网络安全相关的评估问题探讨

中国工程院院士 倪光南

一、网络安全方面一些术语的讨论

1.网络安全、信息安全等所讨论的“安全”是在对抗状态下的安全，这与在自然状态下的安全的内涵有所不同，在英语中，前者用“Security”，后者用“Safety”，不过在汉语中是同一个词。

2.按照Gartner的观点，网络安全（“Cybersecurity”）包含信息安全，IT（信息技术）安全，OT（运作技术）安全，物理安全和IoT（物联网）安全等内涵。换言之，网络安全不等于信息安全，网络安全包含信息安全，而信息安全是网络安全的重要方面。

3.我国官方文件最早在十八大提出，要高度关注网络空间安全，三中全会上成立了中央网络安全和信息化领导小组，这里的“网络安全”是“网络空间安全”的简称。在英语中，前者是“Cybersecurity”后者是“Cyberspace security”。在英语中“Cyberspace security”简称为“Cybersecurity”不会有什么歧义，不过在汉语中“网络空间安全”简称为“网络安全”有可能产生歧义。有的专家曾提出将“Cyberspace”译成“赛博空间”，如果是这样，“赛博空间安全”简称为“赛博安全”也不会有什么歧义。不过现在“Cyberspace”译成“网络空间”已经约定俗成，在这种情况下，将“网络安全”理解为“网络空间安全”的简称似乎是顺理成章的。

4.有人将“网络安全”译成“Network security”值得商榷。因为“Network”一般是指具体的物理网络或网络系统，英语的“Network security”应当包含在信息技术安全或物理安全之中，它只是网络空间安全（“Cybersecurity”）的部分内涵，而不能代表网络空间安全的全部内涵。所以，“网络安全”应译成“Cybersecurity”，而不应译成“Network security”，同样，也不应将“网络安全”片面理解为“网络系统安全”，而应理解为“网络空间安全”。

二、网络安全相关的评估

在信息化建设中，往往要对所采购的货物、工程和服务等就是否满足网络安全需求进行评估。这里我们将被评估的对象分为货物、工程和服务等，是引用《政府采购法》中的类别。当然，也可以采用不同的类别。例如，与“货物”类别相似的，可以有产品、硬件产品、软件产品、网络产品……，与“工程”类别相似的，可以有系统、平台、解决方案……。不论如何分类，为了满足网络安全的需求，除了对它们进行常规指标（如运算速度、容量、价格……）的评估外，还需要进行专门的评估，目前这方面通常提出的要求是“自主可控、安全可靠”。也有专家提出要求“自主可控、安全可信”，这两种提法很接近，是否需要加以细分还有待于研究。

那么，自主可控和安全可靠又有什么关系呢？

一种观点认为，自主可控是安全可靠的前提，只有做到了自主可控才有可能达到安全可靠。因为如不能自主可控，就不能排除存在人为的后门。当今技术复杂度越来越高，一个软件可能包含千万行源代码，一个芯片可能包含几亿个晶体管，对于这种复杂度的软硬件，如果不是自主可控的，要想通过第三方的测试分析来找出后门，基本上是不可行的。这种观点还认为，自主可控是被评估对象的一种客观属性，与应用场景无关，如同一般技术指标那样，可以不依赖于应用场景加以评估，也可以按照某种评估标准进行打分。

显然，自主可控不等于安全可靠，自主可控只是达到安全可靠的前提，是安全可靠的必要条件而非充分条件。通常在一个信息系统中，如果做到了自主可控，还需要在此基础上采取各种措施，才能达到安全可靠。我们主张产品和服务等等的自主可控，其好处在于：信息安全容易治理、一般不存在恶意后门并可以不断地对其进行改进或修补其漏洞。反之，如果产品和服务等等不能自主可控，就意味着具“他控性”，即受制于人，其后果是：信息安全难以治理、一般存在恶意后门并难以不断地对其改进或修补其漏洞。

相对于自主可控而言，安全可靠不是被评估对象的一种客观属性，而是它们在其应用场景中的实际使用效果。如果是一个复杂的信息系统，既需要评估构成系统的重要部件，还需要评估所有部件构成系统后的总效果。安全可靠一般需要通过实验、测评、实际使用、甚至长期运行的检验才能最终得出结论。在这个意义上，安全可靠需要实践的检验。换言之，安全可靠既需要评估，也需要验证，越是复杂的系统，验证越加重要。这样看来，安全可靠的评估比自主可控的评估更复杂，牵涉到更多因素。因为它与应用场景有关，当场景发生变化，安全可靠的程度也会随之发生变化，所以对于一个信息系统来说，要达到安全可靠并不能靠做一次评估而一劳永逸，而是需要实行科学的、严格的运维，持续地进行漏洞分析、风险评估和安全加固等等工作。

三、自主可控的评估标准

如上所述，自主可控是被评估对象的客观属性，可以制订一种评估标准，我们建议从以下四个方面进行评估：

1. 知识产权（包括标准）自主可控

在当前的国际竞争格局下，知识产权自主可控十分重要，做不到这一点就一定会受制于人。如果所有知识产权都能自己掌握，当然最好，但实际上不一定能做到，这时，如果部分知识产权能完全买断，或能买到有足够自主权的授权，也能达到自主可控。

然而，如果只能买到自主权不够充分的授权，例如某项授权在权利的使用期限、使用方式等方面具有明显的限制，就不能达到知识产权自主可控。

目前国家一些计划对所支持的项目，要求首先通过知识产权风险评估，才能给予立项，这种做法是正确的、必要的。标准的自主可控似可归入这一范畴。

2. 能力自主可控

能力自主可控，主要指技术能力的自主可控，这意味着要有足够规模的、能真正掌握该技术的科技队伍。

技术能力可以分为一般技术能力、产业化能力、构建产业链能力和构建产业生态系统能力等层次。产业化能力的自主可控要求使技术不能停留在样品或试验阶段，而应能转化为大规模的产品和服务。产业链的自主可控要求在实现产业化的基础上，围绕产品和服务，构建一个比较完整的产业链，以便不受产业链上下游的制约，具备足够的竞争力。产业生态系统的自主可控要求能营造一个支撑该产业链的生态系统。

3. 发展自主可控

除了知识产权和能力的自主可控，还需要有发展的自主可控，因为我们不但着眼于现在，还要求在今后相当长的时期里，对相关技术和产业而言，都能不受制约地发展。这里会涉及哪些问题，还需要进行深入探讨。

为此，根据我国具体情况，当前要着眼国家安全和长远发展，制订信息核心技术设备的发展战略。如果某些技术在短期内似乎能自主可控，但长期看做不到自主可控，一般说来是不可取的。只顾眼前利益，有可能会在以后造成更大的被动。

4. 满足“国产”资质

一般说来，“国产”产品和服务容易符合自主可控要求，因此实行国产替代对于达到自主可控是完全必要的。不过现在对于“国产”还没有统一的评估标准。

过去有人提出的某些评估标准显然是不合适的。例如：

认为只要公司在中国注册、交税，就是“中国公司”，它的产品和服务就是“国产”；或认为“本国产品是指在中国关境内生产，且国内生产成本比例超过50%的最终产品”。显然，这样的标准完全不适用于高技术领域。众所周知，高技术产品和服务的成本主要是开发成本、智力成本，生产成本甚至可以忽略不计。

美国国会在1933年通过的《购买美国产品法》，要求联邦政府采购要买本国产品，即在美国生产的、增值达到50%以上的产品，进口件组装的不算本国产品。美国采用上述“增值”准则来评估“国产”，比较合理。这方面我们理应学习发达国家行之有效的做法。

现在人们大多根据产品和服务提供者资本构成的“资质”进行评估，包括内资（国有、混合所有制、民营）、中外合资和外资等，对于近来出现的“VIE”这类资质还存在不同的观点。

实际上光考察资质可能不够。建议“国产”的评估既考察其资质，又用“增值”准则加以评估，因为如某项产品和服务在中国的增值很小，意味着它可能就是从国外进口的，达不到自主可控要求。例如进口硬件可能通过“贴牌”、“组装”变成“国产”，进口软件和服务可能通过“集成”变成“国产解决方案”的一部分。如果实行“增值”估算，这类“假国产”就难以立足了。为此，建议有关方面尽快出台“国产”的评估准则。

四、安全可靠的评估问题

如上所述，安全可靠的评估远比自主可控的评估复杂，也不能靠做一次评估就一劳永逸，最终还需要通过实践的验证。这方面现在还没有通用的评估标准，应当特别关注的是我国重要信息系统推行的安全等级保护工作。

安全等级保护工作广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作；狭义上是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。这一工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。其中所包含的信息安全等级测评、信息安全检查等工作，为系统的安全可靠评估提供了重要依据。一般说来，一个通过高级别等保的系统，其安全可靠程度显然比通过低级别等保的系统高。在等保实施原则中有动态调整原则，它考虑到应用场景的变化，规定要跟踪信息系统的变化情况，调整安全保护措施。甚至重新确定信息系统的安全保护等级，根据信息系统安全保护等级的调整情况，重新实施安全保护。此外，信息系统安全等级测评还强调了，在安全控制测评的基础上，要包括系统整体测评。这些当然都与安全可靠的评估密切相关。

鉴于安全可靠的评估极其复杂，至今这个问题还远没有得到全面解决，有待于今后有关方面的继续努力。（中国工程院院士 倪光南）