被漏洞響應平臺指出其社保系統存在低級、高危漏洞的廣東省，剛剛公佈了2015年度資訊産業發展專項資金的分配方式。如無意外，這筆完全由省級財政籌集、高達2.5億元的資金，將用於支援包括中興、酷狗和湯臣倍健在內的52家企業的資訊技術項目開發。

　　像廣東一樣，江蘇、陜西、河北等地也在一邊安排鉅額資訊化專項資金“慷慨宴客”，一邊被指存在資訊系統安全問題“後院起火”。

　　每年少則幾億元，多則幾十億元的鉅額資金，為什麼沒能為資訊安全保駕護航？專項資金到底花去哪兒了？又該怎麼花？

　　系統漏洞或被置之不理

　　4月22日，補天漏洞響應平臺發佈數據稱，多省市社保及衛生系統出現大量高危漏洞，上千萬國民的個人身份、社保參繳情況、薪酬以及住房等敏感資訊存在洩露風險。

　　王音對此卻毫不吃驚。長期關注和致力於網路資訊安全的他，是國內著名第三方安全漏洞平臺烏雲網的核心“白帽子”成員，昵稱“豬豬俠”。“王音”是他在知乎社區的ID。

　　自2012年4月至今，王音在烏雲平臺共提交了197個資訊系統安全漏洞，十之八九都收到了廠商的確認和感謝，有些廠商還會主動支付酬勞。但值得玩味的是，這197個安全漏洞，竟無一涉及任何政府部門。

　　是因為政務系統更加安全嗎？當然不是。王音告訴《經濟》記者，政務系統往往採購自企業，無論是作業系統還是伺服器，並不必然比其他企業採用的更加安全。“如果企業應用的某一個系統出現了漏洞，那麼使用相同系統的政府部門也必然存在同樣的安全威脅。但是，提交政務系統的漏洞，惹上官司的風險比較高。”

　　實際上，“白帽子”前期分析、獲得漏洞的過程，與駭客行為幾乎沒有區別。只不過，他們不會惡意利用漏洞牟利，反而會通知相關機構，以便其及時修補漏洞。

　　但是，並非所有人都領“白帽子”的情，政府部門對他們類似駭客的行為尤其警惕。王音不願意惹這個麻煩。

　　除此以外，相關政府部門不認可、不回應、不修補的態度，也極大地打擊了“白帽子”們的積極性。“提交漏洞都是無償的，有時候純粹是為了獲得別人的認可，滿足自身的成就感。提交一個漏洞，政府不理，再提交一個，還是不理，那我自然就不會再關注它了。”王音説，有些部門從不修補漏洞，甚至還直接將有問題的系統下線，等到沒人關注後再上線。這一次曝光的社保系統漏洞，也不過是我國政務系統安全性問題的一個縮影。

　　然而，據第十二屆全國人大代表、湖南省經濟和資訊化委員會主任謝超英統計，包括浙江、河北、湖南等在內的我國大部分省市，都已經設立了省級資訊化專項資金。這筆錢又花去哪兒了？為什麼沒能保障涉及大量公民資訊數據的電子政務系統安全？

　　專項資金挪作他用

　　《經濟》記者檢索多地資訊化專項資金的分配結果後發現，這筆少則幾億元，多則幾十億元的鉅額支出，大多用於支援當地智慧社區、智慧製造等智慧項目的開發建設，極少用於資訊安全領域。

　　經中國電子資訊産業發展研究院評估、在全國各省市資訊化發展指數排名中位列第一的上海市，僅2014年就接連審核通過了3批、231個申報市級資訊化發展專項資金項目，涉及總金額1.85億元。從公示結果看，智慧社區、智慧園區、雲平臺、大數據等智慧項目佔據其中大半，僅有406萬元用於網路安全的宣傳推廣和研究建設。

　　排名第五的廣東省也不甘落後。其2015年安排的2.57億元省級專項資金中，除用於制定發展規劃、監測資訊産業發展和光纖建設的426萬元外，其餘資金全部用於支援52家企業推進智慧製造、物聯網技術及智慧公共平臺的建設開發。

　　排名靠後但進步飛速的寧夏，更是在2015年安排了10億元省級資訊化建設專項資金。寧夏回族自治區資訊化建設辦公室處長邵波濤告訴《經濟》記者，與其他地區不同，寧夏的專項資金並非直接撥付給項目單位，而是用於購買企業服務。“每年不一定會花這麼多，但是我們會預留出來。”

　　他向記者展示的一份書面材料中寫道：預計今年8月，覆蓋商務、社保、民政、衛生、教育、旅遊、政法和家庭的“智慧寧夏雲應用”全部上線運作；今年年底，全區統一的電子政務外網、人口數據庫、地理空間一期數據庫和電子政務公共雲平臺全部建成。無疑，這將是寧夏專項資金今年購買服務的重點。

　　與上述三地相似，各省設置的資訊化專項資金大多向智慧項目傾斜。然而，這類資金的分配方式是否合適？又為什麼會形成今天的利益格局？

　　低水準重復建設嚴重

　　中國電子資訊産業發展研究院資訊化研究中心主任楊春立告訴《經濟》記者，我國的資訊化發展，一直存在“重建設、輕維護”的問題。

　　據楊春立介紹，以前搞公共性基礎設施的資訊化建設，完全是政府自己籌集資金，自己建設。因此問題很多：不僅前期投入巨大，同時由於資訊技術更新換代極快，政府還要專門安排一部分技術人員，後期成本也非常高。“比如，我們原先用的是B/S結構(瀏覽器/伺服器模式)，後來出現了雲平臺，又要把好多資訊系統遷移到雲平臺上。對於政府部門來説，技術難度、資金支出都非常大。”

　　到後來，國家放寬了社會資本的投資領域，BT模式(即建設-移交模式)被廣泛應用到非經營性的基礎設施、公用事業資訊化領域：這種非政府資金建設項目、政府驗收合格並分期向投資方支付總投資及合理回報的建設理念，極大地緩解了財政壓力。

　　但是，硬幣的另一面卻是更高的風險。對於一些企業而言，不那麼安全的系統，才能為之帶來利潤。王音告訴《經濟》記者，為安全做考慮，需要開發人員投入大量精力，必然抬升成本。“在現實中，偷工減料，消減功能才能賺錢。”

　　更何況，BT模式依然沒有解決系統後期維護的問題。西部某市資訊化建設部門的工作人員就曾向《經濟》記者大吐苦水：“項目公司建完以後，不做任何培訓，也完全不管後期的問題。資訊技術更新這麼快，軟硬體還要更新升級，人員也要繼續培訓。這些東西政府都做不到。”

　　需要指出的是，資訊安全問題已經成為影響我國推進資訊化建設的一大“攔路虎”，甚至可能更加加重了原本就“重建設、輕維護”的發展格局。

　　據前述工作人員透露：“公安部門不肯和城管分享監控錄影，城管只好自己花錢再去安裝攝像頭。等他們裝好以後，又不肯和社區分享，整個資訊化建設都只停留在很低的層次上。”

　　多位受訪專家表示，上述情況在我國十分常見。“大家都是自己做自己的資訊化建設，而且我們必須承認，單獨看都做得非常不錯。”北京大學深圳研究生院資訊工程學院教授朱躍生説。但他同時指出，不可否認的是，低水準重復建設不僅造成了極大的資源浪費，還間接形成了大量“資訊孤島”，阻礙了資訊化的進一步發展。而造成現有局面的重要因素之一，恰恰是相關部門對於資訊安全的憂慮。

　　“比如，交通部門在和市政部門共用數據前，必須先確立一套完善的資訊交互授權機制——你只能挖掘我的汽車流量資訊，不能挖具體哪一部車的資訊——否則十分容易出現資訊管理的安全問題。而在授權機制尚不完善的情況下，考慮到資訊安全，不分享數據也是情有可原。”朱躍生説。

　　做好頂層設計，告別“資訊孤島”

　　依此看來，我國的資訊化建設，就只能陷在這個以安全為名而不斷進行低水準建設的怪圈中嗎？資訊化資金到底應該怎麼花？

　　楊春立和朱躍生均不約而同地指出，先做好“頂層設計”，才能接著討論應該怎樣“花錢”。

　　“2008年以來，我國電子政務的發展進程明顯變慢，凡是需要跨部門、跨領域的工作都難以推進。”楊春立説指出，根本原因就在於缺乏頂層設計。“現在，企業開始推進‘兩化融合’、智慧製造，要求各個資訊系統彼此互聯互通、共用整合，他們也出現了類似的問題——沒有介面標準，資訊系統應用的也不是同種語言，根本無法連接。”

　　朱躍生也認為，沒有標準確實是個問題，但從技術上講並不複雜，只要國家層面協調好各方需求，做好頂層設計，是非常容易解決的。但是，朱躍生發現，政府部門似乎沒有意識到頂層設計的重要性。“深圳的區政府經常讓我推薦一些企業，幫助他們搞自己轄區內的智慧建設。但我會告訴他們，你需要先把架構設計出來，哪個部門該做什麼，都要分配清楚。等到實施的時候，再請一兩個企業幫你把網路、寬頻、IDC、安全模組等建設起來。如果自己沒有頂層設計，最後的結果只能是：每個部門都在建，但是建出來都是資訊孤島。”

　　怎樣才能做好頂層設計？楊春立特別提到了曾經引起國務院總理李克強關注的“銀川模式”。

　　4月14日，在李克強主持召開的經濟形勢座談會上，中興通訊股份有限公司董事長侯為貴發言稱：“中興通訊與銀川市共同建設的智慧政務平臺，能夠實現政府部門432項業務的一站式審批，審批時限縮短78%，企業註冊由5天取得‘四證一章’壓縮為1天。”李克強對此表示讚賞，並當即佈置國辦相關負責人“組織相關部門專門去看一下”。

　　作為調研人員之一，楊春立在考察後發現：侯為貴提到的“智慧政務平臺”，僅是中興通訊與銀川市政府合資成立的中興(銀川)智慧産業有限公司所承攬的“智慧銀川”項目之一。“銀川市政府先是委託中興公司建設了一個全市範圍內的智慧城市資訊共用平臺，接下來再添加諸如智慧交通、智慧城管等具體的功能系統。所有系統都和平臺的標準規範一致。”

　　《經濟》記者從銀川市政府了解到，為了做好“智慧銀川”的建設，2014年，中興通訊從旗下各公司精心挑選了100余名智慧城市領域專家人才，還特別成立了中興(銀川)智慧城市研究院，與銀川市政府一道高標準規劃設計智慧城市建設方案。經過大半年的研究論證，才確定了銀川接下來幾年的資訊化建設方向。

　　不過，在楊春立看來，市級層面的規劃仍然不足以統觀全局，應該儘快出臺國家層面的規劃和設計。“實際上，網信辦的成立是一個很好的契機，可以在更高層面推進跨部門、跨領域的合作，也非常有號召力。我覺得應該更多發揮網信辦的功能，讓它來做頂層設計和協調。”

　　探索適合本地的模式

　　有了頂層設計又該如何落實？這是一個沒有標準答案的問題。

　　是像上海一樣，普遍而小額的支援大量項目？還是像廣東一樣，重點分明地推進“兩化融合”？專家提示：各地資訊化發展有其自身的需求和重點，不能直接套用已有的模式，必須由各地自己探索。甚至在同一個地區，“比如寧夏和銀川，省級的模式和市級的模式都可能出現很大的區別。”楊春立説。

　　記者從寧夏回族自治區政府了解到，從2014年開始，寧夏自治區財政預算每年安排10億元資訊化建設專項資金，用於購買資訊化服務。

　　“建設的時候，寧夏區政府一分錢也不用出；採用了什麼技術和系統、投入了多少資金、如何進行後期維護和技術更新等問題，都由企業解決，政府也不必過於關心。這對於政府來説，當然是非常方便的。”楊春立説。

　　而據銀川市政府介紹，他們的模式更為複雜和先進，還獲得了“2014年度TOP100智慧城市——商業模式創新獎”、“2014年度中國領軍智慧城市”兩項大獎：市政府和中興公司按照9:1的出資比例，成立合資公司後，將共同出資10億元進行“智慧銀川”的前期建設，此後50年內，市政府將每年拿出2-3億元向該公司購買服務。“這筆收益就成為了公司穩定的現金流，我們就可以將其裝入上市公司，籌集更多資金進行資訊化建設上市以後，銀川市政府還可以將其持有的股票變現，收回前期投入和後期購買服務的支出，這就是銀川模式最先進的地方。”

　　實際上，銀川採用的辦法就是目前被廣泛引入公共基礎設施建設的PPP模式(即公私合作模式)。在該模式下，政府和企業全程參與，雙方合作的時間更長，資訊也更加對稱。

　　不過，在清華大學建設管理系教授、PPP專家王守清看來，這種PPP模式同樣存在著不小的風險。“銀川市政府對於合資公司的上市預期是否過於樂觀？企業投資者和股民會不會買賬？如果沒有人買股票，那時又如何收拾殘局？將來政府和企業風險如何分擔、利益如何共用？又如何能發揮出企業的能動性和創造性？”都是要認真思考的問題。

　　連結一：

　　“白帽子”是怎麼發現網路漏洞的？

　　“如果一天你突然發現，整個城市的商店和銀行一到夜裏就門戶洞開，幾乎所有地方都可以自由出入，你會做什麼？有的人會選擇肆意偷竊和破壞，也有的人會選擇去提醒和修復這些問題。駭客裏邊的‘白帽子’就是後者。”

　　這是王音在知乎寫下的一段話，其後還跟著顧城的那句名詩：黑夜給了我黑色的眼睛，我卻用它尋找光明。在他看來，這大概是對“白帽子們”的最佳注解。

　　“我們從來都不是刻意去找漏洞。”他説。“白帽子”之所以能發現漏洞，是因為其在使用或了解某個系統的過程中，察覺到系統在設計的時候未進行足夠的安全考慮；反過來講，被“黑”是因為用戶使用了某個存在漏洞的系統，或錯誤地使用了某個系統。

　　王音給《經濟》記者打了個比方：假設某種品牌的門鎖提供IC卡+指紋+密碼三種開門模式，很可能由於設置和修改密碼的技術難度比較大，很多人會選擇方便的IC卡和指紋，而間接忽略了密碼這種開門方式。“也許有一天你會發現，不需要IC卡和指紋，只要輸入9999就能開門。這個時候，你就會去想試試別人家的門是不是也有這種安全缺陷。”

　　 連結二：

　　國外如何支配資訊化建設資金？

　　歐洲方面，自提出“歐洲數字化議程”促進資訊化發展後，歐盟已經投入92億歐元用於建設歐洲的高速、特高速寬頻網路以及改善數字化服務；為期7年的“地平線2020”科研規劃提案，也將預計耗資約800億歐元加強資訊技術領域的研發。

　　日本2012年的資訊化建設相關預算則達到了1147.3億日元，主要支援利用資訊通信技術實現經濟增長戰略、增強資訊通信技術領域的國際競爭力、促進資訊通信技術在教育醫療和環境等領域的應用、促進寬頻普及與應用、豐富並加強能引領下一代的研發活動。

　　領跑資訊化發展的美國，在IT領域撥款也十分可觀，2012年達到了750億美元。其中，國防部門升級基礎設施和作戰部資訊系統的預算高達338億美元，佔比將近一半。有研究發現，儘管開支最大的項目總會涉及IT基礎設施的組建升級，但是獲得撥款最多的卻是在政府部門之間的應用數據交換系統。