自主可控是增強網絡安全的前提

網絡空間已成為國家繼陸、海、空、天四個疆域之后的第五疆域，與其他疆域一樣，網絡空間也需體現國家主權，保障網絡空間安全也就是保障國家主權。黨的十八大提出“要高度關注網絡空間安全”，三中全會后成立了中央網絡安全和信息化領導小組，這標志著我國網絡空間安全國家戰略已經確立。

網絡安全的內涵可以包括： －信息安全。它是網絡安全的最重要內涵，保障網絡主權就應保障信息主權； －IT（信息技術）安全。包括關鍵核心技術、信息基礎設施、相關硬件軟件技術等等的安全。在IT安全方面，我國目前應及早解決在關鍵核心技術和設備上受制于人的問題。

－OT（運作技術）安全。包括法規、標準、制度、管理等等方面。

－物理安全。指與技術無關的安全。

－IoT（物聯網）安全。 應當指出，網絡安全、信息安全這類安全概念是與傳統安全概念不同的。傳統安全是在自然環境下的安全，在這種環境下不存在人為對抗，而網絡安全、信息安全是在對抗環境下的安全，一般存在著人為對抗，形成攻防兩方。在英語中，傳統安全的“安全”用“Safety”，而網絡安全、信息安全的“安全”用“Security”。不過在中文中，一般不區分兩者，有的場合在中文中也有區分，例如將“Security”翻譯成“保安”、“安?！钡?。傳統安全往往可以度量、預測、態勢較少變化，而網絡安全、信息安全取決于對抗情況，往往難以度量、預測、態勢快速變化。

對于傳統安全而言，選取技術、產品和服務等等，主要依據性價比。但對于網絡安全、信息安全而言，因為存在著攻防兩方，所以信息關鍵核心技術設備和服務的選取首先是考察能否自主可控，這一要求往往比性價比更重要?？梢哉f，自主可控是保障網絡安全、信息安全的前提。能自主可控意味著信息安全容易治理、產品和服務一般不存在惡意后門并可以不斷改進或修補漏洞；反之，不能自主可控就意味著具“他控性”，就會受制于人，其后果是：信息安全難以治理、產品和服務一般存在惡意后門并難以不斷改進或修補漏洞。 在評估信息領域重要項目或者制訂發展規劃時，常常需要論證是否達到自主可控的要求，在實踐中，我們歸納出一些要求，列出如下供作參考。

一、知識產權自主可控。

在當前的國際競爭格局下，知識產權自主可控十分重要，做不到這一點就一定會受制于人。如果所有知識產權都能自己掌握，當然最好，但實際上不一定能做到，這時，如果部分知識產權能完全買斷，或能買到有足夠自主權的授權，也能達到自主可控。然而，如果只能買到自主權不夠充分的授權，例如某項授權在權利的使用期限、使用方式等方面具有明顯的限制，就不能達到知識產權自主可控。目前國家一些計劃對所支持的項目，要求首先通過知識產權風險評估，才能給予立項，這種做法是正確的、必要的。標準的自主可控似可歸入這一范疇。

二、技術能力自主可控。

技術能力自主可控，意味著要有足夠規模的、能真正掌握該技術的科技隊伍。技術能力可以分為一般技術能力、產業化能力、構建產業鏈能力和構建產業生態系統能力等層次。產業化能力的自主可控要求使技術不能停留在樣品或試驗階段，而應能轉化為大規模的產品和服務。產業鏈的自主可控要求在實現產業化的基礎上，圍繞產品和服務，構建一個比較完整的產業鏈，以便不受產業鏈上下游的制約，具備足夠的競爭力。產業生態系統的自主可控要求能營造一個支撐該產業鏈的生態系統。

三、發展自主可控。

有了知識產權和技術能力的自主可控，一般是能自主發展的，但這里再特別強調一下發展的自主可控，也許是有必要的。因為我們不但要看到現在，還要著眼于今后相當長的時期，對相關技術和產業而言，都能不受制約地發展。有一個例子可以說明長期發展的重要性。眾所周知，前些年我國通過投資、收購等等，曾經擁有了CRT電視機產業完整的知識產權和構建整個生態系統的技術能力。但是，外國跨國公司一旦將CRT的技術都賣給中國后，它們立即轉向了LCD平板電視，使中國的CRT電視機產業變成淘汰產業。信息領域技術和市場變化迅速，要防止出現類似事件。因此，如果某項技術在短期內效益較好，但從長期看做不到自主可控，一般說來是不可取的。只顧眼前利益，有可能會在以后造成更大的被動。

四、滿足“國產”資質。

一般說來，“國產”產品和服務容易符合自主可控要求，因此實行國產替代對于達到自主可控是完全必要的。不過現在對于“國產”還沒有統一的界定標準。某些觀點顯然是不合適的。例如：有人說，只要公司在中國注冊、交稅，就是“中國公司”，它的產品和服務就是“國產”。但實際上幾乎所有世界500強都在中國注冊了公司，難道它們都變成了中國公司了嗎；也有人說，“本國產品是指在中國境內生產，且國內生產成本比例超過50%的最終產品”，甚至還給出了按材料成本計算的公式。顯然，這樣的“標準”只適合粗放型產品，完全不適用于高技術領域。倒是美國國會在1933年通過的《購買美國產品法》可以給我們一個啟示，該法案要求聯邦政府采購要買本國產品，即在美國生產的、增值達到50%以上的產品，進口件組裝的不算本國產品?？磥?，美國采用上述“增值”準則來界定“國產”是比較合理的。

現在人們大多是根據產品和服務提供者資本構成的“資質”進行界定，包括內資（國有、混合所有制、民營）、中外合資、外資等，如果是內資資質，則認為其提供的產品和服務是“國產”的。由于歷史原因，中國網絡公司很多是外資控股，為了改變資質，有的引入了“實際控制人”概念，有人將這類企業稱為“VIE”，對此，業界仍在討論中。

實踐表明，光考察資質是不夠的，為了防止出現“假國產”，建議對產品和服務實行“增值”評估，即仿照美國的做法，評估其在中國境內的增值是否超過50%。如某項產品和服務在中國的增值很小，意味著它是從國外進口的，達不到自主可控要求。這樣，可以防止進口硬件通過“貼牌”或 “組裝”變成“國產”；防止進口軟件和服務通過由國產系統集成商將它們集成在國產解決方案中，變成“國產”軟件和服務。

關于開源軟件的自主可控，有其特殊性。簡單地說開源軟件就安全，或者簡單地說使用開源軟件也不安全，這些說法都有片面性，不符合實際情況。目前情況下，運用開源軟件進行開放創新、協同創新，是世界潮流，應當予以鼓勵；同時也需注意下述問題。

對于開源軟件而言，知識產權自主可控首先是考察能否符合開源許可證要求。一些開源軟件是由商業公司支持、并受它們控制的，這時，應當從長遠考察，在使用和發展方面是否受到制約？例如有的開源軟件只允許他人修改或定制界面等非關鍵部分，而關鍵部分不許他人修改、甚至不予開源；在兼容性、捆綁特定軟件與特定應用商店等方面有附加條件；在版本演進、市場策略、長遠發展路線等方面他人無法參與等等，這實際上仍然是受制于人，不能滿足知識產權和發展的自主可控要求。當然，如果與支持這類開源軟件的公司能通過各種方式，合法地解決這些問題又當別論。為了達到技術能力的自主可控，我們主張至少應充分了解開源軟件，進一步應要求科技人員融入開源社區，與全世界開源人士一起進行開放創新、協同創新。如果這些方面都做好了，那么，正確運用開源軟件往往能以較小的代價、較短的時間達到知識產權、技術能力和發展的自主可控。

最后，應當再次強調，自主可控是達到網絡安全、信息安全的前提，但這只是必要條件而非充分條件，在此基礎上，還需采取各種措施才能增強網絡安全、信息安全。（中國工程院院士 倪光南）

審核編輯 黃宇