周鴻祎：九層之臺 起于累土

歡迎關(guān)注“創(chuàng)事記”的微信訂閱號：sinachuangshiji

文/周鴻祎

過去兩周里，我以一個從未有過的新身份參與了一個重要的會議，兩會。

雖然在此之前，我通過九三學(xué)社，也給國家提出過一些建議意見，包括推動網(wǎng)絡(luò)安全教育、培養(yǎng)網(wǎng)絡(luò)安全人才的建議，也獲得了批復(fù)和認(rèn)可。但這次是我第一次參加政協(xié)會議，作為新委員，感覺壓力和責(zé)任都挺大。

此次參加政協(xié)會議前，我也查閱了往屆一些政協(xié)委員的提案進(jìn)行學(xué)習(xí)。作為一名在網(wǎng)絡(luò)安全行業(yè)里奮戰(zhàn)多年的老兵，雖然有了政協(xié)委員的身份，我還是希望自己能夠立足專業(yè)，結(jié)合我的實際工作，將我和 360 在網(wǎng)絡(luò)安全領(lǐng)域?qū)嶋H工作中遇到的一些實際問題，以及我們的相應(yīng)的建議意見，匯編成提案，提交給政協(xié)會議。

這些提案如果能夠變成國家的戰(zhàn)略措施，使得國家在網(wǎng)絡(luò)安全方面能夠不斷提升防御能力，真正提升我國網(wǎng)絡(luò)安全水平，也算是我完成了自己作為政協(xié)委員的一點使命。

雖然提案已經(jīng)提交，但還是想在這里和大家一起進(jìn)行復(fù)盤，畢竟參加兩會提交提案只是第一步。兩會提案眾多，大家提交的也都是關(guān)系國計民生的意見和建議。

無論我的提案能否被采納形成新規(guī)，網(wǎng)絡(luò)安全行業(yè)長路漫漫，我們依然需要努力改變行業(yè)發(fā)展中的問題，不斷提升國家網(wǎng)絡(luò)安全能力。

這次我一共準(zhǔn)備了五份提案，從不同角度和方向，針對我國網(wǎng)絡(luò)安全領(lǐng)域面臨的問題給出了一些建議與想法。

用戶隱私信息保護(hù)不能只靠互聯(lián)網(wǎng)公司自覺自律

我們現(xiàn)在身處的時代，幾乎可以說是一個完全的大數(shù)據(jù)時代，我們的任何信息都在變成一個個字節(jié)數(shù)據(jù)存儲在一些互聯(lián)網(wǎng)公司的服務(wù)器上，個人已經(jīng)變得非常透明。

這種情況是伴隨科技發(fā)展而來的，這是一個不可避免的趨勢，只要用戶使用互聯(lián)網(wǎng)公司的服務(wù)，無論是聊天搜索還是看視頻、閱讀，或者跑步運動、出行等等，都會產(chǎn)生實時的、海量的用戶行為數(shù)據(jù)反饋給互聯(lián)網(wǎng)公司。

也因此，互聯(lián)網(wǎng)企業(yè)濫用用戶數(shù)據(jù)信息的風(fēng)險和隱患開始顯現(xiàn)。解決這個問題，一方面要靠互聯(lián)網(wǎng)公司的自覺自律，但這肯定是不夠的，更重要的是需要國家立法進(jìn)行規(guī)范。

所以在此次提案中，我提出了三點意見，也就是“用戶隱私信息保護(hù)三原則”。

第一，明確用戶數(shù)據(jù)信息是用戶個人資產(chǎn)的原則。國家應(yīng)盡快立法明確用戶使用互聯(lián)網(wǎng)公司軟硬件產(chǎn)品、服務(wù)產(chǎn)生的數(shù)據(jù)信息，是屬于用戶的個人資產(chǎn)。

第二，保障用戶對數(shù)據(jù)信息使用的知情權(quán)、選擇權(quán)原則。不論互聯(lián)網(wǎng)公司給用戶提供的是免費服務(wù)還是收費服務(wù)，兩者之間都存在契約關(guān)系。用戶是互聯(lián)網(wǎng)公司的消費者，應(yīng)該保障用戶對企業(yè)使用其數(shù)據(jù)信息的知情權(quán)、選擇權(quán)。

第三，明確互聯(lián)網(wǎng)公司保護(hù)用戶數(shù)據(jù)信息安全責(zé)任的原則。用戶與互聯(lián)網(wǎng)公司存在服務(wù)契約關(guān)系，互聯(lián)網(wǎng)公司有義務(wù)、有責(zé)任保護(hù)用戶數(shù)據(jù)信息安全。

工業(yè)互聯(lián)網(wǎng)安全需要開放、融合與創(chuàng)新

除了個人網(wǎng)絡(luò)安全方面，這次政協(xié)會議上工業(yè)互聯(lián)網(wǎng)安全是我的另一個關(guān)注點。

聽起來工業(yè)互聯(lián)網(wǎng)離我們大眾很遠(yuǎn)，但實際上工業(yè)互聯(lián)網(wǎng)安全與我們所有人息息相關(guān)。大家日常生活中上班坐地鐵，進(jìn)公司坐電梯，都與工業(yè)互聯(lián)網(wǎng)安全有著非常密切的關(guān)系。

并且，工業(yè)互聯(lián)網(wǎng)作為新一代信息技術(shù)與制造業(yè)深度融合的產(chǎn)物，已經(jīng)成為工業(yè)現(xiàn)代化、發(fā)展實體經(jīng)濟(jì)的關(guān)鍵支撐。所以工業(yè)互聯(lián)網(wǎng)的安全，不僅僅是關(guān)系廣大普通群眾的人身安全，也關(guān)系到國家持續(xù)穩(wěn)定發(fā)展。

工業(yè)互聯(lián)網(wǎng)最近幾年發(fā)展迅速，但工業(yè)企業(yè)自身對網(wǎng)絡(luò)安全重視程度依然欠缺，安全能力普遍缺乏。而由于工業(yè)領(lǐng)域分類繁多，網(wǎng)絡(luò)安全企業(yè)的產(chǎn)品和服務(wù)適配度也不高，難以滿足工業(yè)實際需要。

因此我在提案中結(jié)合我們最近幾年在工業(yè)互聯(lián)網(wǎng)方面的經(jīng)驗，提了幾點建議：

第一，制定讓工業(yè)企業(yè)上網(wǎng)絡(luò)安全系統(tǒng)的強(qiáng)制性政策。鑒于不少工業(yè)企業(yè)對網(wǎng)絡(luò)安全系統(tǒng)重視不夠，比如工業(yè)控制系統(tǒng)使用期超標(biāo)，沒有安裝任何補(bǔ)丁等，存在極大的安全隱患。建議制定工業(yè)企業(yè)上網(wǎng)絡(luò)安全系統(tǒng)的強(qiáng)制性政策，讓工業(yè)運行系統(tǒng)與網(wǎng)絡(luò)安保系統(tǒng)融為一體，確保工業(yè)發(fā)展長治久安。

第二，鼓勵工業(yè)企業(yè)和網(wǎng)絡(luò)安全企業(yè)開放協(xié)作。正如前面說的，工業(yè)企業(yè)和網(wǎng)絡(luò)安全企業(yè)各自為政是很難解決工業(yè)互聯(lián)網(wǎng)安全問題的，所以建議制定加快促進(jìn)工業(yè)企業(yè)與網(wǎng)絡(luò)安全企業(yè)開展合作創(chuàng)新的鼓勵政策，成立國家級企業(yè)，選擇汽車、航空航天、能源等重點產(chǎn)業(yè)進(jìn)行集中攻關(guān)，合作研發(fā)高精尖安全產(chǎn)品和解決方案，共同打造高效、安全的工業(yè)互聯(lián)網(wǎng)。

第三，產(chǎn)業(yè)政策要重視對工業(yè)互聯(lián)網(wǎng)安全的傾斜。雖然我們已經(jīng)逐漸意識到網(wǎng)絡(luò)安全的重要性，但是安全不創(chuàng)造價值的觀念依然普遍存在，相關(guān)投入依然不足。建議國家加大對這方面的投入，以網(wǎng)絡(luò)安全保護(hù)產(chǎn)業(yè)價值。

網(wǎng)絡(luò)安全前路漫漫：人才缺口大、制度待完善

網(wǎng)絡(luò)安全存在的問題不僅僅是給個人安全、企業(yè)安全、社會安全、經(jīng)濟(jì)安全乃至國家安全帶來極大的挑戰(zhàn)與威脅，網(wǎng)絡(luò)安全行業(yè)自身的發(fā)展仍有很長的路要走，仍有較大的發(fā)展空間。

在這次政協(xié)會議上，我也就網(wǎng)絡(luò)安全行業(yè)本身存在的一些問題提了幾個提案。

一個是鼓勵被攻擊單位積極上報

實際上，網(wǎng)絡(luò)攻擊在當(dāng)今社會中時時刻刻都存在，只是有些被公開了有些未公開而已。國內(nèi)很多政企單位，遭遇攻擊之后，有時候害怕?lián)��?zé)，就不愿及時上報的現(xiàn)象，這導(dǎo)致后續(xù)的應(yīng)急處理，以及更廣泛范圍的防御挑戰(zhàn)很大。

所以我建議：

第一，出臺鼓勵網(wǎng)絡(luò)攻擊事件上報的相關(guān)政策。建議在現(xiàn)有《網(wǎng)絡(luò)安全法》基礎(chǔ)上進(jìn)行細(xì)化補(bǔ)充，對網(wǎng)絡(luò)攻擊事件應(yīng)進(jìn)行分級分類監(jiān)管，對主動及時上報事件和積極應(yīng)急處置的單位，給予酌情減免責(zé)任和處罰的機(jī)會，并幫助其安全整改。

第二，規(guī)范網(wǎng)絡(luò)攻擊事件上報流程。對政企單位上報網(wǎng)絡(luò)攻擊事件的具體流程和方法進(jìn)行規(guī)范，形成可操作的實施細(xì)則，明確受報主體、上報時限，采取書面報告、當(dāng)面匯報、技術(shù)接口等方式，主要上報攻擊事件發(fā)生時間、造成的危害、處置應(yīng)對情況和后續(xù)風(fēng)險評估等內(nèi)容。

第三，加大對知情不報企業(yè)查處懲戒力度。建議有關(guān)部門不斷完善網(wǎng)絡(luò)安全監(jiān)管技術(shù)手段，加大網(wǎng)絡(luò)執(zhí)法力度，對知情不報、銷毀證據(jù)、有意隱瞞、歪曲事實的相關(guān)單位予以嚴(yán)肅查處。

第二個是強(qiáng)化網(wǎng)絡(luò)安全漏洞管理

我們都知道，漏洞是網(wǎng)絡(luò)安全的“命門”。就和我們家里的門一樣，如果鎖存在缺陷，那么門肯定不安全。

目前，我國在網(wǎng)絡(luò)安全漏洞管理方面存在對漏洞不重視、修復(fù)不及時現(xiàn)象，以及缺少具體的漏洞修復(fù)管理細(xì)則和處罰機(jī)制等問題。

因此，在提案中我提了幾條建議。

第一，建立漏洞管理全流程監(jiān)督處罰制度。盡快制定覆蓋網(wǎng)絡(luò)安全漏洞發(fā)現(xiàn)、審核、披露、通報、修復(fù)、追責(zé)等全流程的管理細(xì)則，強(qiáng)制要求漏洞必須及時修復(fù)，對漏洞修復(fù)時間以及違規(guī)處罰措施予以明確規(guī)定。

第二，強(qiáng)制執(zhí)行重要信息系統(tǒng)上線前漏洞檢測。對涉及國計民生、國家關(guān)鍵信息基礎(chǔ)設(shè)施的重大信息系統(tǒng)工程和項目，一方面在其上線運行或交付使用之前，應(yīng)強(qiáng)制要求進(jìn)行網(wǎng)絡(luò)安全漏洞的自檢和備案，尤其應(yīng)加強(qiáng)源代碼層面的安全缺陷和漏洞檢測。另一方面，國家網(wǎng)絡(luò)安全主管部門應(yīng)對上線系統(tǒng)進(jìn)行抽檢，發(fā)現(xiàn)問題及時整改。

第三，強(qiáng)制召回存在重大網(wǎng)絡(luò)安全漏洞產(chǎn)品。對存在嚴(yán)重網(wǎng)絡(luò)安全漏洞，可能導(dǎo)致大規(guī)模用戶隱私泄露、人身傷害或者影響民生服務(wù)、關(guān)鍵基礎(chǔ)設(shè)施正常運行的軟硬件產(chǎn)品，尤其是物聯(lián)網(wǎng)、智能汽車等產(chǎn)品，應(yīng)借鑒汽車行業(yè)的做法，實施強(qiáng)制召回，避免造成更大的損失。

第四，鼓勵政企單位采用眾測眾包方式發(fā)現(xiàn)和收集漏洞。

網(wǎng)絡(luò)安全漏洞的挖掘和發(fā)現(xiàn)具有一定的偶然性，需要集合民間智慧。所以一方面，要加強(qiáng)政企單位與專業(yè)網(wǎng)絡(luò)安全企業(yè)的深度合作，充分利用網(wǎng)絡(luò)安全企業(yè)的漏洞挖掘能力和情報優(yōu)勢，幫助政企單位及早發(fā)現(xiàn)和修復(fù)漏洞。另一方面，在安全可控的前提下，鼓勵政企單位采用眾測眾包方式，充分發(fā)動民間安全研究力量發(fā)現(xiàn)和收集漏洞，提高網(wǎng)絡(luò)安全整體防護(hù)能力。

第三個是建議完善網(wǎng)絡(luò)安全人才培養(yǎng)體系

網(wǎng)絡(luò)安全的本質(zhì)是人與人的對抗，但目前我國網(wǎng)絡(luò)安全人才缺口巨大，而培養(yǎng)體系還存在一些問題，比如高校人才培養(yǎng)難以滿足網(wǎng)絡(luò)安全實戰(zhàn)需求，網(wǎng)絡(luò)安全職業(yè)培訓(xùn)質(zhì)量有待提高，網(wǎng)絡(luò)安全從業(yè)人員缺乏必要的職業(yè)技能鑒定等。對此我的建議是：

第一，大力支持網(wǎng)絡(luò)安全企業(yè)設(shè)立相關(guān)教育培訓(xùn)機(jī)構(gòu)。網(wǎng)絡(luò)安全企業(yè)擁有很多具備豐富實戰(zhàn)經(jīng)驗的技術(shù)專家擔(dān)任講師，能夠結(jié)合網(wǎng)絡(luò)安全行業(yè)的最新需求，并在網(wǎng)絡(luò)安全企業(yè)進(jìn)行實戰(zhàn)演練，建立快速、規(guī)�；�培養(yǎng)實戰(zhàn)型網(wǎng)絡(luò)安全人才的機(jī)制。希望政府在辦學(xué)資質(zhì)審批、資金、場地、稅收等方面提供一定的便利和優(yōu)惠政策。

第二，建議鼓勵高校和科研院所與優(yōu)秀網(wǎng)絡(luò)安全企業(yè)聯(lián)合建設(shè)網(wǎng)絡(luò)安全學(xué)院，開辦網(wǎng)絡(luò)安全專業(yè)學(xué)科。雙方共同開發(fā)課程、共建實驗室，并在企業(yè)設(shè)立實習(xí)基地，實現(xiàn)課堂教學(xué)、學(xué)生培養(yǎng)、實習(xí)實踐的有機(jī)結(jié)合，提升網(wǎng)絡(luò)安全學(xué)科水平和學(xué)生就業(yè)競爭力。

第三，把網(wǎng)絡(luò)安全納入職業(yè)技能鑒定體系。建議政府部門與優(yōu)秀網(wǎng)絡(luò)安全企業(yè)聯(lián)合制定網(wǎng)絡(luò)安全職業(yè)技能標(biāo)準(zhǔn)，對網(wǎng)絡(luò)安全從業(yè)人員進(jìn)行必要的水平評價，滿足行業(yè)人才需求。經(jīng)主管部門認(rèn)可的相關(guān)機(jī)構(gòu)職業(yè)培訓(xùn)后，向網(wǎng)絡(luò)安全從業(yè)人員頒發(fā)初級、中級、高級認(rèn)證證書，規(guī)范網(wǎng)絡(luò)安全就業(yè)環(huán)境，為網(wǎng)絡(luò)安全人才創(chuàng)造良好的就業(yè)機(jī)會。

今年參加政協(xié)會議，做的這幾個提案，都是圍繞現(xiàn)在面臨的一些實際安全問題，希望能夠提升對網(wǎng)絡(luò)安全問題的應(yīng)對能力，提升整個國家的網(wǎng)絡(luò)安全實力。

解決網(wǎng)絡(luò)安全問題，一部分是靠我們網(wǎng)絡(luò)安全技術(shù)公司，我們提供技術(shù)、產(chǎn)品和解決方案，為個人、企業(yè)機(jī)構(gòu)及政府機(jī)構(gòu)提供服務(wù)。但站在今天中國國家網(wǎng)絡(luò)安全的角度來說，網(wǎng)絡(luò)安全行業(yè)要想進(jìn)一步發(fā)展，國家網(wǎng)絡(luò)安全防護(hù)能力要想進(jìn)一步提升，還需要一些政策和策略，而政策的制定更需要一些頂層設(shè)計。

老子說，九層之臺，起于累土。借這次參加兩會的契機(jī)，我提出這幾個提案，希望能成為促進(jìn)國家完成網(wǎng)絡(luò)安全頂層戰(zhàn)略設(shè)計的第一筐土。

周鴻祎

2018 年 3 月 16 日