对信息安全领域进行审计监督的探讨

作 者:

作者简介:
杨宇婷,审计署审计科研所;何文彬,万方数据股份有限公司

原文出处:
审计月刊

内容提要:

02


期刊代号:V3
分类名称:审计文摘
复印期号:2016 年 08 期

关 键 词:

字号:

      一、信息安全领域面临的严峻形势

      网络空间与信息化快速发展,对我国经济社会发展起到了重要的推动作用。但与此同时,随着信息安全形势发生的新变化,也给我国的信息安全带来了新的风险和挑战。一是网络空间的战略化竞争加剧。目前,网络空间已经成为继陆、海、空、天之后国家主权的一种新疆域,各国纷纷将网络空间安全上升到国家安全与发展的战略高度。据统计,目前世界上已有100多个国家制定出台了网络安全相关战略。二是新技术的应用加大信息安全风险。随着云计算、物联网、移动互联网等新技术应用的不断拓展,传统信息安全威胁逐渐蔓延到现实世界。三是重点行业和领域风险隐患较大。根据国家互联网应急中心(CNCERT)2014年3月发布的《2013年我国互联网网络安全态势综述》数据显示,我国共有2430个政府网站被篡改,2425个网站被植入后门远程监测。

      面对如此严峻的信息安全形势,党中央国务院高度重视。从2003年国务院首次提出用5年时间初步建成国家信息安全保障体系的设想,到2014年2月中央网络安全和信息化领导小组成立,标志着我国已将信息安全问题提上战略高度。历经十几年的建设,我国信息安全组织领导体制初步建立,信息安全产业初具规模,一批信息安全基础设施相继建成,与国际标准衔接的信息安全标准体系基本形成,信息安全专业队伍逐渐壮大,互联网管理不断加强,信息安全等级保护等基础性工作全面推进。但仍有一些不可忽视的问题和困难影响着我国信息安全产业的发展,需要引起国家有关部门的高度重视。

      二、信息安全领域存在的突出问题

      (一)自主创新能力不足

      习近平总书记明确指出:“没有网络安全就没有信息安全,没有信息化就没有现代化”,而信息安全说到底就是核心技术与产品安全,没有最底层自主可控的核心技术与产品,一切网络安全和信息安全都是空中楼阁、镜中之花。芯片是电子信息产品的核心,是半导体产业技术最密集、最具战略价值的产品,也是一国技术实力的象征。但是我国芯片产业存在自主创新能力不足的情况。飞腾芯片、龙芯芯片等是我国自主生产研制的国产芯片,性能在国内处于领先水平,在国家重大工程中得到广泛应用。但与国际主流产品相比,在整体性能方面存在较大差距。例如,飞腾芯片性能相当于英特尔(Intel)2012年产品性能。

      (二)产品对外依赖严重

      由于缺乏自主核心技术与产品,我国基础网络和重要信息系统中大量使用国外企业的技术和产品,存在较大安全风险隐患。据统计,美国思科占我国高端路由器市场90%以上的份额,Wintel占台式计算机操作系统市场91%的份额,IBM占UNIX服务器76%的市场。如果不能改变目前对外依赖严重的现状,很可能导致我国基础网络和重要信息系统被远程监测,存在较大的信息安全风险隐患。而且,对外依存度高,还会造成我国国产安全技术发展缓慢,难以形成高质量、高水平的自主品牌。

      (三)产业生态系统薄弱

      信息安全产业是国家战略产业,是国家信息安全保障体系的物质基础。我国信息安全产业规模较小,产值仅有200多亿元人民币。信息安全产业的发展不仅是产业本身的发展,更多地体现在产业生态系统的建设方面。可以通过构建安全生态系统为技术创新给养,促进产业走上良性发展轨道。例如,Wintel联盟即Intel提供处理器芯片,微软提供操作系统,惠普和戴尔等提供基于Intel芯片的产品,很多应用厂商基于Wintel平台开发应用,形成一个完备的产业生态系统。因此,构建产业生态系统就显得尤为重要。由于我国信息安全产业起步较晚,项目资金不足且分散,难以形成整体合力,国产技术与产品研发能力弱,性能尚显不足,信息安全产业生态系统的建设困难重重。

      (四)安全防患意识缺乏

      目前世界各国均在严防国外产品向关键基础设施渗透,而我国缺乏安全防患意识,且国外信息技术产品和服务进入我国市场门槛较低。例如,我国现有信息安全认证目录的覆盖产品有限,仅在政府采购领域对13种信息安全产品强制认证,对范围更广的信息技术产品则未建立安全准入或采购评估制度。截至2013年5月31日,中国信息安全认证中心已颁发了350张信息安全产品认证证书,强制认证作用却不甚明显。信息安全产品有54个品种,但是目前已经进入强制性认证范围的只有13类。除了有相当一部分信息安全产品未进行政府采购强制认证外,防火墙等13种信息安全产品的招标文件中,有些并未将信息安全产品证书作为强制性准入资格。而国外对我国的安全审查制度却极为严格,我国信息技术企业和产品在国际化业务中屡遭调查和禁止,例如,2013年7月,英国国会发布了对华为的安全评估报告,并宣布将对华为设在英国的安全中心启动详细审查,这不利于我国企业拓展国际市场、提升国际竞争力。

      三、对信息安全领域进行审计监督的重点

      (一)重点监督国家政策落实情况,促进产业总体布局形成发展合力

      审计机关应对信息安全产业重大政策落实情况进行跟踪审计。一是通过审计完善产业管理政策与体系。通过审计,促进解决产业核心技术受制于人,基础设施发展与发达国家差距大,信息安全工作的战略统筹和综合协调不够等矛盾和问题;改变当前信息安全多头管理的局面,明确产业发展的主管部门,建立产业发展的协调机制,并在人才、税收、投融资等方面对信息安全行业给予优惠政策。二是围绕完善财税配套政策开展审计。以扶持信息安全产业为目标,提供各种财政资金支持和税收优惠政策;加大资金集中支持力度,对专项资金进行适当整合,改变研发资金的支持方式,采用专项资金集中支持方式,改先补助为后补助;根据研发和应用部门提出的资金支持需求,经过科学评估,选择资金投入方向,提高资金使用效率,积极引导社会资本进入信息安全产业。

相关文章: