依靠開放創新，破解信息領域核心技術安全發展難題

作者：工業和信息化部賽迪智庫網絡空間研究所 王闖

長期以來，信息領域核心技術受制于人的問題給我國網絡安全埋下重大隱患，而我國核心技術產業安全發展方面也存在多種聲音，無法形成全力。2016年4月19日，習總書記在網絡安全和信息化工作座談會中進一步明確了核心技術發展的目標和路徑。事實上，核心技術發展是安全與發展問題的一個典型案例，必須將自主創新和開放發展結合起來，通過推動核心技術產品安全可控打通自主創新與引進消化吸收之間的堅冰，形成開放創新之路，在擁抱世界的同時，快速形成自己的能力，解決核心技術產業安全發展難題。

一、自主創新是發展信息領域核心技術的基石

對信息領域而言，核心技術的范疇已經比較明確，主要包括以下三部分。一是基礎和通用技術，最典型的就是芯片和操作系統，這是構建信息技術產品和系統的基礎，也是我國突破核心技術受制于人的焦點，從華為、中興遭受美國制裁的事件看，最大的威脅就源于美國可以切斷其芯片供應鏈。二是非對稱和“殺手锏”技術，最典型的就是網絡攻防類技術，網絡空間具備明顯的攻強守弱特性，在難以有效防御美國網絡監控、網絡攻擊等手段的情況下，我們要形成網絡攻擊追蹤溯源等有較強威懾力的技術手段和能力。三是前沿和顛覆性技術，最典型的是量子計算、生物計算等顛覆現有計算體系的技術，這才是能夠使得我們在新一輪信息技術發展競技場中取得先機、掌握游戲規則的關鍵。

當前我國在發展核心技術上存在自主和引進之爭，但實際上兩者是辯證統一的。首先，我們必須認識到市場和金錢換不來核心技術，必須靠自己研發、自己發展。前面所述的三類技術，后兩種屬于非市場化的核心技術，有些技術全世界都處于科研攻關階段，有些則被視為國家核心機密，我們唯有自主創新。而基礎、通用技術屬于市場化程度較高的成熟技術，我們可以通過一定的途徑獲得落后主流產品一代或二代的部分核心技術，但種種限制條件也使得我們難以掌控技術發展主導權。其次，自主創新離不開全球資源，自主創新并不是什么事情都要自己做，關起門來另搞一套體系。信息技術是從西方發展起來的，我們要尊重和借鑒現有的技術成果。實際上，龍芯和申威等自主中央處理器產品也是在國外技術體系下發展起來的，而我們自主創新的技術和產品也要走向世界才能真正形成主導權。最后，引進消化吸收的最終目的仍是自主創新，引進不是目的，實現消化吸收再創新、形成自主創新能力才是目的。在芯片、操作系統這些基礎技術方面，國外廠商已經形成了牢固的市場地位，“Wintel”和“AA”組合牢牢掌控著生態體系，通過技術引進可以有效利用其生態優勢，但在發展過程中必須落腳在自主創新上，不能淪為國外廠商的傀儡和工具。

二、開放創新是發展信息領域核心技術的必由之路

互聯網讓世界變成了地球村，在全球化發展的環境下，發展核心技術必須走開放創新之路。首先，信息領域核心技術的發展離不開全球化資源。沒有一個企業或國家可以壟斷整個產業鏈，以芯片為例，包括設計、流片、封裝、測試材料和設備等一系列環節，世界上只有英特爾和三星具有相對完整的產業鏈，但在工具、驅動、操作系統和上層應用方面也需要其他企業的配合。缺乏產業鏈上下游支持也是自主芯片發展之殤，中國短期內也無法自己完成產業鏈所有的環節。發展核心技術必須走開放合作之路。其次，信息領域核心技術的發展離不開全球市場。核心技術研發的最終結果，不應只是技術報告、科研論文、實驗室樣品，而應是市場產品、技術實力、產業實力。我們研發的核心技術不能只用在特殊市場，只有走進全球市場，才能的維持技術研發、生產的正常運轉。以芯片為例，IBM就因設計和制造的資金投入規模不斷加大，被迫以補貼15億美元的價格將芯片制造業務出售給格羅方德。最后，我們在基礎和通用技術方面基礎過于薄弱，技術能力差距過大，產業生態也由國外掌控，在未來十年及至二十年中，我們還將處于追趕期。通過引進消化吸收,不僅可以快速提升技術水平，還能培養核心技術人才，能夠有效加速這一進程，仍將是核心技術產業發展的主流選擇。

引進只是開放創新的第一步，開放創新要落腳在形成自主創新能力。首先，引進是以自主創新能力為基礎的。技術引進不是陌生的概念，我們在改革開放之初便一直強調推行“市場換技術”的理念，但最初的結果并不樂觀，國外對核心技術的開放程度與我國自主創新能力是成正比的，往往是我們花大力氣研發出來接近國外的技術時，國外馬上就開始向我們開放。其次，消化吸收再創新并不比自主創新容易。技術引進意味著進入別人的技術體系，當前完備的知識產權保護體系使得我們很難實現技術跨越。像高鐵、移動通信等通過技術引進實現技術跨越的成功案例屈指可數，且都是在特殊領域中，在信息技術產品這種開放市場很難復制成功。以芯片為例，即使是落后一代的技術，國外廠商傾囊相授，我們也要消化吸收至少要三年時間，走進市場時至少落后兩到三代，形成市場能力并生存下來都很困難，再創新更是步履維艱。最后，應以技術掌控能力為判斷開放創新成敗的核心標準。開放創新引進的不應是簡單的產品形態，而應該是核心技術掌控能力和市場競爭力。以芯片為例，技術引進企業應至少實現對核心技術的“可知、可編和可重構”，或者從產品性能角度實現大幅度提升。但有一些技術引進的企業中，存在明顯的投機心理，在未形成自主創新能力時就給產品標上國產或自主的標簽，進而爭取國家資金或進入市場。

三、實現核心技術產品安全可控是推動產業安全發展的重要保障

安全可控是指產品使用者能夠有效掌握產品的控制權，不因對產品的依賴性而遭受安全威脅或非法侵害。對于國家而言，產品不應因主動后門或漏洞，而導致關系國家安全和國計民生重要信息系統的安全保障能力弱化；產品提供者不應主動配合域外機構要求，而做出弱化系統安全保障、泄露系統數據或中斷產品供應等舉動；對于企業而言，產品不應被主動嵌入惡意后門或漏洞，產品提供者非法收集或處理涉及企業秘密的數據；對個人用戶而言，產品不應非法收集或處理個人數據，不應非法控制用戶設備，或通過管理或技術手段脅迫用戶進行系統升級等行為。事實上，我們可以認為自主可控是安全可控的最高等級，當產品完全由自己研發、生產、維護時，產品則不會面臨前面所述的各類問題。同時，根據前面所述的概念可以看出，安全可控是相對的，說一個產品是安全可控的，應明確是用戶所在的區域是哪里、用戶的安全需求是什么，如Intel的芯片對于美國政府用戶和中國政府用戶而言，其安全可控程度不同，對中國軍方用戶和普通用戶也是不同的。

實現核心技術產品的安全可控，有助于推動信息技術產業安全發展，即產業發展的主導權掌控在自己手里。一是有助于提升核心技術自主創新能力。對于我國境內市場的用戶而言，由國內廠商自主研發的核心技術產品安全可控程度相對較高，核心技術中的后兩類技術主要依靠自主創新，基礎和通用技術則需要引進消化吸收。提升引進技術的安全可控水平，有助于推動企業培養自主創新能力。二是有助于推動自主核心技術產業發展。當前我國信息技術產品市場可以大致劃分為三塊：涉及國家安全的黨政軍等安全可控市場、企業級市場和民用市場。實際上，信息領域的核心技術往往軍民兩用，如美國的軍用信息技術產品大都由民用產品轉化而來。推動核心技術產品的安全可控，有助于整合各類信息技術產品市場，培養更具市場統治力的龍頭企業，使具備自主創新能力的企業擴大市場占有率，進而帶動產業能力提升，加速融入國際現有技術發展體系，爭取核心技術發展的控制權。

四、實現核心技術產品安全可控應采取的措施

首先要加速制定信息技術產品安全可控評價標準。一是推進安全可控評價標準制定工作。國家信息安全標準化委員會于2015年啟動安全可控系列標準制定項目，涵蓋了中央處理器、操作系統等十余類核心信息技術產品，該系列標準應盡快推出并有效實施。二是確保標準在提升自主創新能力的作用。標準應根據信息技術產品各自的技術特點，重點考查企業對核心技術的掌控能力、產品供應鏈安全性和產品生態鏈安全性等，進而有效促進企業不斷提升技術掌控能力。

其次要建立完善的安全可控評價實施方案。一是建立信息技術產品安全可控評價機制。由國家主管部門牽頭成立工作組，依據網絡安全需求劃定開展評價工作的對象，明確工作流程和依托單位。二是形成有效的標準合規性審查方案。核心是考查企業對核心技術的掌控能力，可通過現場考試等方式考查，如針對中央處理器產品，可由技術專家團隊設定公開題庫，通過隨機修改源代碼回答結果或修改源代碼實現指定功能等方式考查技術團隊對核心技術的掌控能力。三是充分考慮標準對不同安全等級的適應性。標準應該設定為入門等級，而對于安全等級較高的應用場景，可依據安全等級不同而在實施時增加前置條件，如企業的性質、資質等。

再次要推動信息領域核心技術產業安全發展。一是加大科研投入，制定信息領域核心技術發展戰略綱要，明確核心技術發展的路線圖、時間表、任務書。堅持集中力量辦大事的策略，充分利用國家資金和資本運作手段，加大核心技術研發投入力度。二是著力推進核心技術成果轉化和產業化。組建產學研用聯盟，設立“產業基金”、“創新基金”，加快技術研發市場化速度，形成良性循環的市場化經費支持機制。三是優化安全可控市場發展環境。依托信息技術技術產品安全可控評價標準，整合信息技術產品市場，為具備自主創新能力和市場競爭力的企業提供更開放的市場環境，培育龍頭企業，推動產業做大做強。