习近平总书记最近在接受《华尔街日报》采访时强调,互联网这块“新疆域”不是“法外之地”,同样要讲法治,同样要维护国家主权、安全、发展利益。随着新一代信息技术的发展和“互联网+”的推进,网络安全、信息安全问题变得越来越突出。
网络安全,既包含实体物理空间的安全,也包含虚拟数字空间的安全(信息安全也在其内)。网络安全是在对抗状态下的安全,存在着攻防甚至敌对关系。所以,重要信息领域必须做到没有后门。这里要说明的是,后门与漏洞是有区别的。后门是指那些人为设置的、能绕过安全性控制而获取对系统控制或访问权的秘密机制。设置方可以随时利用后门更改系统设置,使用方很难发觉。后门的危害很大。它就好像是被人埋下的“定时炸弹”或“特洛伊木马”,随时会造成严重损害。后门又是可以避免的。只要是由可信赖的人员,用可信任的软硬件在严格管理下构成的系统,就可以保证没有后门。“漏洞”是由于系统存在某种缺陷,从而使攻击者能够在未被授权的情况下进行访问或破坏的机制。漏洞不同于后门,它难以避免,只能在被发现时予以修补,在被攻击时予以加固。
基于上述原因,信息核心技术自主可控,不受制于人就显得尤为重要。尽管自主可控不等于安全,但它是网络安全的必要条件。如果信息核心关键技术和基础设施受制于人,那么由此构成的信息系统就像沙滩上的建筑,在遭到攻击时顷刻间便会土崩瓦解。
目前,社会上有一些模糊观念需要澄清。有人认为,市场上占据垄断地位的信息核心技术不可能存在后门。但“棱镜门”等事件告诉我们,这是一种不切实际的幻想。也有人认为,可以通过引进技术实现更快的发展。事实上,引进消化吸收再创新固然是一种发展途径,然而有的引进项目并非是先进的、有长远前途的,有的是短期里我们消化不了的,有的是我们不能完全掌控的。如果对引进项目不作充分的评估,只图眼前便捷省事,放弃自主创新的努力,那么若干年后我们将全盘依赖引进,完全受制于人,国家安全将遭受严重威胁。
我国《国家安全法》第24条规定,“国家加强自主创新能力建设,加快发展自主可控的战略高新技术和重要领域核心关键技术”。第25条规定,“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”。可见,强调自主可控是有法可依的。当然,在自主可控的基础上,我们还需要实现安全可控或者自主可控安全可信这样更高的要求。
自主可控包含知识产权、技术能力、发展主动权、供应链等方面。在当前的国际竞争格局下,知识产权自主可控十分重要,做不到这一点就一定会受制于人。技术能力自主可控,意味着要有足够规模的、能真正掌握该技术的科技队伍。技术能力可以分为一般技术能力、产业化能力、构建产业链能力和构建产业生态系统能力等层次。发展主动权自主可控,是因为我们不但要着眼于现在,还要在今后相当长的时期里,对相关技术和产业而言,都能不受制约地发展。供应链自主可控,是指一个产品的供应链可能很长,如果其中的一个或某些环节不能自主可控,也就不能满足自主可控的要求。例如对于复杂的CPU芯片,我们拥有知识产权,也有技术能力,能够在设计方面不受制于人。但是,如需依赖外国才能进行生产,那么仍然没有达到自主可控的要求。
令人担忧的是,目前“国产”产品还没有统一的评估标准。人们大多根据产品和服务提供者资本构成的“资质”进行评估,包括内资(国有、混合所有制、民营)、中外合资和外资等,还包括近来出现的“VIE”等。考察这类资质是必要的,但除此之外,还应采用“增值”准则对“国产化程度”加以评估。这是发达国家的经验。美国国会在1933年通过的《购买美国产品法》,要求联邦政府采购要买本国产品,即在美国生产的、增值达到50%以上的产品,进口件组装的不算本国产品。采用上述“增值”准则来评估“国产”,比较合理。因为如果某项产品和服务在中国的增值很小,意味着它可能就是从国外进口的,达不到自主可控的要求。如果实行“增值”估算,贴牌、组装、集成等“假国产”就难以立足。对于保障网络安全、信息安全而言,制订自主可控的评估标准意义重大,势在必行。
作者:中国信息化百人会学术委员会委员、中国工程院院士倪光南