日前舉行的第三屆中國網(wǎng)絡(luò)安全大會(huì)上，中國工程院院士倪光南呼吁加強(qiáng)網(wǎng)絡(luò)安全相關(guān)的評測認(rèn)證，加強(qiáng)并完善信息安全等級保護(hù)工作，實(shí)行自主可控的評估標(biāo)準(zhǔn)，從知識產(chǎn)權(quán)、能力、發(fā)展條件、供應(yīng)鏈、“國產(chǎn)”資質(zhì)等五個(gè)方面對自主可控程度進(jìn)行評估。

來源：賽凡科技　　
      倪光南表示，產(chǎn)品和服務(wù)等自主可控，基本上可保證不存在惡意后門并能不斷地對其進(jìn)行改進(jìn)或修補(bǔ)漏洞。反之，如果產(chǎn)品和服務(wù)等不能自主可控，就意味著受制于人。其后果是，這些產(chǎn)品或服務(wù)可能會(huì)存在惡意后門，難以不斷地對其改進(jìn)或修補(bǔ)漏洞，信息安全難以治理。

　　倪光南建議從以下五個(gè)方面對自主可控程度進(jìn)行評估：

　　1、知識產(chǎn)權(quán)（包括標(biāo)準(zhǔn)）自主可控

　　在當(dāng)前的國際競爭格局下，知識產(chǎn)權(quán)自主可控十分重要，做不到這一點(diǎn)就一定會(huì)受制于人。如果所有知識產(chǎn)權(quán)都能自己掌握當(dāng)然最好，但實(shí)際上不一定能。這時(shí)，如果部分知識產(chǎn)權(quán)能完全買斷，或能買到有足夠自主權(quán)的授權(quán)，也能滿足自主可控。如果只能買到自主權(quán)不夠充分的授權(quán)，例如某項(xiàng)授權(quán)在權(quán)利的使用期限、使用方式等方面具有明顯的限制，就不能達(dá)到知識產(chǎn)權(quán)自主可控。

　　目前國家一些計(jì)劃對所支持的項(xiàng)目，要求首先通過知識產(chǎn)權(quán)風(fēng)險(xiǎn)評估，才能給予立項(xiàng)，這種做法是正確的、必要的。標(biāo)準(zhǔn)的自主可控似可歸入這一范疇。

　　2、能力自主可控

　　能力自主可控，主要指技術(shù)能力的自主可控。這意味著要有足夠規(guī)模的、能真正掌握該技術(shù)的科技隊(duì)伍。

　　技術(shù)能力可以分為一般技術(shù)能力、產(chǎn)業(yè)化能力、構(gòu)建產(chǎn)業(yè)鏈能力和構(gòu)建產(chǎn)業(yè)生態(tài)系統(tǒng)能力等層次。產(chǎn)業(yè)化能力的自主可控要求使技術(shù)不能停留在樣品或試驗(yàn)階段，而應(yīng)能轉(zhuǎn)化為大規(guī)模的產(chǎn)品和服務(wù)。產(chǎn)業(yè)鏈的自主可控要求在實(shí)現(xiàn)產(chǎn)業(yè)化的基礎(chǔ)上，圍繞產(chǎn)品和服務(wù)，構(gòu)建一個(gè)比較完整的產(chǎn)業(yè)鏈，以便不受產(chǎn)業(yè)鏈上下游的制約，具備足夠的競爭力。產(chǎn)業(yè)生態(tài)系統(tǒng)的自主可控要求能營造一個(gè)支撐該產(chǎn)業(yè)鏈的生態(tài)系統(tǒng)。

　　3、發(fā)展自主可控

　　除了知識產(chǎn)權(quán)和能力的自主可控，還需要有發(fā)展的自主可控。因?yàn)槲覀儾坏塾诂F(xiàn)在，還要求在今后相當(dāng)長的時(shí)期里，相關(guān)技術(shù)和產(chǎn)業(yè)都能不受制約地發(fā)展。

　　倪光南表示，根據(jù)我國具體情況，要著眼國家安全和長遠(yuǎn)發(fā)展，制訂信息核心技術(shù)設(shè)備的發(fā)展戰(zhàn)略。如果某些技術(shù)在短期內(nèi)似乎能自主可控，但長期看做不到自主可控，一般說來是不可取的。只顧眼前利益，有可能會(huì)在以后造成更大的被動(dòng)。

　　4、供應(yīng)鏈自主可控

　　一個(gè)產(chǎn)品的供應(yīng)鏈可能很長，如果其中的一個(gè)或某些環(huán)節(jié)不能自主可控，也就不能滿足自主可控要求。

　　倪光南特別舉了“國產(chǎn)CPU”的例子，以證明供應(yīng)鏈自主可控的重要性。對復(fù)雜的CPU芯片來說，即使擁有知識產(chǎn)權(quán)，也有技術(shù)能力掌握，做到在設(shè)計(jì)方面不受制于人，但如需依賴外國才能進(jìn)行生產(chǎn)，倪光南認(rèn)為這樣的情況仍然達(dá)不到自主可控的要求。

　　所以，應(yīng)當(dāng)評估一個(gè)產(chǎn)品的供應(yīng)鏈?zhǔn)欠衲芡耆瓶?。像上述?fù)雜的CPU芯片，如果必須依賴外國進(jìn)行生產(chǎn)加工，就不能滿足自主可控的要求。如果能夠依靠本國廠商生產(chǎn)出來，即使性能指標(biāo)略低一些，還是可以容許的。

　　5、具備“國產(chǎn)”資質(zhì)

　　一般來說，“國產(chǎn)”產(chǎn)品和服務(wù)容易符合自主可控要求，因此實(shí)行國產(chǎn)替代對于達(dá)到自主可控是完全必要的。不過，現(xiàn)在對于“國產(chǎn)”還沒有統(tǒng)一的評估標(biāo)準(zhǔn)。

　　倪光南稱，過去有人提出的某些評估標(biāo)準(zhǔn)是不合適的。例如，認(rèn)為只要公司在中國注冊、交稅，就是“中國公司”，它的產(chǎn)品和服務(wù)就是“國產(chǎn)”；或認(rèn)為“本國產(chǎn)品是指在中國關(guān)境內(nèi)生產(chǎn)，且國內(nèi)生產(chǎn)成本比例超過50%的最終產(chǎn)品”。這里，突出“生產(chǎn)成本”完全不適用于高技術(shù)領(lǐng)域。

　　眾所周知，高技術(shù)產(chǎn)品和服務(wù)的成本主要是開發(fā)成本、智力成本，生產(chǎn)成本甚至可以忽略不計(jì)，這種“生產(chǎn)成本”準(zhǔn)則是幫進(jìn)口高技術(shù)產(chǎn)品的忙，因?yàn)樗鼈冎灰弥袊牧献鰝€(gè)包裝，就可以搖身一變成為“國貨”了。

　　美國國會(huì)在1933年通過的《購買美國產(chǎn)品法》，要求聯(lián)邦政府采購要買本國產(chǎn)品，即在美國生產(chǎn)的、增值達(dá)到50%以上的產(chǎn)品，進(jìn)口件組裝的不算本國產(chǎn)品。美國采用上述“增值”準(zhǔn)則來評估“國產(chǎn)”，比較合理。這方面我們理應(yīng)學(xué)習(xí)發(fā)達(dá)國家行之有效的做法。

　　現(xiàn)在人們大多根據(jù)產(chǎn)品和服務(wù)提供者資本構(gòu)成的“資質(zhì)”進(jìn)行評估?？疾熨Y質(zhì)是必要的，但除此以外，還應(yīng)采用“增值”準(zhǔn)則對“國產(chǎn)化程度”加以評估。如果某項(xiàng)產(chǎn)品和服務(wù)在中國的增值很小，意味著它可能就是從國外進(jìn)口的，達(dá)不到自主可控的要求。如進(jìn)口硬件可能通過“貼牌”、“組裝”變成“國產(chǎn)”，進(jìn)口軟件和服務(wù)可能通過“集成”變成“國產(chǎn)解決方案”的一部分。如果實(shí)行“增值”估算，這類“假國產(chǎn)”就難以立足。倪光南建議有關(guān)方面盡快出臺(tái)合理的“國產(chǎn)”評估準(zhǔn)則。