倪光南:加强评测认证 防止假国产威胁国家安全
在日前举行的第三届中国网络安全大会上,中国工程院院士倪光南呼吁加强网络安全相关的评测认证,加强并完善信息安全等级保护工作,实行自主可控的评估标准,从知识产权、能力、发展条件、供应链、“国产”资质等五个方面对自主可控程度进行评估。
倪光南表示,产品和服务等自主可控,基本上可保证不存在恶意后门并能不断地对其进行改进或修补漏洞。反之,如果产品和服务等不能自主可控,就意味着受制于人。其后果是,这些产品或服务可能会存在恶意后门,难以不断地对其改进或修补漏洞,信息安全难以治理。
倪光南建议从以下五个方面对自主可控程度进行评估:
1、知识产权(包括标准)自主可控
在当前的国际竞争格局下,知识产权自主可控十分重要,做不到这一点就一定会受制于人。如果所有知识产权都能自己掌握当然最好,但实际上不一定能。这时,如果部分知识产权能完全买断,或能买到有足够自主权的授权,也能满足自主可控。如果只能买到自主权不够充分的授权,例如某项授权在权利的使用期限、使用方式等方面具有明显的限制,就不能达到知识产权自主可控。
目前国家一些计划对所支持的项目,要求首先通过知识产权风险评估,才能给予立项,这种做法是正确的、必要的。标准的自主可控似可归入这一范畴。
2、能力自主可控
能力自主可控,主要指技术能力的自主可控。这意味着要有足够规模的、能真正掌握该技术的科技队伍。
技术能力可以分为一般技术能力、产业化能力、构建产业链能力和构建产业生态系统能力等层次。产业化能力的自主可控要求使技术不能停留在样品或试验阶段,而应能转化为大规模的产品和服务。产业链的自主可控要求在实现产业化的基础上,围绕产品和服务,构建一个比较完整的产业链,以便不受产业链上下游的制约,具备足够的竞争力。产业生态系统的自主可控要求能营造一个支撑该产业链的生态系统。
3、发展自主可控
除了知识产权和能力的自主可控,还需要有发展的自主可控。因为我们不但要着眼于现在,还要求在今后相当长的时期里,相关技术和产业都能不受制约地发展。
倪光南表示,根据我国具体情况,要着眼国家安全和长远发展,制订信息核心技术设备的发展战略。如果某些技术在短期内似乎能自主可控,但长期看做不到自主可控,一般说来是不可取的。只顾眼前利益,有可能会在以后造成更大的被动。
4、供应链自主可控
一个产品的供应链可能很长,如果其中的一个或某些环节不能自主可控,也就不能满足自主可控要求。
倪光南特别举了“国产CPU”的例子,以证明供应链自主可控的重要性。对复杂的CPU芯片来说,即使拥有知识产权,也有技术能力掌握,做到在设计方面不受制于人,但如需依赖外国才能进行生产,倪光南认为这样的情况仍然达不到自主可控的要求。
所以,应当评估一个产品的供应链是否能完全掌控。像上述复杂的CPU芯片,如果必须依赖外国进行生产加工,就不能满足自主可控的要求。如果能够依靠本国厂商生产出来,即使性能指标略低一些,还是可以容许的。
5、具备“国产”资质
一般来说,“国产”产品和服务容易符合自主可控要求,因此实行国产替代对于达到自主可控是完全必要的。不过,现在对于“国产”还没有统一的评估标准。
倪光南称,过去有人提出的某些评估标准是不合适的。例如,认为只要公司在中国注册、交税,就是“中国公司”,它的产品和服务就是“国产”;或认为“本国产品是指在中国关境内生产,且国内生产成本比例超过50%的最终产品”。这里,突出“生产成本”完全不适用于高技术领域。
众所周知,高技术产品和服务的成本主要是开发成本、智力成本,生产成本甚至可以忽略不计,这种“生产成本”准则是帮进口高技术产品的忙,因为它们只要用中国原材料做个包装,就可以摇身一变成为“国货”了。
美国国会在1933年通过的《购买美国产品法》,要求联邦政府采购要买本国产品,即在美国生产的、增值达到50%以上的产品,进口件组装的不算本国产品。美国采用上述“增值”准则来评估“国产”,比较合理。这方面我们理应学习发达国家行之有效的做法。
现在人们大多根据产品和服务提供者资本构成的“资质”进行评估。考察资质是必要的,但除此以外,还应采用“增值”准则对“国产化程度”加以评估。如果某项产品和服务在中国的增值很小,意味着它可能就是从国外进口的,达不到自主可控的要求。如进口硬件可能通过“贴牌”、“组装”变成“国产”,进口软件和服务可能通过“集成”变成“国产解决方案”的一部分。如果实行“增值”估算,这类“假国产”就难以立足。倪光南建议有关方面尽快出台合理的“国产”评估准则。
|