保障网络安全,技术、产品、服务、系统必须自主可控,在质量评价、安全评价中增加自主可控评价。
网络安全是国家安全的重要基础,是经济安全、社会安全、民生安全的重要保障。网络安全是非传统安全,其内涵比传统安全更广泛。国家网信办发布的《网络产品和服务安全审查办法(试行)》号文将网络安全审查分为安全审查和可控审查。安全审查与传统安全的要求类似,但传统安全中不太强调可控性审查。但也需要不断完善和完善。
什么是可控性?举个例子来说明。当一个人购买了一辆传统汽车时,他就拥有了这辆车的控制权。一般他不需要考虑可控性,只需要考虑安全性。但如果他买了一辆自动驾驶汽车,而汽车又是互联网信息产品,那么它的安全性就变得复杂了。即使汽车本身安全没有问题,也有可能被黑客劫持。这时,汽车的控制权就落入了黑客手中。黑客可以远程控制汽车,使用户无法控制汽车,甚至造成严重的车祸和死亡事故。事故。这是可控性的问题。可见,对于属于非传统安全范畴的网络安全来说,可控性和安全性缺一不可。
当前,我国网信领域采用自主可控技术、产品、服务和系统的呼声日益高涨。这里的自主可控,强调的是可控性。自主可控是实现网络安全的前提。这是必要条件,但不是充分条件。也就是说,采用自主可控技术并不意味着实现了网络安全,但不采用自主可控技术肯定是不安全的。因此,要实现网络安全,首先要实现自主可控,然后实现传统意义上的安全,最后与其他各种安全措施相结合,达到保证网络安全的目标。
对于网络安全,目前普遍实施两种评估:一是质量评估,即对技术、产品、服务、系统等的功能和性能等各项指标进行评估;二是安全评估,支撑国家网络安全等级保护。系统评价,这种评价有相应的指南、方法、制度,有专门的第三方机构来实施评价。事实上,应该在这两个评价的基础上增加一个新的评价维度,即自主可控评价,来评价技术、产品、服务、系统等的自主可控程度。在实践中,因为自主可控是一个新的要求。过去没有相应的标准或制度来保证。因此,技术、产品、服务、系统等的提供者常常说自己能够满足自主性、可控性的要求,导致用户不知所措。这就需要加强和规范独立可控的评估。自主可控评价旨在客观、科学地评价技术、产品、服务、系统等的自主可控程度,涉及技术内涵、知识产权、技术能力、供应链、供应商资质等诸多因素这是一个比较复杂的评估。在涉及网络安全的重大问题上,应发挥独立可控评估的否决权。
还应该看到,任何制度都必须由人来执行,人的理解程度对于实现独立性和可控性至关重要。对于企业来说,要增强自主可控意识。在规划产品时,必须对技术掌握程度、知识产权合法性、供应链安全等进行周密的调查和安排,甚至考虑别人断供的可能性。是否安装了备份系统?对于用户来说,支持和选择国产软硬件在一定意义上是有利于自主可控。用户应增强网络安全意识,积极选择国产软硬件,并对使用过程中发现的问题及时反馈,帮助国产软硬件不断提高技术水平,更好地保障我国网络安全。
(作者为中国工程院院士)
