习近平总书记最近在接受@@《华尔街日报@@》采访时强调@@,互联网@@这块@@“新疆域@@”不是@@“法外之地@@”,同样要讲法治@@,同样要维护国家主权@@、安全@@、发展利益@@。随着新一代信息技术的发展和@@“互联网@@+”的推进@@,网络安全@@@@、信息安全@@问题变得越来越突出@@。
网络安全@@@@,既包含实体物理空间@@的安全@@@@,也包含虚拟数字空间@@的安全@@@@(信息安全@@也在其内@@)。网络安全@@@@是在对抗状态下的安全@@@@,存在着攻防甚至敌对关系@@。所以@@,重要信息领域必须做到没有后门@@。这里要说明的是@@,后门与漏洞@@是有区别的@@。后门是指那些人为设置的@@、能绕过安全@@性控制而获取对系统控制或@@访问权的秘密机制@@。设置方可以随时利用后门更改系统设置@@,使用方很难发觉@@。后门的危害很大@@。它就好像是被人埋下的@@“定时炸弹@@”或@@“特洛伊木马@@”,随时会造成严重损害@@。后门又是可以避免的@@。只要是由可信赖的人员@@,用可信任的软硬件在严格管理下构成的系统@@,就可以保证没有后门@@。“漏洞@@”是由于系统存在某种缺陷@@,从而使攻击者能够在未被授权的情况下进行访问或@@破坏的机制@@。漏洞@@不同于后门@@,它难以避免@@,只能在被发现时予以修补@@,在被攻击时予以加固@@。
基于上述原因@@,信息核心技术@@自主可控@@,不受制于人就显得尤为重要@@。尽管自主可控不等@@于安全@@@@,但@@它是网络安全@@@@的必要条件@@。如果信息核心关键技术和基础设施受制于人@@,那么由此构成的信息系统就像沙滩上的建筑@@,在遭到攻击时顷刻间便会土崩瓦解@@。
目前@@,社会上有一些模糊观念需要澄清@@。有人认为@@,市场上占据垄断地位的信息核心技术@@不可能存在后门@@。但@@“棱镜门@@”等@@事件告诉我们@@,这是一种不切实际的幻想@@。也有人认为@@@@,可以通过引进技术实现更快的发展@@。事实上@@,引进消化吸收再创新固然是一种发展途径@@,然而有的引进项目并非是先进的@@、有长远前途的@@,有的是短期里我们消化不了的@@,有的是我们不能完全掌控的@@。如果对引进项目不作充分的评估@@,只图眼前便捷省事@@,放弃自主创新的努力@@,那么若干年后我们将全盘依赖引进@@,完全受制于人@@,国家安全@@将遭受严重威胁@@。
我国@@《国家安全@@法@@》第@@24条规定@@,“国家加强自主创新能力建设@@,加快发展自主可控的战略高新技术和重要领域核心关键技术@@”。第@@25条规定@@,“实现网络和信息核心技术@@@@、关键基础设施和重要领域信息系统及数据的安全@@可控@@”。可见@@,强调自主可控是有法可依的@@。当然@@,在自主可控的基础上@@,我们还需要实现安全@@可控或@@者自主可控安全@@可信这样更高的要求@@。
自主可控包含知识产权@@、技术能力@@、发展主动权@@、供应链等@@方面@@。在当前的国际竞争格局下@@,知识产权自主可控十分重要@@,做不到这一点就一定会受制于人@@。技术能力@@自主可控@@,意味着要有足够规模的@@、能真正掌握该技术的科技队伍@@。技术能力@@可以分为一般技术能力@@@@、产业化能力@@、构建产业链能力和构建产业生态系统能力等@@层次@@@@。发展主动权@@自主可控@@,是因为我们不但@@要着眼于现在@@,还要在今后相当长的时期里@@,对相关技术和产业而言@@,都能不受制约地发展@@。供应链自主可控@@,是指一个产品的供应链可能很长@@,如果其中的一个或@@某些环节不能自主可控@@,也就不能满足自主可控的要求@@。例如对于复杂的@@CPU芯片@@,我们拥有知识产权@@,也有技术能力@@@@,能够在设计方面不受制于人@@。但@@是@@,如需依赖外国才能进行生产@@,那么仍然没有达到自主可控的要求@@。
令人担忧的是@@,目前@@“国产@@”产品还没有统一的评估标准@@。人们大多根据产品和服务提供者资本构成的@@“资质@@”进行评估@@,包括内资@@(国有@@、混合所有制@@、民营@@)、中外合资和外资等@@@@,还包括近来出现的@@“VIE”等@@。考察这类资质@@是必要的@@,但@@除此之外@@,还应采用@@“增值@@”准则对@@“国产@@化程度@@”加以评估@@。这是发达国家的经验@@。美国国会在@@1933年通过的@@《购买美国产@@品法@@》,要求联邦政府采购要买本国产@@品@@,即在美国生产的@@、增值@@达到@@50%以上的产品@@,进口件组装@@的不算本国产@@品@@。采用上述@@“增值@@”准则来评估@@“国产@@”,比较合理@@。因为如果某项产品和服务在中国的增值@@很小@@,意味着它可能就是从国外进口的@@,达不到自主可控的要求@@。如果实行@@“增值@@”估算@@,贴牌@@、组装@@、集成等@@@@“假国产@@@@”就难以立足@@。对于保障网络安全@@@@@@、信息安全@@而言@@,制订自主可控的评估标准意义重大@@,势在必行@@。
作者@@:中国信息化百人会学术委员会委员@@、中国工程院院士倪光南@@@@
