核心技术不能受制于人

资源描述

《核心技术不能受制于人》由会员分享，可在线阅读，更多相关《核心技术不能受制于人（18页珍藏版）》请在金锄头文库上搜索。

1、核心技术不能受制于人一、要维护国家主权、安全、发展利益 n 习近平总书记最近在接受华尔街日报采访时强调，互联网这块“新疆域”不是“法外之地”，同样要讲法治，同样要维护国家主权、安全、发展利益。随着新一代信息技术的发展和“互联网+”的推进，网络安全、信息安全问题变得越来越突出。云计算和大数据的发展，将原先分散的数据都集中起来进行处理，一旦发生数据泄漏，危害程度不可想象。而且，各行各业越来越依赖于信息网络。如果网络被入侵、被控制，将直接危及各行各业的安全，甚至危及国家安全。 2 网络安全（网络空间安全）既包含实体物理空间的安全，也包含虚拟数字空间的安全（信息安全也在其内）。（

2、数字安全是网络安全在数字业务中的体现）来源: 3 网络空间安全数字安全信息安全 IT安全物理安全物联网安全 OT 安全网络安全（网络空间安全）的内涵 n 信息安全。它是网络安全的最重要内涵，信息安全包括数据安全和内容安全，前者包括数据审计、保护、防丢失、加密，后者包括意识形态、反恐扫黄、版权保护、隐私保护。 n IT（信息技术）安全。包括关键核心技术、信息基础设施、相关硬件软件技术的安全。在IT安全方面，我国目前应及早解决在关键核心技术和设备上受制于人的问题。 n OT（运作技术）安全。包括法规、标准、制度、管理的安全。 n 物理安全。基本上属于传统安全的范围。

3、n IoT（物联网）安全。又可分为感知层、网络传输层、应用层的安全。参照Gartner 4 网络安全是在对抗状态下的安全 n 网络安全是在对抗状态下的安全，存在着攻防和敌对关系。所以，重要信息领域必须做到没有后门。 n 这里要说明的是，后门与漏洞是有区别的。后门是指那些人为设置的、能绕过安全性控制而获取对系统控制或访问权的秘密机制。设置方可以随时利用后门更改系统设置，使用方很难发觉。后门的危害很大。它就好像是被人埋下的“定时炸弹”或“特洛伊木马”，随时会造成严重损害。 n 后门又是可以避免的。只要是由可信赖的人员，用可信任的软硬件在严格管理下构成的系统，就可以保证没有后门。

4、 5 核心技术不能受制于人 n “漏洞”是由于系统存在某种缺陷，从而使攻击者能够在未被授权的情况下进行访问或破坏的机制。漏洞不同于后门，它难以避免，只能在被发现时予以修补，在被攻击时予以加固。 n 基于上述原因，信息核心技术自主可控，不受制于人就显得尤为重要。尽管自主可控不等于安全，但它是网络安全的必要条件。如果信息核心关键技术和基础设施受制于人，那么由此构成的信息系统就像沙滩上的建筑，在遭到攻击时顷刻间便会土崩瓦解。 6 保障网络安全要立足于自主创新 n 目前，社会上有一些模糊观念需要澄清。有人认为，市场上占据垄断地位的信息核心技术不可能存在后门。但 “棱镜门”等事件告诉我们

5、，这是一种不切实际的幻想。也有人认为，可以通过引进技术实现更快的发展。事实上，引进消化吸收再创新固然是一种发展途径，然而有的引进项目并非是先进的、有长远前途的，有的是短期里我们消化不了的，有的是我们不能完全掌控的。如果对引进项目不作充分的评估，只图眼前便捷省事，放弃自主创新的努力，那么若干年后我们将全盘依赖引进，完全受制于人，国家安全将遭受严重威胁。 7 依法实现自主可控、安全可控 n 我国国家安全法第24条规定，“国家加强自主创新能力建设，加快发展自主可控的战略高新技术和重要领域核心关键技术”。第25条规定，“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的

6、安全可控”。可见，强调自主可控是有法可依的。当然，在自主可控的基础上，我们还需要实现安全可控、或者自主可控安全可信这样更高的要求。 8 二、自主可控的评估标准 n 为使信息化建设能满足“自主可控安全可信”的要求，建议出台自主可控的评估标准，其理由如下： n 自主可控是产品和服务的客观属性，基本上独立于使用场景和生命周期，是可以根据各种数据资料一次性地加以评估的。相比之下，产品和服务是否安全可信与使用场景和生命周期都有关系，难以进行一次性的评估。 n 如同性能、经济等等指标那样，自主可控可以成为重大项目立项或对产品服务进行选型采购的一项指标，为此需要制定相应的评估标准。 9 自

7、主可控评估的五个维度 10 1. 知识产权（包括标准）自主可控 n 在当前的国际竞争格局下，知识产权自主可控十分重要，做不到这一点就一定会受制于人。如果所有知识产权都能自己掌握，当然最好，但实际上不一定能做到，这时，如果部分知识产权能完全买断，或能买到有足够自主权的授权，也能满足自主可控。 n 然而，如果只能买到自主权不够充分的授权，例如某项授权在权利的使用期限、使用方式等方面具有明显的限制，就不能达到知识产权自主可控。 n 目前国家一些计划对所支持的项目，要求首先通过知识产权风险评估，才能给予立项，这种做法是正确的、必要的。标准的自主可控似可归入这一范畴。 11 2. 能力自

8、主可控 n 能力自主可控，主要指技术能力的自主可控，这意味着要有足够规模的、能真正掌握该技术的科技队伍。 n 技术能力可以分为一般技术能力、产业化能力、构建产业链能力和构建产业生态系统能力等层次。产业化能力的自主可控要求使技术不能停留在样品或试验阶段，而应能转化为大规模的产品和服务。产业链的自主可控要求在实现产业化的基础上，围绕产品和服务，构建一个比较完整的产业链，以便不受产业链上下游的制约，具备足够的竞争力。产业生态系统的自主可控要求能营造一个支撑该产业链的生态系统。 12 3. 发展自主可控 n 除了知识产权和能力的自主可控，还需要有发展的自主可控，因为我们不但要着眼于现

9、在，还要求在今后相当长的时期里，对相关技术和产业而言，都能不受制约地发展。 n 为此，根据我国具体情况，要着眼国家安全和长远发展，制订信息核心技术设备的发展战略。如果某些技术在短期内似乎能自主可控，但长期看做不到自主可控，一般说来是不可取的。只顾眼前利益，有可能会在以后造成更大的被动。 13 4.供应链自主可控 n 一个产品的供应链可能很长，如果其中的一个或某些环节不能自主可控，也就不能满足自主可控要求。例如对复杂的CPU芯片来说，即使拥有知识产权，也有技术能力掌握，做到在设计方面不受制于人，但如需依赖外国才能进行生产，那么仍然达不到自主可控的要求。 n 所以，应当评估一个

10、产品的供应链是否能完全掌控？像上述复杂的CPU芯片，如果必须依赖外国进行生产加工，就不能满足自主可控的要求。如果能够依靠本国厂商生产出来，即使性能指标略低一些，还是可以容许的。 14 5.“国产”资质 n 一般说来，“国产”产品和服务容易符合自主可控要求，因此实行国产替代对于达到自主可控是完全必要的。不过现在对于“国产”还没有统一的评估标准。 n 过去有人提出的某些评估标准显然是不合适的。例如：认为只要公司在中国注册、交税，就是“中国公司”，它的产品和服务就是“国产”；或认为“本国产品是指在中国关境内生产，且国内生产成本比例超过50%的最终产品”。这里，突出“生产成本”完全不

11、适用于高技术领域。众所周知，高技术产品和服务的成本主要是开发成本、智力成本，生产成本甚至可以忽略不计，这种“生产成本 ”准则是帮进口高技术产品的忙，因为它们只要用中国原材料做个包装，就可以摇身一变成为“国货”了。 15 “国产”资质（续1） n 美国国会在1933年通过的购买美国产品法，要求联邦政府采购要买本国产品，即在美国生产的、增值达到 50%以上的产品，进口件组装的不算本国产品。美国采用上述“增值”准则来评估“国产”，比较合理。这方面我们理应学习发达国家行之有效的做法。 n 现在人们大多根据产品和服务提供者资本构成的“资质”进行评估，包括内资（国有、混合所有制、民营）、中

12、外合资和外资等，还包括近来出现的“VIE”这类资质。 16 “国产”资质（续2） n 考察资质是必要的，但除此以外，还应采用“增值” 准则对“国产化程度”加以评估，因为如某项产品和服务在中国的增值很小，意味着它可能就是从国外进口的，达不到自主可控要求。例如进口硬件可能通过“贴牌”、“ 组装”变成“国产”，进口软件和服务可能通过“集成” 变成“国产解决方案”的一部分。如果实行“增值”估算，这类“假国产”就难以立足了。建议有关方面尽快出台合理的“国产”评估准则。 n 综上所述，制订自主可控的评估标准是可行的，也是对保障网络安全、信息安全有实际意义的，有助于加快发展自主可控的信息技术和产业，贯彻落实国家安全法。 17 谢谢大家!

展开阅读全文