倪光南：自主可控不等于安全可靠

“在信息化建设中，往往要对所采购的货物、工程服务等就是否满足网络安全需求进行评估。”近日，中国工程院院士、中国智能终端操作系统产业联盟技术委员会主任倪光南在2015贵阳国际大数据产业博览会暨全球大数据时代贵阳峰会分论坛之一的“走进大数据时代”的新常态下大数据产业发展论坛上就网络安全问题，分享了自己的理解。

据倪光南介绍，有一种观点认为，只有做到了自主可控才有可能达到安全可靠，才能排出存在的“后门”。当今技术复杂度越来越高，一个软件可能包含千万行原代码，一个芯片可能包含几亿个晶体管对于这种复杂度的软硬件，如果不是自主可控，要想通过第三方的测试分析来找出“后门”，基本上是不可行的。

倪光南表示，自主可控并不等于安全可靠，安全可靠不是被评估对象的一种客观属性，而是他们在其应用场景中的实际使用效果。如果是一个复杂的信息系统，需要评估构成系统的重要部门。

谈到自主可控的评估标准时，倪光南认为，可以制订一种评估标准，从评估知识产权自主可控；能力自主可控；发展自主可控；满足“国产”资质四个方面进行。

“这方面现在还没有通用的评估标准，应当特别关注的是我国重要信息系统推行的安全等级保护工作。我们认为这还比较难，因为这是一个体系。”倪光南认为，安全可靠的评估问题比自主可控的评估复杂，也不能靠做一次评估就一劳永逸，最终还需要通过实践的验证。

一般说来，一个通过高级别等级保护的系统，其安全可靠程度显然比通过低级别等级保护的系统高。在等级保护实施原则中有动态调整原则，它考虑到应用场景的变化，规定要跟踪信息系统变化情况，调整安全保护措施。

倪光南表示，安全等级保护工作广义上为涉及到该工作的标准、产品、系统、信息等，均依据等级保护工作。