今年2月，中央网络安全和信息化领导小组宣告成立，习近平总书记亲自担任组长。习近平总书记在领导小组第一次会议上就明确指出“没有网络安全就没有国家安全，没有信息化就没有现代化”，这也标志着网络与信息安全保护已提升至国家战略高度。

网络安全问题涉及到国家安全，这就势必要求在国家层面对敏感领域安全系统进行重新审视，对相关系统提供商的安全性、产品安全性和市场地位安全性等方面重新审核。的确，监管部门也正在酝酿推出网络安全审查制度，要对关系国家安全的信息系统中使用的产品与服务进行测试评估、检测分析和持续监督。

但需要指出的是，借保护网络信息安全名义、炒作式的的“去IOE”、“去思科化”，并不能实现真正的国家网络与信息安全。面对庞杂的网络系统和爆炸性增长的数据，仅仅“根正苗红”是不够的。是否具备强大的健壮的产品与系统构架能力？研发、产品等核心能力能否实现本土化与国家可控？是否能够做到诚信坦荡、积极主动接受国家的安全审查呢？总结下来，在自主可控的大背景之下，系统厂商要想做出自己更大的贡献，就要看他们在从安全能力、安全可控、安全诚信这个“铁人三项赛”中，到底能够走多远。

安全可靠：IT界第一原则

IT技术的进步在改善产业环境的同时，也带来了些烦恼。以网络系统为例，其正在变得越来越庞杂，动辄千万行级的操作系统代码、厂商定义的数千项功能、超过6000多项的标准协议。

要想实现网络安全，就必须能够琢磨透这些庞杂的环境，对于任何厂商而言，这都是个无法回避的巨大挑战。同样，所有国家和任何行业在关键IT系统的技术选择均把“安全可靠”作为第一原则。

“安全可靠”作为一种能力，不等同于企业的资本属性，只有长期和广泛的实践才能检验。虽然，目前很多国内厂商在安全产品、技术以及服务能力不断发力，但是大部分依旧缺乏实力和积累，在关键技术领域，部分国产品依旧无法替代舶来品，哪怕技术实力相当，整体替换和搬迁也是个耗时耗资的巨大工程。

因而，需要理性进行国产力量的扶持，在审查企业网络产品是否安全时，应重在实践中检验安全可靠。

国家信息技术安全研究中心李京春就指出，对发现存在安全隐患的网络产品和服务，不论是外国企业还是中国境内企业，都需一视同仁，都要遵从适应新网络安全审查制度的实施，满足国家关键基础设施和重要信息系统的安全性能要求。

中国工程院院士方滨兴也表示，网络安全审查过程除要求多个相关部门协助外，还将引入第三方专业的检测机构和专家组参与，保证过程的客观公正；对于进入政府机构、交通、电力、金融等重要领域的产品，需要建立“黑名单”制，不仅对技术也对企业背景进行审查，保障国家信息安全；而对于在市面流通的信息技术产品，需进行“白名单”强制认证，只有符合安全标准的产品才能入市。这种审查只是一种技术评估，普通用户的利益不会受到影响。

安全可控：能力中心在中国

除了安全能力之外，CEC中国信息安全研究院副院长左晓栋还表示，网络安全审查内容绝不单单是一个单纯的技术性的审查。而是将考量各种指标和因素。包括对企业声誉，背景审查、公司资质，“将从多角度衡量产品和提供商的可控性与安全性。”

中国信息安全测评中心总工王军也指出，在信息产品进入市场前，需对用户信息安全进行技术审查，同时对该产品是否对国家安全造成影响、是否会产生垄断等社会经济安全影响进行评估；已进入市场的信息产品也并非绝对安全，补丁和升级都可能带来新的安全隐患，因此同样需要监控。

由此可见，安全可控也是衡量企业网络产品是否安全的因素之一，而要做到安全可控，企业所需具备的是能力中心在中国，具体表现在企业核心人员在中国，研发、生产制造、服务等业务能力中心在中国等。与此同时，还要企业遵从所在国家的法律法规，做到国家可控，具体表现在核心技术和知识产权的转移及授权使用中国可控，企业的关键行为遵从中国可控，税收、就业核心贡献在中国。