| |
|
|
突出安全是信息产业的新常态
信息安全产业的20年,是随着网络攻防的发展产生发展起来的。上世纪90年代,天融信、启明星辰、绿盟科技等企业的成立,标志着我国传统意义上的信息安全产业开始形成。现在网络攻防是一个常态,不断的在演化。相关的攻防手段,攻防的技术,也在不断的发展,近些年还出现了很多诸如奇虎360等新型的偏重于网络安全的信息安全企业,更加专业化,和网络的关系更加密切。信息安全产业在信息技术领域,按照功能性来划分,是信息产业的一个分支。但随着网络空间竞争的发展,很多发达国家推出了网络空间战略,网络空间博弈使得网络安全、信息安全地位不断提高。从一定意义上看,整个信息产业和网络安全是密不可分的,现在的情况是信息产业的产品和服务往往将满足网络空间安全的要求作为它的首要目标。如今的信息产业,几乎各个部分都和安全密切相关,都对安全有所贡献,不可或缺。在这种情况下,如果我们还仅仅把信息安全作为信息产业的一个分支,一个特殊的部分,就不太合适了。如上所述,信息产业和安全的关系,和20年前有很大的差别。在目前网络安全大框架中,包含了信息安全,包含了信息技术和设施层面的安全,包含了信息网络和系统运作层面的安全,包含了各种物理实体以及物联网的安全等等。如果说,信息安全产业以前仅仅是信息产业中的一个功能性的划分的话,那么,现在是把保障网络安全,保障信息安全,作为信息产业一个主要职能、主要任务。这样,我们需要重新去理解、去认识这个关系,重新去定义信息安全产业的概念。安全是信息化的一个前提,具有极其重要的地位。我们的信息产业是为给社会提供服务,首要的是服务于国家的网络安全,保障国家的网络安全和信息安全,在这个前提条件下,提供各种服务和产品。习总书记说没有网络安全就没有国家安全,没有信息化就没有现代化,按这个思路来看,信息产业第一位的职能就是保障国家的网络安全。传统的信息安全技术依然有它的地位,还会继续存在,但是它们在整个网络安全中的贡献不再是主要的。要达到今天网络安全的目的,“信息安全老三样”已经不能满足需求,还要涉及其他很多问题。任何一个信息技术产品或服务,都可能具备网络安全方面的特色,而且具备某种关键核心技术的支撑。例如360是一个安全互联网公司,百度一个安全的搜索引擎,淘宝一个安全的电商,如此等等。很多企业都会把安全放在最前面,首先在安全上满足需求,强调自己的服务和产品是安全的、可靠的,这在信息产业界已经成为一种新常态。
自主可控需要可量化的标准
为了要达到网络安全,我们就要对信息技术和设备有特定的要求。考虑到可操作性,可以归结到自主可控。从关键核心技术设备到一般信息产品和服务等都要求自主可控,这是保障网络安全、信息安全的前提。自主可控的好处是:信息安全容易治理、产品和服务一般不存在恶意后门并可以不断改进或修补漏洞。反之,不能自主可控就意味着具“他控性”,就会受制于人,其后果是:信息安全难以治理、产品和服务一般存在恶意后门并难以不断改进或修补漏洞。通常我们认为某项信息技术、产品、服务或系统是自主可控的,包含有知识产权自主可控、能力自主可控、发展自主可控、满足“国产”资质等项要求。知识产权,包括标准的自主可控在当前的国际竞争格局下,知识产权自主可控十分重要,做不到这一点就一定会受制于人。如果所有知识产权都能自己掌握,当然最好,但实际上不一定能做到。这时,如果知识产权能完全买断,或能买到有足够自主权的授权,也能达到自主可控。然而,如果只能买到自主权不够充分的授权,例如某项授权在权利的使用期限、使用方式等方面具有明显的限制,就不能达到知识产权自主可控。目前国家一些计划对所支持的项目,要求首先通过知识产权风险评估,才能给予立项,这种做法是正确的、必要的。标准的自主可控也可归入这一范畴。能力自主可控能力自主可控,主要指技术能力的自主可控,这意味着要有足够规模的、能真正掌握该技术的科技队伍。技术能力可以分为一般技术能力、产业化能力、构建产业链能力和构建产业生态系统能力等层次。产业化能力的自主可控要求使技术不能停留在样品或试验阶段,而应能转化为大规模的产品和服务。产业链的自主可控要求在实现产业化的基础上,围绕产品和服务,构建一个比较完整的产业链,以便不受产业链上下游的制约,具备足够的竞争力。产业生态系统的自主可控要求能营造一个支撑该产业链的生态系统。发展的自主可控有了知识产权和能力的自主可控,还需要有发展的自主可控,因为我们不但着眼于现在,还要求在今后相当长的时期里,对相关技术和产业而言,都能不受制约地发展。这里会涉及哪些问题,还需要进行深入探讨。为此,根据我国具体情况,当前要着眼国家安全和长远发展,制订信息核心技术设备的发展战略。如果某些技术在短期内似乎能自主可控,但长期看做不到自主可控,一般说来是不可取的。只顾眼前利益,有可能会在以后造成更大的被动。满足“国产”资质一般说来,“国产”产品和服务容易符合自主可控要求,因此实行国产替代对于达到自主可控是完全必要的。不过现在对于“国产”还没有统一的界定标准。某些界定标准显然是不合适的。例如有人认为,只要公司在中国注册、交税,就是“中国公司”,它的产品和服务就是“国产”;“本国产品是指在中国关境内生产,且国内生产成本比例超过50%的最终产品”。显然,这样的标准完全不适用于高技术领域。美国国会在1933年通过的《购买美国产品法》,要求联邦政府采购要买本国产品,即在美国生产的、增值达到50%以上的产品,进口件组装的不算本国产品。美国采用上述“增值”准则来界定“国产”,比较合理。现在实际上大多根据产品和服务提供者资本构成的“资质”进行界定,包括内资(国有、混合所有制、民营)、中外合资、外资等,如果是内资资质,则认为其提供的产品和服务是“国产”的。由于历史原因,中国网络公司很多是外资控股,为此,有人引入了“实际控制人”的概念,使其资质得到改进,这种状况需要进一步研究。实际上光考察资质可能不够。建议“国产”的界定既考察其资质,又用“增值”准则加以评估,因为如某项产品和服务在中国的增值很小,意味着它可能就是从国外进口的,达不到自主可控要求。无论是为了政府采购的要求,还是为了增强网络安全而要求自主可控,都需要界定“国产”。建议有关方面尽快出台“国产”的界定准则,建议借鉴发达国家的经验(如界定“增值”),注意防止通过“贴牌”、“组装”或“集成”等方式,将进口作为国产。那么对自主可控有没有一些很明确的,很直观的,可操作的,业界可以接受的评估标准或准则?目前还没有,因此要加强这方面制度法规的建设。自主可控需要量化,如果项目评估的时候可以通过打分得出结果,避免主观的因素,会有利于用户进行选择。
应当指出,自主可控是达到网络安全、信息安全的前提,但这只是必要条件而非充分条件。如果做到了自主可控,就有可能在此基础上采取各种措施去增强网络安全、信息安全。这些措施包括系统、技术、管理、立法等等方面。总之,我们应强调自主可控,并在自主可控基础上,加大自主创新力度,采取各种措施,不断地增强网络安全、信息安全。
|
|
|
|
|
|
|
|
|
|
|
