ink=""/>

歡迎關注“創(chuàng)事記”的微信訂閱號：sinachuangshiji

文/周鴻祎

過去兩周里，我以一個從未有過的新身份參與了一個重要的會議，兩會。

雖然在此之前，我通過九三學社，也給國家提出過一些建議意見，包括推動網絡安全教育、培養(yǎng)網絡安全人才的建議，也獲得了批復和認可。但這次是我第一次參加政協(xié)會議，作為新委員，感覺壓力和責任都挺大。

此次參加政協(xié)會議前，我也查閱了往屆一些政協(xié)委員的提案進行學習。作為一名在網絡安全行業(yè)里奮戰(zhàn)多年的老兵，雖然有了政協(xié)委員的身份，我還是希望自己能夠立足專業(yè)，結合我的實際工作，將我和 360 在網絡安全領域實際工作中遇到的一些實際問題，以及我們的相應的建議意見，匯編成提案，提交給政協(xié)會議。

這些提案如果能夠變成國家的戰(zhàn)略措施，使得國家在網絡安全方面能夠不斷提升防御能力，真正提升我國網絡安全水平，也算是我完成了自己作為政協(xié)委員的一點使命。

雖然提案已經提交，但還是想在這里和大家一起進行復盤，畢竟參加兩會提交提案只是第一步。兩會提案眾多，大家提交的也都是關系國計民生的意見和建議。

無論我的提案能否被采納形成新規(guī)，網絡安全行業(yè)長路漫漫，我們依然需要努力改變行業(yè)發(fā)展中的問題，不斷提升國家網絡安全能力。

這次我一共準備了五份提案，從不同角度和方向，針對我國網絡安全領域面臨的問題給出了一些建議與想法。

用戶隱私信息保護不能只靠互聯(lián)網公司自覺自律

我們現(xiàn)在身處的時代，幾乎可以說是一個完全的大數據時代，我們的任何信息都在變成一個個字節(jié)數據存儲在一些互聯(lián)網公司的服務器上，個人已經變得非常透明。

這種情況是伴隨科技發(fā)展而來的，這是一個不可避免的趨勢，只要用戶使用互聯(lián)網公司的服務，無論是聊天搜索還是看視頻、閱讀，或者跑步運動、出行等等，都會產生實時的、海量的用戶行為數據反饋給互聯(lián)網公司。

也因此，互聯(lián)網企業(yè)濫用用戶數據信息的風險和隱患開始顯現(xiàn)。解決這個問題，一方面要靠互聯(lián)網公司的自覺自律，但這肯定是不夠的，更重要的是需要國家立法進行規(guī)范。

所以在此次提案中，我提出了三點意見，也就是“用戶隱私信息保護三原則”。

第一，明確用戶數據信息是用戶個人資產的原則。國家應盡快立法明確用戶使用互聯(lián)網公司軟硬件產品、服務產生的數據信息，是屬于用戶的個人資產。

第二，保障用戶對數據信息使用的知情權、選擇權原則。不論互聯(lián)網公司給用戶提供的是免費服務還是收費服務，兩者之間都存在契約關系。用戶是互聯(lián)網公司的消費者，應該保障用戶對企業(yè)使用其數據信息的知情權、選擇權。

第三，明確互聯(lián)網公司保護用戶數據信息安全責任的原則。用戶與互聯(lián)網公司存在服務契約關系，互聯(lián)網公司有義務、有責任保護用戶數據信息安全。

工業(yè)互聯(lián)網安全需要開放、融合與創(chuàng)新

除了個人網絡安全方面，這次政協(xié)會議上工業(yè)互聯(lián)網安全是我的另一個關注點。

聽起來工業(yè)互聯(lián)網離我們大眾很遠，但實際上工業(yè)互聯(lián)網安全與我們所有人息息相關。大家日常生活中上班坐地鐵，進公司坐電梯，都與工業(yè)互聯(lián)網安全有著非常密切的關系。

并且，工業(yè)互聯(lián)網作為新一代信息技術與制造業(yè)深度融合的產物，已經成為工業(yè)現(xiàn)代化、發(fā)展實體經濟的關鍵支撐。所以工業(yè)互聯(lián)網的安全，不僅僅是關系廣大普通群眾的人身安全，也關系到國家持續(xù)穩(wěn)定發(fā)展。

工業(yè)互聯(lián)網最近幾年發(fā)展迅速，但工業(yè)企業(yè)自身對網絡安全重視程度依然欠缺，安全能力普遍缺乏。而由于工業(yè)領域分類繁多，網絡安全企業(yè)的產品和服務適配度也不高，難以滿足工業(yè)實際需要。

因此我在提案中結合我們最近幾年在工業(yè)互聯(lián)網方面的經驗，提了幾點建議：

第一，制定讓工業(yè)企業(yè)上網絡安全系統(tǒng)的強制性政策。鑒于不少工業(yè)企業(yè)對網絡安全系統(tǒng)重視不夠，比如工業(yè)控制系統(tǒng)使用期超標，沒有安裝任何補丁等，存在極大的安全隱患。建議制定工業(yè)企業(yè)上網絡安全系統(tǒng)的強制性政策，讓工業(yè)運行系統(tǒng)與網絡安保系統(tǒng)融為一體，確保工業(yè)發(fā)展長治久安。

第二，鼓勵工業(yè)企業(yè)和網絡安全企業(yè)開放協(xié)作。正如前面說的，工業(yè)企業(yè)和網絡安全企業(yè)各自為政是很難解決工業(yè)互聯(lián)網安全問題的，所以建議制定加快促進工業(yè)企業(yè)與網絡安全企業(yè)開展合作創(chuàng)新的鼓勵政策，成立國家級企業(yè)，選擇汽車、航空航天、能源等重點產業(yè)進行集中攻關，合作研發(fā)高精尖安全產品和解決方案，共同打造高效、安全的工業(yè)互聯(lián)網。

第三，產業(yè)政策要重視對工業(yè)互聯(lián)網安全的傾斜。雖然我們已經逐漸意識到網絡安全的重要性，但是安全不創(chuàng)造價值的觀念依然普遍存在，相關投入依然不足。建議國家加大對這方面的投入，以網絡安全保護產業(yè)價值。

網絡安全前路漫漫：人才缺口大、制度待完善

網絡安全存在的問題不僅僅是給個人安全、企業(yè)安全、社會安全、經濟安全乃至國家安全帶來極大的挑戰(zhàn)與威脅，網絡安全行業(yè)自身的發(fā)展仍有很長的路要走，仍有較大的發(fā)展空間。

在這次政協(xié)會議上，我也就網絡安全行業(yè)本身存在的一些問題提了幾個提案。

一個是鼓勵被攻擊單位積極上報

實際上，網絡攻擊在當今社會中時時刻刻都存在，只是有些被公開了有些未公開而已。國內很多政企單位，遭遇攻擊之后，有時候害怕?lián)�責，就不愿及時上報的現(xiàn)象，這導致后續(xù)的應急處理，以及更廣泛范圍的防御挑戰(zhàn)很大。

所以我建議：

第一，出臺鼓勵網絡攻擊事件上報的相關政策。建議在現(xiàn)有《網絡安全法》基礎上進行細化補充，對網絡攻擊事件應進行分級分類監(jiān)管，對主動及時上報事件和積極應急處置的單位，給予酌情減免責任和處罰的機會，并幫助其安全整改。

第二，規(guī)范網絡攻擊事件上報流程。對政企單位上報網絡攻擊事件的具體流程和方法進行規(guī)范，形成可操作的實施細則，明確受報主體、上報時限，采取書面報告、當面匯報、技術接口等方式，主要上報攻擊事件發(fā)生時間、造成的危害、處置應對情況和后續(xù)風險評估等內容。

第三，加大對知情不報企業(yè)查處懲戒力度。建議有關部門不斷完善網絡安全監(jiān)管技術手段，加大網絡執(zhí)法力度，對知情不報、銷毀證據、有意隱瞞、歪曲事實的相關單位予以嚴肅查處。

第二個是強化網絡安全漏洞管理

我們都知道，漏洞是網絡安全的“命門”。就和我們家里的門一樣，如果鎖存在缺陷，那么門肯定不安全。

目前，我國在網絡安全漏洞管理方面存在對漏洞不重視、修復不及時現(xiàn)象，以及缺少具體的漏洞修復管理細則和處罰機制等問題。

因此，在提案中我提了幾條建議。

第一，建立漏洞管理全流程監(jiān)督處罰制度。盡快制定覆蓋網絡安全漏洞發(fā)現(xiàn)、審核、披露、通報、修復、追責等全流程的管理細則，強制要求漏洞必須及時修復，對漏洞修復時間以及違規(guī)處罰措施予以明確規(guī)定。

第二，強制執(zhí)行重要信息系統(tǒng)上線前漏洞檢測。對涉及國計民生、國家關鍵信息基礎設施的重大信息系統(tǒng)工程和項目，一方面在其上線運行或交付使用之前，應強制要求進行網絡安全漏洞的自檢和備案，尤其應加強源代碼層面的安全缺陷和漏洞檢測。另一方面，國家網絡安全主管部門應對上線系統(tǒng)進行抽檢，發(fā)現(xiàn)問題及時整改。

第三，強制召回存在重大網絡安全漏洞產品。對存在嚴重網絡安全漏洞，可能導致大規(guī)模用戶隱私泄露、人身傷害或者影響民生服務、關鍵基礎設施正常運行的軟硬件產品，尤其是物聯(lián)網、智能汽車等產品，應借鑒汽車行業(yè)的做法，實施強制召回，避免造成更大的損失。

第四，鼓勵政企單位采用眾測眾包方式發(fā)現(xiàn)和收集漏洞。

網絡安全漏洞的挖掘和發(fā)現(xiàn)具有一定的偶然性，需要集合民間智慧。所以一方面，要加強政企單位與專業(yè)網絡安全企業(yè)的深度合作，充分利用網絡安全企業(yè)的漏洞挖掘能力和情報優(yōu)勢，幫助政企單位及早發(fā)現(xiàn)和修復漏洞。另一方面，在安全可控的前提下，鼓勵政企單位采用眾測眾包方式，充分發(fā)動民間安全研究力量發(fā)現(xiàn)和收集漏洞，提高網絡安全整體防護能力。

第三個是建議完善網絡安全人才培養(yǎng)體系

網絡安全的本質是人與人的對抗，但目前我國網絡安全人才缺口巨大，而培養(yǎng)體系還存在一些問題，比如高校人才培養(yǎng)難以滿足網絡安全實戰(zhàn)需求，網絡安全職業(yè)培訓質量有待提高，網絡安全從業(yè)人員缺乏必要的職業(yè)技能鑒定等。對此我的建議是：

第一，大力支持網絡安全企業(yè)設立相關教育培訓機構。網絡安全企業(yè)擁有很多具備豐富實戰(zhàn)經驗的技術專家擔任講師，能夠結合網絡安全行業(yè)的最新需求，并在網絡安全企業(yè)進行實戰(zhàn)演練，建立快速、規(guī)模化培養(yǎng)實戰(zhàn)型網絡安全人才的機制。希望政府在辦學資質審批、資金、場地、稅收等方面提供一定的便利和優(yōu)惠政策。

第二，建議鼓勵高校和科研院所與優(yōu)秀網絡安全企業(yè)聯(lián)合建設網絡安全學院，開辦網絡安全專業(yè)學科。雙方共同開發(fā)課程、共建實驗室，并在企業(yè)設立實習基地，實現(xiàn)課堂教學、學生培養(yǎng)、實習實踐的有機結合，提升網絡安全學科水平和學生就業(yè)競爭力。

第三，把網絡安全納入職業(yè)技能鑒定體系。建議政府部門與優(yōu)秀網絡安全企業(yè)聯(lián)合制定網絡安全職業(yè)技能標準，對網絡安全從業(yè)人員進行必要的水平評價，滿足行業(yè)人才需求。經主管部門認可的相關機構職業(yè)培訓后，向網絡安全從業(yè)人員頒發(fā)初級、中級、高級認證證書，規(guī)范網絡安全就業(yè)環(huán)境，為網絡安全人才創(chuàng)造良好的就業(yè)機會。

今年參加政協(xié)會議，做的這幾個提案，都是圍繞現(xiàn)在面臨的一些實際安全問題，希望能夠提升對網絡安全問題的應對能力，提升整個國家的網絡安全實力。

解決網絡安全問題，一部分是靠我們網絡安全技術公司，我們提供技術、產品和解決方案，為個人、企業(yè)機構及政府機構提供服務。但站在今天中國國家網絡安全的角度來說，網絡安全行業(yè)要想進一步發(fā)展，國家網絡安全防護能力要想進一步提升，還需要一些政策和策略，而政策的制定更需要一些頂層設計。

老子說，九層之臺，起于累土。借這次參加兩會的契機，我提出這幾個提案，希望能成為促進國家完成網絡安全頂層戰(zhàn)略設計的第一筐土。

周鴻祎

2018 年 3 月 16 日