我国信息安全产业存在问题及审计探讨
2016-11-02杨宇婷
杨宇婷
一、我国信息安全产业存在的突出问题
(一)自主创新能力较弱,缺少核心技术与产品
习近平总书记明确指出:“没有网络安全就没有信息安全,没有信息化就没有现代化”,而信息安全说到底就是核心技术与产品安全,没有最底层自主可控的核心技术与产品,一切网络安全和信息安全都是空中楼阁、镜中之花。芯片是电子信息产品的核心,是半导体产业技术最密集、最具战略价值的产品,也是一国技术实力的象征。我国自主创新能力较弱,从国产芯片与国外的差距就能体现。飞腾芯片是中国电子信息产业集团有限公司与国防科技大学联合研制的国产芯片,性能在国内处于领先水平,在国家重大工程中得到广泛应用。但与国际主流产品相比,在整体性能方面存在较大差距。根据相关标准测评,飞腾“FTl500A”芯片在并行多线程比较中,在国内相当于龙芯3A芯片的四倍,是目前国产芯片中运行速度最快的。但与国外产品相比,其性能相当于英特尔的2012年产品E5(2407);而即将上市的飞腾“FT2000”芯片,其性能将与英特尔的2014年产品E5(2697V3)相当。
(二)对外依赖严重,存在较大安全隐患
由于缺乏自主核心技术与产品,我国基础网络和重要信息系统中大量使用国外企业的技术和产品,安全风险极其严重。据统计,美国思科占我国高端路由器市场90%以上的份额;Wintel占台式计算机操作系统市场91%的份额;IBM占UNIX服务器76%的市场。如果不能改变目前对外依赖严重的现状,很可能导致我国基础网络和重要信息系统被远程监测,存在较大的信息安全风险隐患。而且,对外依存度高,往往导致我国国产安全技术与产品难以形成自主品牌。此外,禁售令等政治因素掣肘我国核心技术发展。例如,2015年4月9日,美国商务部发布公告,决定禁止向中国国家超级计算机中心出售某型号芯片,为我国超级计算机升级设置障碍。以上事件表明我国核心技术设备受制于人的被动局面,不仅信息安全无法得到保障,而且将严重影响我国信息安全产业自主创新发展。
(三)产业基础薄弱,相关“生态系统”尚未建成
信息安全产业是国家战略产业,是国家信息安全保障体系的物质基础。我国信息安全产业规模较小,产值仅有200多亿元人民币。信息安全产业的发展绝不仅是产业本身的发展,而更多地体现在产业“生态系统”的建设方面。通过构建安全“生态系统”为技术创新给养,以促进产业走上良性发展轨道。例如,Wintel联盟即英特尔提供处理器芯片,微软提供操作系统,惠普和戴尔等提供基于英特尔芯片的产品,很多应用厂商基于Wintel平台开发应用,形成一个完备的产业生态系统。因此,构建“技术、产业、应用、安全”相协同的“生态系统”就显得尤为重要,这就要求企业不但建立国产替代的信息技术产业链,还要成为自主创新的真正主体。而自主核心技术的研发具有投入大、周期长、市场回报率低等特点,需要对其进行持续大量的投入。相比而言,我国信息安全产业起步较晚,项目资金不足且分散,难以形成整体合力,国产技术与产品研发能力弱,性能尚显不足,芯片、软件、整机之间尚需磨合,真正走向市场的时间还不长,信息安全产业“生态系统”的建设困难重重。
(四)央企参与度不足,尚未建立起信息安全“国家队”
我国信息安全企业实力普遍偏弱,主要由民营企业和外资企业构成,央企参与度不足,尚未建立起信息安全“国家队”。据统计,近两年央企或央企参股企业研发的信息安全产品数量不到同期获证产品总数的5%。对比来看,国外成熟的大型信息安全企业营业收入平均为70-80亿元,国内只有5亿元左右;国外企业人员规模一般约有3000至5000人,有的甚至达到20000多人,国内最大的信息安全企业人数也不过1000人。由于民营企业和外资企业的实力有限,客观上难以担当维护国家信息安全的重任,因此,中央企业成为建立信息安全“国家队”的最合适人选,主要原因有三:一是央企具有雄厚的经济实力。信息安全产业需要长期大量的投入和战略的眼光。若要解决当前信息系统受制于人的局面,就需要企业研发的长期持续投入,只有经济实力雄厚的央企才能担此重任;二是产业资源丰富。我国基础信息网络和重要信息系统需要整体性、系统性和结构化的解决方案,这便要求信息安全企业具备整合上下游产业链的能力,央企在这方面拥有丰富资源;三是具备承上启下的资格条件。信息安全产业是国家战略产业,需要建立一支可信、可控、可信赖的“国家队”,为国家提供安全可靠的产品和服务,对上衔接党政军的信息安全资源,对下衔接重点行业的信息技术应用,只有央企具备这方面的资格和条件。
(五)信息技术企业和产品的安全审查制度有待健全
目前世界各国均在严防国外产品关键基础设施渗透,相比而言,我国现有信息安全认证目录的覆盖产品有限,仅在政府采购领域对13种信息安全产品强制认证,对范围更广的信息技术产品则未建立安全准入或采购评估制度。除了有相当一部分信息安全产品未进行政府采购强制认证外,防火墙等13种信息安全产品的招标文件中,有些并未将信息安全产品证书作为强制性准入资格。相比而言,国外对我国的安全审查制度却极为严格,我国信息技术企业和产品在国际化业务中屡遭调查和禁止,例如,2012年10月,美国国会发布了对中兴、华为的审查报告;2013年7月,英国国会也发布了对华为的安全评估报告,并宣布将对华为设在英国的安全中心启动详细审查,以上这些事件不利于我国企业拓展国际市场、提升国际竞争力。
二、对信息安全产业进行审计监督的初步探讨
(一)对信息安全领域国家科研项目资金使用情况进行审计,促进我国自主核心技术加快发展
一是通过审计推进自主核心技术的研发和应用。审计关注科研项目和资金管理政策的落实情况,规范科技经费管理,提高财政资金的使用效率。最大限度地整合政产学研各界资源,集中优势力量,实现国产核心技术和产品的攻关突破;二是审计推动国产技术和产品的推广应用。揭示项目资金使用过程中存在的问题,剖析问题产生的原因,提出规范财务行为、保证资金安全、提高资金使用效率的审计建议,为健全信息安全保障体系发挥审计职能作用。
(二)对信息安全产业政策落实情况进行审计,加强产业总体布局形成发展合力
一是通过审计完善产业管理政策与体系。通过审计,改变当前信息安全“多头管理”的局面,明确产业发展的主管部门,建立产业发展的协调机制,并在人才、税收、投融资等方面对信息安全行业给予优惠政策;二是围绕完善财税配套政策开展审计。以扶持信息安全产业为目标,提供各种财政资金支持和税收优惠政策。加大资金集中支持力度,对专项资金进行适当整合,改变研发资金的支持方式,采用专项资金集中支持方式,不“撒胡椒面”,改先补助为后补助。根据研发和应用部门提出的资金支持需求,经过科学评估,选中资金投入方向,提高资金使用效率,积极引导社会资本进入信息安全产业。
(三)对央企在信息安全产业参与情况进行审计,推动信息安全产业“国家队”的建立
审计机关在对相关中央企业和领导干部经济责任审计时,引导央企向信息安全战略转型,支持其发展信息安全作为主要业务,对内大力培育技术研发和创新能力,对外提高国际竞争力,实现战略转型并将其打造成可控、可信、可依赖的信息安全产业“国家队”。此外,应围绕健全行业市场开展审计。通过培育市场的方式促进央企信息安全发展,从“供给”的角度为央企释放最大的信息安全市场,要求基础信息网络和重要信息系统采用自主可控产品,带动自主可控成果推广,促进央企信息安全产业发展。
(四)对重要领域和行业自主可控情况进行审计,促进安全审查制度体系的健全
审计还应关注安全制度和保密性问题。通过审计,对内建立重点行业信息安全监管制度。确定重点行业,理清核心要害系统,尤其关注党政军等重要领域和电信、铁路、民航、金融等重要行业是否采用自主可控产品和技术,政府采购和招投标过程中是否设置保密资质认定与审查;对外设立信息安全审查制度。促进制定和完善信息技术产品和服务安全审查技术标准和规范,加强对国外产品应用的技术监管,切实保障国内信息安全。