近日，中国网络安全大会在国家会议中心举行，会上中国工程院院士倪光南发表了题为《网络安全相关的测评认证探讨》的演讲，倪光南建议在信息化建设采购产品或者进行立项时，除了技术指标、性能指标、经济指标以及价格指标等，还要把网络安全也加进去，作为考量指标，并通过第三方的测评机构进行评估。

加强并完善等级保护工作

倪光南认为，在网络安全考量制度化建设中，可以参照已有的规章制度，比如等级保护。等级保护本身就是为信息安全保护归类的，用以区分重要信息和次要信息。网络安全考量借用等级保护，可以对相应的产品、服务和项目进行评估。重要信息系统的采购，从系统设计、产品选型开始就要用等级保护来指导，甚至有些时候要进行强制认证，因为有些环节进行强制认证更有利于网络安全。

自主可控的评估标准

等级保护或者其他的专门的制度，可以达成一部分网络安全评估需求，但不能解决全部问题，最重要的还得有“自主可控、安全可信”这个大前提。“自主可控”是“安全可信”的一个前提，“自主可控”达不到，提“安全可信”那是空话。因为“自主可控”可以做到没有“后门”，自己有能力对信息产品进行改进、治理，并不断地发展。

倪光南 中国工程院院士

“自主可控”是可以评估的，就像性能指标一样，应该成为第三方测评机构的评估标准。倪光南提出自主可控五个维度：知识产权、技术能力、发展前景、供应链、国产资质。

知识产权自主可控

知识产权不可靠，一切免谈。在当前全球化的国际形势下，知识产权必须得到足够重视，必须妥善解决。

技术能力自主可控

技术能力，其实指的是人才队伍。没有能力足够强的人才队伍，知识产权就是空话。没有人才队伍掌握知识产权和技术应用，最后还是做不到自主产权。

发展前景自主可控

有时候看起来知识产权和技术能力都可以做，但是可能这个技术未来要废弃、要过时，即使技术能力很强、掌握知识产权也不能做，因为几年以后这种技术就要废弃了。

供应链自主可控

有些产品和技术还要做到“供应链”自主可控，如果只是一些环节可以做到自主，但不能控制整个供应链，从技术安全角度来讲也不行。比如电脑芯片，即使有知识产权，能够设计出来，但生产不出来，还是不行。

“国产”资质

“国产化”不等于就是自主可控，但“国产化”是自主可控的重要环节。中国的国产化还没有统一的标准，包括政府采购法从2003年生效到现在，虽然政府采购应该优先采购“国产”产品和服务，但“国产”产品、服务和工程还没有一个统一的界定，所以在这方面也应该出台一个标准。