信息領域核心技術產品安全可控淺析

王闖，蔣麗

（1.賽迪智庫網絡空間研究所，北京100846;2.北京郵電大學世紀學院,北京102101）

1 引言

長期以來，由于在信息領域核心技術方面受制于人，使得我國難以掌控信息技術產業的主導權和發展權，國家網絡安全面臨重大威脅。國家高度重視信息領域核心技術產品的安全可控工作，但對于什么是安全可控、為什么要實現安全可控、如何實現安全可控，社會各界仍有不同的理解，本文將對這三方面內容進行簡要分析。

2 安全可控

2.1 安全可控是以安全為目的可控性

具體而言，產品供應方應保障用戶的數據支配權、產品控制權和產品選擇權。在數據支配權方面，產品供應方不應利用提供產品和服務的便利條件非法獲取應用方的關鍵數據；在產品控制權方面，產品供應方不應通過網絡非法控制和操縱應用方設備；在產品選擇權方面，產品供應方不應利用用戶對產品和服務的依賴性牟取不當利益，采取壟斷經營，包括停止提供合理的安全技術支持，迫使應用方更新換代。

2.2 安全可控具有很強的主體差異性

對國家而言，產品不應因主動后門或漏洞弱化關系到國家安全和國計民生重要信息系統的安全保障能力，產品提供者不應主動配合域外機構要求而做出弱化系統安全保障、泄露系統數據或中斷產品供應等舉動；對于企業而言，產品不應被主動嵌入惡意后門或漏洞，產品提供者未經授權不應收集或處理涉及企業秘密的數據；對個人用戶而言，產品未經授權不應收集或處理個人數據，未經授權不應控制用戶設備，或通過管理或技術手段脅迫用戶進行系統升級等行為。

2.3 安全可控以開放性為主要特征

從產品供應方角度看，安全可控不同于很多國家采取的國產化策略，并不限定產品和核心技術的來源，不要求產品必須由國內企業提供；從核心技術角度看，安全可控鼓勵自主創新和開放透明，在大力保護知識產權的基礎上，促進核心技術在全球范圍內的自由流通；從用戶角度看，安全可控致力于構建一個開放性的保障體系，為信息領域的弱勢群體提供最低安全保障。事實上，由于產品供應方的屬地管理，相同的產品對于不同用戶，其安全可控程度是有差異的，如Intel的芯片對于美國政府和中國政府而言，其安全可控程度不同，安全可控為用戶提供了與供應控制相對等的管理手段。

3 實現安全可控

3.1 安全可控有助于解決國家網絡安全問題

由于中央處理器、操作系統等信息領域核心技術受制于人，供應鏈“命門”掌握在別人手中，無法掌握產業發展主導權，導致我國關鍵信息基礎設施面臨嚴重的安全隱患，信息技術產業安全發展缺乏根基。提升信息技術產品的安全可控程度，能夠解決本質安全問題，從而避免發生導致重大損失或產生重大社會影響的網絡與信息安全事故，確保國家重要信息基礎設施的安全運行，有效保障國家網絡安全。

3.2 安全可控有助于提升核心技術自主創新能力

由于信息技術源于西方，西方國家在技術思路、標準協議、核心技術、產品服務方面都處于主導地位，我國大部分信息技術產品都是引進國外成熟產品，在別人的基礎上來發展，這就限制了我國的自主創新能力。推動核心技術產品的安全可控，有助于提升企業消化吸收再創新的積極性，縮短培養自主創新能力的周期，加速融入國際現有技術發展體系，爭取核心技術發展的控制權。

3.3 安全可控有助于推動我國核心技術產業發展

當前，我國自主企業生產的中央處理器、操作系統等核心技術產品安全可控程度較高，但廠商技術能力較弱、市場占有率較低，尚不具備掌控產業發展主導權的實力。推動信息領域核心技術產品的安全可控，可以為我國自主企業提供更加完整的市場，通過市場化機制提升自主創新企業的市場占有率，逐步產生更具市場統治力的龍頭企業，進而帶動產業的快速發展。

4 實現安全可控的途徑

4.1 建立信息技術產品安全可控評價體系

一是構建信息技術產品安全可控評價標準體系，以發布的信息技術產品安全可控評價指標系列國家標準為基礎，盡快建立信息技術產品安全可控評價機制；二是依據《網絡安全法》《網絡產品和服務安全審查辦法(試行)》等，由國家主管部門牽頭成立評價工作組，根據自愿原則，針對國內市場上的產品開展評價工作，提供統一的安全可控評價結果；三是推動評價結果廣泛應用，根據關鍵信息基礎設施的安全可控需求，將安全可控評價結果作為重要行業和關鍵領域信息技術產品采購的前置條件，倒逼產品供應方提升自身安全可控水平。

4.2 建立信息技術產品安全可控引導機制

一是加大對自主創新企業的資金支持力度，設立“產業基金”“創新基金”，加快技術研發市場化速度，形成良性循環的市場化經費支持機制；二是根據國家法律法規和標準規范的要求，鼓勵關鍵信息基礎設施采購和使用安全可控產品；三是將安全可控信息技術產品供應方納入信任體系，加強市場監管，將“渾水摸魚”、弄虛作假的企業列入黑名單。

4.3 鼓勵安全可控企業提升自主創新能力

一是強化企業的創新主體地位，著力構建以企業為主體、市場為導向、產學研相結合的技術創新體系，使得企業成為科技創新活動中的主導者，提高企業創新積極性；二是支持企業的國際化發展，通過技術合作、資本運作等手段爭取國際先進技術和人才等，充分利用國際資源，實現跨越式發展；三是加強知識產權保護，推動建立國家核心技術專利資源池，形成知識產權防火墻，為建立自主生態體系提供支持。

5 結束語

針對當前我國在信息領域核心技術方面受制于人、難以掌控信息技術產業的主導權和發展權，導致國家網絡安全面臨重大威脅的問題，本文強調要高度重視信息領域核心技術產品的安全可控工作，重點分析了什么是安全可控、為什么要實現安全可控，并就如何實現安全可控提出了對策建議，以期為信息領域核心技術產品的安全可控工作提供參考。