北京信息安全测评中心 主任 刘海峰

信息技术服务外包在经济结构转型、安排就业、绿色可持续发展等方面作用日益突出。中国服务外包研究中心2013年发布的《中国服务外包发展报告》显示，2012年信息技术外包执行金额达到273.6亿美元，占服务外包业务总量的58.8%。同时，政府部门因为技术人员少、专业技术能力与服务外包企业人员相比存在差距，也迫切需要进行信息技术服务外包。

信息技术服务外包在发挥服务商专业优势和规模优势，降低成本，提高信息化质量和效率的同时，也引入了信息安全风险。2012年6月发布的《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)中，明确提出了要规范和加强政府部门信息技术服务外包的安全管理工作。

　　一、信息技术服务外包安全问题掣肘了业务发展

政府部门信息化不断向纵深发展，呈现出所建信息系统越来越多、积累的数据规模越来越庞大的态势。与此相对应，政府部门需要越来越多的信息技术服务外包机构、人员以及厂商提供的产品来帮助进行信息系统的建设和运维。这样，政府部门在信息技术服务外包中，就有两类可能引发安全问题的突出因素，一是信息技术服务外包机构和人员以及服务过程中使用的产品不可靠，安全堡垒就容易从内部攻破；二是政府部门如果对外包机构和人员管理不善，发生安全问题也同样在所难免。

信息技术服务外包机构的人员利用掌握政府信息系统和数据的便利，为自己谋取利益，在信息技术服务外包安全事件中较为突出。如2011年上海市卫生局外包公司的张某利用开发维护出生系统数据库的便利，非法下载了约14万条新生儿出生信息并出售获利。2009年深圳福彩中心外包公司的程某通过自编木马软件入侵福彩中心销售系统，恶意篡改中奖数据并伪造3305万大奖。

信息技术服务外包企业主动泄露数据的情况也较为常见。根据“棱镜门”事件批露的情况，微软、Google、Yahoo、Facebook、PalTalk、YouTube、Skype、AOL、Apple(建议统一中文或英文表述)等为美国国家安全局提供大量视频、语音、图片、邮件、文件等电子数据。

信息技术服务外包信息安全问题还表现在信息技术服务外包供应链环节上。根据爱德华·斯诺登(Edward Snowden)提供的文件，曝光 “棱镜门”事件的《卫报》记者格伦·格林沃尔德(Glenn Greenwald)在自己的新书中透露，NSA经常会收到或拦截美国厂商的路由器、服务器以及其他网络设备，会在设备中植入‘后门监控工具’，重新打包并打上工厂的密封封条，继续运输，出口给国际客户。

(责任编辑：安博涛)