“代表委员共话网络强国”系列报道①
光明网记者 李政葳
网络电信诈骗问题此起彼伏,联网智能设备安全事件时有发生,“勒索”病毒多次入侵多国网络。移动互联网时代,网络安全问题成为普遍关注的现实问题。在今年的全国两会上,不少代表委员对此深有感触,围绕如何防范网络安全展开了热议。
图为周鸿祎委员(左一)、肖新光委员(左二)、严望佳委员(右二)、谈剑锋委员(右一)
网络安全漏洞如何补?
从2016年美国东海岸大面积断网到2017年肆虐全球的“WannaCry”勒索病毒事件,网络安全漏洞越来越成为攻击者觊觎的焦点。“漏洞是网络安全的‘命门’,软硬件系统漏洞使得攻击者可以利用漏洞窃取信息或者控制、破坏目标系统,从而引发各种网络安全问题。”全国政协委员、360集团董事长兼CEO周鸿祎说。
其实,“WannaCry”勒索病毒事件爆发之前,微软公司便已发布了相应安全漏洞补丁,但很多单位却一直没有打补丁,导致国内数万台主机和电脑被感染。“对漏洞不重视、修复不及时现象普遍存在。360补天漏洞响应平台统计,25.6%的漏洞未进行修复,一些行业漏洞平均修复时间长达数月之久……”针对我国网络安全漏洞管理存在的问题,周鸿祎表示。
《网络安全法》去年以来正式实施,规定了网络运营者的安全义务以及相应的追责,但对网络安全漏洞管理还没有执行细则。“漏洞的问题不是个技术问题,实际是涉及到管理,涉及到规则的问题。360集团一年新发现的网络安全漏洞就超过8万个。”今年全国两会期间,周鸿祎提交了一份关于“强化网络安全漏洞管理”的提案。他呼吁,应尽快制定覆盖网络安全漏洞发现、审核、披露、通报、修复、追责等全流程的管理细则,强制要求漏洞必须及时修复,对漏洞修复时间以及违规处罚措施予以明确规定;此外,应建立监督检查机制和力量,及时发现未及时修复漏洞的行为,并追究相关单位和责任人责任。
周鸿祎还提到,对存在严重网络安全漏洞,可能导致大规模用户隐私泄露、人身伤害或者影响民生服务、关键基础设施正常运行的软硬件产品,尤其是物联网、智能汽车等产品,应借鉴汽车行业的做法,对存在重大网络安全漏洞产品的实施强制召回,避免造成更大的损失。在安全可控的前提下,鼓励政企单位采用众测、众包的方式,发动民间安全研究力量发现和收集漏洞,提高网络安全整体防护能力。
“如果国产化软件在推出前不经过严格的安全测试,那么非但不会提升信息系统的安全性,反而会给系统安全带来更大的风险。”全国政协委员、启明星辰CEO严望佳建议,在软件国产化进程中,政府要建立一套有效的软件安全保障机制。对于保密要求高的部门的基础软件,既要采用国产化软件,又要强制这些软件在正式发布前,要通过独立的国内第三方安全团队的专业安全测试,避免软件“带病上岗”。
网络安全体系如何建?
如今,越来越复杂的信息系统及大量“云物移大智”等新兴技术的应用,给智慧城市网络安全带来巨大挑战。“智慧城市网络安全建设重建设轻测评。”严望佳表示,随着网络安全重要性凸显,各地在建设智慧城市时大都会规划和部署网络安全产品,但仍然重视硬件条件建设,却忽视建成后效果测评。“安全测评环节的缺失,无法保证安全防护措施切实发挥作用,多地甚至出现了安全系统失效、系统被入侵等安全事件却毫不知情的现象。”严望佳说。
严望佳建议,加强智慧城市安全监管、建设网络安全运营中心,实时监控智慧城市信息化系统面临的风险并及时防范,最大限度地保障智慧城市网络、系统、数据等安全。比如,建立智慧城市网络安全评价体系,推进安全测评工作;制定法律、法规和相关管理办法,组合管理、技术手段,加强对基础信息系统的安全监管力度。对于电子商务、互联网金融、大数据交易服务等涉及国计民生的重要信息系统,应建立准入、备案和常态化的安全审查制度,加强安全监管,控制安全风险,切实保障智慧城市安全。
另外,严望佳还提到,加强政策引导,在智慧城市关键信息基础设施建设中建立自主可控技术门槛,要求智慧城市网络安全中关键、核心产品必须采用我国自主可控技术。“走自主可控、安全可信的智慧城市建设之路,鼓励我国核心技术自主创新,打破国外技术垄断格局。”
“信息化时代,网络安全产业并非孤立存在,其发展滞后也阻碍其他产业的升级发展,更谈不上以数字化与网络安全形成经济发展新动能的双轮驱动。”全国政协委员、上海众人网络安全技术有限公司董事长谈剑锋认为,为促进我国的网络安全产业的健康发展,侧重对需求和产业的科学规划,多方面促进产业发展,及早形成正向外部性效应。比如,从国家安全角度出发,将网络安全产业定义为战略性新兴产业,落实包含资源配置导向的网安产业的结构政策,支持和吸引更多有志于网络安全的企业和创业者进入该领域。
面对层出不穷的网络威胁,树立正确的网络安全观十分必要。全国政协委员、安天实验室首席架构师肖新光认为,我国在网络安全技术方面相对而言技术门类齐全,没有明显短板;国内网络安全能力型厂商在反病毒引擎、主动防御、移动安全、安全大数据分析等单点上已达到或接近国际先进水平。“只有加快把没有网络安全就没有国家安全的战略判断和战略意志快速转化为刚性的市场需求,才能实现全天候全方位感知安全态势和有效防护,才能实现动态综合的防御理念,才能把安全的市场规模有效地拉动起来,形成真正具有支撑保障能力的强大的产业体系。”肖新光说。
“更值得注意的是,网络是一个整体,任何一个单位、任何一个系统存在漏洞,都会成为不法分子攻击的跳板,成为整个网络的薄弱环节。”在肖新光看来,网络安全下一步发展还是要尊重网络安全的整体性、动态性、开放性、相对性、共有性,避免按照割裂、静态、封闭、绝对、孤立的错误思路进行安全实践和投入,必须落实“全天候全方位感知网络安全态势和有效防护”的工作要求,实践动态、综合的防护理念,达成安全和发展同步推进。
网络安全人才如何育?
网络安全问题的越来越受到重视,对于网络安全人才的需求也与日俱增。根据教育部有关机构和专家预测,当前我国网络安全人才缺口达70万,到2020年将急剧增加到140万。“近三年来,全国高校网络安全相关专业年均招生1万人左右,主要依靠高校培养网络安全人才的方式远不能满足网络安全的需要。”周鸿祎坦言,我国目前网络安全人才的缺口巨大。
如今,“网络空间安全”已被国务院学位委员会和教育部增设为一级学科,我国网络安全高层次人才培养迈出了重要一步。“但与打造网络强国对人才的需求规模相比还存在较大差距,高校人才培养难以满足网络安全实战需求,网络安全职业培训质量有待提高,网络安全人才培养体系亟待完善。”周鸿祎说。
“网络安全最重要的不是硬件,也不是软件,而是人才。网络安全实质是人与人的对抗,不是购买和部署一批网络安全设备、安装一批软件就能解决问题。网络安全更需要专业安全运维人员来做分析、规划、态势研判、响应和处置。”周鸿祎说。
为尽快弥补网络安全人才缺口,周鸿祎建议,大力支持网络安全企业设立相关教育培训机构,依靠社会力量开展职业教育,大规模培养,是短期内弥补网络安全人才缺口的有效途径;支持网络安全企业开办教育培训机构,邀请具有丰富实战经验的技术专家担任讲师,结合网络安全行业的最新需求,在网络安全企业进行实战演练,建立快速、规模化培养实战型网络安全人才的机制;开展网络安全学科联合建设,鼓励高校和科研院所与优秀网络安全企业联合建设网络安全学院,开办网络安全专业学科。
 |
