一、网信工作要实现安全和发展的同步推进

在网络安全和信息化领域,我们要树立新的发展观,尤其是要处理好安全和发展的关系。习主席在中央网络安全与信息化领导小组成立之时就指出,网络安全和信息化是一体之两翼、驱动之双轮。最近在网信工作座谈会上,他又强调指出:网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。因此,如果将网络安全和信息化作为两项独立的工作,分别对待,分别处理,或者仅仅将网络安全作为信息化的辅助措施,都不符合网信工作的客观规律,都会给工作带来损失。

今天,我们实施一个信息化项目,如果像实施传统项目那样,只重视经济效益,那么有可能事与愿违,造成重大的安全损害。特别是现在新一代信息技术蓬勃兴起,一个信息系统可能会面向广大的用户、处理海量的数据,这类系统一旦出了安全问题,后果就极为严重。所以我们从事网信工作,往往要将网络安全的考量放在优先的地位,而且贯穿在项目的全过程中,包括确定需求,选择方案,采购设备,组织实施,运营维护等等,无论在那个环节,都要把网络安全保障放在重要位置。正像“绿色发展”要求我们在决定某些工业项目是否上马时,将符合环保要求放在“一票否决”的地位,今天,我们也应将是否符合网络安全的要求放在类似的地位。

二、只有通过自主创新才能突破关键核心技术

在网信领域,信息化核心技术和信息基础设施具有特别重要的地位,而且有高度的垄断性。一直以来,我国在一些关键核心技术设备上受制于人,也就是说,我们的“命门”掌握在别人手里。正因为如此,尽管我国的网民和移动网民数都居世界第一,但我们还不是网络强国。我国只有尽快突破核心技术,把命运掌握在自己手中,才能成为一个网络强国。

掌握核心技术往往需要付出巨大的、坚持不懈的努力。例如,早期在我国还不能制造高性能计算机时,有些部门(如天气预报、石油勘探……)不得不高价去买外国计算机,但那时,外国只卖给我们较低指标的计算机,外国公司还要派人在机房里监视着他们计算机的运行。后来,每当我国研制出了一台较高指标的计算机,他们才会放松一些限制,卖给我们高一档次的计算机。就这样,随着我国自己设计的计算机不断提升,外国才被迫逐渐放宽了对我国的禁运。这两年,我国的“天河”机登上了世界超级计算机的榜首,他们于心不甘,去年就禁运了“天河”机所使用的“至强”CPU芯片,企图进行遏制。但这反而激励了我国科技人员的创新。今年,我国推出了采用国产CPU芯片的“神威·太湖之光”超级计算机,继续高居世界榜首;而且“天河”也将在明年推出采用国产CPU芯片的新型号。上述中国高性能计算机几十年的发展史证明:真正的核心技术是买不来的,是市场换不到的。我们只有通过自主创新,自立自强,才能打破发达国家对我们采取的种种遏制,才能将关键核心技术掌握在我们自己手中。

三、正确处理开放和自主的关系

我们强调自主创新,不是关起门来搞研发,一定要坚持开放创新。我们不拒绝任何新技术,自主创新中包括引进那些是安全可控的新技术,也包括引进消化吸收再创新。应该说,这些年来基于开源软件实施引进消化吸收再创新还是卓有成效的。今后,随着我国软件人员逐步地从开源软件的使用者发展到参与者、贡献者,甚至有的开源软件可能由我国软件人员主导,其中将会具有越来越多的自主创新成分。

近来,我国企业和外国同行之间在一些核心技术方面的合作有增多的迹象。因为随着我国技术水平和创新能力的提高,外国会放宽某些出口限制,这有利于企业间国际合作的扩展。另外,我国广阔的市场也吸引着外国企业扩展与中国企业的合作。这种合作一般是市场行为,企业可以自行决策。只有当合作涉及到国家安全或者有可能造成市场垄断时,需要通过有关部门的审查,包括进行网络安全审查在内。

一些企业认为,这类国际合作可以达到“合作共赢”或“与狼共舞”。不管怎样说,只要符合法规,都是容许的。不过应当防止出现某些偏差,例如有的“合资”或“合作”采用简单的“贴牌”或“穿马甲”等方式,将外国产品通过“合资”或“合作”变为“国产”或“自主可控”产品。这样做可能会对真正的本国企业造成打压,也可能误将不可控的产品当成“自主可控”的,不利于保障网络安全。

企业间的合作主要取决于经济利益,但在国家层面上,发展信息化核心技术等重要决策,应突出网络安全,强调不能受制于人。即使外国公司的某项技术很先进,性价比很高,似乎也能大量供应市场,这作为企业间的国际合作项目是可以的,但如果它在某个方面(如知识产权、供应链、技术掌握……),会受到别人的制约,那么就不能作为国家层面的选择。所以不能将企业间的“合作共赢”或“与狼共舞”,无条件地扩展为国家间的关系。

四、需要发展网络安全、信息安全的评估方法

如果说,传统产品和服务可以用经济技术指标来衡量的话,那么,对于网信领域的产品和服务来说,除了用经济技术指标以外,还应该用网络安全、信息安全方面的指标来衡量。现在我们对所使用的产品和服务一般提出“自主可控安全可靠”的要求,可是目前对此还没有进行测试评估或认证的普遍适用的方法。最近公布的《网络安全法》(草案)(二次审议稿)第二十条规定:“国家实行网络安全等级保护制度。”不过等保制度是为了规范信息安全等级保护管理,提高信息安全保障能力和水平,不是针对具体产品和服务的。我国也有一些机构依据有关标准规范,专门对国内外信息技术产品的安全性进行测评认证,但这种工作一般需要花费较高成本和较长时期,往往也只覆盖一些特定的信息安全产品。所以随着对网络安全、信息安全的评估需求越来越普遍,有必要逐步制定一些规范,尤其是对“自主可控”的评估较为容易,有可能制订一些可操作的评估方法,以便更好地实现安全和发展的同步推进。我们建议,至少应当在知识产权(包括标准)、技术能力、发展主动权、供应链、资质和本土增值等方面进行评估,以确保产品和服务能真正满足自主可控的要求。(作者:倪光南 中国工程院院士)