網絡安全，既包含實體物理空間的安全，也包含虛擬數字空間的安全（信息安全也在其內）。網絡安全是在對抗狀態(tài)下的安全，存在著攻防甚至敵對關系。所以，重要信息領域必須做到沒有后門。這里要說明的是，后門與漏洞是有區(qū)別的。后門是指那些人為設置的、能繞過安全性控制而獲取對系統(tǒng)控制或訪問權的秘密機制。設置方可以隨時利用后門更改系統(tǒng)設置，使用方很難發(fā)覺。后門的危害很大。它就好像是被人埋下的“定時炸彈”或“特洛伊木馬”，隨時會造成嚴重損害。后門又是可以避免的。只要是由可信賴的人員，用可信任的軟硬件在嚴格管理下構成的系統(tǒng)，就可以保證沒有后門?！奥┒础笔怯捎谙到y(tǒng)存在某種缺陷，從而使攻擊者能夠在未被授權的情況下進行訪問或破壞的機制。漏洞不同于后門，它難以避免，只能在被發(fā)現時予以修補，在被攻擊時予以加固。

 

　　基于上述原因，信息核心技術自主可控，不受制于人就顯得尤為重要。盡管自主可控不等于安全，但它是網絡安全的必要條件。如果信息核心關鍵技術和基礎設施受制于人，那么由此構成的信息系統(tǒng)就像沙灘上的建筑，在遭到攻擊時頃刻間便會土崩瓦解。

 

　　目前，社會上有一些模糊觀念需要澄清。有人認為，市場上占據壟斷地位的信息核心技術不可能存在后門。但“棱鏡門”等事件告訴我們，這是一種不切實際的幻想。也有人認為，可以通過引進技術實現更快的發(fā)展。事實上，引進消化吸收再創(chuàng)新固然是一種發(fā)展途徑，然而有的引進項目并非是先進的、有長遠前途的，有的是短期里我們消化不了的，有的是我們不能完全掌控的。如果對引進項目不作充分的評估，只圖眼前便捷省事，放棄自主創(chuàng)新的努力，那么若干年后我們將全盤依賴引進，完全受制于人，國家安全將遭受嚴重威脅。

 

　　我國《國家安全法》第24條規(guī)定，“國家加強自主創(chuàng)新能力建設，加快發(fā)展自主可控的戰(zhàn)略高新技術和重要領域核心關鍵技術”。第25條規(guī)定，“實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統(tǒng)及數據的安全可控”。可見，強調自主可控是有法可依的。當然，在自主可控的基礎上，我們還需要實現安全可控或者自主可控安全可信這樣更高的要求。

 

　　自主可控包含知識產權、技術能力、發(fā)展主動權、供應鏈等方面。在當前的國際競爭格局下，知識產權自主可控十分重要，做不到這一點就一定會受制于人。技術能力自主可控，意味著要有足夠規(guī)模的、能真正掌握該技術的科技隊伍。技術能力可以分為一般技術能力、產業(yè)化能力、構建產業(yè)鏈能力和構建產業(yè)生態(tài)系統(tǒng)能力等層次。發(fā)展主動權自主可控，是因為我們不但要著眼于現在，還要在今后相當長的時期里，對相關技術和產業(yè)而言，都能不受制約地發(fā)展。供應鏈自主可控，是指一個產品的供應鏈可能很長，如果其中的一個或某些環(huán)節(jié)不能自主可控，也就不能滿足自主可控的要求。例如對于復雜的CPU芯片，我們擁有知識產權，也有技術能力，能夠在設計方面不受制于人。但是，如需依賴外國才能進行生產，那么仍然沒有達到自主可控的要求。

 

　　令人擔憂的是，目前“國產”產品還沒有統(tǒng)一的評估標準。人們大多根據產品和服務提供者資本構成的“資質”進行評估，包括內資（國有、混合所有制、民營）、中外合資和外資等，還包括近來出現的“VIE”等。考察這類資質是必要的，但除此之外，還應采用“增值”準則對“國產化程度”加以評估。這是發(fā)達國家的經驗。美國國會在1933年通過的《購買美國產品法》，要求聯邦政府采購要買本國產品，即在美國生產的、增值達到50%以上的產品，進口件組裝的不算本國產品。采用上述“增值”準則來評估“國產”，比較合理。因為如果某項產品和服務在中國的增值很小，意味著它可能就是從國外進口的，達不到自主可控的要求。如果實行“增值”估算，貼牌、組裝、集成等“假國產”就難以立足。對于保障網絡安全、信息安全而言，制訂自主可控的評估標準意義重大，勢在必行。

 

　　作者：中國信息化百人會學術委員會委員、中國工程院院士倪光南