程奎文

（中共天水市委党校，甘肃 天水 741018）

“棱镜”项目是一项由美国国家安全局实施的绝密电子监听项目。NSA依靠美国在信息技术方面的绝对优势，通过入侵巨型的路由器，一举侵入成千上万的电脑，使得网络信息流中的电邮、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间和社交网络资料的细节都被美国政府监控。据斯诺登爆料，美国政府网络入侵中国网络至少有四年时间，美国政府黑客攻击的目标达到上百个，其中还包括学校。电子政务安全是一个非常复杂的系统工程，它遍布在政府信息化的各个环节之中，其范畴已经超越网络安全所指的技术层面。由于电子政务是建立在信息技术基础之上的，因此电子政务安全，既包括电子政务网络的安全，也包括电子政务中信息的安全，电子政务的安全实质上关系到国家安全、公共利益和社会稳定。“棱镜门”事件为我国电子政务安全状况敲响了警钟。

一、我国电子政务发展安全现状

2013年6月5日中国社会科学院发布的《中国电子政务年鉴（2012）》指出：尽管我国民族IT产业有了一定程度的发展，但是我国电子政务发展过程中信息技术受制于人的问题仍十分突出，关系到国家经济命脉的重要信息系统使用国产软硬件的比例还不是很高，信息安全形势严峻。我国电子政务的强大市场需求，培植了许多强大的国外IT企业，但在培植有影响力的民族品牌企业和产品方面的推动力还不够，国内信息服务业及企业竞争力与国外仍存在较大差距，国内数据库市场超过90%的份额被Oracle等国际巨头占领。国产数据库在众多领域尤其是高端产品方面还无法与国际巨头的产品相抗衡。产业大而不强，自主信息技术软硬件产品和服务还不能形成体系，高端数据库、芯片、服务器和操作系统等不能自给，电子政务建设成本居高不下，安全无法保障。目前国内很多企业对数据安全建设的概念仅仅停留在计算机安装杀毒软件、网络上部署防火墙的层面。另外，信息系统审计师资格的授予权被国外控制，这也使我国信息安全面临着重大的潜在威胁。

二、我国电子政务安全中存在的主要问题

一是我国基础信息产业薄弱，核心技术严重依赖国外。据报道，在涉及政府、海关、邮政、金融、铁路、民航、医疗、军警等国家关键信息基础设施的建设中，频频出现美国“八大金刚”（思科、IBM、谷歌、高通、英特尔、苹果、甲骨文、微软）的影子，特别是美国思科参与了中国几乎所有大型网络项目的建设——这种情形，无疑对我国信息安全构成了潜在威胁。西方发达国家在向中国输出信息技术时，尽可能控制向我们输出有助于增强我们国家综合国力的技术。国内数据库市场超过90%的份额被Oracle等国际巨头占领。国产数据库在众多领域尤其是高端产品方面还无法与国际巨头的产品相抗衡；密匙技术方面，美国对128位的密码技术是严密封锁的，一律不许出口。我国的软件开发能力很弱，自主开发的软件很少，特别是信息安全产品。同时，信息安全技术研究与产业脱节严重，理论上、算法上我们并不落后，但是却无法产品化。

二是因特网的基础资源被美国掌控，对我国信息安全构成了潜在威胁。“棱镜”再次充分暴露了中国网络空间的软肋。我们所使用的信息技术、设备、系统和服务大多是由参与“棱镜”这类计划的公司提供的。我们不得不承认，美国在信息和通信技术领域始终拥有绝对优势。目前因特网的主根服务器在美国，其余12台辅根服务器有9台在美国，2台在欧洲，1台在日本。据说，在主根服务器系统上还有一个更高级的、隐藏着的母服务器，当然也在美国。全世界所有的顶级域名都是由这台母服务器来确定的，即使是中国的顶级域名.cn也同样依赖于根服务器，所以中国因特网是否可用，控制权在美国手中；而且这种情况在相当长的时间里还很难改变。

域名系统是互联网的基础服务，而根服务器更是整个域名系统的基础。美国控制了域名解析的根服务器，也就控制了相应的所有域名和IP地址，这对于其他国家来说显然存在着致命的危险。如果哪一天美国屏蔽某国家的域名，那么它们的IP地址将无法解析出来，这些域名所指向的网站就会从互联网中消失了。由此联想，如果“.cn”从域名系统中删除，甚至将分配给中国境内使用的IP地址取消的话，中国将成为国际主干网的看客。

三是对引进的信息技术和设备缺乏保护信息安全所必不可少的有效管理和技术改造。近年来，为大力推进信息化建设，我国从发达国家和跨国公司引进和购买了大量的信息技术和设备。但由于受技术水平等的限制，许多单位和部门对从国外，特别是从美国等引进的关键信息设备可能预做手脚的情况却无从检测和排除。英国omega基金会在应欧洲议会的要求对当代科学技术与欧洲各种政治控制的关系问题进行评估的报告中第一次以较权威的方式证实了在“欧洲，全部电子邮件、电话和传真等通讯都处于美国国家安全局的日常监听之下”，在欧洲大陆截获的所有信息都传往美国NsA进行分析。由此可推见我国在引进国外设备、软件中的信息风险。

四是使用安全产品缺乏统一考虑，具有重硬件轻软件的不合理倾向性。由于国内外网络安全产品五花八门，各种产品门类众多，技术水平也有很大差别，政府部门在选用安全产品的时候经常难辨优劣。而且，在部署安全产品的时候，也缺乏全局性和产品互补性的考虑，各种安全产品的统一部署协调很难维持。对于安全产品的部署还存在的一个问题是，认为把硬件产品买回来就安全了，而忽略安全的动态性，以致产品软件更新慢，配套的软件配置落后，造成安全产品的安全功能未能及时跟上安全威胁的变化。

三、电子政务安全管理措施

（一）通过科技创新实现设备底层的操作系统和加密机制的自主可控

网络设备的安全性会给国家安全带来很高的风险挑战，要降低这种风险，首先就要保障基础网络设施层面不失控。此前由于技术的相对落后，中国在这一领域一直存在巨大的安全隐患，许多国外通信产品设备占据着国内庞大的市场份额，控制着我国大部分网络要道。我国各级政府采购过大量的国外IT设备，这其中，一方面软件类产品可能被预置“后门”程序，本身也可能带有容易被攻击的漏洞；另一方面，计算机、路由器等硬件产品所携带的操作系统、芯片等也存在安全风险。虽然不少用户也在关心这些设备的远程管理口令和补丁升级带来的安全风险，但要实现真正的安全，唯一的途径只有一条，那就是实现设备底层的操作系统和加密机制的自主可控。这次“棱镜”事件表明，那些提供IT设备与服务的美国公司往往会按照美国情报部门的要求行事。使用它们而又不想被此类计划所监控，恐怕只能是痴心妄想。我们至少应要求IT设备能自主可控，在此基础上，再努力加强信息安全防护，这样才有可能保障国家信息安全。因此，应加强安全技术和产品的自主研制和创新，大力发展并掌握自己核心技术，构筑我们自己的网络信息安全屏障。

（二）网络与信息安全必须上升为国家战略

网络空间的影响力及互联网管理能力将关系到未来在可能爆发战争中的生死存亡，关系到信息时代的荣辱兴衰。因此，网络与信息安全必须上升为国家战略。应改革网络安全体制，提升网络安全主管部门的行政级别。同时，在国内建立新的根服务器。我们已经掌握了下一代互联网IPv6域名根服务器技术，不管困难多大，都必须建立IPv6域名根服务器，从国家安全战略高度上建设下一代互联网，目前至少要保证国内的站点由国内的域名服务器来解析。这样，即使在最糟糕的情况下，美国终止对中国域名的解析时，虽然国外的用户无法再连接到我国的网络，但是我国可以自己解决中国境内的域名解析问题。

（三）网络与信息安全必须顶层设计统筹谋划

首先是立法先行。“棱镜”被曝光后，美国政府、军方纷纷表态，表明这些计划的实施有法可依且受到严格的法律监督。事实上，美国的确建立了完备的信息安全法律体系，政府信息安全、打击计算机犯罪、隐私保护、关键基础设施保护及技术采购和出口管制等各种法律一应俱全。近年来，美国国会还在不断提出各种新法案，为政府保障网络与信息安全提供充足的“保护伞”。

可见，只有掌握了有力的法理依据，国家才能更好地行使在网络空间的管辖权。因此，我国在国家层面上尽快提出一个具有战略眼光的“国家电子政务信息安全计划”，充分研究和分析国家在信息领域的利益和所面临的内外部威胁，结合我国国情制订的计划应能够全面加强和指导国家政治、军事、经济、文化以及社会生活各个领域的信息网络安全防范体系，并投入足够的资金加强关键基础设施的信息安全保护。加快出台相关法律法规，在网络安全基础设施建设中，在软硬件的服务应用过程中，在与国家利益安全相关联的跨境数据流动中，一定要有法律作保障；市场监管方面，对数据流动的安全性、合法性要加强监管；要高度重视公民网络素养培养，并将其纳入到国民教育体系。改变目前一些相关法律法规太笼统、缺乏操作性的现状，对各种信息主体的权利、义务和法律责任，做出明晰的法律界定。

其次是善用规则。美国一方面以所谓“中国通信公司给美国带来国家安全威胁”为由，把华为、中兴等挡在其国门之外，联想的多次收购之路也充满坎坷；另一方面，又依据WTO规则，反过来指责中国以国家安全为由设置了贸易壁垒，对其出口中国的IT产品和服务进行审查并要求交出源代码。而实际情况是，我国的信息安全审核机制仍较薄弱，对进入中国的国外产品几乎不设防，从而留下较大的安全隐患。核心技术的自主可控是我国扭转这一被动局面的主要举措，但自主研发是一个长期的过程，国产化亦非等同于安全，现阶段应以可控为主，通过灵活利用国际规则和国际惯例，完善信息安全产品审查和政府采购的立法、政策、机制和手段，提高国外产品入境尤其是进入核心部门的门槛。

最后是营造环境。科学处理技术研发与市场推广的关系，通过行政手段和市场激励在社会全面推广安全意识教育。政府要在社会上形成一种导向，推动国产基础软件的市场化和普及化，增加应用试点示范，逐步拓展国产软硬件的市场占有率，同时也要提高技术研发的针对性，更好地满足使用者的需求。另外用书面的形式对各项要求做出明文规定，包括人员管理、保密、跟踪审计、系统维护、数据备份、病毒定期清理等一系列制度。这些制度是保证电子政务系统安全运行的重要保证。

（四）转变观念，优先采用本国研发和设计的产品

目前，我国华为、中兴等公司的通讯产品在世界市场上已有很强的竞争力，可是在我国国内市场上，思科仍然占据相当大的市场份额。这种情况是反常的，不符合产品性价比的实际情况。实际上，这也是缺乏民族自信、创新自信的表现。究其原因，业内专家表示，一是出于免责的需要。一些采购经办人更关心如何能规避、降低职业风险，因为即便采购的国外产品出了问题，他们也不用承担责任。二是出于观念的原因。一些地方和部门有“习惯思维”，什么重大项目要上马，首先想到的是找外国跨国公司，通过招商引资，用市场换技术。