楊宇婷

一、我國信息安全產(chǎn)業(yè)存在的突出問題

（一）自主創(chuàng)新能力較弱，缺少核心技術(shù)與產(chǎn)品

習(xí)近平總書記明確指出：“沒有網(wǎng)絡(luò)安全就沒有信息安全，沒有信息化就沒有現(xiàn)代化”，而信息安全說到底就是核心技術(shù)與產(chǎn)品安全，沒有最底層自主可控的核心技術(shù)與產(chǎn)品，一切網(wǎng)絡(luò)安全和信息安全都是空中樓閣、鏡中之花。芯片是電子信息產(chǎn)品的核心，是半導(dǎo)體產(chǎn)業(yè)技術(shù)最密集、最具戰(zhàn)略價值的產(chǎn)品，也是一國技術(shù)實力的象征。我國自主創(chuàng)新能力較弱，從國產(chǎn)芯片與國外的差距就能體現(xiàn)。飛騰芯片是中國電子信息產(chǎn)業(yè)集團(tuán)有限公司與國防科技大學(xué)聯(lián)合研制的國產(chǎn)芯片，性能在國內(nèi)處于領(lǐng)先水平，在國家重大工程中得到廣泛應(yīng)用。但與國際主流產(chǎn)品相比，在整體性能方面存在較大差距。根據(jù)相關(guān)標(biāo)準(zhǔn)測評，飛騰“FTl500A”芯片在并行多線程比較中，在國內(nèi)相當(dāng)于龍芯3A芯片的四倍，是目前國產(chǎn)芯片中運行速度最快的。但與國外產(chǎn)品相比，其性能相當(dāng)于英特爾的2012年產(chǎn)品E5（2407）；而即將上市的飛騰“FT2000”芯片，其性能將與英特爾的2014年產(chǎn)品E5（2697V3）相當(dāng)。

（二）對外依賴嚴(yán)重，存在較大安全隱患

由于缺乏自主核心技術(shù)與產(chǎn)品，我國基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)中大量使用國外企業(yè)的技術(shù)和產(chǎn)品，安全風(fēng)險極其嚴(yán)重。據(jù)統(tǒng)計，美國思科占我國高端路由器市場90%以上的份額；Wintel占臺式計算機(jī)操作系統(tǒng)市場91%的份額；IBM占UNIX服務(wù)器76%的市場。如果不能改變目前對外依賴嚴(yán)重的現(xiàn)狀，很可能導(dǎo)致我國基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)被遠(yuǎn)程監(jiān)測，存在較大的信息安全風(fēng)險隱患。而且，對外依存度高，往往導(dǎo)致我國國產(chǎn)安全技術(shù)與產(chǎn)品難以形成自主品牌。此外，禁售令等政治因素掣肘我國核心技術(shù)發(fā)展。例如，2015年4月9日，美國商務(wù)部發(fā)布公告，決定禁止向中國國家超級計算機(jī)中心出售某型號芯片，為我國超級計算機(jī)升級設(shè)置障礙。以上事件表明我國核心技術(shù)設(shè)備受制于人的被動局面，不僅信息安全無法得到保障，而且將嚴(yán)重影響我國信息安全產(chǎn)業(yè)自主創(chuàng)新發(fā)展。

（三）產(chǎn)業(yè)基礎(chǔ)薄弱，相關(guān)“生態(tài)系統(tǒng)”尚未建成

信息安全產(chǎn)業(yè)是國家戰(zhàn)略產(chǎn)業(yè)，是國家信息安全保障體系的物質(zhì)基礎(chǔ)。我國信息安全產(chǎn)業(yè)規(guī)模較小，產(chǎn)值僅有200多億元人民幣。信息安全產(chǎn)業(yè)的發(fā)展絕不僅是產(chǎn)業(yè)本身的發(fā)展，而更多地體現(xiàn)在產(chǎn)業(yè)“生態(tài)系統(tǒng)”的建設(shè)方面。通過構(gòu)建安全“生態(tài)系統(tǒng)”為技術(shù)創(chuàng)新給養(yǎng)，以促進(jìn)產(chǎn)業(yè)走上良性發(fā)展軌道。例如，Wintel聯(lián)盟即英特爾提供處理器芯片，微軟提供操作系統(tǒng)，惠普和戴爾等提供基于英特爾芯片的產(chǎn)品，很多應(yīng)用廠商基于Wintel平臺開發(fā)應(yīng)用，形成一個完備的產(chǎn)業(yè)生態(tài)系統(tǒng)。因此，構(gòu)建“技術(shù)、產(chǎn)業(yè)、應(yīng)用、安全”相協(xié)同的“生態(tài)系統(tǒng)”就顯得尤為重要，這就要求企業(yè)不但建立國產(chǎn)替代的信息技術(shù)產(chǎn)業(yè)鏈，還要成為自主創(chuàng)新的真正主體。而自主核心技術(shù)的研發(fā)具有投入大、周期長、市場回報率低等特點，需要對其進(jìn)行持續(xù)大量的投入。相比而言，我國信息安全產(chǎn)業(yè)起步較晚，項目資金不足且分散，難以形成整體合力，國產(chǎn)技術(shù)與產(chǎn)品研發(fā)能力弱，性能尚顯不足，芯片、軟件、整機(jī)之間尚需磨合，真正走向市場的時間還不長，信息安全產(chǎn)業(yè)“生態(tài)系統(tǒng)”的建設(shè)困難重重。

（四）央企參與度不足，尚未建立起信息安全“國家隊”

我國信息安全企業(yè)實力普遍偏弱，主要由民營企業(yè)和外資企業(yè)構(gòu)成，央企參與度不足，尚未建立起信息安全“國家隊”。據(jù)統(tǒng)計，近兩年央企或央企參股企業(yè)研發(fā)的信息安全產(chǎn)品數(shù)量不到同期獲證產(chǎn)品總數(shù)的5%。對比來看，國外成熟的大型信息安全企業(yè)營業(yè)收入平均為70-80億元，國內(nèi)只有5億元左右；國外企業(yè)人員規(guī)模一般約有3000至5000人，有的甚至達(dá)到20000多人，國內(nèi)最大的信息安全企業(yè)人數(shù)也不過1000人。由于民營企業(yè)和外資企業(yè)的實力有限，客觀上難以擔(dān)當(dāng)維護(hù)國家信息安全的重任，因此，中央企業(yè)成為建立信息安全“國家隊”的最合適人選，主要原因有三：一是央企具有雄厚的經(jīng)濟(jì)實力。信息安全產(chǎn)業(yè)需要長期大量的投入和戰(zhàn)略的眼光。若要解決當(dāng)前信息系統(tǒng)受制于人的局面，就需要企業(yè)研發(fā)的長期持續(xù)投入，只有經(jīng)濟(jì)實力雄厚的央企才能擔(dān)此重任；二是產(chǎn)業(yè)資源豐富。我國基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)需要整體性、系統(tǒng)性和結(jié)構(gòu)化的解決方案，這便要求信息安全企業(yè)具備整合上下游產(chǎn)業(yè)鏈的能力，央企在這方面擁有豐富資源；三是具備承上啟下的資格條件。信息安全產(chǎn)業(yè)是國家戰(zhàn)略產(chǎn)業(yè)，需要建立一支可信、可控、可信賴的“國家隊”，為國家提供安全可靠的產(chǎn)品和服務(wù)，對上銜接黨政軍的信息安全資源，對下銜接重點行業(yè)的信息技術(shù)應(yīng)用，只有央企具備這方面的資格和條件。

（五）信息技術(shù)企業(yè)和產(chǎn)品的安全審查制度有待健全

目前世界各國均在嚴(yán)防國外產(chǎn)品關(guān)鍵基礎(chǔ)設(shè)施滲透，相比而言，我國現(xiàn)有信息安全認(rèn)證目錄的覆蓋產(chǎn)品有限，僅在政府采購領(lǐng)域?qū)?3種信息安全產(chǎn)品強(qiáng)制認(rèn)證，對范圍更廣的信息技術(shù)產(chǎn)品則未建立安全準(zhǔn)入或采購評估制度。除了有相當(dāng)一部分信息安全產(chǎn)品未進(jìn)行政府采購強(qiáng)制認(rèn)證外，防火墻等13種信息安全產(chǎn)品的招標(biāo)文件中，有些并未將信息安全產(chǎn)品證書作為強(qiáng)制性準(zhǔn)入資格。相比而言，國外對我國的安全審查制度卻極為嚴(yán)格，我國信息技術(shù)企業(yè)和產(chǎn)品在國際化業(yè)務(wù)中屢遭調(diào)查和禁止，例如，2012年10月，美國國會發(fā)布了對中興、華為的審查報告；2013年7月，英國國會也發(fā)布了對華為的安全評估報告，并宣布將對華為設(shè)在英國的安全中心啟動詳細(xì)審查，以上這些事件不利于我國企業(yè)拓展國際市場、提升國際競爭力。

二、對信息安全產(chǎn)業(yè)進(jìn)行審計監(jiān)督的初步探討

（一）對信息安全領(lǐng)域國家科研項目資金使用情況進(jìn)行審計，促進(jìn)我國自主核心技術(shù)加快發(fā)展

一是通過審計推進(jìn)自主核心技術(shù)的研發(fā)和應(yīng)用。審計關(guān)注科研項目和資金管理政策的落實情況，規(guī)范科技經(jīng)費管理，提高財政資金的使用效率。最大限度地整合政產(chǎn)學(xué)研各界資源，集中優(yōu)勢力量，實現(xiàn)國產(chǎn)核心技術(shù)和產(chǎn)品的攻關(guān)突破；二是審計推動國產(chǎn)技術(shù)和產(chǎn)品的推廣應(yīng)用。揭示項目資金使用過程中存在的問題，剖析問題產(chǎn)生的原因，提出規(guī)范財務(wù)行為、保證資金安全、提高資金使用效率的審計建議，為健全信息安全保障體系發(fā)揮審計職能作用。

（二）對信息安全產(chǎn)業(yè)政策落實情況進(jìn)行審計，加強(qiáng)產(chǎn)業(yè)總體布局形成發(fā)展合力

一是通過審計完善產(chǎn)業(yè)管理政策與體系。通過審計，改變當(dāng)前信息安全“多頭管理”的局面，明確產(chǎn)業(yè)發(fā)展的主管部門，建立產(chǎn)業(yè)發(fā)展的協(xié)調(diào)機(jī)制，并在人才、稅收、投融資等方面對信息安全行業(yè)給予優(yōu)惠政策；二是圍繞完善財稅配套政策開展審計。以扶持信息安全產(chǎn)業(yè)為目標(biāo)，提供各種財政資金支持和稅收優(yōu)惠政策。加大資金集中支持力度，對專項資金進(jìn)行適當(dāng)整合，改變研發(fā)資金的支持方式，采用專項資金集中支持方式，不“撒胡椒面”，改先補(bǔ)助為后補(bǔ)助。根據(jù)研發(fā)和應(yīng)用部門提出的資金支持需求，經(jīng)過科學(xué)評估，選中資金投入方向，提高資金使用效率，積極引導(dǎo)社會資本進(jìn)入信息安全產(chǎn)業(yè)。

（三）對央企在信息安全產(chǎn)業(yè)參與情況進(jìn)行審計，推動信息安全產(chǎn)業(yè)“國家隊”的建立

審計機(jī)關(guān)在對相關(guān)中央企業(yè)和領(lǐng)導(dǎo)干部經(jīng)濟(jì)責(zé)任審計時，引導(dǎo)央企向信息安全戰(zhàn)略轉(zhuǎn)型，支持其發(fā)展信息安全作為主要業(yè)務(wù)，對內(nèi)大力培育技術(shù)研發(fā)和創(chuàng)新能力，對外提高國際競爭力，實現(xiàn)戰(zhàn)略轉(zhuǎn)型并將其打造成可控、可信、可依賴的信息安全產(chǎn)業(yè)“國家隊”。此外，應(yīng)圍繞健全行業(yè)市場開展審計。通過培育市場的方式促進(jìn)央企信息安全發(fā)展，從“供給”的角度為央企釋放最大的信息安全市場，要求基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)采用自主可控產(chǎn)品，帶動自主可控成果推廣，促進(jìn)央企信息安全產(chǎn)業(yè)發(fā)展。

（四）對重要領(lǐng)域和行業(yè)自主可控情況進(jìn)行審計，促進(jìn)安全審查制度體系的健全

審計還應(yīng)關(guān)注安全制度和保密性問題。通過審計，對內(nèi)建立重點行業(yè)信息安全監(jiān)管制度。確定重點行業(yè)，理清核心要害系統(tǒng)，尤其關(guān)注黨政軍等重要領(lǐng)域和電信、鐵路、民航、金融等重要行業(yè)是否采用自主可控產(chǎn)品和技術(shù)，政府采購和招投標(biāo)過程中是否設(shè)置保密資質(zhì)認(rèn)定與審查；對外設(shè)立信息安全審查制度。促進(jìn)制定和完善信息技術(shù)產(chǎn)品和服務(wù)安全審查技術(shù)標(biāo)準(zhǔn)和規(guī)范，加強(qiáng)對國外產(chǎn)品應(yīng)用的技術(shù)監(jiān)管，切實保障國內(nèi)信息安全。