信息安全产品插上强采“硬翅膀”

信息安全产品将在《政府采购法》规定的范围内实施强制认证。

按照质检总局、财政部和认监委于2009年4月印发的《关于调整信息安全产品强制性认证实施要求的公告》要求，从2010年5月1日起，防火墙、网络安全隔离卡与线路选择器、安全隔离与信息交换、安全路由器、智能卡COS、数据备份与恢复、安全操作系统、安全数据库系统、反垃圾邮件、入侵检测系统、网络脆弱性扫描、安全审计、网站恢复等13种产品须在《政府采购法》规定的范围内实行强制性认证。未获得强制性认证证书和未加施中国强制性认证标志的，不得进入政府采购领域。

中央地方上紧“安全弦”

据记者了解，国家质检总局和国家认监委于2008年1月联合发布的《关于部分信息安全产品实施强制性认证的公告》要求，对部分信息安全产品实施强制性认证。已获得信息安全产品国家认证证书的产品涵盖边界安全、通信安全、身份鉴别与访问控制、数据安全、基础平台、内容安全、评估审计与监控、应用安全等方面。

与之相呼应，从中央到地方近两年都加紧了对采购信息安全类产品的重视程度。央企在新一轮采购正版软件过程中也将信息安全摆在第一位，中国软件企业一跃成为由国资委推动的央企正版软件集中采购的供应商。

继2009年可信安全计算机、安全服务器、安全域网关等品目作为涉密产品纳入国采中心协议供货之后，2010年国采中心在此基础上又将网络安全产品剥离出来，单独进行采购。无独有偶，黑龙江省也在近期悄然开启该省信息安全产品采购目录的收录工作。

国家认证认可监督管理委员会主任孙大伟表示，获得国家信息安全产品认证证书，表明产品的质量和安全性符合相关标准和技术规范的要求，并具备了进入政府采购领域的必要条件。

国采中心负责人则表示，对于网络安全类产品的采购，其总体要求是政策性或是政治性要高于经济性，首要关注的是确保进入协议供货的产品没有安全问题。

对此，南京市政府采购中心主任助理王九洲认为，国家或相关部门应通过立法形式对信息类产品采购项目的涉密范围、涉密等级、涉密事项予以界定，并对不同涉密等级的信息类产品项目的政府采购程序、方法、要求作明确规定，以规范采购行为，制止和纠正涉密信息类产品采购的随意性，让采购当事人有法可依。

政采应率先为信息安全买单

目前，由公安部等四部委出台的《信息安全等级安全保护管理办法》要求，政府采购的安全产品原厂商必须是中国公民或国家投资，产品的核心技术、关键部件具有我国自主知识产权，产品研制没有故意设置漏洞、后门、木马等。

目前在政府采购领域，无法阻止由进口零件组装的国产品牌产品进入政府采购，只要在中国组装就成了非进口产品，大摇大摆地进入了政府采购市场。

浪潮集团董事长兼CEO孙丕恕在今年全国两会期间曾对本报记者说过：“我国信息安全绝对不能捏在他人手里。”他认为，目前我国核心IT设备严重依赖国外品牌的状况已严重威胁到国家信息安全，政府采购应加大采购本国产品的力度，铸造信息安全的盾牌。

在众多的信息安全威胁中，最令孙丕恕揪心的是核心电子设备，尤其是存储和服务器领域大量采用进口产品的现状让人担忧，这些产品中预留的“后门”有可能为他国获取我国数据提供便利。

“只有国产化才能安全化。”孙丕恕如是说，“目前我国IT行业的核心技术确实比较薄弱，核心技术的发展应该循序渐进，可分两步走：第一步，从成品的设计层面实现国产化；第二步可以尝试使用本国产品，最终实现100%的自主可控。”

硬件才是信息安全的“心脏”

在同方股份有限公司副总裁、计算机系统本部总经理李健航看来，要真正实现信息安全，必须从硬件层面保证安全。在面对病毒攻击时，传统的软件保护虽然能应付大部分情况，但依然存在被攻破的可能，只有硬件加密才能万无一失。

李健航表示，要想从根本上扭转政府信息安全的弱势局面，必须在计算机芯片中建立防线，采购具有安全芯片的可信计算产品。他建议在诸多政府机构已制定的计算机类产品的配置标准中，应进一步规定涉密单位的计算机类产品配置必须是可信计算产品，进而使政府采购可信计算产品成为常态。

“构建政府信息安全系统必须由国内具有自主安全技术的厂商守卫，如果使用国外技术无异于把国门拱手让人。”李健航的话表达了这样一层意思：如果可信计算产品在芯片方面不使用具有自主知识产权的核心技术，那么信息安全就会变成没有地基的空中楼阁。（陈昂）