網(wǎng)絡(luò)安全，既包含實(shí)體物理空間的安全，也包含虛擬數(shù)字空間的安全（信息安全也在其內(nèi)）。網(wǎng)絡(luò)安全是在對(duì)抗?fàn)顟B(tài)下的安全，存在著攻防甚至敵對(duì)關(guān)系。所以，重要信息領(lǐng)域必須做到?jīng)]有后門(mén)。這里要說(shuō)明的是，后門(mén)與漏洞是有區(qū)別的。后門(mén)是指那些人為設(shè)置的、能繞過(guò)安全性控制而獲取對(duì)系統(tǒng)控制或訪問(wèn)權(quán)的秘密機(jī)制。設(shè)置方可以隨時(shí)利用后門(mén)更改系統(tǒng)設(shè)置，使用方很難發(fā)覺(jué)。后門(mén)的危害很大。它就好像是被人埋下的“定時(shí)炸彈”或“特洛伊木馬”，隨時(shí)會(huì)造成嚴(yán)重?fù)p害。后門(mén)又是可以避免的。只要是由可信賴(lài)的人員，用可信任的軟硬件在嚴(yán)格管理下構(gòu)成的系統(tǒng)，就可以保證沒(méi)有后門(mén)?！奥┒础笔怯捎谙到y(tǒng)存在某種缺陷，從而使攻擊者能夠在未被授權(quán)的情況下進(jìn)行訪問(wèn)或破壞的機(jī)制。漏洞不同于后門(mén)，它難以避免，只能在被發(fā)現(xiàn)時(shí)予以修補(bǔ)，在被攻擊時(shí)予以加固。

 

　　基于上述原因，信息核心技術(shù)自主可控，不受制于人就顯得尤為重要。盡管自主可控不等于安全，但它是網(wǎng)絡(luò)安全的必要條件。如果信息核心關(guān)鍵技術(shù)和基礎(chǔ)設(shè)施受制于人，那么由此構(gòu)成的信息系統(tǒng)就像沙灘上的建筑，在遭到攻擊時(shí)頃刻間便會(huì)土崩瓦解。

 

　　目前，社會(huì)上有一些模糊觀念需要澄清。有人認(rèn)為，市場(chǎng)上占據(jù)壟斷地位的信息核心技術(shù)不可能存在后門(mén)。但“棱鏡門(mén)”等事件告訴我們，這是一種不切實(shí)際的幻想。也有人認(rèn)為，可以通過(guò)引進(jìn)技術(shù)實(shí)現(xiàn)更快的發(fā)展。事實(shí)上，引進(jìn)消化吸收再創(chuàng)新固然是一種發(fā)展途徑，然而有的引進(jìn)項(xiàng)目并非是先進(jìn)的、有長(zhǎng)遠(yuǎn)前途的，有的是短期里我們消化不了的，有的是我們不能完全掌控的。如果對(duì)引進(jìn)項(xiàng)目不作充分的評(píng)估，只圖眼前便捷省事，放棄自主創(chuàng)新的努力，那么若干年后我們將全盤(pán)依賴(lài)引進(jìn)，完全受制于人，國(guó)家安全將遭受?chē)?yán)重威脅。

 

　　我國(guó)《國(guó)家安全法》第24條規(guī)定，“國(guó)家加強(qiáng)自主創(chuàng)新能力建設(shè)，加快發(fā)展自主可控的戰(zhàn)略高新技術(shù)和重要領(lǐng)域核心關(guān)鍵技術(shù)”。第25條規(guī)定，“實(shí)現(xiàn)網(wǎng)絡(luò)和信息核心技術(shù)、關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)的安全可控”?？梢?jiàn)，強(qiáng)調(diào)自主可控是有法可依的。當(dāng)然，在自主可控的基礎(chǔ)上，我們還需要實(shí)現(xiàn)安全可控或者自主可控安全可信這樣更高的要求。

 

　　自主可控包含知識(shí)產(chǎn)權(quán)、技術(shù)能力、發(fā)展主動(dòng)權(quán)、供應(yīng)鏈等方面。在當(dāng)前的國(guó)際競(jìng)爭(zhēng)格局下，知識(shí)產(chǎn)權(quán)自主可控十分重要，做不到這一點(diǎn)就一定會(huì)受制于人。技術(shù)能力自主可控，意味著要有足夠規(guī)模的、能真正掌握該技術(shù)的科技隊(duì)伍。技術(shù)能力可以分為一般技術(shù)能力、產(chǎn)業(yè)化能力、構(gòu)建產(chǎn)業(yè)鏈能力和構(gòu)建產(chǎn)業(yè)生態(tài)系統(tǒng)能力等層次。發(fā)展主動(dòng)權(quán)自主可控，是因?yàn)槲覀儾坏塾诂F(xiàn)在，還要在今后相當(dāng)長(zhǎng)的時(shí)期里，對(duì)相關(guān)技術(shù)和產(chǎn)業(yè)而言，都能不受制約地發(fā)展。供應(yīng)鏈自主可控，是指一個(gè)產(chǎn)品的供應(yīng)鏈可能很長(zhǎng)，如果其中的一個(gè)或某些環(huán)節(jié)不能自主可控，也就不能滿足自主可控的要求。例如對(duì)于復(fù)雜的CPU芯片，我們擁有知識(shí)產(chǎn)權(quán)，也有技術(shù)能力，能夠在設(shè)計(jì)方面不受制于人。但是，如需依賴(lài)外國(guó)才能進(jìn)行生產(chǎn)，那么仍然沒(méi)有達(dá)到自主可控的要求。

 

　　令人擔(dān)憂的是，目前“國(guó)產(chǎn)”產(chǎn)品還沒(méi)有統(tǒng)一的評(píng)估標(biāo)準(zhǔn)。人們大多根據(jù)產(chǎn)品和服務(wù)提供者資本構(gòu)成的“資質(zhì)”進(jìn)行評(píng)估，包括內(nèi)資（國(guó)有、混合所有制、民營(yíng)）、中外合資和外資等，還包括近來(lái)出現(xiàn)的“VIE”等?？疾爝@類(lèi)資質(zhì)是必要的，但除此之外，還應(yīng)采用“增值”準(zhǔn)則對(duì)“國(guó)產(chǎn)化程度”加以評(píng)估。這是發(fā)達(dá)國(guó)家的經(jīng)驗(yàn)。美國(guó)國(guó)會(huì)在1933年通過(guò)的《購(gòu)買(mǎi)美國(guó)產(chǎn)品法》，要求聯(lián)邦政府采購(gòu)要買(mǎi)本國(guó)產(chǎn)品，即在美國(guó)生產(chǎn)的、增值達(dá)到50%以上的產(chǎn)品，進(jìn)口件組裝的不算本國(guó)產(chǎn)品。采用上述“增值”準(zhǔn)則來(lái)評(píng)估“國(guó)產(chǎn)”，比較合理。因?yàn)槿绻稠?xiàng)產(chǎn)品和服務(wù)在中國(guó)的增值很小，意味著它可能就是從國(guó)外進(jìn)口的，達(dá)不到自主可控的要求。如果實(shí)行“增值”估算，貼牌、組裝、集成等“假?lài)?guó)產(chǎn)”就難以立足。對(duì)于保障網(wǎng)絡(luò)安全、信息安全而言，制訂自主可控的評(píng)估標(biāo)準(zhǔn)意義重大，勢(shì)在必行。

 

　　作者：中國(guó)信息化百人會(huì)學(xué)術(shù)委員會(huì)委員、中國(guó)工程院院士倪光南