被漏洞響應平臺指出其社保系統(tǒng)存在低級、高危漏洞的廣東省，剛剛公布了2015年度信息產(chǎn)業(yè)發(fā)展專項資金的分配方式。如無意外，這筆完全由省級財政籌集、高達2.5億元的資金，將用于支持包括中興、酷狗和湯臣倍健在內(nèi)的52家企業(yè)的信息技術項目開發(fā)。

　　像廣東一樣，江蘇、陜西、河北等地也在一邊安排巨額信息化專項資金“慷慨宴客”，一邊被指存在信息系統(tǒng)安全問題“后院起火”。

　　每年少則幾億元，多則幾十億元的巨額資金，為什么沒能為信息安全保駕護航？專項資金到底花去哪兒了？又該怎么花？

　　系統(tǒng)漏洞或被置之不理

　　4月22日，補天漏洞響應平臺發(fā)布數(shù)據(jù)稱，多省市社保及衛(wèi)生系統(tǒng)出現(xiàn)大量高危漏洞，上千萬國民的個人身份、社保參繳情況、薪酬以及住房等敏感信息存在泄露風險。

　　王音對此卻毫不吃驚。長期關注和致力于網(wǎng)絡信息安全的他，是國內(nèi)著名第三方安全漏洞平臺烏云網(wǎng)的核心“白帽子”成員，昵稱“豬豬俠”。“王音”是他在知乎社區(qū)的ID。

　　自2012年4月至今，王音在烏云平臺共提交了197個信息系統(tǒng)安全漏洞，十之八九都收到了廠商的確認和感謝，有些廠商還會主動支付酬勞。但值得玩味的是，這197個安全漏洞，竟無一涉及任何政府部門。

　　是因為政務系統(tǒng)更加安全嗎？當然不是。王音告訴《經(jīng)濟》記者，政務系統(tǒng)往往采購自企業(yè)，無論是操作系統(tǒng)還是服務器，并不必然比其他企業(yè)采用的更加安全。“如果企業(yè)應用的某一個系統(tǒng)出現(xiàn)了漏洞，那么使用相同系統(tǒng)的政府部門也必然存在同樣的安全威脅。但是，提交政務系統(tǒng)的漏洞，惹上官司的風險比較高?！?

　　實際上，“白帽子”前期分析、獲得漏洞的過程，與黑客行為幾乎沒有區(qū)別。只不過，他們不會惡意利用漏洞牟利，反而會通知相關機構(gòu)，以便其及時修補漏洞。

　　但是，并非所有人都領“白帽子”的情，政府部門對他們類似黑客的行為尤其警惕。王音不愿意惹這個麻煩。

　　除此以外，相關政府部門不認可、不回應、不修補的態(tài)度，也極大地打擊了“白帽子”們的積極性。“提交漏洞都是無償?shù)?，有時候純粹是為了獲得別人的認可，滿足自身的成就感。提交一個漏洞，政府不理，再提交一個，還是不理，那我自然就不會再關注它了。”王音說，有些部門從不修補漏洞，甚至還直接將有問題的系統(tǒng)下線，等到?jīng)]人關注后再上線。這一次曝光的社保系統(tǒng)漏洞，也不過是我國政務系統(tǒng)安全性問題的一個縮影。

　　然而，據(jù)第十二屆全國人大代表、湖南省經(jīng)濟和信息化委員會主任謝超英統(tǒng)計，包括浙江、河北、湖南等在內(nèi)的我國大部分省市，都已經(jīng)設立了省級信息化專項資金。這筆錢又花去哪兒了？為什么沒能保障涉及大量公民信息數(shù)據(jù)的電子政務系統(tǒng)安全？

　　專項資金挪作他用

　　《經(jīng)濟》記者檢索多地信息化專項資金的分配結(jié)果后發(fā)現(xiàn)，這筆少則幾億元，多則幾十億元的巨額支出，大多用于支持當?shù)刂腔凵鐓^(qū)、智能制造等智慧項目的開發(fā)建設，極少用于信息安全領域。

　　經(jīng)中國電子信息產(chǎn)業(yè)發(fā)展研究院評估、在全國各省市信息化發(fā)展指數(shù)排名中位列第一的上海市，僅2014年就接連審核通過了3批、231個申報市級信息化發(fā)展專項資金項目，涉及總金額1.85億元。從公示結(jié)果看，智慧社區(qū)、智慧園區(qū)、云平臺、大數(shù)據(jù)等智慧項目占據(jù)其中大半，僅有406萬元用于網(wǎng)絡安全的宣傳推廣和研究建設。

　　排名第五的廣東省也不甘落后。其2015年安排的2.57億元省級專項資金中，除用于制定發(fā)展規(guī)劃、監(jiān)測信息產(chǎn)業(yè)發(fā)展和光纖建設的426萬元外，其余資金全部用于支持52家企業(yè)推進智能制造、物聯(lián)網(wǎng)技術及智慧公共平臺的建設開發(fā)。

　　排名靠后但進步飛速的寧夏，更是在2015年安排了10億元省級信息化建設專項資金。寧夏回族自治區(qū)信息化建設辦公室處長邵波濤告訴《經(jīng)濟》記者，與其他地區(qū)不同，寧夏的專項資金并非直接撥付給項目單位，而是用于購買企業(yè)服務?！懊磕瓴灰欢〞ㄟ@么多，但是我們會預留出來。”

　　他向記者展示的一份書面材料中寫道：預計今年8月，覆蓋商務、社保、民政、衛(wèi)生、教育、旅游、政法和家庭的“智慧寧夏云應用”全部上線運行；今年年底，全區(qū)統(tǒng)一的電子政務外網(wǎng)、人口數(shù)據(jù)庫、地理空間一期數(shù)據(jù)庫和電子政務公共云平臺全部建成。無疑，這將是寧夏專項資金今年購買服務的重點。

　　與上述三地相似，各省設置的信息化專項資金大多向智慧項目傾斜。然而，這類資金的分配方式是否合適？又為什么會形成今天的利益格局？

　　低水平重復建設嚴重

　　中國電子信息產(chǎn)業(yè)發(fā)展研究院信息化研究中心主任楊春立告訴《經(jīng)濟》記者，我國的信息化發(fā)展，一直存在“重建設、輕維護”的問題。

　　據(jù)楊春立介紹，以前搞公共性基礎設施的信息化建設，完全是政府自己籌集資金，自己建設。因此問題很多：不僅前期投入巨大，同時由于信息技術更新?lián)Q代極快，政府還要專門安排一部分技術人員，后期成本也非常高?！氨热?，我們原先用的是B/S結(jié)構(gòu)(瀏覽器/服務器模式)，后來出現(xiàn)了云平臺，又要把好多信息系統(tǒng)遷移到云平臺上。對于政府部門來說，技術難度、資金支出都非常大?！?

　　到后來，國家放寬了社會資本的投資領域，BT模式(即建設-移交模式)被廣泛應用到非經(jīng)營性的基礎設施、公用事業(yè)信息化領域：這種非政府資金建設項目、政府驗收合格并分期向投資方支付總投資及合理回報的建設理念，極大地緩解了財政壓力。

　　但是，硬幣的另一面卻是更高的風險。對于一些企業(yè)而言，不那么安全的系統(tǒng)，才能為之帶來利潤。王音告訴《經(jīng)濟》記者，為安全做考慮，需要開發(fā)人員投入大量精力，必然抬升成本?！霸诂F(xiàn)實中，偷工減料，消減功能才能賺錢?！?

　　更何況，BT模式依然沒有解決系統(tǒng)后期維護的問題。西部某市信息化建設部門的工作人員就曾向《經(jīng)濟》記者大吐苦水：“項目公司建完以后，不做任何培訓，也完全不管后期的問題。信息技術更新這么快，軟硬件還要更新升級，人員也要繼續(xù)培訓。這些東西政府都做不到?！?

　　需要指出的是，信息安全問題已經(jīng)成為影響我國推進信息化建設的一大“攔路虎”，甚至可能更加加重了原本就“重建設、輕維護”的發(fā)展格局。

　　據(jù)前述工作人員透露：“公安部門不肯和城管分享監(jiān)控錄像，城管只好自己花錢再去安裝攝像頭。等他們裝好以后，又不肯和社區(qū)分享，整個信息化建設都只停留在很低的層次上。”

　　多位受訪專家表示，上述情況在我國十分常見?！按蠹叶际亲约鹤鲎约旱男畔⒒ㄔO，而且我們必須承認，單獨看都做得非常不錯?！北本┐髮W深圳研究生院信息工程學院教授朱躍生說。但他同時指出，不可否認的是，低水平重復建設不僅造成了極大的資源浪費，還間接形成了大量“信息孤島”，阻礙了信息化的進一步發(fā)展。而造成現(xiàn)有局面的重要因素之一，恰恰是相關部門對于信息安全的憂慮。

　　“比如，交通部門在和市政部門共享數(shù)據(jù)前，必須先確立一套完善的信息交互授權(quán)機制——你只能挖掘我的汽車流量信息，不能挖具體哪一部車的信息——否則十分容易出現(xiàn)信息管理的安全問題。而在授權(quán)機制尚不完善的情況下，考慮到信息安全，不分享數(shù)據(jù)也是情有可原。”朱躍生說。

　　做好頂層設計，告別“信息孤島”

　　依此看來，我國的信息化建設，就只能陷在這個以安全為名而不斷進行低水平建設的怪圈中嗎？信息化資金到底應該怎么花？

　　楊春立和朱躍生均不約而同地指出，先做好“頂層設計”，才能接著討論應該怎樣“花錢”。

　　“2008年以來，我國電子政務的發(fā)展進程明顯變慢，凡是需要跨部門、跨領域的工作都難以推進?！睏畲毫⒄f指出，根本原因就在于缺乏頂層設計?！艾F(xiàn)在，企業(yè)開始推進‘兩化融合’、智能制造，要求各個信息系統(tǒng)彼此互聯(lián)互通、共享集成，他們也出現(xiàn)了類似的問題——沒有接口標準，信息系統(tǒng)應用的也不是同種語言，根本無法連接?！?

　　朱躍生也認為，沒有標準確實是個問題，但從技術上講并不復雜，只要國家層面協(xié)調(diào)好各方需求，做好頂層設計，是非常容易解決的。但是，朱躍生發(fā)現(xiàn)，政府部門似乎沒有意識到頂層設計的重要性?！吧钲诘膮^(qū)政府經(jīng)常讓我推薦一些企業(yè)，幫助他們搞自己轄區(qū)內(nèi)的智慧建設。但我會告訴他們，你需要先把架構(gòu)設計出來，哪個部門該做什么，都要分配清楚。等到實施的時候，再請一兩個企業(yè)幫你把網(wǎng)絡、寬帶、IDC、安全模塊等建設起來。如果自己沒有頂層設計，最后的結(jié)果只能是：每個部門都在建，但是建出來都是信息孤島。”

　　怎樣才能做好頂層設計？楊春立特別提到了曾經(jīng)引起國務院總理李克強關注的“銀川模式”。

　　4月14日，在李克強主持召開的經(jīng)濟形勢座談會上，中興通訊股份有限公司董事長侯為貴發(fā)言稱：“中興通訊與銀川市共同建設的智慧政務平臺，能夠?qū)崿F(xiàn)政府部門432項業(yè)務的一站式審批，審批時限縮短78%，企業(yè)注冊由5天取得‘四證一章’壓縮為1天?！崩羁藦妼Υ吮硎举澷p，并當即布置國辦相關負責人“組織相關部門專門去看一下”。

　　作為調(diào)研人員之一，楊春立在考察后發(fā)現(xiàn)：侯為貴提到的“智慧政務平臺”，僅是中興通訊與銀川市政府合資成立的中興(銀川)智慧產(chǎn)業(yè)有限公司所承攬的“智慧銀川”項目之一?！般y川市政府先是委托中興公司建設了一個全市范圍內(nèi)的智慧城市信息共享平臺，接下來再添加諸如智慧交通、智慧城管等具體的功能系統(tǒng)。所有系統(tǒng)都和平臺的標準規(guī)范一致?！?

　　《經(jīng)濟》記者從銀川市政府了解到，為了做好“智慧銀川”的建設，2014年，中興通訊從旗下各公司精心挑選了100余名智慧城市領域?qū)＜胰瞬?，還特別成立了中興(銀川)智慧城市研究院，與銀川市政府一道高標準規(guī)劃設計智慧城市建設方案。經(jīng)過大半年的研究論證，才確定了銀川接下來幾年的信息化建設方向。

　　不過，在楊春立看來，市級層面的規(guī)劃仍然不足以統(tǒng)觀全局，應該盡快出臺國家層面的規(guī)劃和設計?！皩嶋H上，網(wǎng)信辦的成立是一個很好的契機，可以在更高層面推進跨部門、跨領域的合作，也非常有號召力。我覺得應該更多發(fā)揮網(wǎng)信辦的功能，讓它來做頂層設計和協(xié)調(diào)?！?

　　探索適合本地的模式

　　有了頂層設計又該如何落實？這是一個沒有標準答案的問題。

　　是像上海一樣，普遍而小額的支持大量項目？還是像廣東一樣，重點分明地推進“兩化融合”？專家提示：各地信息化發(fā)展有其自身的需求和重點，不能直接套用已有的模式，必須由各地自己探索。甚至在同一個地區(qū)，“比如寧夏和銀川，省級的模式和市級的模式都可能出現(xiàn)很大的區(qū)別?！睏畲毫⒄f。

　　記者從寧夏回族自治區(qū)政府了解到，從2014年開始，寧夏自治區(qū)財政預算每年安排10億元信息化建設專項資金，用于購買信息化服務。

　　“建設的時候，寧夏區(qū)政府一分錢也不用出；采用了什么技術和系統(tǒng)、投入了多少資金、如何進行后期維護和技術更新等問題，都由企業(yè)解決，政府也不必過于關心。這對于政府來說，當然是非常方便的?！睏畲毫⒄f。

　　而據(jù)銀川市政府介紹，他們的模式更為復雜和先進，還獲得了“2014年度TOP100智慧城市——商業(yè)模式創(chuàng)新獎”、“2014年度中國領軍智慧城市”兩項大獎：市政府和中興公司按照9:1的出資比例，成立合資公司后，將共同出資10億元進行“智慧銀川”的前期建設，此后50年內(nèi)，市政府將每年拿出2-3億元向該公司購買服務?！斑@筆收益就成為了公司穩(wěn)定的現(xiàn)金流，我們就可以將其裝入上市公司，籌集更多資金進行信息化建設上市以后，銀川市政府還可以將其持有的股票變現(xiàn)，收回前期投入和后期購買服務的支出，這就是銀川模式最先進的地方?！?

　　實際上，銀川采用的辦法就是目前被廣泛引入公共基礎設施建設的PPP模式(即公私合作模式)。在該模式下，政府和企業(yè)全程參與，雙方合作的時間更長，信息也更加對稱。

　　不過，在清華大學建設管理系教授、PPP專家王守清看來，這種PPP模式同樣存在著不小的風險。“銀川市政府對于合資公司的上市預期是否過于樂觀？企業(yè)投資者和股民會不會買賬？如果沒有人買股票，那時又如何收拾殘局？將來政府和企業(yè)風險如何分擔、利益如何共享？又如何能發(fā)揮出企業(yè)的能動性和創(chuàng)造性？”都是要認真思考的問題。

　　鏈接一：

　　“白帽子”是怎么發(fā)現(xiàn)網(wǎng)絡漏洞的？

　　“如果一天你突然發(fā)現(xiàn)，整個城市的商店和銀行一到夜里就門戶洞開，幾乎所有地方都可以自由出入，你會做什么？有的人會選擇肆意偷竊和破壞，也有的人會選擇去提醒和修復這些問題。黑客里邊的‘白帽子’就是后者?！?

　　這是王音在知乎寫下的一段話，其后還跟著顧城的那句名詩：黑夜給了我黑色的眼睛，我卻用它尋找光明。在他看來，這大概是對“白帽子們”的最佳注解。

　　“我們從來都不是刻意去找漏洞?！彼f?！鞍酌弊印敝阅馨l(fā)現(xiàn)漏洞，是因為其在使用或了解某個系統(tǒng)的過程中，察覺到系統(tǒng)在設計的時候未進行足夠的安全考慮；反過來講，被“黑”是因為用戶使用了某個存在漏洞的系統(tǒng)，或錯誤地使用了某個系統(tǒng)。

　　王音給《經(jīng)濟》記者打了個比方：假設某種品牌的門鎖提供IC卡+指紋+密碼三種開門模式，很可能由于設置和修改密碼的技術難度比較大，很多人會選擇方便的IC卡和指紋，而間接忽略了密碼這種開門方式?！耙苍S有一天你會發(fā)現(xiàn)，不需要IC卡和指紋，只要輸入9999就能開門。這個時候，你就會去想試試別人家的門是不是也有這種安全缺陷。”

　　 鏈接二：

　　國外如何支配信息化建設資金？

　　歐洲方面，自提出“歐洲數(shù)字化議程”促進信息化發(fā)展后，歐盟已經(jīng)投入92億歐元用于建設歐洲的高速、特高速寬帶網(wǎng)絡以及改善數(shù)字化服務；為期7年的“地平線2020”科研規(guī)劃提案，也將預計耗資約800億歐元加強信息技術領域的研發(fā)。

　　日本2012年的信息化建設相關預算則達到了1147.3億日元，主要支持利用信息通信技術實現(xiàn)經(jīng)濟增長戰(zhàn)略、增強信息通信技術領域的國際競爭力、促進信息通信技術在教育醫(yī)療和環(huán)境等領域的應用、促進寬帶普及與應用、豐富并加強能引領下一代的研發(fā)活動。

　　領跑信息化發(fā)展的美國，在IT領域撥款也十分可觀，2012年達到了750億美元。其中，國防部門升級基礎設施和作戰(zhàn)部信息系統(tǒng)的預算高達338億美元，占比將近一半。有研究發(fā)現(xiàn)，盡管開支最大的項目總會涉及IT基礎設施的組建升級，但是獲得撥款最多的卻是在政府部門之間的應用數(shù)據(jù)交換系統(tǒng)。