中国工程院院士 沈昌祥

发展我国信息安全产业的重要性和迫切性

    信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的象征，是未来国际竞争的"杀手铜"。信息安全产品是技术安全防护的物质基础和主要手段，是建立安全信息系统必不可少的环节，没有信息系统安全产品，就不可能建立安全信息系统。信息安全产业落后、不能自主生产所需的安全产品，将直接威胁国家、民族的安危。当前，我国正在加快国民经济和社会信息化进程，急需要有足够的国家自主的信息安全产品，这为发展信安全提供了大好机遇。抓住机遇，加快我国信息安全产业的发展是"当务之急"。

（一）信息安全产业是战略性核心产业

    信息是社会发展的重要战略资源。国际上围绕信息的获取、使用和控制的斗争愈演愈烈，信息安全成为维护国家安全和社会稳定的一个焦点，各国都给予极大的关注和投入。优先发展信息安全产业。我国大量建设的各种信息化系统已逐步成为国家关键基础设施，其中电信、电子商务，金融业务等许多网络要与国际接轨。如果没有良好的信息安全屏障，将全方位地危及我国的政治、军事，经济，文化，社会生活的各个方面，使国家处于信息战和高度经济金融风险的威胁之中。因此，用我国信息安全产业的产品构筑牢固的信息安全屏障，是刻不容缓的战略任务。

（二）独立自主发展信息安全产业将有力推进国家信息化进程

    我国信息化建设需要的大量基础设备依靠国外引进，引进的设备中的核心芯片和系统内核逻辑编程都掌握在他人之手，无法保证我们的安全利用和有效监控。更为严重的是有些信息安全设备也直接引进国外一些低级别的安全产品，研究揭示其中存在着许多缺陷，存在情报机构有意埋伏安全陷阱的可能。我国所建的信息系统防护能力很差，许多应用系统处于不设防状态，完全受制于人。由于我国的信息安全技术落后，目前还不能解决网络系统国家机密信息的安全保密问题，进口安全设备不仅不安全，而且高等级的安全产品国外禁止我们进口。因此建设的网络信息系统只能以行政手段，对使用作了种种限制，以防泄密，使信息系统不能充分发挥作用，严重制约着国家信息化的进程。走独立自主的发展道路，大力发展自主技术的信息安全产业，用自己的安全设备加强信息与网络的安全性，使信息系统建得安全、用得放心，这将有力推进国家信息化建设的进程。 （三）发展信息安全产业将促进其它信息产业发展信息安全产业包括硬件、软件和相关技术，与其他信息产业产品密切相联，它将与通信、计算机，网络等产品更新换代融为一体，构成信息系统。同时安全的信息产品以集成电路为基础，组合成各种各样的安全电子原器件，应用于信息处理各个环节。另外，高安全等级的系统软件，如安全操作系统、安全数据库等，是重要的信息安全产品。信息安全产业发展势必带动一批信息产业突破性的发展，促进整个信息产业的发展。全球信息化浪碉为信息窍全产业提供了巨大的市场。世界有名的公司想方设法企图打入中国市场，由于信息安全产品的特殊性，国家有关法规保护国内市场，发展信息安全产业正面临一次难得的历史发展机遇。只要我们对策恰当，措施有力，充分利用已有的人才优势和巨大的国内市场，加强政府的主导和政策的扶持，完全有可能抓住当前有利时机，把我国的信息安全产业振兴起来。

信息安全产业概况与存在的问题

(一)我国信息安全产业的现状

    我国信息安全研究经历了通信保密、计算机数据保护两个发展阶段。在安全体系的构作和评估方面，通过学习、吸收，消化TCSEC的准则，进行了安全操作系统、多级安全数据库的研制：但由于系统安全内核受控于人，以及国外产品的不断更新升级，基于具体产品的增强安全功能的成果难以保证没有漏洞，难以得到推广应用。在学习借鉴国外技术的基础上，国内一些部门也开发研制了一些防火墙、安全路由器，安全网关，黑客人侵检测、系统脆弱性扫描软件等。国家还成立了有关信息安全评测认证机构，已有100多个产品进行了评测检验。但是，这些安全产品的完善性、规范性、实用性还存在许多不足，特别是在多平台的兼容性、多协议的适应性、多接口的满足性方面存在较大距离，产业化程度更不够。

    随着国家信息化的推进，对信息安全产品和系统的需求越来越大。最近，中国人民银行作出决定，要求银行信息系统建设用于信息安全的投资不得小于总投资的15%。据统计，我国信息化建设投资达5000亿元人民币，按用于信息安全投资占总投资的5％计算，则需要有200亿元以上产值的产业规模，才能满足安全防护的需求。但是，我国目前信息安全产品产值约5亿元人民币，远远满足不了国家信息化安全防护的需求。

    　总的来说，我国的信息安全研究起步晚，产业化投入少、力量分散，与技术先进国家有差距，自主的信息安全设备不能满足国家信息化的需求，国外高安全等级的安全产品对我国进行封锁禁售。然而我国的网络信息安全研究毕竟已具备了一定的基础和条件，尤其是在作为信息安全的核心技术--密码学研究方面积累较多，基础较好。随着国家对信息安全的重视程度提高、投人加大，恰当组织，可以取得实质性进展。目前已有不少研究单位和企业纷纷涉足信息安全技术研究和产品开发，形势喜人。尤其是1999年10月朱容基总理签发了国务院273号令（《商用密码管理条例》），由国家密码管理机构负责全国商用密码的管理工作，支持并引导商用密码产品的发展。目前在国家密码管理机构立项的以密码技术为主体的信息安全项目已达140项，承担单位近80个，通过技术鉴定的有38项，为信息产业发展奠定了一定的基础。

（二）影响我国信息安全产业发展的因素

我国信息安全产业的发展受多种因素的影响，主要表现为：

1、全民信息安全意识欠缺，有些领导重视不够。

    不少的信息系统建设时，只考虑如何发挥处理效能，没有安全防范意识，不愿把钱用在安全措施上。对信息安全产品需求不旺，主管部门检查不力。

2，管理不规范，标准不统一。

    信息安全产品是一种特殊的商品，应实行统一有效的控管。但是出现了多头管理的现象，没有形成有力支持服务于有关企业的体制，没有建立按国家标准评测的体系，更没有相应的扶植政策。

3、缺乏有效的产业投入。

    信息安全产业发展需要资金投入，在进入市场初期，风险很大，国家缺少直接投入，且尚无利用风险投资支持其发展的机制，企业缺乏正当的投融资渠道，成果未能转化为产品，有的即使成为产品也难以形成市场规模。

4、信息安全企业税赋重。

    信息安全企业的投入主要是智力和人才资源，主要费用是研发开支，而这些费用在现行税制中没有合理计算智力投入的量化抵扣，税赋重于其他工商企业，不利于国产信息安全产品的开发、销售和应用推广。

信息安全产业化的发展思路、目标和对策建议

    根据我国实际情况，应尽快制定出台信息安全产业发展政策，创造适合信息安全产业发展的环境；采用国际先进技术和创新机制，发展关键领域中的自主产品；调动各方面积极性，加强信息系统安全性，独立自主建立符合国情的信息安全产业体系。

（一）发展思路

1、充分发挥政府的主导、先导作用，加强宏现调控。

    制定适合信息化建设需要及符合信息安全产业特点的发展战略和政策，在投融资、税收、人才等方面提供良好的发展环境，在国家主导下，发挥研发单位和企业的积极性调促进信息安全产业发展。

2、以法规形式明确信息安全设施使用范围和采购政策，以需求带动产业发展。

    抓住全球数字化，网络化以及国家信息化的新机遇，大力拓宽安全产品应用范围。推动信息安全技术向其他信息产业的渗透与结合，狠抓发展网络通信和电子商务的安全产品，激励开发各行各业信息系统安全产品，以安全需求驱动信息安全产品发展，以采购政策保护国产信息安全产品发展。

3、抓住重点，自主渐进发展。

    政府统筹规划，重点支持直接涉及国家安全的、急需的、以密码技术为基础的信息安全产品；安全软件和芯片设计融合，开发嵌入式安全部件，逐步改造和替换引进的国外安全系统和设备；加强研究开发，发展面向支持各种应用的信息安全产品和信息安全系统，形成自主的信息安全产品系列和产业体系。

4、培育若干信息安全骨干企业和国产名牌产品。

    在国家有关法规条例指导下，引导企业建立技术创新，市场创新和管理创新体制，抓住标准制定和质量保证两个环节，加速科研生产一体化进程，增强企业的产品开发、经营运行、资本运作与市场开拓能力，形成一批信息安全骨干企业和高安全等级的名牌信息安全系统及产品。

5、坚持独立自主创立新的安全体系。

    坚持自主创新，建立确保国家经济与国防安全的安全体系，严格控制直接引进使用国外信息安全产品。努力引进具有国际最高水平的技术和产品，经分析、消化后吸取其精华，为我创新所用，逐步形成既能与国际主流相沟通，又能独立自成系统的安全体系结构。

（二）发展目标

    1、近期目标：到2005年，在国家安全、政府办公自动化以及金融，财税、通讯、教育等关键领域采用自主版权的安全设备和系统，基本满足不同等级的安全保密要求，在重要的信息系统中，安全建设投资达到总建设投资的10％一15％；在商用系统中，采用国产的安全产品和安全性增强的通用系统平台。形成10个以上安全产品销售收入超亿元的信息安全企业，力争达到150亿元人民币产业规模。

    2、远期目标：经过十年左右时间，实现信息安全产业规模化生产，形成解决各种复杂系统安全问题的能力，为保障国家信息化安全提供全部设备和系统，形成一批具有国际一流水平的产品，使信息安全产业在信息产业中处于核心主导地位。

（三）对策建议

1、统一领导，宏观调控，促进发展。

    积极吸收发达国家对信息安全集中管理的经验，建议在中央建立一个具有高度权威的信息安全领导组织，负责信息安全重大问题的决策，制定发展政策，协调各方关系，实施宏观调控，振兴信息安全产业。

2、抓法制，立标准，创造良好的产业发展环境。

    抓紧安全立法，建立信息安全法规体系，依法加强信息安全保障，扩展信息安全设备应用领域，确保采购国内产品。建立我国的信息技术安全标准体系，并建设国家信息安全检测评估中心，确保信息安全产品研究、开发的规范标准，提高产品的可靠性、可用性和适用性。

3、国家增加对信息安全产业发展的资金投入，鼓励风险投资，创造良好的融资环境。

    信息安全产业是直接关系国家安全的产业，国家应加强直接投入，以此带动社会资本对信息安全产业的投资。增加财政拨款，建立信息安全产业发展基金。采用项目贴息贷款、补助、奖励等方式滚动使用，用于信息安全关键技术、重点产品开发和产业化生产。

    为加速重点信息安全产品的产业化，在国家计划中设立专项，对如安全操作系统等重点项目统筹安排，采取更为优惠的投资政策。允许通过多种渠道筹集资金，建立信息安全产业风险投资基金，并对其风险投资实行减兔所得税等优惠政策。

    支持信息安全产业在国内上市融资，采取比一般高科技企业更为优惠的政策。

4、实行信息安全产品与军工产品等同的税务优惠政策。

    信息安全产业与国家安全直接相关，为增强信息安全企业的发展能力，对信息安全企业增值税实行零增值税，并享受等同于军工产品企业所得税的优惠政策。对用于信息安全产品研究，开发和生产的引进重大项目免征进口税。

5、建立信息安全技术创新体系，制定新世纪目标的专项发展计划"，推动产业化发展。

    为推动信息安全产业发展，奠定发展基础，体现国家意志和行为，应抓紧制订并实施"新世纪目标的专项发展计划"。该计划内容包括：信息安全产业发展战略、目标、重点领域、关键技术、主要产业化项目、政策措施和组织管理等部分。该计划作为国家专项计划，在主管部门统一领导下，由相应部门共同实施。为在新世纪复杂多变的国际环境中确保国家安全，在信息对抗中取得主动，必须以创新为目标，发展"杀手铜"产品。

6、稳定和吸引信息安全人才，发挥人才的积极性和创造性。

    高新技术竞争实质是人才竞争，、振兴信息安全产业关键靠人才。为调动人才的积极性和创造性，要实行知识技术股份化制度，使管理、技术能够作为资本参与分配。无形资产占信息安全企业净资产的比例可扩大到50%，鼓励信息安全企业实行员工股份期权制，形成吸引和激励企业管理人才与技术骨干的有效机制。

    增设安全保密津贴，对信息安全产品的研发、生产人员给予安全保密津贴，津贴部分免征个人所得税。

2004/3/5