倪光南 中國(guó)工程院院士
為了保障網(wǎng)絡(luò)安全,必須實(shí)現(xiàn)技術(shù)、產(chǎn)品、服務(wù)、系統(tǒng)的自主可控,需要在質(zhì)量測(cè)評(píng)、安全測(cè)評(píng)的基礎(chǔ)上增加自主可控測(cè)評(píng)。
網(wǎng)絡(luò)安全是國(guó)家安全的重要基礎(chǔ),也是經(jīng)濟(jì)安全、社會(huì)安全、民生安全的重要保障。網(wǎng)絡(luò)安全屬于非傳統(tǒng)安全,其內(nèi)涵比傳統(tǒng)安全的內(nèi)涵更加廣泛。國(guó)家網(wǎng)信辦公布的《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(試行)》把網(wǎng)絡(luò)安全審查分成“安全性”審查和“可控性”審查,其中的安全性審查與傳統(tǒng)安全的要求相類(lèi)似,而可控性審查在傳統(tǒng)安全中強(qiáng)調(diào)得比較少,但同樣需要不斷健全和完善。
何為可控性?舉個(gè)例子來(lái)說(shuō)明。一個(gè)人買(mǎi)了一輛傳統(tǒng)汽車(chē),他就擁有了對(duì)汽車(chē)的控制權(quán),一般不需要再考慮可控性,只需要考慮安全性就行了。但是,如果他買(mǎi)的是自動(dòng)駕駛汽車(chē),這輛汽車(chē)是一件網(wǎng)信產(chǎn)品,那么,它的安全性就變得復(fù)雜了。即使汽車(chē)本身的安全性沒(méi)有問(wèn)題,但它可能被黑客劫持,這時(shí)汽車(chē)的控制權(quán)就落到黑客手里,黑客可以遙控汽車(chē),使其不受用戶控制,甚至?xí)斐绍?chē)毀人亡的嚴(yán)重事故。這就是可控性出了問(wèn)題。由此可見(jiàn),對(duì)屬于非傳統(tǒng)安全范疇的網(wǎng)絡(luò)安全而言,可控性與安全性缺一不可。
當(dāng)前,我國(guó)網(wǎng)信領(lǐng)域要求采用自主可控技術(shù)、產(chǎn)品、服務(wù)、系統(tǒng)的呼聲越來(lái)越高,這里的“自主可控”強(qiáng)調(diào)的就是可控性。自主可控是實(shí)現(xiàn)網(wǎng)絡(luò)安全的前提,是一個(gè)必要條件,但并不是充分條件。換言之,采用自主可控的技術(shù)不等于實(shí)現(xiàn)了網(wǎng)絡(luò)安全,但沒(méi)有采用自主可控的技術(shù)一定不安全。因此,為了實(shí)現(xiàn)網(wǎng)絡(luò)安全,首先要實(shí)現(xiàn)自主可控,再實(shí)現(xiàn)傳統(tǒng)意義上的安全,最終再結(jié)合其他各種安全措施,達(dá)到保障網(wǎng)絡(luò)安全的目標(biāo)。
針對(duì)網(wǎng)絡(luò)安全,現(xiàn)在普遍實(shí)行兩種測(cè)評(píng):一是質(zhì)量測(cè)評(píng),即對(duì)技術(shù)、產(chǎn)品、服務(wù)、系統(tǒng)等的功能、性能方面的各種指標(biāo)進(jìn)行測(cè)評(píng);二是安全測(cè)評(píng),即支撐國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的測(cè)評(píng),這種測(cè)評(píng)已有相應(yīng)的準(zhǔn)則、方法、制度,還有專(zhuān)門(mén)的第三方機(jī)構(gòu)實(shí)施測(cè)評(píng)。實(shí)際上,還應(yīng)在這兩種測(cè)評(píng)的基礎(chǔ)上增加一個(gè)新的測(cè)評(píng)維度,即自主可控測(cè)評(píng),對(duì)技術(shù)、產(chǎn)品、服務(wù)、系統(tǒng)等的自主可控程度進(jìn)行測(cè)評(píng)。在實(shí)踐中,由于自主可控是一個(gè)新要求,過(guò)去并沒(méi)有相應(yīng)的標(biāo)準(zhǔn)、制度加以保證,所以技術(shù)、產(chǎn)品、服務(wù)、系統(tǒng)等的提供者往往都會(huì)說(shuō)自己能夠滿足自主可控的要求,導(dǎo)致用戶無(wú)所適從。這就需要加強(qiáng)和規(guī)范自主可控測(cè)評(píng)。自主可控測(cè)評(píng)旨在客觀、科學(xué)地評(píng)估技術(shù)、產(chǎn)品、服務(wù)、系統(tǒng)等的自主可控程度,涉及技術(shù)內(nèi)涵、知識(shí)產(chǎn)權(quán)、技術(shù)能力、供應(yīng)鏈、供應(yīng)者資質(zhì)等多方面因素,是一項(xiàng)比較復(fù)雜的測(cè)評(píng)。在事關(guān)網(wǎng)絡(luò)安全的重大問(wèn)題上,自主可控測(cè)評(píng)應(yīng)該起到“一票否決”的作用。
還應(yīng)看到,任何制度都要靠人去實(shí)施,人們的認(rèn)識(shí)水平對(duì)于實(shí)現(xiàn)自主可控至關(guān)重要。對(duì)企業(yè)而言,應(yīng)提高對(duì)自主可控的認(rèn)識(shí),在規(guī)劃產(chǎn)品時(shí)對(duì)技術(shù)掌握程度、知識(shí)產(chǎn)權(quán)合法性、供應(yīng)鏈安全等都要有周密的調(diào)查和部署,甚至要考慮到在別人切斷供應(yīng)時(shí)有沒(méi)有備份系統(tǒng)頂上去。對(duì)用戶而言,支持和選用國(guó)產(chǎn)軟硬件從一定意義上說(shuō)就是為自主可控做貢獻(xiàn)。廣大用戶應(yīng)增強(qiáng)網(wǎng)絡(luò)安全意識(shí),積極選用國(guó)產(chǎn)軟硬件,并及時(shí)反饋使用中發(fā)現(xiàn)的問(wèn)題,幫助國(guó)產(chǎn)軟硬件不斷提升技術(shù)水平,更好地保障我國(guó)網(wǎng)絡(luò)安全。