被漏洞响应平台指出其社保系统存在低级、高危漏洞的广东省，刚刚公布了2015年度信息产业发展专项资金的分配方式。如无意外，这笔完全由省级财政筹集、高达2.5亿元的资金，将用于支持包括中兴、酷狗和汤臣倍健在内的52家企业的信息技术项目开发。

　　像广东一样，江苏、陕西、河北等地也在一边安排巨额信息化专项资金“慷慨宴客”，一边被指存在信息系统安全问题“后院起火”。

　　每年少则几亿元，多则几十亿元的巨额资金，为什么没能为信息安全保驾护航？专项资金到底花去哪儿了？又该怎么花？

　　系统漏洞或被置之不理

　　4月22日，补天漏洞响应平台发布数据称，多省市社保及卫生系统出现大量高危漏洞，上千万国民的个人身份、社保参缴情况、薪酬以及住房等敏感信息存在泄露风险。

　　王音对此却毫不吃惊。长期关注和致力于网络信息安全的他，是国内著名第三方安全漏洞平台乌云网的核心“白帽子”成员，昵称“猪猪侠”。“王音”是他在知乎社区的ID。

　　自2012年4月至今，王音在乌云平台共提交了197个信息系统安全漏洞，十之八九都收到了厂商的确认和感谢，有些厂商还会主动支付酬劳。但值得玩味的是，这197个安全漏洞，竟无一涉及任何政府部门。

　　是因为政务系统更加安全吗？当然不是。王音告诉《经济》记者，政务系统往往采购自企业，无论是操作系统还是服务器，并不必然比其他企业采用的更加安全。“如果企业应用的某一个系统出现了漏洞，那么使用相同系统的政府部门也必然存在同样的安全威胁。但是，提交政务系统的漏洞，惹上官司的风险比较高。”

　　实际上，“白帽子”前期分析、获得漏洞的过程，与黑客行为几乎没有区别。只不过，他们不会恶意利用漏洞牟利，反而会通知相关机构，以便其及时修补漏洞。

　　但是，并非所有人都领“白帽子”的情，政府部门对他们类似黑客的行为尤其警惕。王音不愿意惹这个麻烦。

　　除此以外，相关政府部门不认可、不回应、不修补的态度，也极大地打击了“白帽子”们的积极性。“提交漏洞都是无偿的，有时候纯粹是为了获得别人的认可，满足自身的成就感。提交一个漏洞，政府不理，再提交一个，还是不理，那我自然就不会再关注它了。”王音说，有些部门从不修补漏洞，甚至还直接将有问题的系统下线，等到没人关注后再上线。这一次曝光的社保系统漏洞，也不过是我国政务系统安全性问题的一个缩影。

　　然而，据第十二届全国人大代表、湖南省经济和信息化委员会主任谢超英统计，包括浙江、河北、湖南等在内的我国大部分省市，都已经设立了省级信息化专项资金。这笔钱又花去哪儿了？为什么没能保障涉及大量公民信息数据的电子政务系统安全？

　　专项资金挪作他用

　　《经济》记者检索多地信息化专项资金的分配结果后发现，这笔少则几亿元，多则几十亿元的巨额支出，大多用于支持当地智慧社区、智能制造等智慧项目的开发建设，极少用于信息安全领域。

　　经中国电子信息产业发展研究院评估、在全国各省市信息化发展指数排名中位列第一的上海市，仅2014年就接连审核通过了3批、231个申报市级信息化发展专项资金项目，涉及总金额1.85亿元。从公示结果看，智慧社区、智慧园区、云平台、大数据等智慧项目占据其中大半，仅有406万元用于网络安全的宣传推广和研究建设。

　　排名第五的广东省也不甘落后。其2015年安排的2.57亿元省级专项资金中，除用于制定发展规划、监测信息产业发展和光纤建设的426万元外，其余资金全部用于支持52家企业推进智能制造、物联网技术及智慧公共平台的建设开发。

　　排名靠后但进步飞速的宁夏，更是在2015年安排了10亿元省级信息化建设专项资金。宁夏回族自治区信息化建设办公室处长邵波涛告诉《经济》记者，与其他地区不同，宁夏的专项资金并非直接拨付给项目单位，而是用于购买企业服务。“每年不一定会花这么多，但是我们会预留出来。”

　　他向记者展示的一份书面材料中写道：预计今年8月，覆盖商务、社保、民政、卫生、教育、旅游、政法和家庭的“智慧宁夏云应用”全部上线运行；今年年底，全区统一的电子政务外网、人口数据库、地理空间一期数据库和电子政务公共云平台全部建成。无疑，这将是宁夏专项资金今年购买服务的重点。

　　与上述三地相似，各省设置的信息化专项资金大多向智慧项目倾斜。然而，这类资金的分配方式是否合适？又为什么会形成今天的利益格局？

　　低水平重复建设严重

　　中国电子信息产业发展研究院信息化研究中心主任杨春立告诉《经济》记者，我国的信息化发展，一直存在“重建设、轻维护”的问题。

　　据杨春立介绍，以前搞公共性基础设施的信息化建设，完全是政府自己筹集资金，自己建设。因此问题很多：不仅前期投入巨大，同时由于信息技术更新换代极快，政府还要专门安排一部分技术人员，后期成本也非常高。“比如，我们原先用的是B/S结构(浏览器/服务器模式)，后来出现了云平台，又要把好多信息系统迁移到云平台上。对于政府部门来说，技术难度、资金支出都非常大。”

　　到后来，国家放宽了社会资本的投资领域，BT模式(即建设-移交模式)被广泛应用到非经营性的基础设施、公用事业信息化领域：这种非政府资金建设项目、政府验收合格并分期向投资方支付总投资及合理回报的建设理念，极大地缓解了财政压力。

　　但是，硬币的另一面却是更高的风险。对于一些企业而言，不那么安全的系统，才能为之带来利润。王音告诉《经济》记者，为安全做考虑，需要开发人员投入大量精力，必然抬升成本。“在现实中，偷工减料，消减功能才能赚钱。”

　　更何况，BT模式依然没有解决系统后期维护的问题。西部某市信息化建设部门的工作人员就曾向《经济》记者大吐苦水：“项目公司建完以后，不做任何培训，也完全不管后期的问题。信息技术更新这么快，软硬件还要更新升级，人员也要继续培训。这些东西政府都做不到。”

　　需要指出的是，信息安全问题已经成为影响我国推进信息化建设的一大“拦路虎”，甚至可能更加加重了原本就“重建设、轻维护”的发展格局。

　　据前述工作人员透露：“公安部门不肯和城管分享监控录像，城管只好自己花钱再去安装摄像头。等他们装好以后，又不肯和社区分享，整个信息化建设都只停留在很低的层次上。”

　　多位受访专家表示，上述情况在我国十分常见。“大家都是自己做自己的信息化建设，而且我们必须承认，单独看都做得非常不错。”北京大学深圳研究生院信息工程学院教授朱跃生说。但他同时指出，不可否认的是，低水平重复建设不仅造成了极大的资源浪费，还间接形成了大量“信息孤岛”，阻碍了信息化的进一步发展。而造成现有局面的重要因素之一，恰恰是相关部门对于信息安全的忧虑。

　　“比如，交通部门在和市政部门共享数据前，必须先确立一套完善的信息交互授权机制——你只能挖掘我的汽车流量信息，不能挖具体哪一部车的信息——否则十分容易出现信息管理的安全问题。而在授权机制尚不完善的情况下，考虑到信息安全，不分享数据也是情有可原。”朱跃生说。

　　做好顶层设计，告别“信息孤岛”

　　依此看来，我国的信息化建设，就只能陷在这个以安全为名而不断进行低水平建设的怪圈中吗？信息化资金到底应该怎么花？

　　杨春立和朱跃生均不约而同地指出，先做好“顶层设计”，才能接着讨论应该怎样“花钱”。

　　“2008年以来，我国电子政务的发展进程明显变慢，凡是需要跨部门、跨领域的工作都难以推进。”杨春立说指出，根本原因就在于缺乏顶层设计。“现在，企业开始推进‘两化融合’、智能制造，要求各个信息系统彼此互联互通、共享集成，他们也出现了类似的问题——没有接口标准，信息系统应用的也不是同种语言，根本无法连接。”

　　朱跃生也认为，没有标准确实是个问题，但从技术上讲并不复杂，只要国家层面协调好各方需求，做好顶层设计，是非常容易解决的。但是，朱跃生发现，政府部门似乎没有意识到顶层设计的重要性。“深圳的区政府经常让我推荐一些企业，帮助他们搞自己辖区内的智慧建设。但我会告诉他们，你需要先把架构设计出来，哪个部门该做什么，都要分配清楚。等到实施的时候，再请一两个企业帮你把网络、宽带、IDC、安全模块等建设起来。如果自己没有顶层设计，最后的结果只能是：每个部门都在建，但是建出来都是信息孤岛。”

　　怎样才能做好顶层设计？杨春立特别提到了曾经引起国务院总理李克强关注的“银川模式”。

　　4月14日，在李克强主持召开的经济形势座谈会上，中兴通讯股份有限公司董事长侯为贵发言称：“中兴通讯与银川市共同建设的智慧政务平台，能够实现政府部门432项业务的一站式审批，审批时限缩短78%，企业注册由5天取得‘四证一章’压缩为1天。”李克强对此表示赞赏，并当即布置国办相关负责人“组织相关部门专门去看一下”。

　　作为调研人员之一，杨春立在考察后发现：侯为贵提到的“智慧政务平台”，仅是中兴通讯与银川市政府合资成立的中兴(银川)智慧产业有限公司所承揽的“智慧银川”项目之一。“银川市政府先是委托中兴公司建设了一个全市范围内的智慧城市信息共享平台，接下来再添加诸如智慧交通、智慧城管等具体的功能系统。所有系统都和平台的标准规范一致。”

　　《经济》记者从银川市政府了解到，为了做好“智慧银川”的建设，2014年，中兴通讯从旗下各公司精心挑选了100余名智慧城市领域专家人才，还特别成立了中兴(银川)智慧城市研究院，与银川市政府一道高标准规划设计智慧城市建设方案。经过大半年的研究论证，才确定了银川接下来几年的信息化建设方向。

　　不过，在杨春立看来，市级层面的规划仍然不足以统观全局，应该尽快出台国家层面的规划和设计。“实际上，网信办的成立是一个很好的契机，可以在更高层面推进跨部门、跨领域的合作，也非常有号召力。我觉得应该更多发挥网信办的功能，让它来做顶层设计和协调。”

　　探索适合本地的模式

　　有了顶层设计又该如何落实？这是一个没有标准答案的问题。

　　是像上海一样，普遍而小额的支持大量项目？还是像广东一样，重点分明地推进“两化融合”？专家提示：各地信息化发展有其自身的需求和重点，不能直接套用已有的模式，必须由各地自己探索。甚至在同一个地区，“比如宁夏和银川，省级的模式和市级的模式都可能出现很大的区别。”杨春立说。

　　记者从宁夏回族自治区政府了解到，从2014年开始，宁夏自治区财政预算每年安排10亿元信息化建设专项资金，用于购买信息化服务。

　　“建设的时候，宁夏区政府一分钱也不用出；采用了什么技术和系统、投入了多少资金、如何进行后期维护和技术更新等问题，都由企业解决，政府也不必过于关心。这对于政府来说，当然是非常方便的。”杨春立说。

　　而据银川市政府介绍，他们的模式更为复杂和先进，还获得了“2014年度TOP100智慧城市——商业模式创新奖”、“2014年度中国领军智慧城市”两项大奖：市政府和中兴公司按照9:1的出资比例，成立合资公司后，将共同出资10亿元进行“智慧银川”的前期建设，此后50年内，市政府将每年拿出2-3亿元向该公司购买服务。“这笔收益就成为了公司稳定的现金流，我们就可以将其装入上市公司，筹集更多资金进行信息化建设上市以后，银川市政府还可以将其持有的股票变现，收回前期投入和后期购买服务的支出，这就是银川模式最先进的地方。”

　　实际上，银川采用的办法就是目前被广泛引入公共基础设施建设的PPP模式(即公私合作模式)。在该模式下，政府和企业全程参与，双方合作的时间更长，信息也更加对称。

　　不过，在清华大学建设管理系教授、PPP专家王守清看来，这种PPP模式同样存在着不小的风险。“银川市政府对于合资公司的上市预期是否过于乐观？企业投资者和股民会不会买账？如果没有人买股票，那时又如何收拾残局？将来政府和企业风险如何分担、利益如何共享？又如何能发挥出企业的能动性和创造性？”都是要认真思考的问题。

　　链接一：

　　“白帽子”是怎么发现网络漏洞的？

　　“如果一天你突然发现，整个城市的商店和银行一到夜里就门户洞开，几乎所有地方都可以自由出入，你会做什么？有的人会选择肆意偷窃和破坏，也有的人会选择去提醒和修复这些问题。黑客里边的‘白帽子’就是后者。”

　　这是王音在知乎写下的一段话，其后还跟着顾城的那句名诗：黑夜给了我黑色的眼睛，我却用它寻找光明。在他看来，这大概是对“白帽子们”的最佳注解。

　　“我们从来都不是刻意去找漏洞。”他说。“白帽子”之所以能发现漏洞，是因为其在使用或了解某个系统的过程中，察觉到系统在设计的时候未进行足够的安全考虑；反过来讲，被“黑”是因为用户使用了某个存在漏洞的系统，或错误地使用了某个系统。

　　王音给《经济》记者打了个比方：假设某种品牌的门锁提供IC卡+指纹+密码三种开门模式，很可能由于设置和修改密码的技术难度比较大，很多人会选择方便的IC卡和指纹，而间接忽略了密码这种开门方式。“也许有一天你会发现，不需要IC卡和指纹，只要输入9999就能开门。这个时候，你就会去想试试别人家的门是不是也有这种安全缺陷。”

　　 链接二：

　　国外如何支配信息化建设资金？

　　欧洲方面，自提出“欧洲数字化议程”促进信息化发展后，欧盟已经投入92亿欧元用于建设欧洲的高速、特高速宽带网络以及改善数字化服务；为期7年的“地平线2020”科研规划提案，也将预计耗资约800亿欧元加强信息技术领域的研发。

　　日本2012年的信息化建设相关预算则达到了1147.3亿日元，主要支持利用信息通信技术实现经济增长战略、增强信息通信技术领域的国际竞争力、促进信息通信技术在教育医疗和环境等领域的应用、促进宽带普及与应用、丰富并加强能引领下一代的研发活动。

　　领跑信息化发展的美国，在IT领域拨款也十分可观，2012年达到了750亿美元。其中，国防部门升级基础设施和作战部信息系统的预算高达338亿美元，占比将近一半。有研究发现，尽管开支最大的项目总会涉及IT基础设施的组建升级，但是获得拨款最多的却是在政府部门之间的应用数据交换系统。