倪光南自主可控不等于安全可靠

本报讯 ( 张伟) 近日北京前门大街东侧的刘老根会馆门前的雕塑。，由中央信办络安全协调局、公安部络安全保卫局、工业和信息化部软件服务业司、中国保密协会等作为指导单位，信息安全类联盟中关村络安全与信息化产业联盟主办，主题为互联+国家政务安全的第二届国家络安全宣传周政务安全主题日论坛在北京中华世纪坛举办。论坛上，我国著名信息安全领域专家、中国工程院院士倪光南发表了络安全相关的评估问题的主题演讲。

倪光南表示，在信息化建设中，往往要对所采购的货物、工程服务等就是否满足络安全需求进行评估。在评估中，自主可控和安全可靠的关系如何?一种观点认为，自主可控是安全可靠的前提，只有做到了自主可控才有可能达到安全可靠。但自主可控不等于安全可靠。 倪光南强调，安全可靠不是被评估对象的一种客观属性，而是它们在其应用场景中的实际使用效果。

自主可控的评估标准是什么?我们建议从四个方面进行评估：知识产权自主可控、技术能力自主可控、发展自主可控、满足国产资质。 倪光南说。

倪光南进一步阐述说，在当前国际竞争格局下，知识产权自主可控十分重要，做不到这一点就一定会受制于人。如果所有知识产权都能自己掌握当然最好，但实际上不一定能做到。这时以点带面，如果部分知识产权能完全买断，或能买到有足够自主权的授权，也能达到自主可控。

技术能力的自主可控意味着要有足够规模的、能真正掌握该技术的科研队伍。技术能力可以分为一般技术能力、产业化能力、构建产业链能力和构建产业生态系统能力等层次。产业化能力的自主可控要求使技术不能停留在样品或试验阶段，而应能转化为大规模的产品和服务。产业链的自主可控要求在实现产业化的基础上，围绕产品和服务构建一个比较完整的产业链。产业生态系统的自主可控要求能营造一个支撑该产业链的生态系统。

除了知识产权和技术能力的自主可控外，还需要有发展的自主可控。根据我国具体情况，当前要着眼国家安全和长远发展，制订信息核心技术设备的发展战略。如果某项技术在短期内效益较好，但长期看做不到自主可控，一般来说是不可取的。只顾眼前利益，有可能会在以后造成更大的被动。因此，我们强调发展的自主可控就是要着眼于未来、着眼于产业。 倪光南说。

倪光南表示，一般来说国产产品和服务容易符合自主可控要求，因此，实行国产替代对于达到自主可控是完全必要的。不过，现在对于国产还没有统一的界定标准。过去有人提出的某些评估标准显然是不科学的，比如说，有人说，只要公司在中国注册、交税，就是中国公司，它的产品和服务就是国产。但实际上几乎所有世界500强企业都在中国注册了公司，难道它们都变成了中国公司了吗?倒是美国国会在1933年通过的《购买美国产品法》可以给我们一个启示，该法案要求联邦政府采购要买本国产品，即在美国生产的、增值达到50%以上的产品，进口件组装的不算本国产品。美国采用上述增值来评估国产比较合理，这方面我们理应学习。

据了解，此次论坛上，业界人士还探讨了互联+时代下电子政务安全领域的新常态和新趋势，从政府、专家和企业各个角度解析我国电子政务安全在国家络安全中的地位、作用及其发展模式。来自国家信息中心的沈宇超博士重点介绍了国家电子政务外可信体系建设的思路;华为技术有限公司战略部副总裁郑志彬对电子政务云平台的安全架构进行了阐述。此外，来自山石科、天融信、神、奇虎360、鼎普科技等知名信息安全企业的代表也在此次论坛上发表了主题演讲。