黑色九月，信息泄密的政府采购启示

　　9月29日，电脑前工作的人们都已沉浸在国庆长假的无限憧憬和喜悦中，然而就在那个欢乐时刻，我们电脑中的数据有可能正在上演着被偷窃的“杯具”，一种叫“超级工厂”的病毒正在全球肆虐。而就在同一天，另外两条信息安全的新闻也占据了各大媒体头条。一是解放军沈阳军区和南京军区共7名干部因信息泄密被处理，军队内部更是提出了泄密“零容忍”的处理态度。二是美国当天举行了网络战演习，模拟电力、交通等核心信息系统遭受攻击后，美国的防护、修复、反攻行动。

　　信息安全环境持续恶化

　　其实在九月发生的信息安全事件还远不止这些，伊朗遭受网络攻击，有专家惊呼为国际上第一场具有实际意义的网络战争，对于信息安全领域来说，刚刚过去的一个月正可谓是“黑色九月”。先来看看“超级工厂”，这种病毒在侵入用户电脑后，会向注册地位于美国的服务器发送信息，接受其指令。黑客可以利用该服务器，向中毒电脑发送“读写文件”“删除文件”“创建进程”等多项危险命令。同时，该病毒会感染在电脑上使用的U盘，这些U盘被用到重要企业和政府机构的内网后，就会根据黑客发布的指令进行多种资料窃取和破坏活动。

　　再来看看国防领域，此次披露的两大军区信息泄密事件为近年来罕见，一向充满神秘色彩的部队，此次主动向媒体发布此类信息，并提出了“零容忍”的处理态度和方针，可见系统内部对其重视程度。而造成泄密的相关人员皆因电脑、移动存储等信息化设备使用不当引起，这也是信息化过程中泄密最频繁的方式之一。

　　政府采购面临难题

　　作为最容易被偷窃者下手的政府领域，信息安全的防护已经刻不容缓，尤其是在电脑、服务器、存储产品的采购中，如何从技术上加强保障是政府采购部门今后不得不面对的难题。

　　为什么不安全?从技术层面来看，电脑、存储类产品的核心软硬件全部为国外厂商生产，不可控因素太多，只能依赖于对这些厂商的信任。从应用层面来看，此类产品的流动性非常大，尤其是笔记本、移动存储，丢失、感染病毒的几率非常大，光靠制度的管理几乎不可实现，必须要有相关技术的配合保障。

　　探索性解决之道

　　最根本有效的解决方式是全部采用国家自主软硬件产品和技术，例如华为、龙芯的兴起已经为政府采购解决了一部分问题。但在更为广泛和关键的环节，国内的厂商和技术还未达到这一水平，在效率、易用性、价格等与安全性的综合考量中，有国内厂商提出了“旁路法”来解决一部分问题，这也是基于目前的技术、应用提出的较为可行的办法。

　　我们知道城市的自来水管网非常复杂，但有关键的管道和阀门进行控制，这样保证水流的分配以及局部出现问题时不影响整个网络运行。信息流亦是如此，所有的数据都依托于电脑及网络进行流通，只要在关键节点填加我们可自主控制的“阀门”，可大大提高防护强度。目前国内倡导的可信计算技术就是较为成熟的“旁路控制机制”，清华同方、国民技术等厂商经过几年的探索，已经在网络接入和传输、单机数据安全、移动存储防护、USB端口管控等方面有了可靠的解决方案。

　　方案完全依托于国家密码局的自主加密算法构建，通过在关键节点填加TCM(国家可信密码模组)芯片，进行数据流的加解密，做到进不来、看不懂、改不了、拿不走、赖不掉的全方位防护。做到这一切的基础是关键节点的软硬件全部为自主产品，且不受电脑和网络控制，完全对等独立。

　　任重道远

　　政府采购工作肩负着多重使命，但其根本是保证国家事务在安全的环境下展开，其次才是高效、稳定等等。尤其是在目前国内产品和技术相对落后的条件下，如何根据应用情况和安全级别选择相应产品变得尤为重要。相信随着信息安全形式的不断变化发展，会有更多的民族厂商提供更好的产品，政府采购工作也会成为促进民族科技创新的强大动力。