網(wǎng)絡空間已成為國家繼陸、海、空、天四個疆域之后的第五疆域，與其他疆域一樣，網(wǎng)絡空間也需體現(xiàn)國家主權，保障網(wǎng)絡空間安全也就是保障國家主權。黨的十八大提出“要高度關注網(wǎng)絡空間安全”，三中全會后成立了中央網(wǎng)絡安全和信息化領導小組，這標志著我國網(wǎng)絡空間安全國家戰(zhàn)略已經(jīng)確立。

網(wǎng)絡安全的內涵可以包括： －信息安全。它是網(wǎng)絡安全的最重要內涵，保障網(wǎng)絡主權就應保障信息主權； －IT（信息技術）安全。包括關鍵核心技術、信息基礎設施、相關硬件軟件技術等等的安全。在IT安全方面，我國目前應及早解決在關鍵核心技術和設備上受制于人的問題。

－OT（運作技術）安全。包括法規(guī)、標準、制度、管理等等方面。

－物理安全。指與技術無關的安全。

－IoT（物聯(lián)網(wǎng)）安全。 應當指出，網(wǎng)絡安全、信息安全這類安全概念是與傳統(tǒng)安全概念不同的。傳統(tǒng)安全是在自然環(huán)境下的安全，在這種環(huán)境下不存在人為對抗，而網(wǎng)絡安全、信息安全是在對抗環(huán)境下的安全，一般存在著人為對抗，形成攻防兩方。在英語中，傳統(tǒng)安全的“安全”用“Safety”，而網(wǎng)絡安全、信息安全的“安全”用“Security”。不過在中文中，一般不區(qū)分兩者，有的場合在中文中也有區(qū)分，例如將“Security”翻譯成“保安”、“安?！钡?。傳統(tǒng)安全往往可以度量、預測、態(tài)勢較少變化，而網(wǎng)絡安全、信息安全取決于對抗情況，往往難以度量、預測、態(tài)勢快速變化。

對于傳統(tǒng)安全而言，選取技術、產(chǎn)品和服務等等，主要依據(jù)性價比。但對于網(wǎng)絡安全、信息安全而言，因為存在著攻防兩方，所以信息關鍵核心技術設備和服務的選取首先是考察能否自主可控，這一要求往往比性價比更重要?？梢哉f，自主可控是保障網(wǎng)絡安全、信息安全的前提。能自主可控意味著信息安全容易治理、產(chǎn)品和服務一般不存在惡意后門并可以不斷改進或修補漏洞；反之，不能自主可控就意味著具“他控性”，就會受制于人，其后果是：信息安全難以治理、產(chǎn)品和服務一般存在惡意后門并難以不斷改進或修補漏洞。 在評估信息領域重要項目或者制訂發(fā)展規(guī)劃時，常常需要論證是否達到自主可控的要求，在實踐中，我們歸納出一些要求，列出如下供作參考。

一、知識產(chǎn)權自主可控。

在當前的國際競爭格局下，知識產(chǎn)權自主可控十分重要，做不到這一點就一定會受制于人。如果所有知識產(chǎn)權都能自己掌握，當然最好，但實際上不一定能做到，這時，如果部分知識產(chǎn)權能完全買斷，或能買到有足夠自主權的授權，也能達到自主可控。然而，如果只能買到自主權不夠充分的授權，例如某項授權在權利的使用期限、使用方式等方面具有明顯的限制，就不能達到知識產(chǎn)權自主可控。目前國家一些計劃對所支持的項目，要求首先通過知識產(chǎn)權風險評估，才能給予立項，這種做法是正確的、必要的。標準的自主可控似可歸入這一范疇。

二、技術能力自主可控。

技術能力自主可控，意味著要有足夠規(guī)模的、能真正掌握該技術的科技隊伍。技術能力可以分為一般技術能力、產(chǎn)業(yè)化能力、構建產(chǎn)業(yè)鏈能力和構建產(chǎn)業(yè)生態(tài)系統(tǒng)能力等層次。產(chǎn)業(yè)化能力的自主可控要求使技術不能停留在樣品或試驗階段，而應能轉化為大規(guī)模的產(chǎn)品和服務。產(chǎn)業(yè)鏈的自主可控要求在實現(xiàn)產(chǎn)業(yè)化的基礎上，圍繞產(chǎn)品和服務，構建一個比較完整的產(chǎn)業(yè)鏈，以便不受產(chǎn)業(yè)鏈上下游的制約，具備足夠的競爭力。產(chǎn)業(yè)生態(tài)系統(tǒng)的自主可控要求能營造一個支撐該產(chǎn)業(yè)鏈的生態(tài)系統(tǒng)。

三、發(fā)展自主可控。

有了知識產(chǎn)權和技術能力的自主可控，一般是能自主發(fā)展的，但這里再特別強調一下發(fā)展的自主可控，也許是有必要的。因為我們不但要看到現(xiàn)在，還要著眼于今后相當長的時期，對相關技術和產(chǎn)業(yè)而言，都能不受制約地發(fā)展。有一個例子可以說明長期發(fā)展的重要性。眾所周知，前些年我國通過投資、收購等等，曾經(jīng)擁有了CRT電視機產(chǎn)業(yè)完整的知識產(chǎn)權和構建整個生態(tài)系統(tǒng)的技術能力。但是，外國跨國公司一旦將CRT的技術都賣給中國后，它們立即轉向了LCD平板電視，使中國的CRT電視機產(chǎn)業(yè)變成淘汰產(chǎn)業(yè)。信息領域技術和市場變化迅速，要防止出現(xiàn)類似事件。因此，如果某項技術在短期內效益較好，但從長期看做不到自主可控，一般說來是不可取的。只顧眼前利益，有可能會在以后造成更大的被動。

四、滿足“國產(chǎn)”資質。

一般說來，“國產(chǎn)”產(chǎn)品和服務容易符合自主可控要求，因此實行國產(chǎn)替代對于達到自主可控是完全必要的。不過現(xiàn)在對于“國產(chǎn)”還沒有統(tǒng)一的界定標準。某些觀點顯然是不合適的。例如：有人說，只要公司在中國注冊、交稅，就是“中國公司”，它的產(chǎn)品和服務就是“國產(chǎn)”。但實際上幾乎所有世界500強都在中國注冊了公司，難道它們都變成了中國公司了嗎；也有人說，“本國產(chǎn)品是指在中國境內生產(chǎn)，且國內生產(chǎn)成本比例超過50%的最終產(chǎn)品”，甚至還給出了按材料成本計算的公式。顯然，這樣的“標準”只適合粗放型產(chǎn)品，完全不適用于高技術領域。倒是美國國會在1933年通過的《購買美國產(chǎn)品法》可以給我們一個啟示，該法案要求聯(lián)邦政府采購要買本國產(chǎn)品，即在美國生產(chǎn)的、增值達到50%以上的產(chǎn)品，進口件組裝的不算本國產(chǎn)品?？磥恚绹捎蒙鲜觥霸鲋怠睖蕜t來界定“國產(chǎn)”是比較合理的。

現(xiàn)在人們大多是根據(jù)產(chǎn)品和服務提供者資本構成的“資質”進行界定，包括內資（國有、混合所有制、民營）、中外合資、外資等，如果是內資資質，則認為其提供的產(chǎn)品和服務是“國產(chǎn)”的。由于歷史原因，中國網(wǎng)絡公司很多是外資控股，為了改變資質，有的引入了“實際控制人”概念，有人將這類企業(yè)稱為“VIE”，對此，業(yè)界仍在討論中。

實踐表明，光考察資質是不夠的，為了防止出現(xiàn)“假國產(chǎn)”，建議對產(chǎn)品和服務實行“增值”評估，即仿照美國的做法，評估其在中國境內的增值是否超過50%。如某項產(chǎn)品和服務在中國的增值很小，意味著它是從國外進口的，達不到自主可控要求。這樣，可以防止進口硬件通過“貼牌”或 “組裝”變成“國產(chǎn)”；防止進口軟件和服務通過由國產(chǎn)系統(tǒng)集成商將它們集成在國產(chǎn)解決方案中，變成“國產(chǎn)”軟件和服務。

關于開源軟件的自主可控，有其特殊性。簡單地說開源軟件就安全，或者簡單地說使用開源軟件也不安全，這些說法都有片面性，不符合實際情況。目前情況下，運用開源軟件進行開放創(chuàng)新、協(xié)同創(chuàng)新，是世界潮流，應當予以鼓勵；同時也需注意下述問題。

對于開源軟件而言，知識產(chǎn)權自主可控首先是考察能否符合開源許可證要求。一些開源軟件是由商業(yè)公司支持、并受它們控制的，這時，應當從長遠考察，在使用和發(fā)展方面是否受到制約？例如有的開源軟件只允許他人修改或定制界面等非關鍵部分，而關鍵部分不許他人修改、甚至不予開源；在兼容性、捆綁特定軟件與特定應用商店等方面有附加條件；在版本演進、市場策略、長遠發(fā)展路線等方面他人無法參與等等，這實際上仍然是受制于人，不能滿足知識產(chǎn)權和發(fā)展的自主可控要求。當然，如果與支持這類開源軟件的公司能通過各種方式，合法地解決這些問題又當別論。為了達到技術能力的自主可控，我們主張至少應充分了解開源軟件，進一步應要求科技人員融入開源社區(qū)，與全世界開源人士一起進行開放創(chuàng)新、協(xié)同創(chuàng)新。如果這些方面都做好了，那么，正確運用開源軟件往往能以較小的代價、較短的時間達到知識產(chǎn)權、技術能力和發(fā)展的自主可控。

最后，應當再次強調，自主可控是達到網(wǎng)絡安全、信息安全的前提，但這只是必要條件而非充分條件，在此基礎上，還需采取各種措施才能增強網(wǎng)絡安全、信息安全。（中國工程院院士 倪光南）

審核編輯 黃宇