王闯,蒋丽
(1.赛迪智库网络空间研究所,北京100846;2.北京邮电大学世纪学院,北京102101)
长期以来,由于在信息领域核心技术方面受制于人,使得我国难以掌控信息技术产业的主导权和发展权,国家网络安全面临重大威胁。国家高度重视信息领域核心技术产品的安全可控工作,但对于什么是安全可控、为什么要实现安全可控、如何实现安全可控,社会各界仍有不同的理解,本文将对这三方面内容进行简要分析。
具体而言,产品供应方应保障用户的数据支配权、产品控制权和产品选择权。在数据支配权方面,产品供应方不应利用提供产品和服务的便利条件非法获取应用方的关键数据;在产品控制权方面,产品供应方不应通过网络非法控制和操纵应用方设备;在产品选择权方面,产品供应方不应利用用户对产品和服务的依赖性牟取不当利益,采取垄断经营,包括停止提供合理的安全技术支持,迫使应用方更新换代。
对国家而言,产品不应因主动后门或漏洞弱化关系到国家安全和国计民生重要信息系统的安全保障能力,产品提供者不应主动配合域外机构要求而做出弱化系统安全保障、泄露系统数据或中断产品供应等举动;对于企业而言,产品不应被主动嵌入恶意后门或漏洞,产品提供者未经授权不应收集或处理涉及企业秘密的数据;对个人用户而言,产品未经授权不应收集或处理个人数据,未经授权不应控制用户设备,或通过管理或技术手段胁迫用户进行系统升级等行为。
从产品供应方角度看,安全可控不同于很多国家采取的国产化策略,并不限定产品和核心技术的来源,不要求产品必须由国内企业提供;从核心技术角度看,安全可控鼓励自主创新和开放透明,在大力保护知识产权的基础上,促进核心技术在全球范围内的自由流通;从用户角度看,安全可控致力于构建一个开放性的保障体系,为信息领域的弱势群体提供最低安全保障。事实上,由于产品供应方的属地管理,相同的产品对于不同用户,其安全可控程度是有差异的,如Intel的芯片对于美国政府和中国政府而言,其安全可控程度不同,安全可控为用户提供了与供应控制相对等的管理手段。
由于中央处理器、操作系统等信息领域核心技术受制于人,供应链“命门”掌握在别人手中,无法掌握产业发展主导权,导致我国关键信息基础设施面临严重的安全隐患,信息技术产业安全发展缺乏根基。提升信息技术产品的安全可控程度,能够解决本质安全问题,从而避免发生导致重大损失或产生重大社会影响的网络与信息安全事故,确保国家重要信息基础设施的安全运行,有效保障国家网络安全。
由于信息技术源于西方,西方国家在技术思路、标准协议、核心技术、产品服务方面都处于主导地位,我国大部分信息技术产品都是引进国外成熟产品,在别人的基础上来发展,这就限制了我国的自主创新能力。推动核心技术产品的安全可控,有助于提升企业消化吸收再创新的积极性,缩短培养自主创新能力的周期,加速融入国际现有技术发展体系,争取核心技术发展的控制权。
当前,我国自主企业生产的中央处理器、操作系统等核心技术产品安全可控程度较高,但厂商技术能力较弱、市场占有率较低,尚不具备掌控产业发展主导权的实力。推动信息领域核心技术产品的安全可控,可以为我国自主企业提供更加完整的市场,通过市场化机制提升自主创新企业的市场占有率,逐步产生更具市场统治力的龙头企业,进而带动产业的快速发展。
一是构建信息技术产品安全可控评价标准体系,以发布的信息技术产品安全可控评价指标系列国家标准为基础,尽快建立信息技术产品安全可控评价机制;二是依据《网络安全法》《网络产品和服务安全审查办法(试行)》等,由国家主管部门牵头成立评价工作组,根据自愿原则,针对国内市场上的产品开展评价工作,提供统一的安全可控评价结果;三是推动评价结果广泛应用,根据关键信息基础设施的安全可控需求,将安全可控评价结果作为重要行业和关键领域信息技术产品采购的前置条件,倒逼产品供应方提升自身安全可控水平。
一是加大对自主创新企业的资金支持力度,设立“产业基金”“创新基金”,加快技术研发市场化速度,形成良性循环的市场化经费支持机制;二是根据国家法律法规和标准规范的要求,鼓励关键信息基础设施采购和使用安全可控产品;三是将安全可控信息技术产品供应方纳入信任体系,加强市场监管,将“浑水摸鱼”、弄虚作假的企业列入黑名单。
一是强化企业的创新主体地位,着力构建以企业为主体、市场为导向、产学研相结合的技术创新体系,使得企业成为科技创新活动中的主导者,提高企业创新积极性;二是支持企业的国际化发展,通过技术合作、资本运作等手段争取国际先进技术和人才等,充分利用国际资源,实现跨越式发展;三是加强知识产权保护,推动建立国家核心技术专利资源池,形成知识产权防火墙,为建立自主生态体系提供支持。
针对当前我国在信息领域核心技术方面受制于人、难以掌控信息技术产业的主导权和发展权,导致国家网络安全面临重大威胁的问题,本文强调要高度重视信息领域核心技术产品的安全可控工作,重点分析了什么是安全可控、为什么要实现安全可控,并就如何实现安全可控提出了对策建议,以期为信息领域核心技术产品的安全可控工作提供参考。