中国工程院院士 倪光南发表题目为“自主可控是增强网络安全的前提”文章,内容如下:
党的十八大提出“要高度关注网络空间安全”,三中全会后成立了中央网络安全和信息化领导小组,这标志着我国网络空间安全国家战略已经确立。不久前习近平主席指出:“没有网络安全就没有国家安全,没有信息化就没有现代化。” 这是在新的历史时期我国信息领域工作的指导方针。现在,网络空间已成为国家继陆、海、空、天四个疆域之后的第五疆域,与其他疆域一样,网络空间也需体现国家主权,保障网络空间安全也就是保障国家主权。
按照顾能公司(Gartner)的观点,网络安全的内涵可以包括:
-信息安全。它是网络安全的最重要内涵,保障网络主权就应保障信息主权;
-IT(信息技术)安全。包括关键核心技术、信息基础设施、相关硬件软件技术等等的安全。在IT安全方面,我国目前应及早解决在关键核心技术和设备上受制于人的问题。
-OT(运作技术)安全。包括法规、标准、制度、管理等等方面。
-物理安全。指与技术无关的安全。
-IoT(物联网)安全。
应当指出,网络安全、信息安全这类安全概念是与传统安全概念不同的。传统安全是在自然环境下的安全,在这种环境下不存在人为对抗,而网络安全、信息安全是在对抗环境下的安全,一般存在着人为对抗,形成攻防两方。在英语中,传统安全的“安全”用“Safety”,而网络安全、信息安全的“安全”用“Security”。不过在中文中,一般不区分两者,有的场合在中文中也有区分,例如将“Security”翻译成“保安”、“安保”等。传统安全往往可以度量、预测、态势较少变化,而网络安全、信息安全取决于对抗情况,往往难以度量、预测、态势快速变化。
对于传统安全而言,选取技术、产品和服务等等,主要依据性价比。但对于网络安全、信息安全而言,因为存在着攻防两方,所以信息关键核心技术设备和服务的选取首先是考察能否自主可控,这一要求往往比性价比更重要。可以说,自主可控是保障网络安全、信息安全的前提。能自主可控意味着信息安全容易治理、产品和服务一般不存在恶意后门并可以不断改进或修补漏洞;反之,不能自主可控就意味着具“他控性”,就会受制于人,其后果是:信息安全难以治理、产品和服务一般存在恶意后门并难以不断改进或修补漏洞。
在评估信息领域重要项目或者制订发展规划时,常常需要论证是否达到自主可控的要求,在实践中,我们归纳出一些要求,列出如下供作参考。
一、知识产权自主可控。
在当前的国际竞争格局下,知识产权自主可控十分重要,做不到这一点就一定会受制于人。如果所有知识产权都能自己掌握,当然最好,但实际上不一定能做到,这时,如果部分知识产权能完全买断,或能买到有足够自主权的授权,也能达到自主可控。然而,如果只能买到自主权不够充分的授权,例如某项授权在权利的使用期限、使用方式等方面具有明显的限制,就不能达到知识产权自主可控。目前国家一些计划对所支持的项目,要求首先通过知识产权风险评估,才能给予立项,这种做法是正确的、必要的。标准的自主可控似可归入这一范畴。
二、技术能力自主可控。
技术能力自主可控,意味着要有足够规模的、能真正掌握该技术的科技队伍。技术能力可以分为一般技术能力、产业化能力、构建产业链能力和构建产业生态系统能力等层次。产业化能力的自主可控要求使技术不能停留在样品或试验阶段,而应能转化为大规模的产品和服务。产业链的自主可控要求在实现产业化的基础上,围绕产品和服务,构建一个比较完整的产业链,以便不受产业链上下游的制约,具备足够的竞争力。产业生态系统的自主可控要求能营造一个支撑该产业链的生态系统。
三、发展自主可控。
有了知识产权和技术能力的自主可控,一般是能自主发展的,但这里再特别强调一下发展的自主可控,也许是有必要的。因为我们不但要看到现在,还要着眼于今后相当长的时期,对相关技术和产业而言,都能不受制约地发展。有一个例子可以说明长期发展的重要性。众所周知,前些年我国通过投资、收购等等,曾经拥有了CRT电视机产业完整的知识产权和构建整个生态系统的技术能力。但是,外国跨国公司一旦将CRT的技术都卖给中国后,它们立即转向了LCD平板电视,使中国的CRT电视机产业变成淘汰产业。信息领域技术和市场变化迅速,要防止出现类似事件。因此,如果某项技术在短期内效益较好,但从长期看做不到自主可控,一般说来是不可取的。只顾眼前利益,有可能会在以后造成更大的被动。
四、满足“国产”资质。
一般说来,“国产”产品和服务容易符合自主可控要求,因此实行国产替代对于达到自主可控是完全必要的。不过现在对于“国产”还没有统一的界定标准。某些观点显然是不合适的。例如:有人说,只要公司在中国注册、交税,就是“中国公司”,它的产品和服务就是“国产”。但实际上几乎所有世界500强都在中国注册了公司,难道它们都变成了中国公司了吗;也有人说,“本国产品是指在中国境内生产,且国内生产成本比例超过50%的最终产品”,甚至还给出了按材料成本计算的公式。显然,这样的“标准”只适合粗放型产品,完全不适用于高技术领域。倒是美国国会在1933年通过的《购买美国产品法》可以给我们一个启示,该法案要求联邦政府采购要买本国产品,即在美国生产的、增值达到50%以上的产品,进口件组装的不算本国产品。看来,美国采用上述“增值”准则来界定“国产”是比较合理的。
现在人们大多是根据产品和服务提供者资本构成的“资质”进行界定,包括内资(国有、混合所有制、民营)、中外合资、外资等,如果是内资资质,则认为其提供的产品和服务是“国产”的。由于历史原因,中国网络公司很多是外资控股,为了改变资质,有的引入了“实际控制人”概念,有人将这类企业称为“VIE”,对此,业界仍在讨论中。
实践表明,光考察资质是不够的,为了防止出现“假国产”,建议对产品和服务实行“增值”评估,即仿照美国的做法,评估其在中国境内的增值是否超过50%。如某项产品和服务在中国的增值很小,意味着它是从国外进口的,达不到自主可控要求。这样,可以防止进口硬件通过“贴牌”或 “组装”变成“国产”;防止进口软件和服务通过由国产系统集成商将它们集成在国产解决方案中,变成“国产”软件和服务。
关于开源软件的自主可控,有其特殊性。简单地说开源软件就安全,或者简单地说使用开源软件也不安全,这些说法都有片面性,不符合实际情况。目前情况下,运用开源软件进行开放创新、协同创新,是世界潮流,应当予以鼓励;同时也需注意下述问题。
对于开源软件而言,知识产权自主可控首先是考察能否符合开源许可证要求。一些开源软件是由商业公司支持、并受它们控制的,这时,应当从长远考察,在使用和发展方面是否受到制约?例如有的开源软件只允许他人修改或定制界面等非关键部分,而关键部分不许他人修改、甚至不予开源;在兼容性、捆绑特定软件与特定应用商店等方面有附加条件;在版本演进、市场策略、长远发展路线等方面他人无法参与等等,这实际上仍然是受制于人,不能满足知识产权和发展的自主可控要求。当然,如果与支持这类开源软件的公司能通过各种方式,合法地解决这些问题又当别论。为了达到技术能力的自主可控,我们主张至少应充分了解开源软件,进一步应要求科技人员融入开源社区,与全世界开源人士一起进行开放创新、协同创新。如果这些方面都做好了,那么,正确运用开源软件往往能以较小的代价、较短的时间达到知识产权、技术能力和发展的自主可控。
最后,应当再次强调,自主可控是达到网络安全、信息安全的前提,但这只是必要条件而非充分条件,在此基础上,还需采取各种措施才能增强网络安全、信息安全。