中國工程院院士 倪光南

　　一、網絡安全方面一些術語的討論

　　1.網絡安全、信息安全等所討論的“安全”是在對抗狀態下的安全，這與在自然狀態下的安全的內涵有所不同，在英語中，前者用“Security”，后者用“Safety”，不過在漢語中是同一個詞。

　　2.按照Gartner的觀點，網絡安全（“Cybersecurity”）包含信息安全，IT（信息技術）安全，OT（運作技術）安全，物理安全和IoT（物聯網）安全等內涵。換言之，網絡安全不等于信息安全，網絡安全包含信息安全，而信息安全是網絡安全的重要方面。

　　3.我國官方文件最早在十八大提出，要高度關注網絡空間安全，三中全會上成立了中央網絡安全和信息化領導小組，這里的“網絡安全”是“網絡空間安全”的簡稱。在英語中，前者是“Cybersecurity”后者是“Cyberspace security”。在英語中“Cyberspace security”簡稱為“Cybersecurity”不會有什么歧義，不過在漢語中“網絡空間安全”簡稱為“網絡安全”有可能產生歧義。有的專家曾提出將“Cyberspace”譯成“賽博空間”，如果是這樣，“賽博空間安全”簡稱為“賽博安全”也不會有什么歧義。不過現在“Cyberspace”譯成“網絡空間”已經約定俗成，在這種情況下，將“網絡安全”理解為“網絡空間安全”的簡稱似乎是順理成章的。

　　4.有人將“網絡安全”譯成“Network security”值得商榷。因為“Network”一般是指具體的物理網絡或網絡系統，英語的“Network security”應當包含在信息技術安全或物理安全之中，它只是網絡空間安全（“Cybersecurity”）的部分內涵，而不能代表網絡空間安全的全部內涵。所以，“網絡安全”應譯成“Cybersecurity”，而不應譯成“Network security”，同樣，也不應將“網絡安全”片面理解為“網絡系統安全”，而應理解為“網絡空間安全”。

　　二、網絡安全相關的評估

　　在信息化建設中，往往要對所采購的貨物、工程和服務等就是否滿足網絡安全需求進行評估。這里我們將被評估的對象分為貨物、工程和服務等，是引用《政府采購法》中的類別。當然，也可以采用不同的類別。例如，與“貨物”類別相似的，可以有產品、硬件產品、軟件產品、網絡產品……，與“工程”類別相似的，可以有系統、平臺、解決方案……。不論如何分類，為了滿足網絡安全的需求，除了對它們進行常規指標（如運算速度、容量、價格……）的評估外，還需要進行專門的評估，目前這方面通常提出的要求是“自主可控、安全可靠”。也有專家提出要求“自主可控、安全可信”，這兩種提法很接近，是否需要加以細分還有待于研究。

　　那么，自主可控和安全可靠又有什么關系呢？

　　一種觀點認為，自主可控是安全可靠的前提，只有做到了自主可控才有可能達到安全可靠。因為如不能自主可控，就不能排除存在人為的后門。當今技術復雜度越來越高，一個軟件可能包含千萬行源代碼，一個芯片可能包含幾億個晶體管，對于這種復雜度的軟硬件，如果不是自主可控的，要想通過第三方的測試分析來找出后門，基本上是不可行的。這種觀點還認為，自主可控是被評估對象的一種客觀屬性，與應用場景無關，如同一般技術指標那樣，可以不依賴于應用場景加以評估，也可以按照某種評估標準進行打分。

　　顯然，自主可控不等于安全可靠，自主可控只是達到安全可靠的前提，是安全可靠的必要條件而非充分條件。通常在一個信息系統中，如果做到了自主可控，還需要在此基礎上采取各種措施，才能達到安全可靠。我們主張產品和服務等等的自主可控，其好處在于：信息安全容易治理、一般不存在惡意后門并可以不斷地對其進行改進或修補其漏洞。反之，如果產品和服務等等不能自主可控，就意味著具“他控性”，即受制于人，其后果是：信息安全難以治理、一般存在惡意后門并難以不斷地對其改進或修補其漏洞。

　　相對于自主可控而言，安全可靠不是被評估對象的一種客觀屬性，而是它們在其應用場景中的實際使用效果。如果是一個復雜的信息系統，既需要評估構成系統的重要部件，還需要評估所有部件構成系統后的總效果。安全可靠一般需要通過實驗、測評、實際使用、甚至長期運行的檢驗才能最終得出結論。在這個意義上，安全可靠需要實踐的檢驗。換言之，安全可靠既需要評估，也需要驗證，越是復雜的系統，驗證越加重要。這樣看來，安全可靠的評估比自主可控的評估更復雜，牽涉到更多因素。因為它與應用場景有關，當場景發生變化，安全可靠的程度也會隨之發生變化，所以對于一個信息系統來說，要達到安全可靠并不能靠做一次評估而一勞永逸，而是需要實行科學的、嚴格的運維，持續地進行漏洞分析、風險評估和安全加固等等工作。

　　三、自主可控的評估標準

　　如上所述，自主可控是被評估對象的客觀屬性，可以制訂一種評估標準，我們建議從以下四個方面進行評估：

　　1. 知識產權（包括標準）自主可控

　　在當前的國際競爭格局下，知識產權自主可控十分重要，做不到這一點就一定會受制于人。如果所有知識產權都能自己掌握，當然最好，但實際上不一定能做到，這時，如果部分知識產權能完全買斷，或能買到有足夠自主權的授權，也能達到自主可控。

　　然而，如果只能買到自主權不夠充分的授權，例如某項授權在權利的使用期限、使用方式等方面具有明顯的限制，就不能達到知識產權自主可控。

　　目前國家一些計劃對所支持的項目，要求首先通過知識產權風險評估，才能給予立項，這種做法是正確的、必要的。標準的自主可控似可歸入這一范疇。

　　2. 能力自主可控

　　能力自主可控，主要指技術能力的自主可控，這意味著要有足夠規模的、能真正掌握該技術的科技隊伍。

　　技術能力可以分為一般技術能力、產業化能力、構建產業鏈能力和構建產業生態系統能力等層次。產業化能力的自主可控要求使技術不能停留在樣品或試驗階段，而應能轉化為大規模的產品和服務。產業鏈的自主可控要求在實現產業化的基礎上，圍繞產品和服務，構建一個比較完整的產業鏈，以便不受產業鏈上下游的制約，具備足夠的競爭力。產業生態系統的自主可控要求能營造一個支撐該產業鏈的生態系統。

　　3. 發展自主可控

　　除了知識產權和能力的自主可控，還需要有發展的自主可控，因為我們不但著眼于現在，還要求在今后相當長的時期里，對相關技術和產業而言，都能不受制約地發展。這里會涉及哪些問題，還需要進行深入探討。

　　為此，根據我國具體情況，當前要著眼國家安全和長遠發展，制訂信息核心技術設備的發展戰略。如果某些技術在短期內似乎能自主可控，但長期看做不到自主可控，一般說來是不可取的。只顧眼前利益，有可能會在以后造成更大的被動。

　　4. 滿足“國產”資質

　　一般說來，“國產”產品和服務容易符合自主可控要求，因此實行國產替代對于達到自主可控是完全必要的。不過現在對于“國產”還沒有統一的評估標準。

　　過去有人提出的某些評估標準顯然是不合適的。例如：

　　認為只要公司在中國注冊、交稅，就是“中國公司”，它的產品和服務就是“國產”；或認為“本國產品是指在中國關境內生產，且國內生產成本比例超過50%的最終產品”。顯然，這樣的標準完全不適用于高技術領域。眾所周知，高技術產品和服務的成本主要是開發成本、智力成本，生產成本甚至可以忽略不計。

　　美國國會在1933年通過的《購買美國產品法》，要求聯邦政府采購要買本國產品，即在美國生產的、增值達到50%以上的產品，進口件組裝的不算本國產品。美國采用上述“增值”準則來評估“國產”，比較合理。這方面我們理應學習發達國家行之有效的做法。

　　現在人們大多根據產品和服務提供者資本構成的“資質”進行評估，包括內資（國有、混合所有制、民營）、中外合資和外資等，對于近來出現的“VIE”這類資質還存在不同的觀點。

　　實際上光考察資質可能不夠。建議“國產”的評估既考察其資質，又用“增值”準則加以評估，因為如某項產品和服務在中國的增值很小，意味著它可能就是從國外進口的，達不到自主可控要求。例如進口硬件可能通過“貼牌”、“組裝”變成“國產”，進口軟件和服務可能通過“集成”變成“國產解決方案”的一部分。如果實行“增值”估算，這類“假國產”就難以立足了。為此，建議有關方面盡快出臺“國產”的評估準則。

　　四、安全可靠的評估問題

　　如上所述，安全可靠的評估遠比自主可控的評估復雜，也不能靠做一次評估就一勞永逸，最終還需要通過實踐的驗證。這方面現在還沒有通用的評估標準，應當特別關注的是我國重要信息系統推行的安全等級保護工作。

　　安全等級保護工作廣義上為涉及到該工作的標準、產品、系統、信息等均依據等級保護思想的安全工作；狹義上是指對國家安全、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置的綜合性工作。這一工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段。其中所包含的信息安全等級測評、信息安全檢查等工作，為系統的安全可靠評估提供了重要依據。一般說來，一個通過高級別等保的系統，其安全可靠程度顯然比通過低級別等保的系統高。在等保實施原則中有動態調整原則，它考慮到應用場景的變化，規定要跟蹤信息系統的變化情況，調整安全保護措施。甚至重新確定信息系統的安全保護等級，根據信息系統安全保護等級的調整情況，重新實施安全保護。此外，信息系統安全等級測評還強調了，在安全控制測評的基礎上，要包括系統整體測評。這些當然都與安全可靠的評估密切相關。

　　鑒于安全可靠的評估極其復雜，至今這個問題還遠沒有得到全面解決，有待于今后有關方面的繼續努力。（中國工程院院士 倪光南）