近日,中国网络安全大会在国家会议中心举行,会上中国工程院院士倪光南发表了题为《网络安全相关的测评认证探讨》的演讲,倪光南建议在信息化建设采购产品或者进行立项时,除了技术指标、性能指标、经济指标以及价格指标等,还要把网络安全也加进去,作为考量指标,并通过第三方的测评机构进行评估。
倪光南认为,在网络安全考量制度化建设中,可以参照已有的规章制度,比如等级保护。等级保护本身就是为信息安全保护归类的,用以区分重要信息和次要信息。网络安全考量借用等级保护,可以对相应的产品、服务和项目进行评估。重要信息系统的采购,从系统设计、产品选型开始就要用等级保护来指导,甚至有些时候要进行强制认证,因为有些环节进行强制认证更有利于网络安全。
等级保护或者其他的专门的制度,可以达成一部分网络安全评估需求,但不能解决全部问题,最重要的还得有“自主可控、安全可信”这个大前提。“自主可控”是“安全可信”的一个前提,“自主可控”达不到,提“安全可信”那是空话。因为“自主可控”可以做到没有“后门”,自己有能力对信息产品进行改进、治理,并不断地发展。
“自主可控”是可以评估的,就像性能指标一样,应该成为第三方测评机构的评估标准。倪光南提出自主可控五个维度:知识产权、技术能力、发展前景、供应链、国产资质。
知识产权不可靠,一切免谈。在当前全球化的国际形势下,知识产权必须得到足够重视,必须妥善解决。
技术能力,其实指的是人才队伍。没有能力足够强的人才队伍,知识产权就是空话。没有人才队伍掌握知识产权和技术应用,最后还是做不到自主产权。
有时候看起来知识产权和技术能力都可以做,但是可能这个技术未来要废弃、要过时,即使技术能力很强、掌握知识产权也不能做,因为几年以后这种技术就要废弃了。
有些产品和技术还要做到“供应链”自主可控,如果只是一些环节可以做到自主,但不能控制整个供应链,从技术安全角度来讲也不行。比如电脑芯片,即使有知识产权,能够设计出来,但生产不出来,还是不行。
“国产化”不等于就是自主可控,但“国产化”是自主可控的重要环节。中国的国产化还没有统一的标准,包括政府采购法从2003年生效到现在,虽然政府采购应该优先采购“国产”产品和服务,但“国产”产品、服务和工程还没有一个统一的界定,所以在这方面也应该出台一个标准。