|
周鴻祎:九層之臺 起于累土时间:2018-03-19 阅读 歡迎關注“創事記”的微信訂閱號:sinachuangshiji 文/周鴻祎 過去兩周里,我以一個從未有過的新身份參與了一個重要的會議,兩會。 雖然在此之前,我通過九三學社,也給國家提出過一些建議意見,包括推動網絡安全教育、培養網絡安全人才的建議,也獲得了批復和認可。但這次是我第一次參加政協會議,作為新委員,感覺壓力和責任都挺大。 此次參加政協會議前,我也查閱了往屆一些政協委員的提案進行學習。作為一名在網絡安全行業里奮戰多年的老兵,雖然有了政協委員的身份,我還是希望自己能夠立足專業,結合我的實際工作,將我和 360 在網絡安全領域實際工作中遇到的一些實際問題,以及我們的相應的建議意見,匯編成提案,提交給政協會議。 這些提案如果能夠變成國家的戰略措施,使得國家在網絡安全方面能夠不斷提升防御能力,真正提升我國網絡安全水平,也算是我完成了自己作為政協委員的一點使命。 雖然提案已經提交,但還是想在這里和大家一起進行復盤,畢竟參加兩會提交提案只是第一步。兩會提案眾多,大家提交的也都是關系國計民生的意見和建議。 無論我的提案能否被采納形成新規,網絡安全行業長路漫漫,我們依然需要努力改變行業發展中的問題,不斷提升國家網絡安全能力。 這次我一共準備了五份提案,從不同角度和方向,針對我國網絡安全領域面臨的問題給出了一些建議與想法。 用戶隱私信息保護不能只靠互聯網公司自覺自律 我們現在身處的時代,幾乎可以說是一個完全的大數據時代,我們的任何信息都在變成一個個字節數據存儲在一些互聯網公司的服務器上,個人已經變得非常透明。 這種情況是伴隨科技發展而來的,這是一個不可避免的趨勢,只要用戶使用互聯網公司的服務,無論是聊天搜索還是看視頻、閱讀,或者跑步運動、出行等等,都會產生實時的、海量的用戶行為數據反饋給互聯網公司。 也因此,互聯網企業濫用用戶數據信息的風險和隱患開始顯現。解決這個問題,一方面要靠互聯網公司的自覺自律,但這肯定是不夠的,更重要的是需要國家立法進行規范。 所以在此次提案中,我提出了三點意見,也就是“用戶隱私信息保護三原則”。 第一,明確用戶數據信息是用戶個人資產的原則。國家應盡快立法明確用戶使用互聯網公司軟硬件產品、服務產生的數據信息,是屬于用戶的個人資產。 第二,保障用戶對數據信息使用的知情權、選擇權原則。不論互聯網公司給用戶提供的是免費服務還是收費服務,兩者之間都存在契約關系。用戶是互聯網公司的消費者,應該保障用戶對企業使用其數據信息的知情權、選擇權。 第三,明確互聯網公司保護用戶數據信息安全責任的原則。用戶與互聯網公司存在服務契約關系,互聯網公司有義務、有責任保護用戶數據信息安全。 工業互聯網安全需要開放、融合與創新 除了個人網絡安全方面,這次政協會議上工業互聯網安全是我的另一個關注點。 聽起來工業互聯網離我們大眾很遠,但實際上工業互聯網安全與我們所有人息息相關。大家日常生活中上班坐地鐵,進公司坐電梯,都與工業互聯網安全有著非常密切的關系。 并且,工業互聯網作為新一代信息技術與制造業深度融合的產物,已經成為工業現代化、發展實體經濟的關鍵支撐。所以工業互聯網的安全,不僅僅是關系廣大普通群眾的人身安全,也關系到國家持續穩定發展。 工業互聯網最近幾年發展迅速,但工業企業自身對網絡安全重視程度依然欠缺,安全能力普遍缺乏。而由于工業領域分類繁多,網絡安全企業的產品和服務適配度也不高,難以滿足工業實際需要。 因此我在提案中結合我們最近幾年在工業互聯網方面的經驗,提了幾點建議: 第一,制定讓工業企業上網絡安全系統的強制性政策。鑒于不少工業企業對網絡安全系統重視不夠,比如工業控制系統使用期超標,沒有安裝任何補丁等,存在極大的安全隱患。建議制定工業企業上網絡安全系統的強制性政策,讓工業運行系統與網絡安保系統融為一體,確保工業發展長治久安。 第二,鼓勵工業企業和網絡安全企業開放協作。正如前面說的,工業企業和網絡安全企業各自為政是很難解決工業互聯網安全問題的,所以建議制定加快促進工業企業與網絡安全企業開展合作創新的鼓勵政策,成立國家級企業,選擇汽車、航空航天、能源等重點產業進行集中攻關,合作研發高精尖安全產品和解決方案,共同打造高效、安全的工業互聯網。 第三,產業政策要重視對工業互聯網安全的傾斜。雖然我們已經逐漸意識到網絡安全的重要性,但是安全不創造價值的觀念依然普遍存在,相關投入依然不足。建議國家加大對這方面的投入,以網絡安全保護產業價值。 網絡安全前路漫漫:人才缺口大、制度待完善 網絡安全存在的問題不僅僅是給個人安全、企業安全、社會安全、經濟安全乃至國家安全帶來極大的挑戰與威脅,網絡安全行業自身的發展仍有很長的路要走,仍有較大的發展空間。 在這次政協會議上,我也就網絡安全行業本身存在的一些問題提了幾個提案。 一個是鼓勵被攻擊單位積極上報 實際上,網絡攻擊在當今社會中時時刻刻都存在,只是有些被公開了有些未公開而已。國內很多政企單位,遭遇攻擊之后,有時候害怕擔責,就不愿及時上報的現象,這導致后續的應急處理,以及更廣泛范圍的防御挑戰很大。 所以我建議: 第一,出臺鼓勵網絡攻擊事件上報的相關政策。建議在現有《網絡安全法》基礎上進行細化補充,對網絡攻擊事件應進行分級分類監管,對主動及時上報事件和積極應急處置的單位,給予酌情減免責任和處罰的機會,并幫助其安全整改。 第二,規范網絡攻擊事件上報流程。對政企單位上報網絡攻擊事件的具體流程和方法進行規范,形成可操作的實施細則,明確受報主體、上報時限,采取書面報告、當面匯報、技術接口等方式,主要上報攻擊事件發生時間、造成的危害、處置應對情況和后續風險評估等內容。 第三,加大對知情不報企業查處懲戒力度。建議有關部門不斷完善網絡安全監管技術手段,加大網絡執法力度,對知情不報、銷毀證據、有意隱瞞、歪曲事實的相關單位予以嚴肅查處。 第二個是強化網絡安全漏洞管理 我們都知道,漏洞是網絡安全的“命門”。就和我們家里的門一樣,如果鎖存在缺陷,那么門肯定不安全。 目前,我國在網絡安全漏洞管理方面存在對漏洞不重視、修復不及時現象,以及缺少具體的漏洞修復管理細則和處罰機制等問題。 因此,在提案中我提了幾條建議。 第一,建立漏洞管理全流程監督處罰制度。盡快制定覆蓋網絡安全漏洞發現、審核、披露、通報、修復、追責等全流程的管理細則,強制要求漏洞必須及時修復,對漏洞修復時間以及違規處罰措施予以明確規定。 第二,強制執行重要信息系統上線前漏洞檢測。對涉及國計民生、國家關鍵信息基礎設施的重大信息系統工程和項目,一方面在其上線運行或交付使用之前,應強制要求進行網絡安全漏洞的自檢和備案,尤其應加強源代碼層面的安全缺陷和漏洞檢測。另一方面,國家網絡安全主管部門應對上線系統進行抽檢,發現問題及時整改。 第三,強制召回存在重大網絡安全漏洞產品。對存在嚴重網絡安全漏洞,可能導致大規模用戶隱私泄露、人身傷害或者影響民生服務、關鍵基礎設施正常運行的軟硬件產品,尤其是物聯網、智能汽車等產品,應借鑒汽車行業的做法,實施強制召回,避免造成更大的損失。 第四,鼓勵政企單位采用眾測眾包方式發現和收集漏洞。 網絡安全漏洞的挖掘和發現具有一定的偶然性,需要集合民間智慧。所以一方面,要加強政企單位與專業網絡安全企業的深度合作,充分利用網絡安全企業的漏洞挖掘能力和情報優勢,幫助政企單位及早發現和修復漏洞。另一方面,在安全可控的前提下,鼓勵政企單位采用眾測眾包方式,充分發動民間安全研究力量發現和收集漏洞,提高網絡安全整體防護能力。 第三個是建議完善網絡安全人才培養體系 網絡安全的本質是人與人的對抗,但目前我國網絡安全人才缺口巨大,而培養體系還存在一些問題,比如高校人才培養難以滿足網絡安全實戰需求,網絡安全職業培訓質量有待提高,網絡安全從業人員缺乏必要的職業技能鑒定等。對此我的建議是: 第一,大力支持網絡安全企業設立相關教育培訓機構。網絡安全企業擁有很多具備豐富實戰經驗的技術專家擔任講師,能夠結合網絡安全行業的最新需求,并在網絡安全企業進行實戰演練,建立快速、規模化培養實戰型網絡安全人才的機制。希望政府在辦學資質審批、資金、場地、稅收等方面提供一定的便利和優惠政策。 第二,建議鼓勵高校和科研院所與優秀網絡安全企業聯合建設網絡安全學院,開辦網絡安全專業學科。雙方共同開發課程、共建實驗室,并在企業設立實習基地,實現課堂教學、學生培養、實習實踐的有機結合,提升網絡安全學科水平和學生就業競爭力。 第三,把網絡安全納入職業技能鑒定體系。建議政府部門與優秀網絡安全企業聯合制定網絡安全職業技能標準,對網絡安全從業人員進行必要的水平評價,滿足行業人才需求。經主管部門認可的相關機構職業培訓后,向網絡安全從業人員頒發初級、中級、高級認證證書,規范網絡安全就業環境,為網絡安全人才創造良好的就業機會。 今年參加政協會議,做的這幾個提案,都是圍繞現在面臨的一些實際安全問題,希望能夠提升對網絡安全問題的應對能力,提升整個國家的網絡安全實力。 解決網絡安全問題,一部分是靠我們網絡安全技術公司,我們提供技術、產品和解決方案,為個人、企業機構及政府機構提供服務。但站在今天中國國家網絡安全的角度來說,網絡安全行業要想進一步發展,國家網絡安全防護能力要想進一步提升,還需要一些政策和策略,而政策的制定更需要一些頂層設計。 老子說,九層之臺,起于累土。借這次參加兩會的契機,我提出這幾個提案,希望能成為促進國家完成網絡安全頂層戰略設計的第一筐土。 周鴻祎 2018 年 3 月 16 日 |