从被动防御转向主动设防
来源:中国政府采购报 更新时间:2012-04-14

信息安全专题
 
陈昂
 

信息时代的到来让泄密风险大大增加。无孔不入的木马病毒、屡禁不止的恶意攻击、难以察觉的内部泄密让政务信息安全防不胜防。

与此同时,将于10月1日起正式施行的新修订的《中华人民共和国保守国家秘密法》对信息安全保密工作提出了更高要求。对政府采购来说,信息安全产品采购和涉密项目招标尤为关键。

本版特从采购趋势、产品认证、涉密招标等方面介绍政府单位如何采购信息安全产品,以期在实际工作中有所借鉴。

 今年1-6月,政府网站遭篡改高达200多次,一时间信息安全防御工作摆在各级政府部门的案头,对此有关专家提出——

从被动防御转向主动设防

◎本报记者 梁爽

最近国家互联网应急中心的监测结果道出了我国政务网络安全的严峻态势。今年1月第1周,我国境内被篡改的政府网站达178个;5月10日至5月16日,我国境内又有81个政府网站被黑。

过去,政府单位习惯在信息系统中设置大量的防火墙、杀毒软件保障信息安全,但事实却是政府信息安全问题仍旧频发且愈演愈烈。“政府用户给系统及时打补丁、设置防火墙、杀毒软件并不能确保信息安全,这些手段只能尽量避免因信息系统的脆弱性而带来的信息安全隐患。”日前,记者在跟一位国务院信息化工作办公室专家交谈时得知,政府信息安全的主要问题已从系统的脆弱性安全转向结构性安全,政府采购应对采购信息安全产品作出有针对性的调整。

这位专家进一步分析说:“对于政府采购而言,必须关注那些能通过信息化手段对行为和结果实行监控的产品和解决方案,以弥补结构性安全的不足。”

这一观点得到采购人的认同,记者在浏览采购平台时发现,采购人对能够主动分析信息系统行为安全性并对其进行监管的产品需求量逐步增长,其中包括上网行为管理系统、非法外联及客户端安全监控系统等产品。

据了解,信息安全问题大体分为2类:一是因产品或方案不完善而导致信息系统存在隐患,常见的病毒、木马等问题都是由于系统脆弱而引起的。二是由于正常功能被错误应用引起的,也就是没有管好、用好信息系统。目前,大多数政务信息安全问题都来自后一类情况。

对此,将于10月1日起正式施行的新修订的《中华人民共和国保守国家秘密法》对涉密计算机和移动存储介质接入互联网及其他公共信息网络提出了明确的禁止性规定。

北京市计算中心工作人员同样认为,在新形势下,传统的信息安全管理制度已不能满足实际需要,迫切需要全方位、立体化、系统化地构建信息系统安全制度体系,规范使用安全设备是必不可少的因素。

“在信息化环境下,除统筹制度外,在操作实施环节上,政府单位要从技术和管理2方面采取多种有效措施,制定包括涉密信息系统人员、环境、设备与网络采购等多方面的信息安全管理制度,技术和管理层面是把传统的信息安全管理制度、方法、措施与现代信息化技术相结合,从而充分发挥技术保障作用和行政管理职能,建立系统化的信息安全管理制度体系。”北京市计算中心工作人员告诉记者。

据了解,农业部在其电子政务信息系统上部署使用安全产品时,指定专门的部门负责统一购置、部署,并按有关要求选用通过国家有关部门检测的国产设备,同时建立农业部计算机的软件安装列表,对电子政务信息系统使用的所有软件实行许可制度,禁止擅自安装和使用未经许可的软件。

在地方上,广东省早在2003年发布的《广东省电子政务信息安全管理暂行办法》就规定,在电子政务外网上建立统一的数字证书认证体系,以及电子政务安全信任机制和授权管理机制。凡接入电子政务外网的应用系统必须采用该省电子政务认证中心发放的数字证书。

专家表示,尽管电子政务是发展趋势和方向,但是建立和完善电子政务系统并非一朝一夕之事。除提升技术外,提高信息安全意识、完善制度更为重要,安全设备的购置标准和购置方式也必须有统一要求,这样才能做到技术进步与采购管理的有机统一。

 在《关于调整信息安全产品强制性认证实施要求的公告》的要求下,供应商该如何获得信息类产品安全认证?

8类信息安全产品遵照5步认证程序

本报讯 记者梁爽报道 从5月1日起,边界安全、通信安全、身份鉴别与访问控制、数据安全、基础平台、内容安全、评估审计与监控和应用安全8类信息安全产品将遵照认证申请和受理、型式试验委托和实施、初始工厂检查、认证结果评价

与批准、获证后监督5步程序认证。

在日前由中央国家机关政府采购中心举办的2010年计算机等产品协议供货中标供应商培训班上,承担信息安全产品认证工作的中国信息安全认证中心副主任陈晓桦向中标供应商介绍了信息安全产品认证的有关工作。

据陈晓桦介绍,我国现行的政府采购信息安全产品目录主要有8类、13种产品。8类分别是边界安全、通信安全、身份鉴别与访问控制、数据安全、基础平台、内容安全、评估审计与监控和应用安全。所涉及的13种产品包括防火墙、网络安全隔离卡与线路选择器、安全隔离与信息交换产品、安全路由器、智能卡COS、数据备份与恢复产品、安全操作系统、安全数据库系统、反垃圾邮件产品、入侵检测系统(IDS)、网络脆弱性扫描产品、安全审计产品以及网站恢复产品,基本上涵盖了各类政务需求。

生产上述产品的供应商该如何获得信息产品安全认证呢?对此,陈晓桦介绍说:“信息安全产品的认证模式是由型式试验、初始工厂检查和获证后监督3部分组成。认证过程共分5个环节,为认证申请和受理、型式试验委托和实施、初始工厂检查、认证结果评价与批准、获证后监督。

信息安全产品认证证书的有效期是5年,证书的有效性要依赖认证机构定期的监督得以保持。获证后的产品,如果其信息安全关键件未发生变化而型号或版本发生变化,或者生产厂、证书持有者等发生变化时,应向认证机构提出变更申请。因信息安全关键件的变化引起型号或版本发生变化时,应重新申请认证。认证证书持有者需要增加已经获得认证产品的认证范围时,应向认证机构提出扩展申请。

陈晓桦提醒中标供应商说:“认证时限是指自申请被正式受理之日起至颁发认证证书时止所实际发生的工作日,其中包括型式试验时间、工厂检查及提交报告时间、认证结论评定和批准时间以及证书制作时间。具体产品所需时间可参考实施规则,不同产品检测时间可能不同。”

据中国信息安全认证中心统计,目前已经获得认证的产品主要集中在防火墙产品、网络隔离、交换器等产品。

据了解,信息安全产品认证认可工作是在国家认监委的统一管理、监督和综合协调下,由相关政府部门和各有关方面共同实施。国家信息安全产品认证管理委员会及执委会是由国务院有关部门、生产方、用户方、研究开发以及标准等方面的代表共同组成,涉及公安部、国家安全部、工业和信息产业部、国家保密局、国家密码管理局、国家质检总局、国家认监委等部委。

 缺乏采购标准导致无法规范采购是目前涉密采购遇到的最大难题

涉密项目如何破解困局

◎本报记者 梁爽

对于当今的政府采购业内人士而言,涉密项目已不是罕有之事。随着互联网技术全方位覆盖社会生活,政务电子化的进程在不断前行。随之而来的是涉密采购项目需求增加与相关规章制度滞后执行的尴尬。

涉密项目采购复杂

一位从事地方集中采购工作的人士告诉记者,尽管涉密项目不再是稀有之物,但就目前状况来说,涉密采购仍然是一项相对复杂的工作。有的项目是采购涉密设备,有的是整个项目都保密,这两者不仅本身有很大区别,而且对供应商的资质要求也不一样。所以说,如果需要购买涉及密码技术的产品,一般是由采购人直接向保密局提出申请,批准后自行采购,而不是通过采购中心进行集中采购。

据了解,我国从2008年开始实施《含有密码技术的产品政府采购规定》,对含有密码技术的产品采购实行目录管理,要求采购人在采购含有密码技术的产品时,应采购目录内的产品。采购用于涉及国家秘密的含有密码技术的产品及相关服务时,应当由具有涉密或者密码相关资质的企业采购。同时,政府系统和涉及国家秘密的系统装备密码产品以及涉及安全保密产品采购时,应按照国家有关密码管理规定及其他相关管理规定执行。

目前,我国涉密项目采购呈现出以下几个特点,首先是涉密采购需求大量存在,其次是涉密采购法规尚不健全,再其次是界定涉密项目还不明确,最后是涉密项目采购程序缺乏规范。

缺乏项目采购标准

目前,涉密采购在执行中存在很多问题。据了解,单是计算机项目,其涉密系统按所处理的密级由低到高分为秘密、机密、绝密3个等级。但是,这3个密级的标准并没有相应的条文规定。这就导致有的采购单位把本不属于涉密的采购项目不公开采购,以规避公开招标和政府采购的监管。

涉密项目进行公开招投标,且不加任何限制地供人浏览和下载涉密项目标书也成为当前涉密采购的一大困局。总体上看,缺乏采购标准导致无法规范采购是目前涉密采购遇到的最大难题。

有关专家建议,国家或相关部门应通过立法对涉密项目范围、涉密等级、涉密事项予以界定,对不同涉密等级项目的采购程序、方法做出明确要求,从而让涉密项目采购的各方当事人有法可依,制止和纠正涉密项目采购的随意性和不规范的行为。同时,政府采购还应逐步建立适应涉密采购需求的商品库和供应商库,并着手建立涉密项目评审专家库。

执行部门以身作则

在国家相关的保密制度和采购制度尚未统一的情况下,为保证涉密项目及时、安全的采购,中央国家机关政府采购中心、中共中央直属机关采购中心等集采机构在现有的制度框架下走出了一条创新路。

2009年,中央国家机关政府采购中心在信息类产品政府集中采购协议供货项目中,将可信安全计算机、安全服务器、安全域网关等品目作为涉密产品单独分包。2010年,国采中心在此基础上又将网络安全产品剥离出来,单独采购。

中共中央直属机关采购中心为做好涉密项目的采购工作,在与国家保密部门充分沟通的基础上,专门制订了《涉密项目采购实施办法》,明确规定了涉密采购项目的操作程序、保密措施、人员职责、时限要求等内容,为涉密采购提供了必要的条件。