两年前,招标文件的技术评分表里,“信创适配”还挤在加分项末尾;现在,它直接出现在了入门条款里——乙方系统若不在国产化适配清单上,连投标资格都没有。系统选型讨论的焦点也从“要不要做信创”变成了“什么时候做完”。
这篇文章理清三个问题:信创怎么从加分项变成硬指标;当前处于什么阶段、下一步怎么走;以及怎么判断你的系统是否在第一批替换名单上。
政策演变的底层逻辑:从“可用”到“必须自主”
信创不是突然冒出来的新概念
信息技术领域的“自主可控”诉求,至少可以倒推二十年。十六个国家重大科技专项之一的“核高基”,从2006年就写进了规划,目标直接指向核心电子器件、高端通用芯片和基础软件。2013年棱镜门事件,更把“关键基础设施运行在他国软件架构上”的风险摊在了台面上——底层操作系统、数据库、中间件,一旦被远程关停或预留后门,受影响的不限于办公网络,还包括电水气热、金融交易、交通调度。
2016年是个信号更强的拐点。《国家信息化发展战略纲要》把网络安全和信息化上升为一盘棋,随后信创工程启动,“鼓励自主创新”的调子开始变成“分阶段、分领域替代”。这一时期的合规动作更多是表态,实际落地还集中在党政机关办公系统,企业仍以观望为主。
关键政策节点的压力升级
真正的压力升级,几乎每一次都能对应一个外部断供或安全事件。
2018年中兴禁运,让关键器件进口依赖变成了经营存亡问题;202年前后,EDA设计工具、先进制程芯片的出口管制接踵而至,硬件“卡脖子”从实验室走向产线。同一时期,开源软件供应链攻击次数年增数倍,红帽、Docker、Log4j等平台级漏洞波及大量境内业务系统。每一次事故都在推动政策限期的收紧。
把几个关键政策节点放进时间轴,变化一目了然:
- 2017年《网络安全法》正式实施,要求关键信息基础设施运营者(CIIO)确保“安全可信”,为信创预留了法规入口,但未指定技术路线。
- 2021年“十四五”规划将供应链安全列为重点,首次在五年规划层面提出“全面加强网络安全保障体系和能力建设”,并要求加快关键核心技术创新应用。
- 2023年《数字中国建设整体布局规划》将“安全可控”定位为数字基础设施的两大支柱之一,信创从“优选”变成“刚需”。
- 2024至2025年间,多个行业主管部门密集发布信创替代时间表:政务信息化系统的国产化率纳入考核;金融机构核心交易系统限期完成全栈适配;能源、交通、电信等央国企被明确要求分批列出替代清单,2027年前必须完成关键系统切换。
外部断供没有减缓迹象,政策替代表就不再只是“建议”了。合规审计要看的不是“是否启动”,而是“覆盖率和进度基线”。
“必选”背后的三重推力
合规推力:从“目录制度”转向“清单式考核”
信创合规的紧度,从前后的目录机制变化能看得最清。2018年首批《信创产品目录》主要起指导作用,各地采购清单上写的是“优先采购”。而近两年各省市发布的《信息技术应用创新替代工程清单》已是另一回事:不再泛泛推荐,而是按系统编号列出必须替代的项目,附带年度验收目标。
等保2.和《关键信息基础设施安全保护条例》把信创要求嵌进了底层合规框架。等保三级及以上系统的测评项里,“采用自主可控安全技术”从建议项变成了基本要求;关基条例更直白——CIIO若因未做替代而引发安全事件,责任倒查会一直落到决策层。审计上谁也不敢赌“替代不彻底只是技术问题”,因为从合规角度看,已经是可量化、可追究的责任项。
供应链安全推力:外部断供倒逼内部替代
很多企业最初做信创,不是怕不合规,而是怕系统停摆。
2023年某EDA公司宣布停止为中国特定客户提供更新服务;2024年多家基础软件厂商变更许可策略,限制部分行业客户使用商业版。如果把ERP、SRM、MES这类直接关联生产和采购的核心系统跑在受限制的商业软件、商业数据库上,一旦许可证被收回或断供,影响的远不止IT运维,而是从采购订单到生产排程整个链条的账面损失。
国产SRM领域的变化是一个缩影。当关键业务系统正从“可选信创”转向“必须信创”时,正远数智等厂商的SRM已通过全栈国产化适配,可在麒麟操作系统、达梦数据库、飞腾CPU等环境下平滑运行,让采购数字化这类刚需业务避开断供风险。
内部效率推力:从成本包袱到可用的替代品
如果国内替换方案还停留在稳定性差、适配混乱的阶段,再多政策推力也只会换来应付式验收。但目前家用PC级的办公替代已成常态,国产服务器、数据库在事务处理场景的可用度也在提升。部分领域国产系统在流程敏捷度和本地化服务上已经跑赢了国外产品。
以合同管理和数字化采购为例,国内厂商可以在信创基座上提供低代码搭建能力,实施周期比传统迁移方案缩短一半以上。当替代本身能带来业务效率的提升——比如审批流更短、二次开发响应更快——信创就不再是纯支出,而是一次合理的架构重置。
当前阶段与下一步趋势:正在发生的“分行业分系统”抢跑
如何判断自己处于信创的哪个时间窗口
企业性质、行业属性、系统类型三个维度交叉一画,大致能判断自己处在强制、积极试点还是观察区间。
央国企和涉密单位:基础设施与关键业务系统的窗口正加速关闭,多数任务节点指向2027年,不是在讨论做不做,而是在确认还差多少没做完。民营制造、零售等行业:B2B供应链客户已把信创条款写入采购合同,不作回应可能直接丢失订单资格,通常处于“试点窗口”;围绕ERP、SRM、MES等核心系统的替代节奏,要先匹配业务连续性,再对标合规度。非核心的内部文档工具、会议系统可缓,但不宜拖过两年,因为信创生态成熟后,迁移成本反而可能上升。
今后两三年可能加速的三个方向
第一个是行业延伸。信创替代正从党政、金融、电信,向制造业、物流、能源等实体产业迁移,逻辑是供应链主企业一旦纳入合规考核,会通过供应商准入条款将压力传导给上下游,形成事实上的行业信创链。
第二个是从办公系统到业务系统的替代覆盖。非核心系统已完成大量替换,现在重点转向对业务有直接影响的系统——比如SRM、PLM、MES。但针对复杂度高的生产制造系统,企业更倾向于在系统升级或重构时采用信创底座进行适配,而非强行推倒重来。
第三个是信创与ESG合规、数据出境安全要求互相捆绑。国际业务多的企业,在数据跨境传输时援引国产化架构来证明数据不出境、存储在本土合规环境,正成为一条新的解释路径。这意味着信创可能不再是单一的替代要求,而是进入综合合规体系的一部分。
企业怎么规划才不会被动:可执行的四步清单
第一步:厘清家底——系统清单与供应链依赖
拉一份完整的IT资产表:系统名称、厂商、技术栈、部署模式、外连系统,以及供应商的许可条款和属地。重点标出两类:一是基础软件组件受出口管制或允许单方面终止服务;二是业务系统承载了敏感数据且供应商不在境内。这份清单会直接决定第二步的优先级。
第二步:判定优先级——按受约束程度分类
用一个简单的判断矩阵定分类:纵轴是系统失效对业务连续性的打击程度,横轴是合规缺口急迫度。哪些系统两者都高?——那就是“必替”类,需设置明确时间节点,不再延后。哪些系统目前合规冲击低,但断供影响大?——归为“适配”类,可暂用现有产品但须准备国产化迁移方案。其余日常管理工具归为“暂缓”类,等自然生命周期末尾再替换。
第三步:选对路径——不是所有系统都要推倒重来
实际落地分三种方式:第一,直接切换到成熟的国产成品软件,比如办公套件、邮件系统、电子签章;第二,在国产底层上做二次封装或开发,结合低代码平台重构业务逻辑,不改数据库和操作系统内核直接牵涉代码资产;第三,混合多云架构逐步迁移,先将数据层平移至国产数据库,再逐层替换应用层,控制切换风险。
复杂业务系统不建议一刀切。以采购数字化为例,一些厂商已基于低代码平台完成信创底座适配,企业可以保留原有业务流程设计,仅做底层运行环境的迁移,改造代价比想象中小得多。
第四步:设定可验收的里程碑
建议以季度为单位设信创合规度指标,如“关键系统国产化率”“数据链路信创适配完成度”等等。现实进度参考:第一年集中解决非核心办公系统和边缘应用;第二年启动核心业务系统试点,如选择一条业务线的SRM或合同系统全链路跑通;第三年实现关键系统替换并完成审计达标,交付可复用的迁移资产。
常见问题解答
信创替代有时间表吗?2027年真的是最后期限?
2027年并非全国统一的硬性死线,但已经被多个关键行业的监管文件提及。党政、金融、电信、能源等关键信息基础设施领域,明确要求2027年前完成核心系统替代。其他行业暂无强制节点,但供应链合规已经在推着企业往前走,出于避免临时抢跑风险的考虑,多数IT负责人会把2027当作一个内在的截止日。
民营企业做信创有什么实际好处?
最直接的是保住供应商资格——越来越多的大型客户在采购条款里加入了信创适配要求。其次,避免因国外软件许可被收回或断供而直接影响业务。第三点容易被低估:国产软件的本地服务团队响应速度更快,二次开发成本可控,尤其是在SRM、合同管理这类高频系统上,长期拥有成本可能更低。
信创系统性能和稳定性够吗?
办公类系统和通用管理软件已经成熟,替换后用户几乎感知不到差异。大型ERP、MES等核心业务系统,国产方案与国外顶级产品之间仍有差距,但在多数中大型企业的实际场景中,通过适配和定制已能达到可用水平。不走极端:想立刻把主干工业软件100%替换,确实还有风险;先替掉数据链路中受合规约束最紧的那几环,是当前落地的主流策略。
现有的国外系统必须马上替换吗?
不完全是。如果系统不承载敏感数据、也不属于关基领域,可以采用“退役自然替换”策略:等到旧系统合同到期、大版本升级或需要重构时,优先选择信创方案,可以分散一次性投资的压力,减少业务中断。
信创对已有IT团队有什么技术能力要求?
需要补充国产数据库、中间件、操作系统的运维能力,但刻意渲染学习曲线陡峭并不符合现状。多数国产基础软件的操作界面和管理工具已向主流商业产品靠拢,DBA和系统工程师经过短周期培训即可接手日常运维。更现实的压力来自多品牌适配测试的复杂度,而不是单一技术的上手难度。
