一、 采用國(guó)產(chǎn)軟硬件是保障信息安全的要求

　?。ㄒ唬?自主開發(fā)才能保證信息可控

　　目前，我國(guó)信息系統(tǒng)中采用的軟硬件大多來自國(guó)外，據(jù)有關(guān)機(jī)構(gòu)統(tǒng)計(jì)，國(guó)內(nèi)經(jīng)濟(jì)部門70%的信息設(shè)備來自國(guó)外，特別是信息系統(tǒng)和網(wǎng)絡(luò)設(shè)備使用的關(guān)鍵芯片、核心軟件和部件絕大部分依賴進(jìn)口，存在重大安全隱患。

　　現(xiàn)代的CPU芯片包含上億個(gè)晶體管，操作系統(tǒng)等基礎(chǔ)軟件包含數(shù)千萬(wàn)行源代碼，都是復(fù)雜系統(tǒng)。對(duì)于這樣規(guī)模的復(fù)雜系統(tǒng)，如果不是自主開發(fā)的，僅依靠“黑箱測(cè)試”，則現(xiàn)有的測(cè)試手段和方法不能確保其沒有“后門”和“漏洞”。

　　在這個(gè)意義上，復(fù)雜信息產(chǎn)品如果不是“自主”的，就做不到“可控”，“自主”是“可控”的必要條件。換言之，復(fù)雜信息產(chǎn)品只有在“自主”的前提下才能達(dá)到“可控”。

　　芯片、操作系統(tǒng)等處于信息系統(tǒng)的底層，處于上層的安全設(shè)備或安全軟件無法對(duì)它們的行為進(jìn)行控制。例如，去年發(fā)生的“黑屏”事件是由操作系統(tǒng)控制的，雖然其表現(xiàn)形式類似于病毒，但一般殺毒軟件、防火墻等對(duì)此都無能為力。

　　微軟曾與我國(guó)政府簽訂了“政府安全計(jì)劃”，也稱“政府源代碼備案計(jì)劃”，允許在它的實(shí)驗(yàn)室里“觀看”約97％的源代碼，但不能下載研究、不能重構(gòu)驗(yàn)證，還有核心的3％源代碼連“觀看”也不允許。就保障安全而言，“觀看”部分源代碼沒有什么用處，實(shí)踐也證明這樣做無助于改進(jìn)信息安全。

　　信息設(shè)備和軟件的使用離不開系統(tǒng)維護(hù)，維護(hù)者可以確知每個(gè)設(shè)備和軟件的具體使用信息，在他們面前，信息系統(tǒng)根本無密可保，已發(fā)生過因更換設(shè)備或遠(yuǎn)程維護(hù)導(dǎo)致的失密案例。

　　（二） 采用國(guó)產(chǎn)軟硬件是貫徹執(zhí)行《信息安全等級(jí)保護(hù)管理辦法》的要求

　　《信息安全等級(jí)保護(hù)管理辦法》第二十一條規(guī)定第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)選擇使用符合以下條件的信息安全產(chǎn)品：（1）產(chǎn)品研制、生產(chǎn)單位是由中國(guó)公民、法人投資或者國(guó)家投資或者控股的，在中華人民共和國(guó)境內(nèi)具有獨(dú)立的法人資格；（2）產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國(guó)自主知識(shí)產(chǎn)權(quán)。顯然，第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)采用國(guó)產(chǎn)軟硬件。