習(xí)近平總書記最近在接受《華爾街日報》采訪時強(qiáng)調(diào),互聯(lián)網(wǎng)這塊“新疆域”不是“法外之地”,同樣要講法治,同樣要維護(hù)國家主權(quán)、安全、發(fā)展利益。隨著新一代信息技術(shù)的發(fā)展和“互聯(lián)網(wǎng)+”的推進(jìn),網(wǎng)絡(luò)安全、信息安全問題變得越來越突出。

 
  網(wǎng)絡(luò)安全,既包含實體物理空間的安全,也包含虛擬數(shù)字空間的安全(信息安全也在其內(nèi))。網(wǎng)絡(luò)安全是在對抗?fàn)顟B(tài)下的安全,存在著攻防甚至敵對關(guān)系。所以,重要信息領(lǐng)域必須做到?jīng)]有后門。這里要說明的是,后門與漏洞是有區(qū)別的。后門是指那些人為設(shè)置的、能繞過安全性控制而獲取對系統(tǒng)控制或訪問權(quán)的秘密機(jī)制。設(shè)置方可以隨時利用后門更改系統(tǒng)設(shè)置,使用方很難發(fā)覺。后門的危害很大。它就好像是被人埋下的“定時炸彈”或“特洛伊木馬”,隨時會造成嚴(yán)重?fù)p害。后門又是可以避免的。只要是由可信賴的人員,用可信任的軟硬件在嚴(yán)格管理下構(gòu)成的系統(tǒng),就可以保證沒有后門?!奥┒础笔怯捎谙到y(tǒng)存在某種缺陷,從而使攻擊者能夠在未被授權(quán)的情況下進(jìn)行訪問或破壞的機(jī)制。漏洞不同于后門,它難以避免,只能在被發(fā)現(xiàn)時予以修補(bǔ),在被攻擊時予以加固。
 
  基于上述原因,信息核心技術(shù)自主可控,不受制于人就顯得尤為重要。盡管自主可控不等于安全,但它是網(wǎng)絡(luò)安全的必要條件。如果信息核心關(guān)鍵技術(shù)和基礎(chǔ)設(shè)施受制于人,那么由此構(gòu)成的信息系統(tǒng)就像沙灘上的建筑,在遭到攻擊時頃刻間便會土崩瓦解。
 
  目前,社會上有一些模糊觀念需要澄清。有人認(rèn)為,市場上占據(jù)壟斷地位的信息核心技術(shù)不可能存在后門。但“棱鏡門”等事件告訴我們,這是一種不切實際的幻想。也有人認(rèn)為,可以通過引進(jìn)技術(shù)實現(xiàn)更快的發(fā)展。事實上,引進(jìn)消化吸收再創(chuàng)新固然是一種發(fā)展途徑,然而有的引進(jìn)項目并非是先進(jìn)的、有長遠(yuǎn)前途的,有的是短期里我們消化不了的,有的是我們不能完全掌控的。如果對引進(jìn)項目不作充分的評估,只圖眼前便捷省事,放棄自主創(chuàng)新的努力,那么若干年后我們將全盤依賴引進(jìn),完全受制于人,國家安全將遭受嚴(yán)重威脅。
 
  我國《國家安全法》第24條規(guī)定,“國家加強(qiáng)自主創(chuàng)新能力建設(shè),加快發(fā)展自主可控的戰(zhàn)略高新技術(shù)和重要領(lǐng)域核心關(guān)鍵技術(shù)”。第25條規(guī)定,“實現(xiàn)網(wǎng)絡(luò)和信息核心技術(shù)、關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)的安全可控”。可見,強(qiáng)調(diào)自主可控是有法可依的。當(dāng)然,在自主可控的基礎(chǔ)上,我們還需要實現(xiàn)安全可控或者自主可控安全可信這樣更高的要求。
 
  自主可控包含知識產(chǎn)權(quán)、技術(shù)能力、發(fā)展主動權(quán)、供應(yīng)鏈等方面。在當(dāng)前的國際競爭格局下,知識產(chǎn)權(quán)自主可控十分重要,做不到這一點就一定會受制于人。技術(shù)能力自主可控,意味著要有足夠規(guī)模的、能真正掌握該技術(shù)的科技隊伍。技術(shù)能力可以分為一般技術(shù)能力、產(chǎn)業(yè)化能力、構(gòu)建產(chǎn)業(yè)鏈能力和構(gòu)建產(chǎn)業(yè)生態(tài)系統(tǒng)能力等層次。發(fā)展主動權(quán)自主可控,是因為我們不但要著眼于現(xiàn)在,還要在今后相當(dāng)長的時期里,對相關(guān)技術(shù)和產(chǎn)業(yè)而言,都能不受制約地發(fā)展。供應(yīng)鏈自主可控,是指一個產(chǎn)品的供應(yīng)鏈可能很長,如果其中的一個或某些環(huán)節(jié)不能自主可控,也就不能滿足自主可控的要求。例如對于復(fù)雜的CPU芯片,我們擁有知識產(chǎn)權(quán),也有技術(shù)能力,能夠在設(shè)計方面不受制于人。但是,如需依賴外國才能進(jìn)行生產(chǎn),那么仍然沒有達(dá)到自主可控的要求。
 
  令人擔(dān)憂的是,目前“國產(chǎn)”產(chǎn)品還沒有統(tǒng)一的評估標(biāo)準(zhǔn)。人們大多根據(jù)產(chǎn)品和服務(wù)提供者資本構(gòu)成的“資質(zhì)”進(jìn)行評估,包括內(nèi)資(國有、混合所有制、民營)、中外合資和外資等,還包括近來出現(xiàn)的“VIE”等。考察這類資質(zhì)是必要的,但除此之外,還應(yīng)采用“增值”準(zhǔn)則對“國產(chǎn)化程度”加以評估。這是發(fā)達(dá)國家的經(jīng)驗。美國國會在1933年通過的《購買美國產(chǎn)品法》,要求聯(lián)邦政府采購要買本國產(chǎn)品,即在美國生產(chǎn)的、增值達(dá)到50%以上的產(chǎn)品,進(jìn)口件組裝的不算本國產(chǎn)品。采用上述“增值”準(zhǔn)則來評估“國產(chǎn)”,比較合理。因為如果某項產(chǎn)品和服務(wù)在中國的增值很小,意味著它可能就是從國外進(jìn)口的,達(dá)不到自主可控的要求。如果實行“增值”估算,貼牌、組裝、集成等“假國產(chǎn)”就難以立足。對于保障網(wǎng)絡(luò)安全、信息安全而言,制訂自主可控的評估標(biāo)準(zhǔn)意義重大,勢在必行。
 
  作者:中國信息化百人會學(xué)術(shù)委員會委員、中國工程院院士倪光南

責(zé)任編輯:admin