中国工程院院士 倪光南

简介：网络空间已成为国家继陆、海、空、天四个疆域之后的第五疆域，与其他疆域一样，网络空间也需体现国家主权，保障网络空间安全也就是保障国家主权。 党的十八大提出“要高度关注网络空间安全”，三中全会后成立了中央网络安全和信息化领导小组，这标志着我国网络空间安全国家战略已经确立。不久前习近平主席指出：“没有网络安全就没有国家安全，没有信息化就没有现代化。” 这是在新的历史时期我国信息领域工作的指导方针。现在，网络空间已成为国家继陆、海、空、天四个疆域之后的第五疆域，与其他疆域一样，网络空间也需体现国家主权，保障网络空间安全也就是保障国家主权。

按照顾能公司(Gartner)的观点，网络安全的内涵可以包括：

- 信息安全。它是网络安全的最重要内涵，保障网络主权就应保障信息主权；

- IT(信息技术)安全。包括关键核心技术、信息基础设施、相关硬件软件技术等等的安全。在IT安全方面，我国目前应及早解决在关键核心技术和设备上受制于人的问题。

- OT(运作技术)安全。包括法规、标准、制度、管理等等方面。

- 物理安全。指与技术无关的安全。

- IoT(物联网)安全。

应当指出，网络安全、信息安全这类安全概念是与传统安全概念不同的。传统安全是在自然环境下的安全，在这种环境下不存在人为对抗，而网络安全、信息安全是在对抗环境下的安全，一般存在着人为对抗，形成攻防两方。在英语中，传统安全的“安全”用“Safety”，而网络安全、信息安全的“安全”用“Security”。不过在中文中，一般不区分两者，有的场合在中文中也有区分，例如将“Security”翻译成“保安”、“安保”等。传统安全往往可以度量、预测、态势较少变化，而网络安全、信息安全取决于对抗情况，往往难以度量、预测、态势快速变化。

对于传统安全而言，选取技术、产品和服务等等，主要依据性价比。但对于网络安全、信息安全而言，因为存在着攻防两方，所以信息关键核心技术设备和服务的选取首先是考察能否自主可控，这一要求往往比性价比更重要。可以说，自主可控是保障网络安全、信息安全的前提。能自主可控意味着信息安全容易治理、产品和服务一般不存在恶意后门并可以不断改进或修补漏洞；反之，不能自主可控就意味着具“他控性”，就会受制于人，其后果是：信息安全难以治理、产品和服务一般存在恶意后门并难以不断改进或修补漏洞。在评估信息领域重要项目或者制订发展规划时，常常需要论证是否达到自主可控的要求，在实践中，我们归纳出一些要求，列出如下供作参考。

(责任编辑：安博涛)