周鸿祎:九层之台 起于累土

欢迎关注“创事记”的微信订阅号:sinachuangshiji

文/周鸿祎

过去两周里,我以一个从未有过的新身份参与了一个重要的会议,两会。

虽然在此之前,我通过九三学社,也给国家提出过一些建议意见,包括推动网络安全教育、培养网络安全人才的建议,也获得了批复和认可。但这次是我第一次参加政协会议,作为新委员,感觉压力和责任都挺大。

此次参加政协会议前,我也查阅了往届一些政协委员的提案进行学习。作为一名在网络安全行业里奋战多年的老兵,虽然有了政协委员的身份,我还是希望自己能够立足专业,结合我的实际工作,将我和 360 在网络安全领域实际工作中遇到的一些实际问题,以及我们的相应的建议意见,汇编成提案,提交给政协会议。

这些提案如果能够变成国家的战略措施,使得国家在网络安全方面能够不断提升防御能力,真正提升我国网络安全水平,也算是我完成了自己作为政协委员的一点使命。

虽然提案已经提交,但还是想在这里和大家一起进行复盘,毕竟参加两会提交提案只是第一步。两会提案众多,大家提交的也都是关系国计民生的意见和建议。

无论我的提案能否被采纳形成新规,网络安全行业长路漫漫,我们依然需要努力改变行业发展中的问题,不断提升国家网络安全能力。

这次我一共准备了五份提案,从不同角度和方向,针对我国网络安全领域面临的问题给出了一些建议与想法。

用户隐私信息保护不能只靠互联网公司自觉自律

我们现在身处的时代,几乎可以说是一个完全的大数据时代,我们的任何信息都在变成一个个字节数据存储在一些互联网公司的服务器上,个人已经变得非常透明。

这种情况是伴随科技发展而来的,这是一个不可避免的趋势,只要用户使用互联网公司的服务,无论是聊天搜索还是看视频、阅读,或者跑步运动、出行等等,都会产生实时的、海量的用户行为数据反馈给互联网公司。

也因此,互联网企业滥用用户数据信息的风险和隐患开始显现。解决这个问题,一方面要靠互联网公司的自觉自律,但这肯定是不够的,更重要的是需要国家立法进行规范。

所以在此次提案中,我提出了三点意见,也就是“用户隐私信息保护三原则”。

第一,明确用户数据信息是用户个人资产的原则。国家应尽快立法明确用户使用互联网公司软硬件产品、服务产生的数据信息,是属于用户的个人资产。

第二,保障用户对数据信息使用的知情权、选择权原则。不论互联网公司给用户提供的是免费服务还是收费服务,两者之间都存在契约关系。用户是互联网公司的消费者,应该保障用户对企业使用其数据信息的知情权、选择权。

第三,明确互联网公司保护用户数据信息安全责任的原则。用户与互联网公司存在服务契约关系,互联网公司有义务、有责任保护用户数据信息安全。

工业互联网安全需要开放、融合与创新

除了个人网络安全方面,这次政协会议上工业互联网安全是我的另一个关注点。

听起来工业互联网离我们大众很远,但实际上工业互联网安全与我们所有人息息相关。大家日常生活中上班坐地铁,进公司坐电梯,都与工业互联网安全有着非常密切的关系。

并且,工业互联网作为新一代信息技术与制造业深度融合的产物,已经成为工业现代化、发展实体经济的关键支撑。所以工业互联网的安全,不仅仅是关系广大普通群众的人身安全,也关系到国家持续稳定发展。

工业互联网最近几年发展迅速,但工业企业自身对网络安全重视程度依然欠缺,安全能力普遍缺乏。而由于工业领域分类繁多,网络安全企业的产品和服务适配度也不高,难以满足工业实际需要。

因此我在提案中结合我们最近几年在工业互联网方面的经验,提了几点建议:

第一,制定让工业企业上网络安全系统的强制性政策。鉴于不少工业企业对网络安全系统重视不够,比如工业控制系统使用期超标,没有安装任何补丁等,存在极大的安全隐患。建议制定工业企业上网络安全系统的强制性政策,让工业运行系统与网络安保系统融为一体,确保工业发展长治久安。

第二,鼓励工业企业和网络安全企业开放协作。正如前面说的,工业企业和网络安全企业各自为政是很难解决工业互联网安全问题的,所以建议制定加快促进工业企业与网络安全企业开展合作创新的鼓励政策,成立国家级企业,选择汽车、航空航天、能源等重点产业进行集中攻关,合作研发高精尖安全产品和解决方案,共同打造高效、安全的工业互联网。

第三,产业政策要重视对工业互联网安全的倾斜。虽然我们已经逐渐意识到网络安全的重要性,但是安全不创造价值的观念依然普遍存在,相关投入依然不足。建议国家加大对这方面的投入,以网络安全保护产业价值。

网络安全前路漫漫:人才缺口大、制度待完善

网络安全存在的问题不仅仅是给个人安全、企业安全、社会安全、经济安全乃至国家安全带来极大的挑战与威胁,网络安全行业自身的发展仍有很长的路要走,仍有较大的发展空间。

在这次政协会议上,我也就网络安全行业本身存在的一些问题提了几个提案。

一个是鼓励被攻击单位积极上报

实际上,网络攻击在当今社会中时时刻刻都存在,只是有些被公开了有些未公开而已。国内很多政企单位,遭遇攻击之后,有时候害怕担责,就不愿及时上报的现象,这导致后续的应急处理,以及更广泛范围的防御挑战很大。

所以我建议:

第一,出台鼓励网络攻击事件上报的相关政策。建议在现有《网络安全法》基础上进行细化补充,对网络攻击事件应进行分级分类监管,对主动及时上报事件和积极应急处置的单位,给予酌情减免责任和处罚的机会,并帮助其安全整改。

第二,规范网络攻击事件上报流程。对政企单位上报网络攻击事件的具体流程和方法进行规范,形成可操作的实施细则,明确受报主体、上报时限,采取书面报告、当面汇报、技术接口等方式,主要上报攻击事件发生时间、造成的危害、处置应对情况和后续风险评估等内容。

第三,加大对知情不报企业查处惩戒力度。建议有关部门不断完善网络安全监管技术手段,加大网络执法力度,对知情不报、销毁证据、有意隐瞒、歪曲事实的相关单位予以严肃查处。

第二个是强化网络安全漏洞管理

我们都知道,漏洞是网络安全的“命门”。就和我们家里的门一样,如果锁存在缺陷,那么门肯定不安全。

目前,我国在网络安全漏洞管理方面存在对漏洞不重视、修复不及时现象,以及缺少具体的漏洞修复管理细则和处罚机制等问题。

因此,在提案中我提了几条建议。

第一,建立漏洞管理全流程监督处罚制度。尽快制定覆盖网络安全漏洞发现、审核、披露、通报、修复、追责等全流程的管理细则,强制要求漏洞必须及时修复,对漏洞修复时间以及违规处罚措施予以明确规定。

第二,强制执行重要信息系统上线前漏洞检测。对涉及国计民生、国家关键信息基础设施的重大信息系统工程和项目,一方面在其上线运行或交付使用之前,应强制要求进行网络安全漏洞的自检和备案,尤其应加强源代码层面的安全缺陷和漏洞检测。另一方面,国家网络安全主管部门应对上线系统进行抽检,发现问题及时整改。

第三,强制召回存在重大网络安全漏洞产品。对存在严重网络安全漏洞,可能导致大规模用户隐私泄露、人身伤害或者影响民生服务、关键基础设施正常运行的软硬件产品,尤其是物联网、智能汽车等产品,应借鉴汽车行业的做法,实施强制召回,避免造成更大的损失。

第四,鼓励政企单位采用众测众包方式发现和收集漏洞。

网络安全漏洞的挖掘和发现具有一定的偶然性,需要集合民间智慧。所以一方面,要加强政企单位与专业网络安全企业的深度合作,充分利用网络安全企业的漏洞挖掘能力和情报优势,帮助政企单位及早发现和修复漏洞。另一方面,在安全可控的前提下,鼓励政企单位采用众测众包方式,充分发动民间安全研究力量发现和收集漏洞,提高网络安全整体防护能力。

第三个是建议完善网络安全人才培养体系

网络安全的本质是人与人的对抗,但目前我国网络安全人才缺口巨大,而培养体系还存在一些问题,比如高校人才培养难以满足网络安全实战需求,网络安全职业培训质量有待提高,网络安全从业人员缺乏必要的职业技能鉴定等。对此我的建议是:

第一,大力支持网络安全企业设立相关教育培训机构。网络安全企业拥有很多具备丰富实战经验的技术专家担任讲师,能够结合网络安全行业的最新需求,并在网络安全企业进行实战演练,建立快速、规模化培养实战型网络安全人才的机制。希望政府在办学资质审批、资金、场地、税收等方面提供一定的便利和优惠政策。

第二,建议鼓励高校和科研院所与优秀网络安全企业联合建设网络安全学院,开办网络安全专业学科。双方共同开发课程、共建实验室,并在企业设立实习基地,实现课堂教学、学生培养、实习实践的有机结合,提升网络安全学科水平和学生就业竞争力。

第三,把网络安全纳入职业技能鉴定体系。建议政府部门与优秀网络安全企业联合制定网络安全职业技能标准,对网络安全从业人员进行必要的水平评价,满足行业人才需求。经主管部门认可的相关机构职业培训后,向网络安全从业人员颁发初级、中级、高级认证证书,规范网络安全就业环境,为网络安全人才创造良好的就业机会。

今年参加政协会议,做的这几个提案,都是围绕现在面临的一些实际安全问题,希望能够提升对网络安全问题的应对能力,提升整个国家的网络安全实力。

解决网络安全问题,一部分是靠我们网络安全技术公司,我们提供技术、产品和解决方案,为个人、企业机构及政府机构提供服务。但站在今天中国国家网络安全的角度来说,网络安全行业要想进一步发展,国家网络安全防护能力要想进一步提升,还需要一些政策和策略,而政策的制定更需要一些顶层设计。

老子说,九层之台,起于累土。借这次参加两会的契机,我提出这几个提案,希望能成为促进国家完成网络安全顶层战略设计的第一筐土。

周鸿祎

2018 年 3 月 16 日

相关推荐