網(wǎng)絡(luò)空間已成為國(guó)家繼陸、海、空、天四個(gè)疆域之后的第五疆域，與其他疆域一樣，網(wǎng)絡(luò)空間也需體現(xiàn)國(guó)家主權(quán)，保障網(wǎng)絡(luò)空間安全也就是保障國(guó)家主權(quán)。黨的十八大提出“要高度關(guān)注網(wǎng)絡(luò)空間安全”，三中全會(huì)后成立了中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，這標(biāo)志著我國(guó)網(wǎng)絡(luò)空間安全國(guó)家戰(zhàn)略已經(jīng)確立。

網(wǎng)絡(luò)安全的內(nèi)涵可以包括： －信息安全。它是網(wǎng)絡(luò)安全的最重要內(nèi)涵，保障網(wǎng)絡(luò)主權(quán)就應(yīng)保障信息主權(quán)； －IT（信息技術(shù)）安全。包括關(guān)鍵核心技術(shù)、信息基礎(chǔ)設(shè)施、相關(guān)硬件軟件技術(shù)等等的安全。在IT安全方面，我國(guó)目前應(yīng)及早解決在關(guān)鍵核心技術(shù)和設(shè)備上受制于人的問(wèn)題。

－OT（運(yùn)作技術(shù)）安全。包括法規(guī)、標(biāo)準(zhǔn)、制度、管理等等方面。

－物理安全。指與技術(shù)無(wú)關(guān)的安全。

－IoT（物聯(lián)網(wǎng)）安全。 應(yīng)當(dāng)指出，網(wǎng)絡(luò)安全、信息安全這類安全概念是與傳統(tǒng)安全概念不同的。傳統(tǒng)安全是在自然環(huán)境下的安全，在這種環(huán)境下不存在人為對(duì)抗，而網(wǎng)絡(luò)安全、信息安全是在對(duì)抗環(huán)境下的安全，一般存在著人為對(duì)抗，形成攻防兩方。在英語(yǔ)中，傳統(tǒng)安全的“安全”用“Safety”，而網(wǎng)絡(luò)安全、信息安全的“安全”用“Security”。不過(guò)在中文中，一般不區(qū)分兩者，有的場(chǎng)合在中文中也有區(qū)分，例如將“Security”翻譯成“保安”、“安?！钡取鹘y(tǒng)安全往往可以度量、預(yù)測(cè)、態(tài)勢(shì)較少變化，而網(wǎng)絡(luò)安全、信息安全取決于對(duì)抗情況，往往難以度量、預(yù)測(cè)、態(tài)勢(shì)快速變化。

對(duì)于傳統(tǒng)安全而言，選取技術(shù)、產(chǎn)品和服務(wù)等等，主要依據(jù)性價(jià)比。但對(duì)于網(wǎng)絡(luò)安全、信息安全而言，因?yàn)榇嬖谥シ纼煞?，所以信息關(guān)鍵核心技術(shù)設(shè)備和服務(wù)的選取首先是考察能否自主可控，這一要求往往比性價(jià)比更重要?？梢哉f(shuō)，自主可控是保障網(wǎng)絡(luò)安全、信息安全的前提。能自主可控意味著信息安全容易治理、產(chǎn)品和服務(wù)一般不存在惡意后門并可以不斷改進(jìn)或修補(bǔ)漏洞；反之，不能自主可控就意味著具“他控性”，就會(huì)受制于人，其后果是：信息安全難以治理、產(chǎn)品和服務(wù)一般存在惡意后門并難以不斷改進(jìn)或修補(bǔ)漏洞。 在評(píng)估信息領(lǐng)域重要項(xiàng)目或者制訂發(fā)展規(guī)劃時(shí)，常常需要論證是否達(dá)到自主可控的要求，在實(shí)踐中，我們歸納出一些要求，列出如下供作參考。

一、知識(shí)產(chǎn)權(quán)自主可控。

在當(dāng)前的國(guó)際競(jìng)爭(zhēng)格局下，知識(shí)產(chǎn)權(quán)自主可控十分重要，做不到這一點(diǎn)就一定會(huì)受制于人。如果所有知識(shí)產(chǎn)權(quán)都能自己掌握，當(dāng)然最好，但實(shí)際上不一定能做到，這時(shí)，如果部分知識(shí)產(chǎn)權(quán)能完全買斷，或能買到有足夠自主權(quán)的授權(quán)，也能達(dá)到自主可控。然而，如果只能買到自主權(quán)不夠充分的授權(quán)，例如某項(xiàng)授權(quán)在權(quán)利的使用期限、使用方式等方面具有明顯的限制，就不能達(dá)到知識(shí)產(chǎn)權(quán)自主可控。目前國(guó)家一些計(jì)劃對(duì)所支持的項(xiàng)目，要求首先通過(guò)知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)評(píng)估，才能給予立項(xiàng)，這種做法是正確的、必要的。標(biāo)準(zhǔn)的自主可控似可歸入這一范疇。

二、技術(shù)能力自主可控。

技術(shù)能力自主可控，意味著要有足夠規(guī)模的、能真正掌握該技術(shù)的科技隊(duì)伍。技術(shù)能力可以分為一般技術(shù)能力、產(chǎn)業(yè)化能力、構(gòu)建產(chǎn)業(yè)鏈能力和構(gòu)建產(chǎn)業(yè)生態(tài)系統(tǒng)能力等層次。產(chǎn)業(yè)化能力的自主可控要求使技術(shù)不能停留在樣品或試驗(yàn)階段，而應(yīng)能轉(zhuǎn)化為大規(guī)模的產(chǎn)品和服務(wù)。產(chǎn)業(yè)鏈的自主可控要求在實(shí)現(xiàn)產(chǎn)業(yè)化的基礎(chǔ)上，圍繞產(chǎn)品和服務(wù)，構(gòu)建一個(gè)比較完整的產(chǎn)業(yè)鏈，以便不受產(chǎn)業(yè)鏈上下游的制約，具備足夠的競(jìng)爭(zhēng)力。產(chǎn)業(yè)生態(tài)系統(tǒng)的自主可控要求能營(yíng)造一個(gè)支撐該產(chǎn)業(yè)鏈的生態(tài)系統(tǒng)。

三、發(fā)展自主可控。

有了知識(shí)產(chǎn)權(quán)和技術(shù)能力的自主可控，一般是能自主發(fā)展的，但這里再特別強(qiáng)調(diào)一下發(fā)展的自主可控，也許是有必要的。因?yàn)槲覀儾坏吹浆F(xiàn)在，還要著眼于今后相當(dāng)長(zhǎng)的時(shí)期，對(duì)相關(guān)技術(shù)和產(chǎn)業(yè)而言，都能不受制約地發(fā)展。有一個(gè)例子可以說(shuō)明長(zhǎng)期發(fā)展的重要性。眾所周知，前些年我國(guó)通過(guò)投資、收購(gòu)等等，曾經(jīng)擁有了CRT電視機(jī)產(chǎn)業(yè)完整的知識(shí)產(chǎn)權(quán)和構(gòu)建整個(gè)生態(tài)系統(tǒng)的技術(shù)能力。但是，外國(guó)跨國(guó)公司一旦將CRT的技術(shù)都賣給中國(guó)后，它們立即轉(zhuǎn)向了LCD平板電視，使中國(guó)的CRT電視機(jī)產(chǎn)業(yè)變成淘汰產(chǎn)業(yè)。信息領(lǐng)域技術(shù)和市場(chǎng)變化迅速，要防止出現(xiàn)類似事件。因此，如果某項(xiàng)技術(shù)在短期內(nèi)效益較好，但從長(zhǎng)期看做不到自主可控，一般說(shuō)來(lái)是不可取的。只顧眼前利益，有可能會(huì)在以后造成更大的被動(dòng)。

四、滿足“國(guó)產(chǎn)”資質(zhì)。

一般說(shuō)來(lái)，“國(guó)產(chǎn)”產(chǎn)品和服務(wù)容易符合自主可控要求，因此實(shí)行國(guó)產(chǎn)替代對(duì)于達(dá)到自主可控是完全必要的。不過(guò)現(xiàn)在對(duì)于“國(guó)產(chǎn)”還沒(méi)有統(tǒng)一的界定標(biāo)準(zhǔn)。某些觀點(diǎn)顯然是不合適的。例如：有人說(shuō)，只要公司在中國(guó)注冊(cè)、交稅，就是“中國(guó)公司”，它的產(chǎn)品和服務(wù)就是“國(guó)產(chǎn)”。但實(shí)際上幾乎所有世界500強(qiáng)都在中國(guó)注冊(cè)了公司，難道它們都變成了中國(guó)公司了嗎；也有人說(shuō)，“本國(guó)產(chǎn)品是指在中國(guó)境內(nèi)生產(chǎn)，且國(guó)內(nèi)生產(chǎn)成本比例超過(guò)50%的最終產(chǎn)品”，甚至還給出了按材料成本計(jì)算的公式。顯然，這樣的“標(biāo)準(zhǔn)”只適合粗放型產(chǎn)品，完全不適用于高技術(shù)領(lǐng)域。倒是美國(guó)國(guó)會(huì)在1933年通過(guò)的《購(gòu)買美國(guó)產(chǎn)品法》可以給我們一個(gè)啟示，該法案要求聯(lián)邦政府采購(gòu)要買本國(guó)產(chǎn)品，即在美國(guó)生產(chǎn)的、增值達(dá)到50%以上的產(chǎn)品，進(jìn)口件組裝的不算本國(guó)產(chǎn)品?？磥?lái)，美國(guó)采用上述“增值”準(zhǔn)則來(lái)界定“國(guó)產(chǎn)”是比較合理的。

現(xiàn)在人們大多是根據(jù)產(chǎn)品和服務(wù)提供者資本構(gòu)成的“資質(zhì)”進(jìn)行界定，包括內(nèi)資（國(guó)有、混合所有制、民營(yíng)）、中外合資、外資等，如果是內(nèi)資資質(zhì)，則認(rèn)為其提供的產(chǎn)品和服務(wù)是“國(guó)產(chǎn)”的。由于歷史原因，中國(guó)網(wǎng)絡(luò)公司很多是外資控股，為了改變資質(zhì)，有的引入了“實(shí)際控制人”概念，有人將這類企業(yè)稱為“VIE”，對(duì)此，業(yè)界仍在討論中。

實(shí)踐表明，光考察資質(zhì)是不夠的，為了防止出現(xiàn)“假國(guó)產(chǎn)”，建議對(duì)產(chǎn)品和服務(wù)實(shí)行“增值”評(píng)估，即仿照美國(guó)的做法，評(píng)估其在中國(guó)境內(nèi)的增值是否超過(guò)50%。如某項(xiàng)產(chǎn)品和服務(wù)在中國(guó)的增值很小，意味著它是從國(guó)外進(jìn)口的，達(dá)不到自主可控要求。這樣，可以防止進(jìn)口硬件通過(guò)“貼牌”或 “組裝”變成“國(guó)產(chǎn)”；防止進(jìn)口軟件和服務(wù)通過(guò)由國(guó)產(chǎn)系統(tǒng)集成商將它們集成在國(guó)產(chǎn)解決方案中，變成“國(guó)產(chǎn)”軟件和服務(wù)。

關(guān)于開(kāi)源軟件的自主可控，有其特殊性。簡(jiǎn)單地說(shuō)開(kāi)源軟件就安全，或者簡(jiǎn)單地說(shuō)使用開(kāi)源軟件也不安全，這些說(shuō)法都有片面性，不符合實(shí)際情況。目前情況下，運(yùn)用開(kāi)源軟件進(jìn)行開(kāi)放創(chuàng)新、協(xié)同創(chuàng)新，是世界潮流，應(yīng)當(dāng)予以鼓勵(lì)；同時(shí)也需注意下述問(wèn)題。

對(duì)于開(kāi)源軟件而言，知識(shí)產(chǎn)權(quán)自主可控首先是考察能否符合開(kāi)源許可證要求。一些開(kāi)源軟件是由商業(yè)公司支持、并受它們控制的，這時(shí)，應(yīng)當(dāng)從長(zhǎng)遠(yuǎn)考察，在使用和發(fā)展方面是否受到制約？例如有的開(kāi)源軟件只允許他人修改或定制界面等非關(guān)鍵部分，而關(guān)鍵部分不許他人修改、甚至不予開(kāi)源；在兼容性、捆綁特定軟件與特定應(yīng)用商店等方面有附加條件；在版本演進(jìn)、市場(chǎng)策略、長(zhǎng)遠(yuǎn)發(fā)展路線等方面他人無(wú)法參與等等，這實(shí)際上仍然是受制于人，不能滿足知識(shí)產(chǎn)權(quán)和發(fā)展的自主可控要求。當(dāng)然，如果與支持這類開(kāi)源軟件的公司能通過(guò)各種方式，合法地解決這些問(wèn)題又當(dāng)別論。為了達(dá)到技術(shù)能力的自主可控，我們主張至少應(yīng)充分了解開(kāi)源軟件，進(jìn)一步應(yīng)要求科技人員融入開(kāi)源社區(qū)，與全世界開(kāi)源人士一起進(jìn)行開(kāi)放創(chuàng)新、協(xié)同創(chuàng)新。如果這些方面都做好了，那么，正確運(yùn)用開(kāi)源軟件往往能以較小的代價(jià)、較短的時(shí)間達(dá)到知識(shí)產(chǎn)權(quán)、技術(shù)能力和發(fā)展的自主可控。

最后，應(yīng)當(dāng)再次強(qiáng)調(diào)，自主可控是達(dá)到網(wǎng)絡(luò)安全、信息安全的前提，但這只是必要條件而非充分條件，在此基礎(chǔ)上，還需采取各種措施才能增強(qiáng)網(wǎng)絡(luò)安全、信息安全。（中國(guó)工程院院士 倪光南）

審核編輯 黃宇