網(wǎng)絡(luò)空間已成為國家繼陸、海、空、天四個(gè)疆域之后的第五疆域,與其他疆域一樣,網(wǎng)絡(luò)空間也需體現(xiàn)國家主權(quán),保障網(wǎng)絡(luò)空間安全也就是保障國家主權(quán)。黨的十八大提出“要高度關(guān)注網(wǎng)絡(luò)空間安全”,三中全會后成立了中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組,這標(biāo)志著我國網(wǎng)絡(luò)空間安全國家戰(zhàn)略已經(jīng)確立。不久前習(xí)近平主席指出:“沒有網(wǎng)絡(luò)安全就沒有國家安全,沒有信息化就沒有現(xiàn)代化。” 這是在新的歷史時(shí)期我國信息領(lǐng)域工作的指導(dǎo)方針。現(xiàn)在,網(wǎng)絡(luò)空間已成為國家繼陸、海、空、天四個(gè)疆域之后的第五疆域,與其他疆域一樣,網(wǎng)絡(luò)空間也需體現(xiàn)國家主權(quán),保障網(wǎng)絡(luò)空間安全也就是保障國家主權(quán)。 網(wǎng)絡(luò)安全的內(nèi)涵可以包括: -信息安全。它是網(wǎng)絡(luò)安全的最重要內(nèi)涵,保障網(wǎng)絡(luò)主權(quán)就應(yīng)保障信息主權(quán); -IT(信息技術(shù))安全。包括關(guān)鍵核心技術(shù)、信息基礎(chǔ)設(shè)施、相關(guān)硬件軟件技術(shù)等等的安全。在IT安全方面,我國目前應(yīng)及早解決在關(guān)鍵核心技術(shù)和設(shè)備上受制于人的問題。 -OT(運(yùn)作技術(shù))安全。包括法規(guī)、標(biāo)準(zhǔn)、制度、管理等等方面。 -物理安全。指與技術(shù)無關(guān)的安全。 應(yīng)當(dāng)指出,網(wǎng)絡(luò)安全、信息安全這類安全概念是與傳統(tǒng)安全概念不同的。傳統(tǒng)安全是在自然環(huán)境下的安全,在這種環(huán)境下不存在人為對抗,而網(wǎng)絡(luò)安全、信息安全是在對抗環(huán)境下的安全,一般存在著人為對抗,形成攻防兩方。在英語中,傳統(tǒng)安全的“安全”用“Safety”,而網(wǎng)絡(luò)安全、信息安全的“安全”用“Security”。不過在中文中,一般不區(qū)分兩者,有的場合在中文中也有區(qū)分,例如將“Security”翻譯成“保安”、“安保”等。傳統(tǒng)安全往往可以度量、預(yù)測、態(tài)勢較少變化,而網(wǎng)絡(luò)安全、信息安全取決于對抗情況,往往難以度量、預(yù)測、態(tài)勢快速變化。 對于傳統(tǒng)安全而言,選取技術(shù)、產(chǎn)品和服務(wù)等等,主要依據(jù)性價(jià)比。但對于網(wǎng)絡(luò)安全、信息安全而言,因?yàn)榇嬖谥シ纼煞剑孕畔㈥P(guān)鍵核心技術(shù)設(shè)備和服務(wù)的選取首先是考察能否自主可控,這一要求往往比性價(jià)比更重要。可以說,自主可控是保障網(wǎng)絡(luò)安全、信息安全的前提。能自主可控意味著信息安全容易治理、產(chǎn)品和服務(wù)一般不存在惡意后門并可以不斷改進(jìn)或修補(bǔ)漏洞;反之,不能自主可控就意味著具“他控性”,就會受制于人,其后果是:信息安全難以治理、產(chǎn)品和服務(wù)一般存在惡意后門并難以不斷改進(jìn)或修補(bǔ)漏洞。 在評估信息領(lǐng)域重要項(xiàng)目或者制訂發(fā)展規(guī)劃時(shí),常常需要論證是否達(dá)到自主可控的要求,在實(shí)踐中,我們歸納出一些要求,列出如下供作參考。 在當(dāng)前的國際競爭格局下,知識產(chǎn)權(quán)自主可控十分重要,做不到這一點(diǎn)就一定會受制于人。如果所有知識產(chǎn)權(quán)都能自己掌握,當(dāng)然最好,但實(shí)際上不一定能做到,這時(shí),如果部分知識產(chǎn)權(quán)能完全買斷,或能買到有足夠自主權(quán)的授權(quán),也能達(dá)到自主可控。然而,如果只能買到自主權(quán)不夠充分的授權(quán),例如某項(xiàng)授權(quán)在權(quán)利的使用期限、使用方式等方面具有明顯的限制,就不能達(dá)到知識產(chǎn)權(quán)自主可控。目前國家一些計(jì)劃對所支持的項(xiàng)目,要求首先通過知識產(chǎn)權(quán)風(fēng)險(xiǎn)評估,才能給予立項(xiàng),這種做法是正確的、必要的。標(biāo)準(zhǔn)的自主可控似可歸入這一范疇。 技術(shù)能力自主可控,意味著要有足夠規(guī)模的、能真正掌握該技術(shù)的科技隊(duì)伍。技術(shù)能力可以分為一般技術(shù)能力、產(chǎn)業(yè)化能力、構(gòu)建產(chǎn)業(yè)鏈能力和構(gòu)建產(chǎn)業(yè)生態(tài)系統(tǒng)能力等層次。產(chǎn)業(yè)化能力的自主可控要求使技術(shù)不能停留在樣品或試驗(yàn)階段,而應(yīng)能轉(zhuǎn)化為大規(guī)模的產(chǎn)品和服務(wù)。產(chǎn)業(yè)鏈的自主可控要求在實(shí)現(xiàn)產(chǎn)業(yè)化的基礎(chǔ)上,圍繞產(chǎn)品和服務(wù),構(gòu)建一個(gè)比較完整的產(chǎn)業(yè)鏈,以便不受產(chǎn)業(yè)鏈上下游的制約,具備足夠的競爭力。產(chǎn)業(yè)生態(tài)系統(tǒng)的自主可控要求能營造一個(gè)支撐該產(chǎn)業(yè)鏈的生態(tài)系統(tǒng)。 有了知識產(chǎn)權(quán)和技術(shù)能力的自主可控,一般是能自主發(fā)展的,但這里再特別強(qiáng)調(diào)一下發(fā)展的自主可控,也許是有必要的。因?yàn)槲覀儾坏吹浆F(xiàn)在,還要著眼于今后相當(dāng)長的時(shí)期,對相關(guān)技術(shù)和產(chǎn)業(yè)而言,都能不受制約地發(fā)展。有一個(gè)例子可以說明長期發(fā)展的重要性。眾所周知,前些年我國通過投資、收購等等,曾經(jīng)擁有了CRT電視機(jī)產(chǎn)業(yè)完整的知識產(chǎn)權(quán)和構(gòu)建整個(gè)生態(tài)系統(tǒng)的技術(shù)能力。但是,外國跨國公司一旦將CRT的技術(shù)都賣給中國后,它們立即轉(zhuǎn)向了LCD平板電視,使中國的CRT電視機(jī)產(chǎn)業(yè)變成淘汰產(chǎn)業(yè)。信息領(lǐng)域技術(shù)和市場變化迅速,要防止出現(xiàn)類似事件。因此,如果某項(xiàng)技術(shù)在短期內(nèi)效益較好,但從長期看做不到自主可控,一般說來是不可取的。只顧眼前利益,有可能會在以后造成更大的被動。 一般說來,“國產(chǎn)”產(chǎn)品和服務(wù)容易符合自主可控要求,因此實(shí)行國產(chǎn)替代對于達(dá)到自主可控是完全必要的。不過現(xiàn)在對于“國產(chǎn)”還沒有統(tǒng)一的界定標(biāo)準(zhǔn)。某些觀點(diǎn)顯然是不合適的。例如:有人說,只要公司在中國注冊、交稅,就是“中國公司”,它的產(chǎn)品和服務(wù)就是“國產(chǎn)”。但實(shí)際上幾乎所有世界500強(qiáng)都在中國注冊了公司,難道它們都變成了中國公司了嗎;也有人說,“本國產(chǎn)品是指在中國境內(nèi)生產(chǎn),且國內(nèi)生產(chǎn)成本比例超過50%的最終產(chǎn)品”,甚至還給出了按材料成本計(jì)算的公式。顯然,這樣的“標(biāo)準(zhǔn)”只適合粗放型產(chǎn)品,完全不適用于高技術(shù)領(lǐng)域。倒是美國國會在1933年通過的《購買美國產(chǎn)品法》可以給我們一個(gè)啟示,該法案要求聯(lián)邦政府采購要買本國產(chǎn)品,即在美國生產(chǎn)的、增值達(dá)到50%以上的產(chǎn)品,進(jìn)口件組裝的不算本國產(chǎn)品。看來,美國采用上述“增值”準(zhǔn)則來界定“國產(chǎn)”是比較合理的。 現(xiàn)在人們大多是根據(jù)產(chǎn)品和服務(wù)提供者資本構(gòu)成的“資質(zhì)”進(jìn)行界定,包括內(nèi)資(國有、混合所有制、民營)、中外合資、外資等,如果是內(nèi)資資質(zhì),則認(rèn)為其提供的產(chǎn)品和服務(wù)是“國產(chǎn)”的。由于歷史原因,中國網(wǎng)絡(luò)公司很多是外資控股,為了改變資質(zhì),有的引入了“實(shí)際控制人”概念,有人將這類企業(yè)稱為“VIE”,對此,業(yè)界仍在討論中。 實(shí)踐表明,光考察資質(zhì)是不夠的,為了防止出現(xiàn)“假國產(chǎn)”,建議對產(chǎn)品和服務(wù)實(shí)行“增值”評估,即仿照美國的做法,評估其在中國境內(nèi)的增值是否超過50%。如某項(xiàng)產(chǎn)品和服務(wù)在中國的增值很小,意味著它是從國外進(jìn)口的,達(dá)不到自主可控要求。這樣,可以防止進(jìn)口硬件通過“貼牌”或 “組裝”變成“國產(chǎn)”;防止進(jìn)口軟件和服務(wù)通過由國產(chǎn)系統(tǒng)集成商將它們集成在國產(chǎn)解決方案中,變成“國產(chǎn)”軟件和服務(wù)。 關(guān)于開源軟件的自主可控,有其特殊性。簡單地說開源軟件就安全,或者簡單地說使用開源軟件也不安全,這些說法都有片面性,不符合實(shí)際情況。目前情況下,運(yùn)用開源軟件進(jìn)行開放創(chuàng)新、協(xié)同創(chuàng)新,是世界潮流,應(yīng)當(dāng)予以鼓勵(lì);同時(shí)也需注意下述問題。 對于開源軟件而言,知識產(chǎn)權(quán)自主可控首先是考察能否符合開源許可證要求。一些開源軟件是由商業(yè)公司支持、并受它們控制的,這時(shí),應(yīng)當(dāng)從長遠(yuǎn)考察,在使用和發(fā)展方面是否受到制約?例如有的開源軟件只允許他人修改或定制界面等非關(guān)鍵部分,而關(guān)鍵部分不許他人修改、甚至不予開源;在兼容性、捆綁特定軟件與特定應(yīng)用商店等方面有附加條件;在版本演進(jìn)、市場策略、長遠(yuǎn)發(fā)展路線等方面他人無法參與等等,這實(shí)際上仍然是受制于人,不能滿足知識產(chǎn)權(quán)和發(fā)展的自主可控要求。當(dāng)然,如果與支持這類開源軟件的公司能通過各種方式,合法地解決這些問題又當(dāng)別論。為了達(dá)到技術(shù)能力的自主可控,我們主張至少應(yīng)充分了解開源軟件,進(jìn)一步應(yīng)要求科技人員融入開源社區(qū),與全世界開源人士一起進(jìn)行開放創(chuàng)新、協(xié)同創(chuàng)新。如果這些方面都做好了,那么,正確運(yùn)用開源軟件往往能以較小的代價(jià)、較短的時(shí)間達(dá)到知識產(chǎn)權(quán)、技術(shù)能力和發(fā)展的自主可控。 最后,應(yīng)當(dāng)再次強(qiáng)調(diào),自主可控是達(dá)到網(wǎng)絡(luò)安全、信息安全的前提,但這只是必要條件而非充分條件,在此基礎(chǔ)上,還需采取各種措施才能增強(qiáng)網(wǎng)絡(luò)安全、信息安全。(中國工程院院士 倪光南)
