當前位置：首頁 >互聯(lián)網?IT > 安全 > 漏洞/病毒 > 正文

周鴻祎:漏洞是網絡安全命門人才對抗是網絡安全本質

來源：中國經營報作者：李靜 2018-03-12 09:21:51

周鴻祎表示，近年來工業(yè)互聯(lián)網的發(fā)展使得現(xiàn)實世界和網絡世界深度聯(lián)通，導致網絡空間的攻擊穿透虛擬空間，直接影響到工業(yè)運行安全，并擴散、滲透到城市安全、人身安全、關鍵基礎設施安全，乃至國家安全，造成的后果日益嚴重。網絡安全從“信息安全”時代進入了“大安全”時代，工業(yè)互聯(lián)網已成為國與國之間網絡戰(zhàn)的攻擊目標。

近年來，隨著我國網絡技術水平的不斷提升，基于互聯(lián)網誕生的新產業(yè)新模式如雨后春筍般涌現(xiàn)，而隨之而來的網絡安全問題也越來越受到關注與重視。日前，全國政協(xié)委員、360集團董事長兼CEO周鴻祎在兩會間隙接受《中國經營報》記者采訪時表示，網絡安全已經從“信息安全”向“大安全”時代轉變，網絡安全的影響也隨著互聯(lián)網像水電一樣成為社會運行的基礎設施，影響到整個社會的方方面面。為此，周鴻祎表示自己這次上兩會，從專業(yè)領域角度帶來了幾個提案都和網絡安全息息相關，希望能夠幫助國家真正提升網絡安全水平。

工業(yè)互聯(lián)網需要“網絡安全”護航

工業(yè)企業(yè)對網絡安全不夠重視，安全能力普遍缺乏，門戶洞開。隨著工業(yè)領域網絡化、智能化的推進，工業(yè)控制系統(tǒng)的安全隱患越來越突出。

另外，網絡安全企業(yè)的產品和服務適配度不高，難以滿足工業(yè)實際需要;以及工業(yè)企業(yè)和網絡安全企業(yè)單打獨斗多，深度合作少都是目前存在的問題。

針對這些問題，周鴻祎提出相應方案：

制定讓工業(yè)企業(yè)上網絡安全系統(tǒng)的強制性政策。

不少工業(yè)企業(yè)出于成本、當下運行的穩(wěn)定等考慮，對網絡安全系統(tǒng)重視不夠。很多工業(yè)控制系統(tǒng)使用期超過10年，為保證控制的穩(wěn)定性，工控系統(tǒng)沒有安裝任何補丁，也沒有安裝殺毒軟件，存在極大的安全隱患。建議制定工業(yè)企業(yè)上網絡安全系統(tǒng)的強制性政策，讓工業(yè)運行系統(tǒng)與網絡安保系統(tǒng)融為一體，確保工業(yè)發(fā)展長治久安。

鼓勵工控系統(tǒng)制造企業(yè)、工業(yè)企業(yè)和網絡安全企業(yè)深度合作。

工業(yè)互聯(lián)網安全覆蓋面廣、業(yè)務差異大、敏感度高，建議制定加快促進工業(yè)企業(yè)與網絡安全企業(yè)合作的鼓勵政策，成立國家級企業(yè)，選擇汽車、航空航天、能源等重點產業(yè)進行集中攻關，合作研發(fā)高精尖安全產品和解決方案，共同打造高效、安全的工業(yè)互聯(lián)網。

產業(yè)政策要重視對工業(yè)互聯(lián)網安全的傾斜。

雖然我們已經逐漸意識到網絡安全的重要性，但是安全不創(chuàng)造價值的觀念依然普遍存在，相關投入依然不足。美國的網絡安全投入占IT投入10%，而我國只有2%。建議國家加大對這方面的投入，以網絡安全保護產業(yè)價值。

漏洞是網絡安全的“命門”，需要強化管理

周鴻祎認為，漏洞是網絡安全的“命門”。軟硬件系統(tǒng)漏洞使得攻擊者可以利用漏洞竊取信息或者控制、破壞目標系統(tǒng)，從而引發(fā)各種網絡安全問題。

我國在網絡安全漏洞管理方面存在對漏洞不重視、修復不及時現(xiàn)象，以及缺少具體的漏洞修復管理細則和處罰機制等問題。為強化網絡安全漏洞管理，降低被攻擊風險，提高我國網絡安全防護能力，周鴻祎建議：

建立漏洞管理全流程監(jiān)督處罰制度。

盡快制定覆蓋網絡安全漏洞發(fā)現(xiàn)、審核、披露、通報、修復、追責等全流程的管理細則，強制要求漏洞必須及時修復，對漏洞修復時間以及違規(guī)處罰措施予以明確規(guī)定。此外，應建立監(jiān)督檢查機制和力量，及時發(fā)現(xiàn)未及時修復漏洞的行為，并追究相關單位和責任人責任。

強制執(zhí)行重要信息系統(tǒng)上線前漏洞檢測。

對涉及國計民生、國家關鍵信息基礎設施的重大信息系統(tǒng)工程和項目，一方面在其上線運行或交付使用之前，應強制要求進行網絡安全漏洞的自檢和備案，尤其應加強源代碼層面的安全缺陷和漏洞檢測。另一方面，國家網絡安全主管部門應對上線系統(tǒng)進行抽檢，發(fā)現(xiàn)問題及時整改。同時，應引導和鼓勵軟硬件系統(tǒng)開發(fā)企業(yè)加強安全開發(fā)規(guī)范和流程，盡量在源頭避免網絡安全漏洞的出現(xiàn)。

強制召回存在重大網絡安全漏洞產品。

對存在嚴重網絡安全漏洞，可能導致大規(guī)模用戶隱私泄露、人身傷害或者影響民生服務、關鍵基礎設施正常運行的軟硬件產品，尤其是物聯(lián)網、智能汽車等產品，應借鑒汽車行業(yè)的做法，對存在重大網絡安全漏洞產品的實施強制召回，避免造成更大的損失。

鼓勵政企單位采用眾測眾包方式發(fā)現(xiàn)和收集漏洞。

網絡安全漏洞的挖掘和發(fā)現(xiàn)具有一定的偶然性，需要集合民間智慧。建議借鑒美國在安全漏洞收集和挖掘方面的做法。一方面，加強政企單位與專業(yè)網絡安全企業(yè)的深度合作，幫助政企單位及早發(fā)現(xiàn)和修復漏洞。另一方面，充分發(fā)動民間安全研究力量發(fā)現(xiàn)和收集漏洞，提高網絡安全整體防護能力。

網絡安全人才培養(yǎng)需要“職業(yè)化”

網絡安全的本質是人與人的對抗。近年來，國家網絡安全人才培養(yǎng)取得重要進展，但與打造網絡強國對人才的需求規(guī)模相比還存在較大差距，目前我國網絡安全人才培養(yǎng)體系主要存在四大問題：人才缺口巨大;高校人才培養(yǎng)難以滿足網絡安全實戰(zhàn)需求;網絡安全職業(yè)培訓質量有待提高;網絡安全從業(yè)人員缺乏必要的職業(yè)技能鑒定。周鴻祎對此提出解決方案：

大力支持網絡安全企業(yè)設立相關教育培訓機構。

支持網絡安全企業(yè)開辦教育培訓機構，邀請具有豐富實戰(zhàn)經驗的技術專家擔任講師，結合網絡安全行業(yè)的最新需求，在網絡安全企業(yè)進行實戰(zhàn)演練，建立快速、規(guī)?；囵B(yǎng)實戰(zhàn)型網絡安全人才的機制。希望政府在辦學資質審批、資金、場地、稅收等方面提供一定的便利和優(yōu)惠政策。

開展網絡安全學科聯(lián)合建設。

為提高網絡安全高等教育的實戰(zhàn)水平和技術能力，建議鼓勵高校和科研院所與優(yōu)秀網絡安全企業(yè)聯(lián)合建設網絡安全學院，開辦網絡安全專業(yè)學科。雙方共同開發(fā)課程、共建實驗室，并在企業(yè)設立實習基地，實現(xiàn)課堂教學、學生培養(yǎng)、實習實踐的有機結合，提升網絡安全學科水平和學生就業(yè)競爭力。

把網絡安全納入職業(yè)技能鑒定體系。

建議政府部門與優(yōu)秀網絡安全企業(yè)聯(lián)合制定網絡安全職業(yè)技能標準，對網絡安全從業(yè)人員進行必要的水平評價，滿足行業(yè)人才需求。經主管部門認可的相關機構職業(yè)培訓后，向網絡安全從業(yè)人員頒發(fā)初級、中級、高級認證證書，規(guī)范網絡安全就業(yè)環(huán)境，為網絡安全人才創(chuàng)造良好的就業(yè)機會。

鼓勵政企單位上報網絡攻擊事件

習總書記在419網信工作座談會上指出，我們存在“誰進來了不知道、是敵是友不知道、干了什么不知道”的情況，指出了我們對網絡攻擊情況不掌握、不了解、不全面的問題。

政企單位上報網絡攻擊事件存有遭受網絡攻擊時不愿及時上報的現(xiàn)象，并且缺乏相應的鼓勵上報措施。對此周鴻祎建議：

出臺鼓勵網絡攻擊事件上報的相關政策。

建議在現(xiàn)有《網絡安全法》基礎上進行細化補充，出臺鼓勵政企單位上報網絡攻擊信息的政策法規(guī)。對網絡攻擊事件應進行分級分類監(jiān)管，對遭受國家級網絡攻擊的，可以酌情減免責任。此外，對主動及時上報事件和積極應急處置的單位，給予酌情減免責任和處罰的機會，并幫助其安全整改。

規(guī)范網絡攻擊事件上報流程。

對政企單位上報網絡攻擊事件的具體流程和方法進行規(guī)范，形成可操作的實施細則，明確受報主體、上報時限，采取書面報告、當面匯報、技術接口等方式，主要上報攻擊事件發(fā)生時間、造成的危害、處置應對情況和后續(xù)風險評估等內容。

加大對知情不報企業(yè)查處懲戒力度。

政企單位負有向主管部門主動及時上報網絡攻擊事件的義務，并承擔相應法律責任。建議有關部門不斷完善網絡安全監(jiān)管技術手段，加大網絡執(zhí)法力度，對知情不報、銷毀證據、有意隱瞞、歪曲事實的相關單位予以嚴肅查處。

鼓勵政企單位選用網絡安全企業(yè)專業(yè)服務。

當前許多政企單位缺乏應對網絡威脅的能力，一旦遭受網絡攻擊，難以研判攻擊狀況。應鼓勵政企單位積極選用網絡安全企業(yè)的監(jiān)測預警、應急處置、攻擊取證服務。在發(fā)生網絡攻擊時，及時向監(jiān)管部門提供相關證據和解釋說明，防止被錯判、誤判。

編輯：張潔