倪光南：网络安全空间如不能实现技术自主可控 会有很大风险

9月8日，江苏无锡，中国工程院倪光南院士在第十二届信息安全漏洞分析与风险评估大会上发言。

本届大会由中国信息安全测评中心、江苏省委网信办等单位主办，复旦大学、江苏省物联网信息安全实验室等单位承办。

谈到中国网络安全的现状，倪光南表示，随着5G技术的大范围应用，网络安全也必将面临更大的挑战。网络信息安全既有传统安全的要素，也包含一些传统安全不太受重视、或不需被强调的问题，例如可控性。“一个重要的案例是自动驾驶技术，以传统思路来看，只要汽车本身没有安全问题，性能稳定，那么毋需担心其可控性问题。而在自动驾驶中，你必须考虑到，你的控制权可能会被网络工具所夺取，这意味着这辆汽车将变得危险。每个国家和地区，都在经历着网络安全带来的考验。”

倪光南强调，网络安全的核心是技术安全，技术安全的一条核心原则就是关键的核心技术要自主可控。核心技术是我们最大的“命脉”，实现网络安全，要尽可能把关键核心技术掌握在自己手里，才能避免处于被动地位，“网信领域具有高垄断性，新进入市场的国产软硬件如果不能打破垄断，就没法实现替代。”

“过去我们对自主可控没有形成制度支撑，因而不能及时发现短板，容易被人‘卡脖子’。现在我发现我国技术自主可控的情况依然堪忧。”倪光南指出，“迄今为止，我国政府采购等活动中仍有不利于自主可控的情况，影响了重要部门的网络安全。”

倪光南列举，“目前‘穿马甲’情况严重，也就是将不能自主可控的外国技术，假冒国产自主可控技术，混入政府采购和重要领域，（可能）成为特洛伊木马。我国亟需制订自主可控测评评估标准并由专门机构实施，形成制度保障。”

“自主可控测评还需要适应形势的发展，例如现在根据美国法律，如果根源在美国的技术发展，就会被计入属地比重，范围包括IP与相关核心技术，若美国技术成分占比超过25%，就会受到美国法律的管辖，这种情况也要在自主可控测评中加以考虑。”倪光南说。

倪光南表示，实践证明，如果在网络安全空间不能实现自主可控的话，将有很大的风险。换句话说，只要不是实现完全自主可控，就有随时被“黑”的可能性。

“网络安全要做好打持久战的思想准备，从安全角度来讲，我们目前为止没有一种措施或一项技术是可以抵御所有可能发生的网络安全风险，网络安全工作一直处于不断攻和不断防的阶段当中，这意味着我们将会随时面临和应对新的风险。这就要求我们不断加强完善网络安全方面的技术和措施。”倪光南说。

倪光南举例，2017年我国网络安全产业的整体收入规模是400多亿元，而美国最大安全公司一家收入就达到60亿美元，折合人民币差不多400亿元。这意味着我国网络安全产业的规模还不大，企业的发展空间还很大。“下一步，企业在科技高端、关键技术高端的提升，也将是网信产业发展的突破口。”