù)安全

程奎文

（中共天水市委黨校，甘肅 天水 741018）

“棱鏡”項目是一項由美國國家安全局實施的絕密電子監(jiān)聽項目。NSA依靠美國在信息技術(shù)方面的絕對優(yōu)勢，通過入侵巨型的路由器，一舉侵入成千上萬的電腦，使得網(wǎng)絡(luò)信息流中的電郵、即時消息、視頻、照片、存儲數(shù)據(jù)、語音聊天、文件傳輸、視頻會議、登錄時間和社交網(wǎng)絡(luò)資料的細節(jié)都被美國政府監(jiān)控。據(jù)斯諾登爆料，美國政府網(wǎng)絡(luò)入侵中國網(wǎng)絡(luò)至少有四年時間，美國政府黑客攻擊的目標達到上百個，其中還包括學(xué)校。電子政務(wù)安全是一個非常復(fù)雜的系統(tǒng)工程，它遍布在政府信息化的各個環(huán)節(jié)之中，其范疇已經(jīng)超越網(wǎng)絡(luò)安全所指的技術(shù)層面。由于電子政務(wù)是建立在信息技術(shù)基礎(chǔ)之上的，因此電子政務(wù)安全，既包括電子政務(wù)網(wǎng)絡(luò)的安全，也包括電子政務(wù)中信息的安全，電子政務(wù)的安全實質(zhì)上關(guān)系到國家安全、公共利益和社會穩(wěn)定?！袄忡R門”事件為我國電子政務(wù)安全狀況敲響了警鐘。

一、我國電子政務(wù)發(fā)展安全現(xiàn)狀

2013年6月5日中國社會科學(xué)院發(fā)布的《中國電子政務(wù)年鑒（2012）》指出：盡管我國民族IT產(chǎn)業(yè)有了一定程度的發(fā)展，但是我國電子政務(wù)發(fā)展過程中信息技術(shù)受制于人的問題仍十分突出，關(guān)系到國家經(jīng)濟命脈的重要信息系統(tǒng)使用國產(chǎn)軟硬件的比例還不是很高，信息安全形勢嚴峻。我國電子政務(wù)的強大市場需求，培植了許多強大的國外IT企業(yè)，但在培植有影響力的民族品牌企業(yè)和產(chǎn)品方面的推動力還不夠，國內(nèi)信息服務(wù)業(yè)及企業(yè)競爭力與國外仍存在較大差距，國內(nèi)數(shù)據(jù)庫市場超過90%的份額被Oracle等國際巨頭占領(lǐng)。國產(chǎn)數(shù)據(jù)庫在眾多領(lǐng)域尤其是高端產(chǎn)品方面還無法與國際巨頭的產(chǎn)品相抗衡。產(chǎn)業(yè)大而不強，自主信息技術(shù)軟硬件產(chǎn)品和服務(wù)還不能形成體系，高端數(shù)據(jù)庫、芯片、服務(wù)器和操作系統(tǒng)等不能自給，電子政務(wù)建設(shè)成本居高不下，安全無法保障。目前國內(nèi)很多企業(yè)對數(shù)據(jù)安全建設(shè)的概念僅僅停留在計算機安裝殺毒軟件、網(wǎng)絡(luò)上部署防火墻的層面。另外，信息系統(tǒng)審計師資格的授予權(quán)被國外控制，這也使我國信息安全面臨著重大的潛在威脅。

二、我國電子政務(wù)安全中存在的主要問題

一是我國基礎(chǔ)信息產(chǎn)業(yè)薄弱，核心技術(shù)嚴重依賴國外。據(jù)報道，在涉及政府、海關(guān)、郵政、金融、鐵路、民航、醫(yī)療、軍警等國家關(guān)鍵信息基礎(chǔ)設(shè)施的建設(shè)中，頻頻出現(xiàn)美國“八大金剛”（思科、IBM、谷歌、高通、英特爾、蘋果、甲骨文、微軟）的影子，特別是美國思科參與了中國幾乎所有大型網(wǎng)絡(luò)項目的建設(shè)——這種情形，無疑對我國信息安全構(gòu)成了潛在威脅。西方發(fā)達國家在向中國輸出信息技術(shù)時，盡可能控制向我們輸出有助于增強我們國家綜合國力的技術(shù)。國內(nèi)數(shù)據(jù)庫市場超過90%的份額被Oracle等國際巨頭占領(lǐng)。國產(chǎn)數(shù)據(jù)庫在眾多領(lǐng)域尤其是高端產(chǎn)品方面還無法與國際巨頭的產(chǎn)品相抗衡；密匙技術(shù)方面，美國對128位的密碼技術(shù)是嚴密封鎖的，一律不許出口。我國的軟件開發(fā)能力很弱，自主開發(fā)的軟件很少，特別是信息安全產(chǎn)品。同時，信息安全技術(shù)研究與產(chǎn)業(yè)脫節(jié)嚴重，理論上、算法上我們并不落后，但是卻無法產(chǎn)品化。

二是因特網(wǎng)的基礎(chǔ)資源被美國掌控，對我國信息安全構(gòu)成了潛在威脅?！袄忡R”再次充分暴露了中國網(wǎng)絡(luò)空間的軟肋。我們所使用的信息技術(shù)、設(shè)備、系統(tǒng)和服務(wù)大多是由參與“棱鏡”這類計劃的公司提供的。我們不得不承認，美國在信息和通信技術(shù)領(lǐng)域始終擁有絕對優(yōu)勢。目前因特網(wǎng)的主根服務(wù)器在美國，其余12臺輔根服務(wù)器有9臺在美國，2臺在歐洲，1臺在日本。據(jù)說，在主根服務(wù)器系統(tǒng)上還有一個更高級的、隱藏著的母服務(wù)器，當然也在美國。全世界所有的頂級域名都是由這臺母服務(wù)器來確定的，即使是中國的頂級域名.cn也同樣依賴于根服務(wù)器，所以中國因特網(wǎng)是否可用，控制權(quán)在美國手中；而且這種情況在相當長的時間里還很難改變。

域名系統(tǒng)是互聯(lián)網(wǎng)的基礎(chǔ)服務(wù)，而根服務(wù)器更是整個域名系統(tǒng)的基礎(chǔ)。美國控制了域名解析的根服務(wù)器，也就控制了相應(yīng)的所有域名和IP地址，這對于其他國家來說顯然存在著致命的危險。如果哪一天美國屏蔽某國家的域名，那么它們的IP地址將無法解析出來，這些域名所指向的網(wǎng)站就會從互聯(lián)網(wǎng)中消失了。由此聯(lián)想，如果“.cn”從域名系統(tǒng)中刪除，甚至將分配給中國境內(nèi)使用的IP地址取消的話，中國將成為國際主干網(wǎng)的看客。

三是對引進的信息技術(shù)和設(shè)備缺乏保護信息安全所必不可少的有效管理和技術(shù)改造。近年來，為大力推進信息化建設(shè)，我國從發(fā)達國家和跨國公司引進和購買了大量的信息技術(shù)和設(shè)備。但由于受技術(shù)水平等的限制，許多單位和部門對從國外，特別是從美國等引進的關(guān)鍵信息設(shè)備可能預(yù)做手腳的情況卻無從檢測和排除。英國omega基金會在應(yīng)歐洲議會的要求對當代科學(xué)技術(shù)與歐洲各種政治控制的關(guān)系問題進行評估的報告中第一次以較權(quán)威的方式證實了在“歐洲，全部電子郵件、電話和傳真等通訊都處于美國國家安全局的日常監(jiān)聽之下”，在歐洲大陸截獲的所有信息都傳往美國NsA進行分析。由此可推見我國在引進國外設(shè)備、軟件中的信息風(fēng)險。

四是使用安全產(chǎn)品缺乏統(tǒng)一考慮，具有重硬件輕軟件的不合理傾向性。由于國內(nèi)外網(wǎng)絡(luò)安全產(chǎn)品五花八門，各種產(chǎn)品門類眾多，技術(shù)水平也有很大差別，政府部門在選用安全產(chǎn)品的時候經(jīng)常難辨優(yōu)劣。而且，在部署安全產(chǎn)品的時候，也缺乏全局性和產(chǎn)品互補性的考慮，各種安全產(chǎn)品的統(tǒng)一部署協(xié)調(diào)很難維持。對于安全產(chǎn)品的部署還存在的一個問題是，認為把硬件產(chǎn)品買回來就安全了，而忽略安全的動態(tài)性，以致產(chǎn)品軟件更新慢，配套的軟件配置落后，造成安全產(chǎn)品的安全功能未能及時跟上安全威脅的變化。

三、電子政務(wù)安全管理措施

（一）通過科技創(chuàng)新實現(xiàn)設(shè)備底層的操作系統(tǒng)和加密機制的自主可控

網(wǎng)絡(luò)設(shè)備的安全性會給國家安全帶來很高的風(fēng)險挑戰(zhàn)，要降低這種風(fēng)險，首先就要保障基礎(chǔ)網(wǎng)絡(luò)設(shè)施層面不失控。此前由于技術(shù)的相對落后，中國在這一領(lǐng)域一直存在巨大的安全隱患，許多國外通信產(chǎn)品設(shè)備占據(jù)著國內(nèi)龐大的市場份額，控制著我國大部分網(wǎng)絡(luò)要道。我國各級政府采購過大量的國外IT設(shè)備，這其中，一方面軟件類產(chǎn)品可能被預(yù)置“后門”程序，本身也可能帶有容易被攻擊的漏洞；另一方面，計算機、路由器等硬件產(chǎn)品所攜帶的操作系統(tǒng)、芯片等也存在安全風(fēng)險。雖然不少用戶也在關(guān)心這些設(shè)備的遠程管理口令和補丁升級帶來的安全風(fēng)險，但要實現(xiàn)真正的安全，唯一的途徑只有一條，那就是實現(xiàn)設(shè)備底層的操作系統(tǒng)和加密機制的自主可控。這次“棱鏡”事件表明，那些提供IT設(shè)備與服務(wù)的美國公司往往會按照美國情報部門的要求行事。使用它們而又不想被此類計劃所監(jiān)控，恐怕只能是癡心妄想。我們至少應(yīng)要求IT設(shè)備能自主可控，在此基礎(chǔ)上，再努力加強信息安全防護，這樣才有可能保障國家信息安全。因此，應(yīng)加強安全技術(shù)和產(chǎn)品的自主研制和創(chuàng)新，大力發(fā)展并掌握自己核心技術(shù)，構(gòu)筑我們自己的網(wǎng)絡(luò)信息安全屏障。

（二）網(wǎng)絡(luò)與信息安全必須上升為國家戰(zhàn)略

網(wǎng)絡(luò)空間的影響力及互聯(lián)網(wǎng)管理能力將關(guān)系到未來在可能爆發(fā)戰(zhàn)爭中的生死存亡，關(guān)系到信息時代的榮辱興衰。因此，網(wǎng)絡(luò)與信息安全必須上升為國家戰(zhàn)略。應(yīng)改革網(wǎng)絡(luò)安全體制，提升網(wǎng)絡(luò)安全主管部門的行政級別。同時，在國內(nèi)建立新的根服務(wù)器。我們已經(jīng)掌握了下一代互聯(lián)網(wǎng)IPv6域名根服務(wù)器技術(shù)，不管困難多大，都必須建立IPv6域名根服務(wù)器，從國家安全戰(zhàn)略高度上建設(shè)下一代互聯(lián)網(wǎng)，目前至少要保證國內(nèi)的站點由國內(nèi)的域名服務(wù)器來解析。這樣，即使在最糟糕的情況下，美國終止對中國域名的解析時，雖然國外的用戶無法再連接到我國的網(wǎng)絡(luò)，但是我國可以自己解決中國境內(nèi)的域名解析問題。

（三）網(wǎng)絡(luò)與信息安全必須頂層設(shè)計統(tǒng)籌謀劃

首先是立法先行?！袄忡R”被曝光后，美國政府、軍方紛紛表態(tài)，表明這些計劃的實施有法可依且受到嚴格的法律監(jiān)督。事實上，美國的確建立了完備的信息安全法律體系，政府信息安全、打擊計算機犯罪、隱私保護、關(guān)鍵基礎(chǔ)設(shè)施保護及技術(shù)采購和出口管制等各種法律一應(yīng)俱全。近年來，美國國會還在不斷提出各種新法案，為政府保障網(wǎng)絡(luò)與信息安全提供充足的“保護傘”。

可見，只有掌握了有力的法理依據(jù)，國家才能更好地行使在網(wǎng)絡(luò)空間的管轄權(quán)。因此，我國在國家層面上盡快提出一個具有戰(zhàn)略眼光的“國家電子政務(wù)信息安全計劃”，充分研究和分析國家在信息領(lǐng)域的利益和所面臨的內(nèi)外部威脅，結(jié)合我國國情制訂的計劃應(yīng)能夠全面加強和指導(dǎo)國家政治、軍事、經(jīng)濟、文化以及社會生活各個領(lǐng)域的信息網(wǎng)絡(luò)安全防范體系，并投入足夠的資金加強關(guān)鍵基礎(chǔ)設(shè)施的信息安全保護。加快出臺相關(guān)法律法規(guī)，在網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)中，在軟硬件的服務(wù)應(yīng)用過程中，在與國家利益安全相關(guān)聯(lián)的跨境數(shù)據(jù)流動中，一定要有法律作保障；市場監(jiān)管方面，對數(shù)據(jù)流動的安全性、合法性要加強監(jiān)管；要高度重視公民網(wǎng)絡(luò)素養(yǎng)培養(yǎng)，并將其納入到國民教育體系。改變目前一些相關(guān)法律法規(guī)太籠統(tǒng)、缺乏操作性的現(xiàn)狀，對各種信息主體的權(quán)利、義務(wù)和法律責任，做出明晰的法律界定。

其次是善用規(guī)則。美國一方面以所謂“中國通信公司給美國帶來國家安全威脅”為由，把華為、中興等擋在其國門之外，聯(lián)想的多次收購之路也充滿坎坷；另一方面，又依據(jù)WTO規(guī)則，反過來指責中國以國家安全為由設(shè)置了貿(mào)易壁壘，對其出口中國的IT產(chǎn)品和服務(wù)進行審查并要求交出源代碼。而實際情況是，我國的信息安全審核機制仍較薄弱，對進入中國的國外產(chǎn)品幾乎不設(shè)防，從而留下較大的安全隱患。核心技術(shù)的自主可控是我國扭轉(zhuǎn)這一被動局面的主要舉措，但自主研發(fā)是一個長期的過程，國產(chǎn)化亦非等同于安全，現(xiàn)階段應(yīng)以可控為主，通過靈活利用國際規(guī)則和國際慣例，完善信息安全產(chǎn)品審查和政府采購的立法、政策、機制和手段，提高國外產(chǎn)品入境尤其是進入核心部門的門檻。

最后是營造環(huán)境?？茖W(xué)處理技術(shù)研發(fā)與市場推廣的關(guān)系，通過行政手段和市場激勵在社會全面推廣安全意識教育。政府要在社會上形成一種導(dǎo)向，推動國產(chǎn)基礎(chǔ)軟件的市場化和普及化，增加應(yīng)用試點示范，逐步拓展國產(chǎn)軟硬件的市場占有率，同時也要提高技術(shù)研發(fā)的針對性，更好地滿足使用者的需求。另外用書面的形式對各項要求做出明文規(guī)定，包括人員管理、保密、跟蹤審計、系統(tǒng)維護、數(shù)據(jù)備份、病毒定期清理等一系列制度。這些制度是保證電子政務(wù)系統(tǒng)安全運行的重要保證。

（四）轉(zhuǎn)變觀念，優(yōu)先采用本國研發(fā)和設(shè)計的產(chǎn)品

目前，我國華為、中興等公司的通訊產(chǎn)品在世界市場上已有很強的競爭力，可是在我國國內(nèi)市場上，思科仍然占據(jù)相當大的市場份額。這種情況是反常的，不符合產(chǎn)品性價比的實際情況。實際上，這也是缺乏民族自信、創(chuàng)新自信的表現(xiàn)。究其原因，業(yè)內(nèi)專家表示，一是出于免責的需要。一些采購經(jīng)辦人更關(guān)心如何能規(guī)避、降低職業(yè)風(fēng)險，因為即便采購的國外產(chǎn)品出了問題，他們也不用承擔責任。二是出于觀念的原因。一些地方和部門有“習(xí)慣思維”，什么重大項目要上馬，首先想到的是找外國跨國公司，通過招商引資，用市場換技術(shù)。