倪光南：各位领导，各位来宾，今天来参加中国网络安全大会是一次很好的学习机会。

网络安全在中国现在是一个很重要的议题。特别是最近因为“永恒之蓝”勒索病毒的爆发，一般民众也有切身的体会。过去我们很多人说网络安全很重要，网络的攻击有很大的危险，但是往往觉得隔得远。比如尤其出现了“棱镜门事件”以后，觉得这是一些重要部门的问题，和一般人的关系不是很大。但是我觉得这次因为切身感到网络攻击的危害，我们看到很多校园网和单位的网络都瘫痪了，我觉得这是坏事，也是好事，通过“永恒之蓝”勒索病毒的爆发，提高了全民对于网络安全的认识，今天的大会座无虚席，说明各行各业对于网络安全的重视。

我们这个大会的英文也是讲的很讲究的，Cyber Security，刚才我跟吴院士讨论，觉得是比较贴切的，在国际上大家也是把网络安全理解成Cyber Security，有的时候翻译成Network可能有一点局限性。回顾我们国家领导人在这方面的政策，十八大首先提出来要高度重视网络空间安全，这是习主席的讲话当中提到的。后来就成立了网络安全和信息化领导小组，习主席亲自担任组长。所以网络安全最早的，我们国家领导人提出网络空间安全要大家重视，从十八大开始。这一脉相承的，我们现在应该理解，今天开的大会是属于网络空间安全。因为中国和外语是不同的语种，所以对于“安全”有不同的翻译。中国的中文来讲，相信有网络空间安全，有网络安全的提法应该是比较确切的。

习总书记在去年4月19日关于网信工作的座谈会上，以及后来的一系列讲话，我觉得比较强烈的一点，没有网络安全就没有国家安全。所以作为领导人，习主席提出这一点，是把网络安全置于很高的地位。我们知道国家安全有十几个方面，习主席概括起来，没有网络安全就没有国家安全，这个意义已经说明，网络安全会影响或者是某种程度上决定了其他的安全。所以这个地位已经非常高了，不仅仅是一个地方，交通安全、能源安全，这个也很重要。但是网络安全和所有这些安全往往都有关系，所以没有网络安全就没有国家安全，这是对于网络安全的重要性提高到了非常高的程度。

习总书记关于网信工作一系列的讲话当中也提出了一个很重要的观点，就是把网络安全和发展这两个问题怎么看待，大家可以查一下，习总书记讲到，安全和发展是一体之两翼，安全是发展的前提，发展是安全的保障，安全和发展要同步推进，这个观点我觉得也是在我们业界大家要非常重视的，是对网络安全一个非常重要的本质的揭示。对于网络安全来看，一般来讲，对于有的行业发展就可以了，但是网络信息领域，安全发展必须把它同步推进。大家都讲发展，不像某些传统领域就可以了，不能忘掉安全，而且安全是前提，可能你在决定网信领域的工作计划、项目、招投标或者验收之类的，首先作为前提来讲，应该首先看安全，当然要同步发展。但是假如你没有这个前提，发展可能就没有意义，因为网络安全的特殊性，这个我觉得大家容易理解。没有安全，这个发展可能就没有用，或者甚至起反作用。

我经常讲，落后挨打在网信领域基本上不存在。你去看伊朗的核设施，我们现在感受“永恒之蓝”病毒，是这个系统落后？不落后，病毒和信息落后没有直接的关系。你不安全了，就是被攻破了，挨打的是因为你不安全，不要怪发展，这个技术有高度，不是差得那么大。不在于你本身的技术高低，不绝对是单项的，当然有关系，但是不是必然的关系。所以为什么我们要讲安全发展、同步发展，在网络空间确实有这种情况，要把安全放在第一位。但是有很多问题我们需要贯彻，我觉得现在谈不上我们很好的贯彻，很多人还不明确，往往还是强调发展就可以了，或者说这是很重要的，很先进的。因此，不要去考虑是否安全，这些都不对。所以我们感到，在历史上，过去比较局限于传统的信息安全的范畴，网络空间安全应该包含哪些要素？除了传统的保密性、完整性和可用性方面，是不是还要加一些呢？实际上还要把可控性加上，可认证性也很重要。从这一点上来看，一个是从纯技术层面，可控性不完全是技术层面，有技术层面，也有非技术层面。我们讲等保，有技术层面的，也有非技术层面的。我们用单维度，传统信息安全纯技术的维度，不一定完全能够反映客观上网络空间安全的要求，要更好的满足网络空间安全，我们有些专家也主张，我们用多维度的测评。就是说，我们对于是否达到可控性这个要求进行一下测评，这个有技术因素，也有非技术因素。然后再测评安全方面，就是传统的安全测评，是否正确供大家参考。

但是总而言之，光是从一个技术的角度去测安全性，就像等保我们不能光测技术一样，有非技术因素。如果要综合起来，有的专家主张今后在网络空间安全领域，我们关于网络安全的测评要用多维度。至于什么样的维度合适，初步考虑关于可控性方面，一个是关于安全性方面。这个有没有根据呢？我们看我们国家的《国家安全法》提到，对于网络空间的安全提到是安全和可控，这是比较全面的说法。在网络安全当中，提到要用安全可信的产品，把安全和可信提出来了。

包括关于我们网络安全审查的规定里面讲到了安全性和可控性，就是从网络空间安全的范畴，是不是可以考虑两个维度，两个层面？一个是安全性的层面，一个是可控性的层面，所以理论和实践上需要研究。我们要正确的反映网络空间安全的状态，光是技术的层面可能是不够的，这个大家承认。内网和外网隔离不一定是技术的问题，很多是管理的问题。所以我觉得把网络安全的范畴，包括网络安全的测评工作怎么科学的进行，是不是多维度。刚才说的，把可控和安全这两个维度去做是不是合适？我们理解安全是发展的前提，比如我们可控性也是解决这个前提问题。当然可控性不等于安全，但是没有可控性是不是安全呢？当然很难达到网络安全的要求。

我再举个例子，这个对于一般市场没有问题，特别是对于一些政府部门等重要领域。大家知道，现在微信导航，可以用北斗，也可以用GPS，没有问题。但是重要的我们肯定建议用北斗，那不单纯是技术问题，还是一个可控性的问题，每个国家都是这样。我们知道华为、中兴的设备在美国之所以不能用，美国的理由也是可控性方面的考虑。比如怎么能达到可控方面的要求？华为的设备在一些国家，据我们了解把全部原料拿出去让人家检查，进行重构，证明这个设备的软件全可以检查。大的方面来看，我们要贯彻习主席关于网络空间安全的思想，所以我理解，还是要深入的体会安全和发展的关系，要处理好。现在有些人忘掉了，把一般领域和重要领域分清，一般领域没关系，用什么都可以，大家按照性价比去选择。但是重要的领域，显然不能那样，安全和发展的关系要处理好。要达到安全的问题，我们主张单独一项实施一个维度也不行，从技术的角度提出来安全性也不够，也要突出另外一个维度，就是和技术不完全相同的维度，比如说可控的维度，把可控和安全两个方面，两个维度都要进行测评。

我讲的是不是合适，大家可以进行研究。整个网络空间的安全是一个新的概念，而且我们看到这个问题越来越紧迫。最近勒索病毒的出现给了我们更大的推动，我们要大力发展网络空间安全的事业。在座的都承担着这个责任，我们作为用户方来讲，也期待着大家对于网络安全提出一些很好的解决办法，很好的支撑，来保障网络安全，达到我们国家安全得到有力的保障，谢谢大家！