人类进入数字时代是大势所趋,人类在数字社会将面临新的威胁:随时随地可能发生的网络攻击。
数字时代,互联网升级为物联网,物联网把物理世界各种基础设施和虚拟网络空间连接了起来,这种情形下,所有在网络空间的虚拟攻击都可以变成物理的伤害。
比如汽车厂商云端服务器被发现漏洞,攻击者就会对汽车实现远程操控,实现远程开车门,远程启动,远程熄火,可以对车造成物理的破坏,让用户处于危险之中。
比如通过高级网络攻击能够使得充分数字化的城市在瞬间失控,可能会导致断水、断电、断气。
两会期间,全国政协委员、360集团创始人 周鸿祎针对数字时代的网络安全提出了三份提案,分别是《关于加快构建智慧城市安全基座“城市级网络安全基础设施”的提案》、《关于加强智能汽车网络安全的提案》、《关于网络安全行业特殊人才认定和激励政策的提案》,建议加强网络安全建设。
3月4日,政协首场委员通道,一共五位委员代表接受采访,周鸿祎是走委员通道的唯一一个企业家,其余都是科学家科技工作者。
其中第一位讲关乎民生的粮食安全、第二位讲航天强国的火星探测,第三就讲到了网络安全,这充分说明了国家对网络安全的重视。
1
疫情期间通过医院智慧医疗的远程指导帮助老百姓看病;城市随处可见的充电桩,解决人们汽车的充电问题,中国大约有500座城市明确提出或正在建设新型智慧城市。
由于街道照明、能源、水务、电网、交通甚至垃圾桶都联网了,每个传感器都可能有漏洞,都可能被攻击,再加上专业级黑客组织登场,智慧城市面临的安全威胁越来越大。
周鸿祎认为必须通过集中建设和运营“城市级”网络安全基础设施,以类似于电厂、水厂的公共服务方式为城市提供统一的网络安全服务,以提升城市网络安全水平。
我国城市网络安全基础设施十分缺乏,不成体系。现有的网络安全系统大多数是针对特定应用场景和特定用户建设的,自建自用、功能单一,不具有公共服务属性。
城市级网络安全基础设施是智慧城市的“安全基座”,可以用在智慧交通、智慧金融、智慧能源、安全应急等应用场景,为城市关键基础设施和重要信息系统提供安全保障。
为此周鸿祎提了三条具体建议,分别涉及网络安全建设、运营、服务等方面。
在“十四五”、智慧城市建设等重大战略规划中,把城市级网络安全基础设施作为智慧城市建设的必备内容,并保证其建设经费投入占比不低于建设总经费的20%;
重点建设威胁情报中心、地图测绘中心、漏洞管理中心、实网攻防靶场等,逐步形成安全能力体系;
同时把网络安全基础设施的服务能力水平纳入智慧城市治理能力的评价指标体系,强化网络安全在智慧城市治理中的基础性地位。
以安全大脑为核心,通过城市级网络安全基础设施将城市各类用户网络与终端连接起来,由安全专家进行统一安全运营,统一指挥、协同联动,第一时间感知攻击和威胁,对城市网络安全事件进行及时处置和应对,有力支撑智慧城市安全管理和网络治理。
以城市级网络安全基础设施为载体,面向城市党政部门、企事业单位和重要用户,持续提供威胁情报、威胁研判、漏洞信息、实网攻防演练、人员安全培训、应急响应等公共安全服务,探索形成安全服务的组织运营模式,提升城市网络安全整体水平。
2
像汽车安全带一样,逐步形成强制性要求
我国智能汽车产业爆发增长,预计到2025年,智能网联汽车占当年汽车销量50%,智能汽车联网化将成为新一代汽车发展的必然选择。
智能网联汽车集成了大量的摄像头、雷达、测速仪、导航仪等各类传感器,由此导致了过去智能终端存在的远程控制、数据窃取、信息欺骗等安全问题。
360的安全专家已经在实验环境下发现了多个品牌智能汽车的安全漏洞,利用这些漏洞可以对智能汽车实施转向控制、关闭引擎、突然制动、开关车门等操控。
目前所有的智能网联汽车企业都将智能车辆与车企的云端服务器远程相连,一旦云端服务器的漏洞被攻击者利用,攻击者就会通过对云端的侵入,后果不堪设想。
周鸿祎的建议包含三个方面,涉及整车制造、安全测试、数据监管等方面。
建议国家加大鼓励和引导汽车企业,将智能汽车的联网安全防护体系纳入车辆生产、销售和服务体系中,并逐步形成强制性要求,像汽车安全带一样,列为汽车安全的标配。
汽车行业应以安全大脑为核心,建设智能网联汽车安全大数据平台、安全智能分析平台、应急响应平台等网络安全基础设施,形成智能网联汽车安全能力体系。
研发针对真实应用场景的智能汽车攻击测试工具,建立覆盖车企、销售、运维和用户全业务流程的系统化攻击测试用例库,构建智能汽车实网攻防式安全验证平台,推进智能汽车联网安全测试成为新的、常规的“汽车碰撞测试”,甚至适时建立强制测试;
定期开展实战攻防演练和能力评估,不断检验和提升车企相关行业安全防护、应急处置和指挥调度能力。
三、强化智能网联汽车产生的数据安全监管:
建议加强智能汽车在使用过程中数据采集的监管,禁止采集用户不知情数据,禁止过度采集超出满足智能汽车功能的地理环境数据。
制定智能网联汽车采集用户数据和地理环境数据的标准规范,并加强这些数据的出境监管。
按照国家相关数据安全法规和条例,细化智能网联汽车相关数据安全要求。
3
数字时代的侠客:强化培养、认定行业顶尖人才
人才是我国未来网络安全产业发展的基础。近年来,国家成立了众多网络安全学院,用来加快人才培养步伐,但人才缺口仍十分巨大,特别是网络安全顶尖人才。
周鸿祎认为有必要重视这个群体的社会价值,采取特殊人才认定和激励政策,使他们得到社会和国家认可,鼓励他们更好地发挥专业特长,为国家做贡献。
网络安全行业特殊人才是国家的宝贵资源,其中很多高手都在民间,不在传统体制内服务,但他们就像数字时代的侠客,同样可以为网络安全行业做出重要贡献。
周鸿祎说:他们是一群极有天赋的人,多数是怪才、偏才,特立独行,散落在社会和企业各处。这些人还有一个共同特点,就是对网络安全行业充满了激情和热爱。
这些“侠客”都有很深的安全研究能力,不断帮助企业和各单位发现漏洞、做攻防实战演练、做安全保障服务,是国家网络安全的宝贵资源。
周鸿祎据此提出了三方面的建议,涉及人才认定、个人税收优惠、必要激励等方面。
建议国家制定出台以能力为导向、成果为标尺的网络安全特殊人才认定标准,如大数据安全分析能力、漏洞挖掘与修复能力、APT攻击发现与追踪溯源能力等,并保持这类特殊人才的独立性和发展潜力。建议建立针对性的职称评定机构和制度,并明确所设置的职称体系在社会中被广泛认可。
建议增加针对网络安全特殊人才的个税减免项,对突出贡献所得收入,也给予个税减免。
对于符合条件的网络安全新兴领域创业人员和早期员工,对他们的股票和期权比照“资本利得”征税原理,在实际变现环节按照财产转让所得缴纳个人所得税。
建议开辟网络安全行业特殊人才引进绿色通道,在落户、购车、购房和子女入学等方面予以特殊照顾,对有突出贡献者发放特殊津贴。
2020年底,人社部和公安部正式颁布了首个网络安全行业职业技能国家标准——“网络与信息安全管理员”国家职业技能标准,填补了职业空白。
周鸿祎认为:对这个领域的人才培养路径和顶尖人才认定等的特殊性考虑还不够,尚难以对他们的技能和贡献进行充分而全面的评价。