文/中国工程院院士 倪光南

习近平总书记强调，互联网这块“新疆域”不是“法外之地”，同样要讲法治，同样要维护国家主权、安全、发展利益。随着新一代信息技术的发展和“互联网+”的推进，网络安全、信息安全问题变得越来越突出。

网络安全，既包含实体物理空间的安全，也包含虚拟数字空间的安全。网络安全是在对抗状态下的安全，存在着攻防甚至敌对关系。所以，重要信息领域必须做到没有后门。这里要说明的是，后门与漏洞是有区别的。后门是指那些人为设置的、能绕过安全性控制而获取对系统控制或访问权的秘密机制。设置方可以随时利用后门更改系统设置，使用方很难发觉。后门的危害很大。它就好像是被人埋下的“定时炸弹”或“特洛伊木马”，随时会造成严重损害。后门又是可以避免的。只要是由可信赖的人员，用可信任的软硬件在严格管理下构成的系统，就可以保证没有后门。“漏洞”是由于系统存在某种缺陷，从而使攻击者能够在未被授权的情况下进行访问或破坏的机制。漏洞不同于后门，它难以避免，只能在被发现时予以修补，在被攻击时予以加固。

基于上述原因，信息核心技术自主可控，不受制于人就显得尤为重要。尽管自主可控不等于安全，但它是网络安全的必要条件。如果信息核心关键技术和基础设施受制于人，那么由此构成的信息系统就像沙滩上的建筑，在遭到攻击时顷刻间便会土崩瓦解。

我国《国家安全法》第24条规定，“国家加强自主创新能力建设，加快发展自主可控的战略高新技术和重要领域核心关键技术”。第25条规定，“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”。可见，强调自主可控是有法可依的。当然，在自主可控的基础上，我们还需要实现安全可控或者自主可控安全可信这样更高的要求。

自主可控包含知识产权、技术能力、发展主动权、供应链等方面。在当前的国际竞争格局下，知识产权自主可控十分重要，做不到这一点就一定会受制于人。技术能力自主可控，意味着要有足够规模的、能真正掌握该技术的科技队伍。技术能力可以分为一般技术能力、产业化能力、构建产业链能力和构建产业生态系统能力等层次。发展主动权自主可控，是因为我们不但要着眼于现在，还要在今后相当长的时期里，对相关技术和产业而言，都能不受制约地发展。供应链自主可控，是指一个产品的供应链可能很长，如果其中的一个或某些环节不能自主可控，也就不能满足自主可控的要求。例如对于复杂的CPU芯片，我们拥有知识产权，也有技术能力，能够在设计方面不受制于人。但是，如需依赖外国才能进行生产，那么仍然没有达到自主可控的要求。

令人担忧的是，目前“国产”产品还没有统一的评估标准。人们大多根据产品和服务提供者资本构成的“资质”进行评估，包括内资、中外合资和外资等，还包括近来出现的“VIE”等。考察这类资质是必要的，但除此之外，还应采用“增值”准则对“国产化程度”加以评估。这是发达国家的经验。如果实行“增值”估算，贴牌、组装、集成等“假国产”就难以立足。对于保障网络安全、信息安全而言，制订自主可控的评估标准意义重大，势在必行。

>>如果信息核心关键技术和基础设施受制于人，那么由此构成的信息系统就像沙滩上的建筑，在遭到攻击时顷刻间便会土崩瓦解。