網(wǎng)絡(luò)空間已成為國家繼陸、海、空、天四個疆域之后的第五疆域，與其他疆域一樣，網(wǎng)絡(luò)空間也需體現(xiàn)國家主權(quán)，保障網(wǎng)絡(luò)空間安全也就是保障國家主權(quán)。黨的十八大提出“要高度關(guān)注網(wǎng)絡(luò)空間安全”，三中全會后成立了中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，這標(biāo)志著我國網(wǎng)絡(luò)空間安全國家戰(zhàn)略已經(jīng)確立。

網(wǎng)絡(luò)安全的內(nèi)涵可以包括： －信息安全。它是網(wǎng)絡(luò)安全的最重要內(nèi)涵，保障網(wǎng)絡(luò)主權(quán)就應(yīng)保障信息主權(quán)； －IT（信息技術(shù)）安全。包括關(guān)鍵核心技術(shù)、信息基礎(chǔ)設(shè)施、相關(guān)硬件軟件技術(shù)等等的安全。在IT安全方面，我國目前應(yīng)及早解決在關(guān)鍵核心技術(shù)和設(shè)備上受制于人的問題。

－OT（運作技術(shù)）安全。包括法規(guī)、標(biāo)準(zhǔn)、制度、管理等等方面。

－物理安全。指與技術(shù)無關(guān)的安全。

－IoT（物聯(lián)網(wǎng)）安全。 應(yīng)當(dāng)指出，網(wǎng)絡(luò)安全、信息安全這類安全概念是與傳統(tǒng)安全概念不同的。傳統(tǒng)安全是在自然環(huán)境下的安全，在這種環(huán)境下不存在人為對抗，而網(wǎng)絡(luò)安全、信息安全是在對抗環(huán)境下的安全，一般存在著人為對抗，形成攻防兩方。在英語中，傳統(tǒng)安全的“安全”用“Safety”，而網(wǎng)絡(luò)安全、信息安全的“安全”用“Security”。不過在中文中，一般不區(qū)分兩者，有的場合在中文中也有區(qū)分，例如將“Security”翻譯成“保安”、“安?！钡?。傳統(tǒng)安全往往可以度量、預(yù)測、態(tài)勢較少變化，而網(wǎng)絡(luò)安全、信息安全取決于對抗情況，往往難以度量、預(yù)測、態(tài)勢快速變化。

對于傳統(tǒng)安全而言，選取技術(shù)、產(chǎn)品和服務(wù)等等，主要依據(jù)性價比。但對于網(wǎng)絡(luò)安全、信息安全而言，因為存在著攻防兩方，所以信息關(guān)鍵核心技術(shù)設(shè)備和服務(wù)的選取首先是考察能否自主可控，這一要求往往比性價比更重要?？梢哉f，自主可控是保障網(wǎng)絡(luò)安全、信息安全的前提。能自主可控意味著信息安全容易治理、產(chǎn)品和服務(wù)一般不存在惡意后門并可以不斷改進或修補漏洞；反之，不能自主可控就意味著具“他控性”，就會受制于人，其后果是：信息安全難以治理、產(chǎn)品和服務(wù)一般存在惡意后門并難以不斷改進或修補漏洞。 在評估信息領(lǐng)域重要項目或者制訂發(fā)展規(guī)劃時，常常需要論證是否達到自主可控的要求，在實踐中，我們歸納出一些要求，列出如下供作參考。

一、知識產(chǎn)權(quán)自主可控。

在當(dāng)前的國際競爭格局下，知識產(chǎn)權(quán)自主可控十分重要，做不到這一點就一定會受制于人。如果所有知識產(chǎn)權(quán)都能自己掌握，當(dāng)然最好，但實際上不一定能做到，這時，如果部分知識產(chǎn)權(quán)能完全買斷，或能買到有足夠自主權(quán)的授權(quán)，也能達到自主可控。然而，如果只能買到自主權(quán)不夠充分的授權(quán)，例如某項授權(quán)在權(quán)利的使用期限、使用方式等方面具有明顯的限制，就不能達到知識產(chǎn)權(quán)自主可控。目前國家一些計劃對所支持的項目，要求首先通過知識產(chǎn)權(quán)風(fēng)險評估，才能給予立項，這種做法是正確的、必要的。標(biāo)準(zhǔn)的自主可控似可歸入這一范疇。

二、技術(shù)能力自主可控。

技術(shù)能力自主可控，意味著要有足夠規(guī)模的、能真正掌握該技術(shù)的科技隊伍。技術(shù)能力可以分為一般技術(shù)能力、產(chǎn)業(yè)化能力、構(gòu)建產(chǎn)業(yè)鏈能力和構(gòu)建產(chǎn)業(yè)生態(tài)系統(tǒng)能力等層次。產(chǎn)業(yè)化能力的自主可控要求使技術(shù)不能停留在樣品或試驗階段，而應(yīng)能轉(zhuǎn)化為大規(guī)模的產(chǎn)品和服務(wù)。產(chǎn)業(yè)鏈的自主可控要求在實現(xiàn)產(chǎn)業(yè)化的基礎(chǔ)上，圍繞產(chǎn)品和服務(wù)，構(gòu)建一個比較完整的產(chǎn)業(yè)鏈，以便不受產(chǎn)業(yè)鏈上下游的制約，具備足夠的競爭力。產(chǎn)業(yè)生態(tài)系統(tǒng)的自主可控要求能營造一個支撐該產(chǎn)業(yè)鏈的生態(tài)系統(tǒng)。

三、發(fā)展自主可控。

有了知識產(chǎn)權(quán)和技術(shù)能力的自主可控，一般是能自主發(fā)展的，但這里再特別強調(diào)一下發(fā)展的自主可控，也許是有必要的。因為我們不但要看到現(xiàn)在，還要著眼于今后相當(dāng)長的時期，對相關(guān)技術(shù)和產(chǎn)業(yè)而言，都能不受制約地發(fā)展。有一個例子可以說明長期發(fā)展的重要性。眾所周知，前些年我國通過投資、收購等等，曾經(jīng)擁有了CRT電視機產(chǎn)業(yè)完整的知識產(chǎn)權(quán)和構(gòu)建整個生態(tài)系統(tǒng)的技術(shù)能力。但是，外國跨國公司一旦將CRT的技術(shù)都賣給中國后，它們立即轉(zhuǎn)向了LCD平板電視，使中國的CRT電視機產(chǎn)業(yè)變成淘汰產(chǎn)業(yè)。信息領(lǐng)域技術(shù)和市場變化迅速，要防止出現(xiàn)類似事件。因此，如果某項技術(shù)在短期內(nèi)效益較好，但從長期看做不到自主可控，一般說來是不可取的。只顧眼前利益，有可能會在以后造成更大的被動。

四、滿足“國產(chǎn)”資質(zhì)。

一般說來，“國產(chǎn)”產(chǎn)品和服務(wù)容易符合自主可控要求，因此實行國產(chǎn)替代對于達到自主可控是完全必要的。不過現(xiàn)在對于“國產(chǎn)”還沒有統(tǒng)一的界定標(biāo)準(zhǔn)。某些觀點顯然是不合適的。例如：有人說，只要公司在中國注冊、交稅，就是“中國公司”，它的產(chǎn)品和服務(wù)就是“國產(chǎn)”。但實際上幾乎所有世界500強都在中國注冊了公司，難道它們都變成了中國公司了嗎；也有人說，“本國產(chǎn)品是指在中國境內(nèi)生產(chǎn)，且國內(nèi)生產(chǎn)成本比例超過50%的最終產(chǎn)品”，甚至還給出了按材料成本計算的公式。顯然，這樣的“標(biāo)準(zhǔn)”只適合粗放型產(chǎn)品，完全不適用于高技術(shù)領(lǐng)域。倒是美國國會在1933年通過的《購買美國產(chǎn)品法》可以給我們一個啟示，該法案要求聯(lián)邦政府采購要買本國產(chǎn)品，即在美國生產(chǎn)的、增值達到50%以上的產(chǎn)品，進口件組裝的不算本國產(chǎn)品?？磥?，美國采用上述“增值”準(zhǔn)則來界定“國產(chǎn)”是比較合理的。

現(xiàn)在人們大多是根據(jù)產(chǎn)品和服務(wù)提供者資本構(gòu)成的“資質(zhì)”進行界定，包括內(nèi)資（國有、混合所有制、民營）、中外合資、外資等，如果是內(nèi)資資質(zhì)，則認(rèn)為其提供的產(chǎn)品和服務(wù)是“國產(chǎn)”的。由于歷史原因，中國網(wǎng)絡(luò)公司很多是外資控股，為了改變資質(zhì)，有的引入了“實際控制人”概念，有人將這類企業(yè)稱為“VIE”，對此，業(yè)界仍在討論中。

實踐表明，光考察資質(zhì)是不夠的，為了防止出現(xiàn)“假國產(chǎn)”，建議對產(chǎn)品和服務(wù)實行“增值”評估，即仿照美國的做法，評估其在中國境內(nèi)的增值是否超過50%。如某項產(chǎn)品和服務(wù)在中國的增值很小，意味著它是從國外進口的，達不到自主可控要求。這樣，可以防止進口硬件通過“貼牌”或 “組裝”變成“國產(chǎn)”；防止進口軟件和服務(wù)通過由國產(chǎn)系統(tǒng)集成商將它們集成在國產(chǎn)解決方案中，變成“國產(chǎn)”軟件和服務(wù)。

關(guān)于開源軟件的自主可控，有其特殊性。簡單地說開源軟件就安全，或者簡單地說使用開源軟件也不安全，這些說法都有片面性，不符合實際情況。目前情況下，運用開源軟件進行開放創(chuàng)新、協(xié)同創(chuàng)新，是世界潮流，應(yīng)當(dāng)予以鼓勵；同時也需注意下述問題。

對于開源軟件而言，知識產(chǎn)權(quán)自主可控首先是考察能否符合開源許可證要求。一些開源軟件是由商業(yè)公司支持、并受它們控制的，這時，應(yīng)當(dāng)從長遠考察，在使用和發(fā)展方面是否受到制約？例如有的開源軟件只允許他人修改或定制界面等非關(guān)鍵部分，而關(guān)鍵部分不許他人修改、甚至不予開源；在兼容性、捆綁特定軟件與特定應(yīng)用商店等方面有附加條件；在版本演進、市場策略、長遠發(fā)展路線等方面他人無法參與等等，這實際上仍然是受制于人，不能滿足知識產(chǎn)權(quán)和發(fā)展的自主可控要求。當(dāng)然，如果與支持這類開源軟件的公司能通過各種方式，合法地解決這些問題又當(dāng)別論。為了達到技術(shù)能力的自主可控，我們主張至少應(yīng)充分了解開源軟件，進一步應(yīng)要求科技人員融入開源社區(qū)，與全世界開源人士一起進行開放創(chuàng)新、協(xié)同創(chuàng)新。如果這些方面都做好了，那么，正確運用開源軟件往往能以較小的代價、較短的時間達到知識產(chǎn)權(quán)、技術(shù)能力和發(fā)展的自主可控。

最后，應(yīng)當(dāng)再次強調(diào)，自主可控是達到網(wǎng)絡(luò)安全、信息安全的前提，但這只是必要條件而非充分條件，在此基礎(chǔ)上，還需采取各種措施才能增強網(wǎng)絡(luò)安全、信息安全。（中國工程院院士 倪光南）

審核編輯 黃宇