自主可控方得网络安全

本篇文章1226字，读完约3分钟

为了保证网络安全，技术、产品、服务和系统必须是独立可控的，在质量评估和安全评估的基础上增加独立可控的评估。

网络安全是国家安全的重要基础，是经济安全、社会安全和民生安全的重要保障。网络安全属于非传统安全，其内涵比传统安全更广。国家网络信息办公室发布的《网络产品和服务安全审查办法(试行)》将网络安全审查分为安全审查和可控性审查，其中安全审查与传统安全要求相似，可控性审查在传统安全中强调较少，但也需要不断改进。

什么是可控性？举个例子来说明。当一个人买了一辆传统的车，他就能控制这辆车。一般来说，他不需要考虑可控性，只需要考虑安全性。然而，如果他买了一辆自动驾驶汽车，这是一个网络产品，那么它的安全性就变得复杂了。即使汽车本身的安全性没有问题，它也可能被黑客劫持。这时，汽车的控制权落入黑客手中，黑客可以远程控制汽车，使其不受用户控制，甚至造成车祸和死亡等严重事故。这就是可控性问题。可以看出，可控性和安全性对于属于非传统安全范畴的网络安全来说是不可或缺的。

目前，我国网络信息领域对采用自主可控技术、产品、服务和系统的需求日益增长，自主可控强调可控性。自我控制是实现网络安全的前提和必要条件，但不是充分条件。换句话说，采用自主可控技术并不意味着实现网络安全，但采用自主可控技术是不安全的。因此，要实现网络安全，必须首先实现自主控制，然后实现传统意义上的安全，最后结合其他安全措施来达到保证网络安全的目的。

针对网络安全，有两种评价:一是质量评价，即评价技术、产品、服务和系统的各种功能和性能指标；二是安全评估，即支持国家网络安全等级保护体系的评估，有相应的指导方针、方法和制度，并由专门的第三方机构实施评估。事实上，应该在这两种评价的基础上增加一个新的评价维度，即自主可控评价，它评价技术、产品、服务和系统的自主可控程度。在实践中，由于自主性和可控性是一个新的要求，过去也没有相应的标准和系统来保证，所以技术、产品、服务和系统的提供者经常说他们能够满足自主性和可控性的要求，这导致用户不知所措。因此，有必要加强和规范自主可控的评价。自主可控评价旨在客观、科学地评价技术、产品、服务、系统等的自主可控程度。它涉及技术内涵、知识产权、技术能力、供应链、供应商资格等诸多因素。这是一个相对复杂的评估。在涉及网络安全的重大问题上，自主可控的评估应发挥一票否决的作用。

还应该注意的是，任何系统都必须由人来实现，而人的意识水平对于实现自主性和可控性非常重要。对于企业来说，我们应该提高对自主性和可控性的认识，并认真考察和部署技术的掌握程度、知识产权的合法性、供应链的安全性等。在计划产品时，甚至在其他人切断供应时考虑是否有备用系统。对用户来说，支持和选择国产软硬件在一定意义上是有助于自我控制的。用户应增强网络安全意识，积极选择国产软硬件，并及时反馈使用中发现的问题，以帮助国产软硬件不断提高技术水平，更好地保障我国网络安全。(作者是中国工程院院士倪光南)