倪光南：自主可控不等于安全，但不自主可控一定不安全

12月12日，由工业和信息化部、北京市人民政府共同指导的首届中国网络安全产业高峰论坛在北京举办。会上，中国工程院院士倪光南发表题为《构建安全可控的信息技术体系》主题演讲。他表示，构建安全可控的信息技术体系是我国网信领域的一项重大任务。

构建安全可控的信息技术体系可以加速网络强国的建设。如今，中国虽然已经是网络大国，但还不是网络强国，一个重要原因就是我们还缺乏安全可控的信息技术体系的支撑，我国的信息基础设施以及信息化所需的软硬件和服务，大量地来自于外国跨国公司。由此构成的基础设施或信息系统就像沙滩上的建筑，在遭到攻击时顷刻间便会土崩瓦解。

安全和发展要同步推进

倪光南认为，网信事业应当实施安全和发展同步推进。发展是硬道理，安全也是硬道理。为此，要建立必要的法规制度保障，例如贯彻实施《网络安全法》、《网络产品和服务安全审查办法》、实施多维度测评、实行等保制度等等。

“自主可控不等于安全，但不自主可控一定不安全。” 倪光南强调。

他表示，自主可控意味着不存在后门，可以主动增强安全(能掌控源代码，能自己分析研究、增强安全)，发现了漏洞可以主动打补丁等等，而不自主可控意味着丧失主动权，在网络攻击下完全处于被动挨打地位。所以应当将自主可控作为网络安全的必然要求，因为在此基础上才能构建安全可控的信息技术体系。

另外，安全可控还需要经受实践的检验和时间的考验，随着网络空间形势的发展，对安全可控的要求也在发展，一个系统的安全可控需要贯穿其全生命周期。

据介绍，在网信领域中“安全”的内涵比传统领域中“安全”的内涵更加广泛、更加全面。例如当传统汽车发展成了自动驾驶汽车，那么后者的“安全”性不仅包含了前者的“安全”性，还包含了能抵御网络攻击、能保护用户信息等等内涵，而这些本来对前者来说是不需要考虑的。

为此，有关部门提出了实行多维度测评的要求，包括： 自主可控评估，即对产品/服务/系统的自主可控性进行评估，这种评估可以是针对CPU、操作系统等核心技术产品，也可以是针对其他软硬件或服务，甚至也可能是针对一个信息系统或一项信息基础设施。质量测评，即对产品/服务/系统的功能、性能等等技术指标进行测评; 安全测评，即对产品/服务/系统的安全性进行测评，这种测评有可能与“等保”、“分保”的测评相结合。

作者：徐恒