三、实现核心技术产品安全可控是推动产业安全发展的重要保障
安全可控是指产品使用者能够有效掌握产品的控制权,不因对产品的依赖性而遭受安全威胁或非法侵害。对于国家而言,产品不应因主动后门或漏洞,而导致关系国家安全和国计民生重要信息系统的安全保障能力弱化;产品提供者不应主动配合域外机构要求,而做出弱化系统安全保障、泄露系统数据或中断产品供应等举动;对于企业而言,产品不应被主动嵌入恶意后门或漏洞,产品提供者非法收集或处理涉及企业秘密的数据;对个人用户而言,产品不应非法收集或处理个人数据,不应非法控制用户设备,或通过管理或技术手段胁迫用户进行系统升级等行为。事实上,我们可以认为自主可控是安全可控的最高等级,当产品完全由自己研发、生产、维护时,产品则不会面临前面所述的各类问题。同时,根据前面所述的概念可以看出,安全可控是相对的,说一个产品是安全可控的,应明确是用户所在的区域是哪里、用户的安全需求是什么,如Intel的芯片对于美国政府用户和中国政府用户而言,其安全可控程度不同,对中国军方用户和普通用户也是不同的。
实现核心技术产品的安全可控,有助于推动信息技术产业安全发展,即产业发展的主导权掌控在自己手里。一是有助于提升核心技术自主创新能力。对于我国境内市场的用户而言,由国内厂商自主研发的核心技术产品安全可控程度相对较高,核心技术中的后两类技术主要依靠自主创新,基础和通用技术则需要引进消化吸收。提升引进技术的安全可控水平,有助于推动企业培养自主创新能力。二是有助于推动自主核心技术产业发展。当前我国信息技术产品市场可以大致划分为三块:涉及国家安全的党政军等安全可控市场、企业级市场和民用市场。实际上,信息领域的核心技术往往军民两用,如美国的军用信息技术产品大都由民用产品转化而来。推动核心技术产品的安全可控,有助于整合各类信息技术产品市场,培养更具市场统治力的龙头企业,使具备自主创新能力的企业扩大市场占有率,进而带动产业能力提升,加速融入国际现有技术发展体系,争取核心技术发展的控制权。
四、实现核心技术产品安全可控应采取的措施
首先要加速制定信息技术产品安全可控评价标准。一是推进安全可控评价标准制定工作。国家信息安全标准化委员会于2015年启动安全可控系列标准制定项目,涵盖了中央处理器、操作系统等十余类核心信息技术产品,该系列标准应尽快推出并有效实施。二是确保标准在提升自主创新能力的作用。标准应根据信息技术产品各自的技术特点,重点考查企业对核心技术的掌控能力、产品供应链安全性和产品生态链安全性等,进而有效促进企业不断提升技术掌控能力。
其次要建立完善的安全可控评价实施方案。一是建立信息技术产品安全可控评价机制。由国家主管部门牵头成立工作组,依据网络安全需求划定开展评价工作的对象,明确工作流程和依托单位。二是形成有效的标准合规性审查方案。核心是考查企业对核心技术的掌控能力,可通过现场考试等方式考查,如针对中央处理器产品,可由技术专家团队设定公开题库,通过随机修改源代码回答结果或修改源代码实现指定功能等方式考查技术团队对核心技术的掌控能力。三是充分考虑标准对不同安全等级的适应性。标准应该设定为入门等级,而对于安全等级较高的应用场景,可依据安全等级不同而在实施时增加前置条件,如企业的性质、资质等。
再次要推动信息领域核心技术产业安全发展。一是加大科研投入,制定信息领域核心技术发展战略纲要,明确核心技术发展的路线图、时间表、任务书。坚持集中力量办大事的策略,充分利用国家资金和资本运作手段,加大核心技术研发投入力度。二是着力推进核心技术成果转化和产业化。组建产学研用联盟,设立“产业基金”、“创新基金”,加快技术研发市场化速度,形成良性循环的市场化经费支持机制。三是优化安全可控市场发展环境。依托信息技术技术产品安全可控评价标准,整合信息技术产品市场,为具备自主创新能力和市场竞争力的企业提供更开放的市场环境,培育龙头企业,推动产业做大做强。
