最近一段時間,國外軟件在我國政府采購項目上可謂遭遇了“滑鐵盧”。
8月3日,《人民日報》在國外社交網站Twitter上發布消息稱,中國政府采購部門已將美國安全軟件供應商賽門鐵克和俄羅斯安全軟件供應商卡巴斯基排除在了殺毒軟件采購名單之外。
與此相對,政府采購辦公室核準使用的5家殺毒軟件品牌,分別為奇虎360、啟明星辰、冠群金辰、北京江民和瑞星,均是國產安全軟件企業。
而在此之前,今年5月,中國政府采購網發布《關于進行信息類協議供貨強制節能產品補充招標的通知》,要求所有計算機類產品不允許安裝Windows 8操作系統。
究竟是什么原因,讓國外軟件接連不斷被政府采購“放棄”?此次對于殺毒軟件采購的限制,又蘊含著什么樣的特殊含義?
采購只保留國內企業
據法治周末記者了解,《人民日報》在Twitter上所發布消息中涉及的采購事項,為中央國家機關集中采購軟件項目。這是由中央國家機關政府采購中心組織的協議采購項目,是中國政府采購領域級別最高、覆蓋面最廣的采購項目之一。
法治周末記者在中央國家機關政府采購中心的“正版軟件采購網”上查詢后發現,在“殺毒軟件”一項中,采購名單上出現的是上文中提到的5家國內殺毒軟件品牌——這意味著,除了這5家企業的殺毒軟件,包括賽門鐵克、卡巴斯基在內的其他安全軟件均未入圍此次政府采購項目。
而除了“殺毒軟件”的采購項目外,在“安全管理軟件”“云安全管理軟件”“入侵檢測/漏洞掃描”“公共安全與應急軟件”等安全類軟件的采購名單中,也都不見了國外品牌的身影。
針對此次未入圍政府采購項目的事件,卡巴斯基與賽門鐵克兩方分別作出了回應。
卡巴斯基于8月4日發表聲明表示:“中央政府采購網現階段暫時取消了所有國外安全供應商資質,只保留了國產安全供應商。但此變化只涉及中央政府采購預算范圍內的中央國家機構,地方政府和國家企事業單位等并不在此規定范圍之內。我們正在積極跟有關部門進行溝通,希望可以早日重新成為央采網站供應商,為中央政府信息安全建設保駕護航。”
賽門鐵克也于8月5日發表聲明:“我們注意到部分媒體報道賽門鐵克公司未出現在某一家政府采購機構的防病毒供貨商名單中的消息。需要澄清的是,該名單僅僅適用于該項目采購范圍,而賽門鐵克產品并未被中國政府所禁用。我們正針對該報道進行調查,并將繼續在中國政府行業參與競標和力爭贏得政府行業的采購項目。”
“防盜門”本身要安全
為何此次政府采購安全軟件的相關名單中,國外安全軟件供應商都被排除在外?對外經濟貿易大學國際政治經濟學系主任、副教授檀有志認為,這與安全軟件的重要性有著很大的關系。
檀有志表示:“安全軟件相當于給電腦等電子設備加裝了一道‘防盜門’,其防護意圖與作用不言而喻,直接關乎信息的安全生產與存儲。”
中國軟件評測中心信息安全測評部總經理唐剛說:“安全軟件能夠保護電腦免受黑客攻擊,阻止病毒、木馬等侵害,防止電腦中數據被破壞、竊取等。對政府的信息安全保護來說,那些關系國計民生、影響國家經濟命脈、關系國家政治安全的重要數據,更是要通過有效的安全軟件來防護。”
受美國“斯諾登事件”的影響,國外很多安全軟件被證實存在外國情報機構開設的“后門”和間諜工具,從而使其安全性備受質疑。唐剛表示,安全產品本身的安全,是信息安全的前提。
國家信息中心助理研究員、博士后呂漢陽向記者透露:“國外企業及外資控股企業通過銷售安全產品,直接參與政府安全服務,可以輕易掌握政府用戶的信息以及政務網絡的運行狀況;在使用者保密意識不強的情況下,涉及國家安全的信息、核心數據等都有可能會遭到竊取。”
但呂漢陽也表示,我國對安全軟件的采購,在認證標準上對國內外企業來說是一視同仁的,有著明確的法律規范依據。
呂漢陽介紹,2009年,國家質檢總局印發了《關于調整信息安全產品強制性認證實施要求的公告》,要求8類13種信息安全產品進入政府采購前,必須實行強制性認證。2010年,財政部等多個部委聯合發布了《關于信息安全產品實施政府采購的通知》,要求供應商必須具備中國信息安全認證中心按國家標準認證頒發的有效認證證書。
“可見,我國政府并不是簡單地禁止采購國外安全產品,而是只有通過安全認證后才能參與政府采購,這一點對于國內安全產品來說也是一樣。”呂漢陽說。
而針對此次國外安全軟件沒有進入我國政府采購名單,檀有志認為,最主要的原因是考慮到維護國家信息安全;其次,也有制造“殺雞儆猴”示范效應的這一層考慮。
“限制我國政府機構采購國外安全軟件,對我國政府信息安全的意義是積極的。”唐剛說,“這能夠降低我國政府信息系統被控制、破壞等風險,確保我國政府的重要信息不被泄露,提高國家信息安全水平。”
限制采購做法
“與國際接軌”
事實上,一國政府限制采購國外公司的安全產品、服務等,在國際上不乏先例。
唐剛介紹,出于安全考慮,各國對他國包括安全產品在內的信息產品,都存在類似行為。如2011年,美國禁止中國華為參與專供警察、消防隊以及急救人員在緊急情況下使用的無線網絡項目;2013年,美國曾通過法案禁止美國國家航天航空局、美國商務部等部分政府部門采購中國IT設備。
呂漢陽表示,在信息安全業務方面,西方發達國家對于所有的信息安全產品和信息技術相關服務,在重點領域(例如國防和政府部門)均施以嚴格的準入措施。
呂漢陽介紹,以美國為例,多年以來,美國一直在研究“供應鏈”的安全問題。美國政府在鼓勵其企業在各國擴張的同時,警惕對自身在采購信息技術產品和服務過程中面臨的風險。
2009年5月,美國政府發布了網絡空間安全政策評估報告,提出要整合執法、情報、反情報、軍事等力量,對從遠程網絡入侵到供應鏈安全等全面的信息安全威脅進行抵御。2010年3月,美國政府解密了第54號國家安全總統令的摘要,該摘要顯示,美國已將情報威脅和供應鏈威脅列為信息安全領域的兩大重點威脅。
“美國政府所關注的供應鏈問題涵蓋了產品、系統和服務這三類對象,提出的解決該問題的工作方向有四個:一是必須提高安全意識;二是在技術層面開發風險控制工具;三是在政策層面調整采購政策;四是加強與工業界的合作。”呂漢陽說。
而檀有志表示:“據我了解,中國政府所采取的限制采購,某種程度上是與‘國際接軌’的通行做法,我們是在有充分的證據證明這些安全軟件存在‘后門’隱患的前提下做出的選擇。而某些外國政府甚至經常在捕風捉影的‘莫須有’借口之下,采取更為激進的市場禁入舉措。”
金山毒霸反病毒工程師李鐵軍認為,對于政府采購來說,世界各國政府都遵循一個慣例:優先采購國產商品,以扶持國內企業。
“就像美國政府堅持拒絕采購華為的設備。”李鐵軍說,“更多會涉及到貿易問題或者政治問題。”
審查制度把關網絡安全
除了限制采購外,檀有志認為,政府應當帶頭踐行并鼓勵相關企業積極運用法律武器來維護信息安全。
檀有志的這種觀點,得到了政府相關部門的實踐驗證。
今年5月,國家互聯網信息辦公室宣布,我國即將推出網絡安全審查制度,對進入中國市場的重要信息技術產品及提供者都將進行安全審查,重點是產品安全性和可控性。
國家互聯網信息辦公室發言人姜軍表示,通過網絡安全審查制度,可以防止產品提供者借助提供產品之便,非法控制、干擾、中斷用戶系統,非法收集、存儲、處理和利用用戶有關信息。對于審查不合格的產品和服務,將不得在中國境內使用。
中國軟件評測中心信息安全技術研究部總經理劉陶對記者說:“信息安全現已成為國家安全的重要一環,進行網絡安全審查是信息技術發展的必然趨勢。美國、日本等發達國家早在十多年前就已建立了完備的網絡安全審查制度體系,對涉及國家重大戰略層面的信息技術產品進行評估。”
“近年來,少數國家政府和企業長期利用自己產品和技術的壟斷優勢,大規模收集敏感數據,嚴重損害了廣大用戶的利益,對其他國家的網絡空間安全造成巨大威脅。”劉陶說。
劉陶向記者介紹,中國軟件評測中心自2000年起,就開始從事軟硬件產品和系統的安全性測試。在測試過程中,發現部分產品和系統確實存在一些安全“后門”。
劉陶坦言:“這些后門可能是由于技術人員為方便遠程管理調試而專門設置的,也有可能是廠商為其他目的而預設的。如果不通過深度測試,這些隱患很難被發現。”
劉陶認為,網絡安全審查制度涵蓋了國家戰略層面和個體安全層面的綜合考慮,對外能有效降低我國日益嚴峻的網絡安全風險,對內也將成為用戶合法權益不受侵害的重要保障。
“作為法治國家的中國,要依法進行網絡安全的保障,就要在立法上建立相應的保障網絡安全的法律制度。我國網絡安全審查制度的出臺,將成為維護國家網絡安全有效的法理依據,對于網絡強國建設具有重大推動作用。”劉陶表示。
京公網安備 11010502049343號