很长一段时间以来,“自主研发、能力内化、安全可信、安全可控”这几个词一直是DICT行业的热点,都是在描述政府或者企业对产品、技术和服务的管控要求,也是对提供商的一个要求。但是无论从力度上,还是从内涵上,这几个词有很大的区别。却一直以来被混用,在火车上思考了一下,记录以下观点:
1、自主研发。自主的意思是,自己做主,不受外部控制。这是很强的管控力。表明自己可以独立拥有重复制造产品的能力,一般来说,供应商拥有了源代码、原理图、配方、专利和相关的设计文档。只要提供输入,供应商就可以提供产品。但是自主研发仅仅证明了研发段的问题,并没有解决所有问题。例如,自主研发并不代表解决了如下几个问题:(1)质量问题。(2)服务能力问题。(3)原材料来源问题。当然自主研发可以更快、更有效地解决质量和服务能力问题。自主研发一般由研发中心来承载,通常不是一个完整的市场化实体。
2、能力内化。顾名思义,这个词的意思是,能力是内部人员提供的(对政府和企业是一样的)。虽然内化和自主有基本是一个意思,但是能力和研发在范围方面有很大的区别。(1)能力的范围比研发更广泛,既包括科研能力、也包括产品研发能力、也包括了定制化研发能力,还包括了服务能力。(2)研发只聚焦在技术研究、产品开发、定制化开发等有限的方面。承载能力内化职责的单位,一般都是具备市场化服务能力的企业。
3、安全可信。虽然政府和企业都会提到安全可信,这个词更多是用在国家层面。相应的,在《国家安全法》(2015年)、《网络安全法》(2017年)之后,安全这个词就不仅仅是安全的意思了。可信的意思大体是来自可信计算,主要是强调了系统和应用的完整性。《等保2.0》之后,可信这词也不仅仅是计算可信了。但是方法论还是可信根、监控度量和白名单。虽然安全和可信的角度不同,但目标都是一样的:安全的不一定是可信的,但不可信的一定不安全。单纯从技术上看,自主研发和能力内化都不能代表“安全可信”,需要额外的资质:(1)自主研发的内容需要符合可信框架和安全标准(2)服务和质量均要安全可信。自从贸易战拉开序幕后,安全可信出现是对象的问题,即对谁安全的问题。几乎所有人都知道Windows有后门,那么支持TPM的Windows 10就可信么?这个给安全可信增加了新的内涵。
4、安全可控。可控和可信相比,增加了主动性:不管可信不可信,我只要安全,而且我的安全可以随着内外部环境的变化而保持安全。这个能力就很强大了,如果不是自主研发,很难实现长久的、真正的可控。
小结:这四个词都在说控制力,但是角度差异很大:
1、安全可信、安全可控都是在强调安全。自主研发和能力内化都是安全的途径,自主研发更是可控的重要途径
2、自主研发、能力内化的目标不仅是安全,还有控制经营成本、培养能力等目标。自主和内化都强调内部人员负责,而能力和研发则有范围上的差异
破解了这4个词之后,那么对于其他的各种组合,也就可以同样解读了,例如,自主可信、自主可控、能力可控、能力可信、安全研发、安全自主等等,当然其中有些组合纯属思维混乱
相关信息:
https://www.jianshu.com/p/5c3e635279c4
https://blog.csdn.net/weixin_33720956/article/details/90386444
《自主研发、能力内化、安全可信、安全可控的辨析》有1个想法