自主可控

保障網路、信息安全的前提條件

網路空間已成為國家繼陸、海、空、天四個疆域之後的第五疆域,與其他疆域一樣,網路空間也需體現國家主權,保障網路空間安全也就是保障國家主權。

自主可控是保障網路安全、信息安全的前提。能自主可控意味著信息安全容易治理、產品和服務一般不存在惡意後門並可以不斷改進或修補漏洞;反之,不能自主可控就意味著具“他控性”,就會受制於人,其後果是:信息安全難以治理、產品和服務一般存在惡意後門並難以不斷改進或修補漏洞。

介紹


可控性是指對信息和信息系統實施安全監控管理,防止非法利用信息和信息系統,是實現信息安全的五個安全目標之一。而自主可控技術就是依靠自身研發設計,全面掌握產品核心技術,實現信息系統從硬體到軟體的自主研發、生產、升級、維護的全程可控。簡單地說就是核心技術、關鍵零部件、各類軟體全都國產化,自己開發、自己製造,不受制於人。
自主可控是我們國家信息化建設的關鍵環節,是保護信息安全的重要目標之一,在信息安全方面意義重大。

四個層面


在評估信息領域重要項目或者制訂發展規劃時,常常需要論證是否達到自主可控的要求,以下為倪光南院士對“自主可控”的一個全面詮釋,可更準確的理解“自主可控”的概念和重要性。

知識產權

在當前的國際競爭格局下,知識產權自主可控十分重要,做不到這一點就一定會受制於人。如果所有知識產權都能自己掌握,當然最好,但實際上不一定能做到,這時,如果部分知識產權能完全買斷,或能買到有足夠自主權的授權,也能達到自主可控。然而,如果只能買到自主權不夠充分的授權,例如某項授權在權利的使用期限、使用方式等方面具有明顯的限制,就不能達到知識產權自主可控。目前國家一些計劃對所支持的項目,要求首先通過知識產權風險評估,才能給予立項,這種做法是正確的、必要的。標準的自主可控似可歸入這一範疇。

技術能力

技術能力自主可控,意味著要有足夠規模的、能真正掌握該技術的科技隊伍。技術能力可以分為一般技術能力、產業化能力、構建產業鏈能力和構建產業生態系統能力等層次。產業化能力的自主可控要求使技術不能停留在樣品或試驗階段,而應能轉化為大規模的產品和服務。產業鏈的自主可控要求在實現產業化的基礎上,圍繞產品和服務,構建一個比較完整的產業鏈,以便不受產業鏈上下游的制約,具備足夠的競爭力。產業生態系統的自主可控要求能營造一個支撐該產業鏈的生態系統

發展

有了知識產權和技術能力的自主可控,一般是能自主發展的,但這裡再特彆強調一下發展的自主可控,也是必要的。因為我們不但要看到現在,還要著眼於今後相當長的時期,對相關技術和產業而言,都能不受制約地發展。有一個例子可以說明長期發展的重要性。眾所周知,前些年我國通過投資、收購等等,曾經擁有了CRT電視機產業完整的知識產權和構建整個生態系統的技術能力。但是,外國跨國公司一旦將CRT的技術都賣給中國后,它們立即轉向了LCD平板電視,使中國的CRT電視機產業變成淘汰產業。信息領域技術和市場變化迅速,要防止出現類似事件。因此,如果某項技術在短期內效益較好,但從長期看做不到自主可控,一般說來是不可取的。只顧眼前利益,有可能會在以後造成更大的被動。

國產資質

一般說來,“國產”產品和服務容易符合自主可控要求,因此實行國產替代對於達到自主可控是完全必要的。不過現在對於“國產”還沒有統一的界定標準。某些觀點顯然是不合適的。例如:有人說,只要公司在中國註冊、交稅,就是“中國公司”,它的產品和服務就是“國產”。但實際上幾乎所有世界500強都在中國註冊了公司,難道它們都變成了中國公司了嗎;也有人說,“本國產品是指在中國境內生產,且國內生產成本比例超過50%的最終產品”,甚至還給出了按材料成本計算的公式。顯然,這樣的“標準”只適合粗放型產品,完全不適用於高技術領域。倒是美國國會在1933年通過的《購買美國產品法》可以給我們一個啟示,該法案要求聯邦政府採購要買本國產品,即在美國生產的、增值達到50%以上的產品,進口件組裝的不算本國產品。看來,美國採用上述“增值”準則來界定“國產”是比較合理的。
現在人們大多是根據產品和服務提供者資本構成的“資質”進行界定,包括內資(國有、混合所有制、民營)、中外合資、外資等,如果是內資資質,則認為其提供的產品和服務是“國產”的。由於歷史原因,中國網路公司很多是外資控股,為了改變資質,有的引入了“實際控制人”概念,有人將這類企業稱為“VIE”,對此,業界仍在討論中。
實踐表明,光考察資質是不夠的,為了防止出現“假國產”,建議對產品和服務實行“增值”評估,即仿照美國的做法,評估其在中國境內的增值是否超過50%。如某項產品和服務在中國的增值很小,意味著它是從國外進口的,達不到自主可控要求。這樣,可以防止進口硬體通過“貼牌”或“組裝”變成“國產”;防止進口軟體和服務通過由國產系統集成商將它們集成在國產解決方案中,變成“國產”軟體和服務。

全景圖


實現IT系統的自主可控是一個全產業鏈的長期行為,上至法律法規、標準,下至具體的IT產品或服務,需要產業鏈上的各個單位、企業、機構甚至消費者共同參與才能實現。
自主可控
自主可控