日前舉行(xíng)的第三屆中國網絡安全大(dà)會(huì)上(shàng)，中國工程院院士倪光南呼籲加強網絡安全相關的評測認證，加強并完善信息安全等級保護工作(zuò)，實行(xíng)自主可(kě)控的評估标準，從知識産權、能力、發展條件、供應鏈、“國産”資質等五個(gè)方面對自主可(kě)控程度進行(xíng)評估。

來(lái)源：賽凡科技(jì)　　
      倪光南表示，産品和(hé)服務等自主可(kě)控，基本上(shàng)可(kě)保證不存在惡意後門(mén)并能不斷地對其進行(xíng)改進或修補漏洞。反之，如果産品和(hé)服務等不能自主可(kě)控，就意味着受制(zhì)于人(rén)。其後果是，這些(xiē)産品或服務可(kě)能會(huì)存在惡意後門(mén)，難以不斷地對其改進或修補漏洞，信息安全難以治理(lǐ)。

　　倪光南建議從以下五個(gè)方面對自主可(kě)控程度進行(xíng)評估：

　　1、知識産權（包括标準）自主可(kě)控

　　在當前的國際競争格局下，知識産權自主可(kě)控十分重要，做(zuò)不到這一點就一定會(huì)受制(zhì)于人(rén)。如果所有(yǒu)知識産權都能自己掌握當然最好，但(dàn)實際上(shàng)不一定能。這時(shí)，如果部分知識産權能完全買斷，或能買到有(yǒu)足夠自主權的授權，也能滿足自主可(kě)控。如果隻能買到自主權不夠充分的授權，例如某項授權在權利的使用期限、使用方式等方面具有(yǒu)明(míng)顯的限制(zhì)，就不能達到知識産權自主可(kě)控。

　　目前國家(jiā)一些(xiē)計(jì)劃對所支持的項目，要求首先通(tōng)過知識産權風險評估，才能給予立項，這種做(zuò)法是正确的、必要的。标準的自主可(kě)控似可(kě)歸入這一範疇。

　　2、能力自主可(kě)控

　　能力自主可(kě)控，主要指技(jì)術(shù)能力的自主可(kě)控。這意味着要有(yǒu)足夠規模的、能真正掌握該技(jì)術(shù)的科技(jì)隊伍。

　　技(jì)術(shù)能力可(kě)以分為(wèi)一般技(jì)術(shù)能力、産業化能力、構建産業鏈能力和(hé)構建産業生(shēng)态系統能力等層次。産業化能力的自主可(kě)控要求使技(jì)術(shù)不能停留在樣品或試驗階段，而應能轉化為(wèi)大(dà)規模的産品和(hé)服務。産業鏈的自主可(kě)控要求在實現産業化的基礎上(shàng)，圍繞産品和(hé)服務，構建一個(gè)比較完整的産業鏈，以便不受産業鏈上(shàng)下遊的制(zhì)約，具備足夠的競争力。産業生(shēng)态系統的自主可(kě)控要求能營造一個(gè)支撐該産業鏈的生(shēng)态系統。

　　3、發展自主可(kě)控

　　除了知識産權和(hé)能力的自主可(kě)控，還(hái)需要有(yǒu)發展的自主可(kě)控。因為(wèi)我們不但(dàn)要着眼于現在，還(hái)要求在今後相當長的時(shí)期裏，相關技(jì)術(shù)和(hé)産業都能不受制(zhì)約地發展。

　　倪光南表示，根據我國具體(tǐ)情況，要着眼國家(jiā)安全和(hé)長遠發展，制(zhì)訂信息核心技(jì)術(shù)設備的發展戰略。如果某些(xiē)技(jì)術(shù)在短(duǎn)期內(nèi)似乎能自主可(kě)控，但(dàn)長期看做(zuò)不到自主可(kě)控，一般說來(lái)是不可(kě)取的。隻顧眼前利益，有(yǒu)可(kě)能會(huì)在以後造成更大(dà)的被動。

　　4、供應鏈自主可(kě)控

　　一個(gè)産品的供應鏈可(kě)能很(hěn)長，如果其中的一個(gè)或某些(xiē)環節不能自主可(kě)控，也就不能滿足自主可(kě)控要求。

　　倪光南特别舉了“國産CPU”的例子，以證明(míng)供應鏈自主可(kě)控的重要性。對複雜的CPU芯片來(lái)說，即使擁有(yǒu)知識産權，也有(yǒu)技(jì)術(shù)能力掌握，做(zuò)到在設計(jì)方面不受制(zhì)于人(rén)，但(dàn)如需依賴外國才能進行(xíng)生(shēng)産，倪光南認為(wèi)這樣的情況仍然達不到自主可(kě)控的要求。

　　所以，應當評估一個(gè)産品的供應鏈是否能完全掌控。像上(shàng)述複雜的CPU芯片，如果必須依賴外國進行(xíng)生(shēng)産加工，就不能滿足自主可(kě)控的要求。如果能夠依靠本國廠商生(shēng)産出來(lái)，即使性能指标略低(dī)一些(xiē)，還(hái)是可(kě)以容許的。

　　5、具備“國産”資質

　　一般來(lái)說，“國産”産品和(hé)服務容易符合自主可(kě)控要求，因此實行(xíng)國産替代對于達到自主可(kě)控是完全必要的。不過，現在對于“國産”還(hái)沒有(yǒu)統一的評估标準。

　　倪光南稱，過去有(yǒu)人(rén)提出的某些(xiē)評估标準是不合适的。例如，認為(wèi)隻要公司在中國注冊、交稅，就是“中國公司”，它的産品和(hé)服務就是“國産”；或認為(wèi)“本國産品是指在中國關境內(nèi)生(shēng)産，且國內(nèi)生(shēng)産成本比例超過50%的最終産品”。這裏，突出“生(shēng)産成本”完全不适用于高(gāo)技(jì)術(shù)領域。

　　衆所周知，高(gāo)技(jì)術(shù)産品和(hé)服務的成本主要是開(kāi)發成本、智力成本，生(shēng)産成本甚至可(kě)以忽略不計(jì)，這種“生(shēng)産成本”準則是幫進口高(gāo)技(jì)術(shù)産品的忙，因為(wèi)它們隻要用中國原材料做(zuò)個(gè)包裝，就可(kě)以搖身一變成為(wèi)“國貨”了。

　　美國國會(huì)在1933年通(tōng)過的《購買美國産品法》，要求聯邦政府采購要買本國産品，即在美國生(shēng)産的、增值達到50%以上(shàng)的産品，進口件組裝的不算(suàn)本國産品。美國采用上(shàng)述“增值”準則來(lái)評估“國産”，比較合理(lǐ)。這方面我們理(lǐ)應學習發達國家(jiā)行(xíng)之有(yǒu)效的做(zuò)法。

　　現在人(rén)們大(dà)多(duō)根據産品和(hé)服務提供者資本構成的“資質”進行(xíng)評估。考察資質是必要的，但(dàn)除此以外，還(hái)應采用“增值”準則對“國産化程度”加以評估。如果某項産品和(hé)服務在中國的增值很(hěn)小(xiǎo)，意味着它可(kě)能就是從國外進口的，達不到自主可(kě)控的要求。如進口硬件可(kě)能通(tōng)過“貼牌”、“組裝”變成“國産”，進口軟件和(hé)服務可(kě)能通(tōng)過“集成”變成“國産解決方案”的一部分。如果實行(xíng)“增值”估算(suàn)，這類“假國産”就難以立足。倪光南建議有(yǒu)關方面盡快出台合理(lǐ)的“國産”評估準則。