我國信息安全產業存在問題及審計探討

楊宇婷

一、我國信息安全產業存在的突出問題

（一）自主創新能力較弱，缺少核心技術與產品

習近平總書記明確指出：“沒有網絡安全就沒有信息安全，沒有信息化就沒有現代化”，而信息安全說到底就是核心技術與產品安全，沒有最底層自主可控的核心技術與產品，一切網絡安全和信息安全都是空中樓閣、鏡中之花。芯片是電子信息產品的核心，是半導體產業技術最密集、最具戰略價值的產品，也是一國技術實力的象征。我國自主創新能力較弱，從國產芯片與國外的差距就能體現。飛騰芯片是中國電子信息產業集團有限公司與國防科技大學聯合研制的國產芯片，性能在國內處于領先水平，在國家重大工程中得到廣泛應用。但與國際主流產品相比，在整體性能方面存在較大差距。根據相關標準測評，飛騰“FTl500A”芯片在并行多線程比較中，在國內相當于龍芯3A芯片的四倍，是目前國產芯片中運行速度最快的。但與國外產品相比，其性能相當于英特爾的2012年產品E5（2407）；而即將上市的飛騰“FT2000”芯片，其性能將與英特爾的2014年產品E5（2697V3）相當。

（二）對外依賴嚴重，存在較大安全隱患

由于缺乏自主核心技術與產品，我國基礎網絡和重要信息系統中大量使用國外企業的技術和產品，安全風險極其嚴重。據統計，美國思科占我國高端路由器市場90%以上的份額；Wintel占臺式計算機操作系統市場91%的份額；IBM占UNIX服務器76%的市場。如果不能改變目前對外依賴嚴重的現狀，很可能導致我國基礎網絡和重要信息系統被遠程監測，存在較大的信息安全風險隱患。而且，對外依存度高，往往導致我國國產安全技術與產品難以形成自主品牌。此外，禁售令等政治因素掣肘我國核心技術發展。例如，2015年4月9日，美國商務部發布公告，決定禁止向中國國家超級計算機中心出售某型號芯片，為我國超級計算機升級設置障礙。以上事件表明我國核心技術設備受制于人的被動局面，不僅信息安全無法得到保障，而且將嚴重影響我國信息安全產業自主創新發展。

（三）產業基礎薄弱，相關“生態系統”尚未建成

信息安全產業是國家戰略產業，是國家信息安全保障體系的物質基礎。我國信息安全產業規模較小，產值僅有200多億元人民幣。信息安全產業的發展絕不僅是產業本身的發展，而更多地體現在產業“生態系統”的建設方面。通過構建安全“生態系統”為技術創新給養，以促進產業走上良性發展軌道。例如，Wintel聯盟即英特爾提供處理器芯片，微軟提供操作系統，惠普和戴爾等提供基于英特爾芯片的產品，很多應用廠商基于Wintel平臺開發應用，形成一個完備的產業生態系統。因此，構建“技術、產業、應用、安全”相協同的“生態系統”就顯得尤為重要，這就要求企業不但建立國產替代的信息技術產業鏈，還要成為自主創新的真正主體。而自主核心技術的研發具有投入大、周期長、市場回報率低等特點，需要對其進行持續大量的投入。相比而言，我國信息安全產業起步較晚，項目資金不足且分散，難以形成整體合力，國產技術與產品研發能力弱，性能尚顯不足，芯片、軟件、整機之間尚需磨合，真正走向市場的時間還不長，信息安全產業“生態系統”的建設困難重重。

（四）央企參與度不足，尚未建立起信息安全“國家隊”

我國信息安全企業實力普遍偏弱，主要由民營企業和外資企業構成，央企參與度不足，尚未建立起信息安全“國家隊”。據統計，近兩年央企或央企參股企業研發的信息安全產品數量不到同期獲證產品總數的5%。對比來看，國外成熟的大型信息安全企業營業收入平均為70-80億元，國內只有5億元左右；國外企業人員規模一般約有3000至5000人，有的甚至達到20000多人，國內最大的信息安全企業人數也不過1000人。由于民營企業和外資企業的實力有限，客觀上難以擔當維護國家信息安全的重任，因此，中央企業成為建立信息安全“國家隊”的最合適人選，主要原因有三：一是央企具有雄厚的經濟實力。信息安全產業需要長期大量的投入和戰略的眼光。若要解決當前信息系統受制于人的局面，就需要企業研發的長期持續投入，只有經濟實力雄厚的央企才能擔此重任；二是產業資源豐富。我國基礎信息網絡和重要信息系統需要整體性、系統性和結構化的解決方案，這便要求信息安全企業具備整合上下游產業鏈的能力，央企在這方面擁有豐富資源；三是具備承上啟下的資格條件。信息安全產業是國家戰略產業，需要建立一支可信、可控、可信賴的“國家隊”，為國家提供安全可靠的產品和服務，對上銜接黨政軍的信息安全資源，對下銜接重點行業的信息技術應用，只有央企具備這方面的資格和條件。

（五）信息技術企業和產品的安全審查制度有待健全

目前世界各國均在嚴防國外產品關鍵基礎設施滲透，相比而言，我國現有信息安全認證目錄的覆蓋產品有限，僅在政府采購領域對13種信息安全產品強制認證，對范圍更廣的信息技術產品則未建立安全準入或采購評估制度。除了有相當一部分信息安全產品未進行政府采購強制認證外，防火墻等13種信息安全產品的招標文件中，有些并未將信息安全產品證書作為強制性準入資格。相比而言，國外對我國的安全審查制度卻極為嚴格，我國信息技術企業和產品在國際化業務中屢遭調查和禁止，例如，2012年10月，美國國會發布了對中興、華為的審查報告；2013年7月，英國國會也發布了對華為的安全評估報告，并宣布將對華為設在英國的安全中心啟動詳細審查，以上這些事件不利于我國企業拓展國際市場、提升國際競爭力。

二、對信息安全產業進行審計監督的初步探討

（一）對信息安全領域國家科研項目資金使用情況進行審計，促進我國自主核心技術加快發展

一是通過審計推進自主核心技術的研發和應用。審計關注科研項目和資金管理政策的落實情況，規范科技經費管理，提高財政資金的使用效率。最大限度地整合政產學研各界資源，集中優勢力量，實現國產核心技術和產品的攻關突破；二是審計推動國產技術和產品的推廣應用。揭示項目資金使用過程中存在的問題，剖析問題產生的原因，提出規范財務行為、保證資金安全、提高資金使用效率的審計建議，為健全信息安全保障體系發揮審計職能作用。

（二）對信息安全產業政策落實情況進行審計，加強產業總體布局形成發展合力

一是通過審計完善產業管理政策與體系。通過審計，改變當前信息安全“多頭管理”的局面，明確產業發展的主管部門，建立產業發展的協調機制，并在人才、稅收、投融資等方面對信息安全行業給予優惠政策；二是圍繞完善財稅配套政策開展審計。以扶持信息安全產業為目標，提供各種財政資金支持和稅收優惠政策。加大資金集中支持力度，對專項資金進行適當整合，改變研發資金的支持方式，采用專項資金集中支持方式，不“撒胡椒面”，改先補助為后補助。根據研發和應用部門提出的資金支持需求，經過科學評估，選中資金投入方向，提高資金使用效率，積極引導社會資本進入信息安全產業。

（三）對央企在信息安全產業參與情況進行審計，推動信息安全產業“國家隊”的建立

審計機關在對相關中央企業和領導干部經濟責任審計時，引導央企向信息安全戰略轉型，支持其發展信息安全作為主要業務，對內大力培育技術研發和創新能力，對外提高國際競爭力，實現戰略轉型并將其打造成可控、可信、可依賴的信息安全產業“國家隊”。此外，應圍繞健全行業市場開展審計。通過培育市場的方式促進央企信息安全發展，從“供給”的角度為央企釋放最大的信息安全市場，要求基礎信息網絡和重要信息系統采用自主可控產品，帶動自主可控成果推廣，促進央企信息安全產業發展。

（四）對重要領域和行業自主可控情況進行審計，促進安全審查制度體系的健全

審計還應關注安全制度和保密性問題。通過審計，對內建立重點行業信息安全監管制度。確定重點行業，理清核心要害系統，尤其關注黨政軍等重要領域和電信、鐵路、民航、金融等重要行業是否采用自主可控產品和技術，政府采購和招投標過程中是否設置保密資質認定與審查；對外設立信息安全審查制度。促進制定和完善信息技術產品和服務安全審查技術標準和規范，加強對國外產品應用的技術監管，切實保障國內信息安全。