萬物互聯更需「見招拆招」 全國政協委員問診網路安全

「代表委員共話網路強國」系列報道

光明網記者 李政葳

網路電信詐騙問題此起彼伏，聯網智能設備安全事件時有發生，「勒索」病毒多次入侵多國網路。移動互聯網時代，網路安全問題成為普遍關注的現實問題。在今年的全國兩會上，不少代表委員對此深有感觸，圍繞如何防範網路安全展開了熱議。

圖為周鴻禕委員（左一）、肖新光委員（左二）、嚴望佳委員（右二）、談劍鋒委員（右一）

網路安全漏洞如何補？

從2016年美國東海岸大面積斷網到2017年肆虐全球的「WannaCry」勒索病毒事件，網路安全漏洞越來越成為攻擊者覬覦的焦點。「漏洞是網路安全的『命門』，軟硬體系統漏洞使得攻擊者可以利用漏洞竊取信息或者控制、破壞目標系統，從而引發各種網路安全問題。」全國政協委員、360集團董事長兼CEO周鴻禕說。

其實，「WannaCry」勒索病毒事件爆發之前，微軟公司便已發布了相應安全漏洞補丁，但很多單位卻一直沒有打補丁，導致國內數萬台主機和電腦被感染。「對漏洞不重視、修復不及時現象普遍存在。360補天漏洞響應平台統計，25.6%的漏洞未進行修復，一些行業漏洞平均修復時間長達數月之久……」針對我國網路安全漏洞管理存在的問題，周鴻禕表示。

《網路安全法》去年以來正式實施，規定了網路運營者的安全義務以及相應的追責，但對網路安全漏洞管理還沒有執行細則。「漏洞的問題不是個技術問題，實際是涉及到管理，涉及到規則的問題。360集團一年新發現的網路安全漏洞就超過8萬個。」今年全國兩會期間，周鴻禕提交了一份關於「強化網路安全漏洞管理」的提案。他呼籲，應儘快制定覆蓋網路安全漏洞發現、審核、披露、通報、修復、追責等全流程的管理細則，強制要求漏洞必須及時修復，對漏洞修復時間以及違規處罰措施予以明確規定；此外，應建立監督檢查機制和力量，及時發現未及時修復漏洞的行為，並追究相關單位和責任人責任。

周鴻禕還提到，對存在嚴重網路安全漏洞，可能導致大規模用戶隱私泄露、人身傷害或者影響民生服務、關鍵基礎設施正常運行的軟硬體產品，尤其是物聯網、智能汽車等產品，應借鑒汽車行業的做法，對存在重大網路安全漏洞產品的實施強制召回，避免造成更大的損失。在安全可控的前提下，鼓勵政企單位採用眾測、眾包的方式，發動民間安全研究力量發現和收集漏洞，提高網路安全整體防護能力。

「如果國產化軟體在推出前不經過嚴格的安全測試，那麼非但不會提升信息系統的安全性，反而會給系統安全帶來更大的風險。」全國政協委員、啟明星辰CEO嚴望佳建議，在軟體國產化進程中，政府要建立一套有效的軟體安全保障機制。對於保密要求高的部門的基礎軟體，既要採用國產化軟體，又要強制這些軟體在正式發布前，要通過獨立的國內第三方安全團隊的專業安全測試，避免軟體「帶病上崗」。

網路安全體系如何建？

如今，越來越複雜的信息系統及大量「雲物移大智」等新興技術的應用，給智慧城市網路安全帶來巨大挑戰。「智慧城市網路安全建設重建設輕測評。」嚴望佳表示，隨著網路安全重要性凸顯，各地在建設智慧城市時大都會規劃和部署網路安全產品，但仍然重視硬體條件建設，卻忽視建成後效果測評。「安全測評環節的缺失，無法保證安全防護措施切實發揮作用，多地甚至出現了安全系統失效、系統被入侵等安全事件卻毫不知情的現象。」嚴望佳說。

嚴望佳建議，加強智慧城市安全監管、建設網路安全運營中心，實時監控智慧城市信息化系統面臨的風險並及時防範，最大限度地保障智慧城市網路、系統、數據等安全。比如，建立智慧城市網路安全評價體系，推進安全測評工作；制定法律、法規和相關管理辦法，組合管理、技術手段，加強對基礎信息系統的安全監管力度。對於電子商務、互聯網金融、大數據交易服務等涉及國計民生的重要信息系統，應建立准入、備案和常態化的安全審查制度，加強安全監管，控制安全風險，切實保障智慧城市安全。

另外，嚴望佳還提到，加強政策引導，在智慧城市關鍵信息基礎設施建設中建立自主可控技術門檻，要求智慧城市網路安全中關鍵、核心產品必須採用我國自主可控技術。「走自主可控、安全可信的智慧城市建設之路，鼓勵我國核心技術自主創新，打破國外技術壟斷格局。」

「信息化時代，網路安全產業並非孤立存在，其發展滯後也阻礙其他產業的升級發展，更談不上以數字化與網路安全形成經濟發展新動能的雙輪驅動。」全國政協委員、上海眾人網路安全技術有限公司董事長談劍鋒認為，為促進我國的網路安全產業的健康發展，側重對需求和產業的科學規劃，多方面促進產業發展，及早形成正向外部性效應。比如，從國家安全形度出發，將網路安全產業定義為戰略性新興產業，落實包含資源配置導向的網安產業的結構政策，支持和吸引更多有志於網路安全的企業和創業者進入該領域。

「更值得注意的是，網路是一個整體，任何一個單位、任何一個系統存在漏洞，都會成為不法分子攻擊的跳板，成為整個網路的薄弱環節。」在全國政協委員、安天實驗室首席架構師肖新光看來，面對當前複雜的地緣安全形勢，避免把網路安全看成孤立風險和單一風險，還要對不同領域、行業和地域應進行的網路安全投入方向和投入重點做出系統研判。

網路安全人才如何育？

網路安全問題的越來越受到重視，對於網路安全人才的需求也與日俱增。根據教育部有關機構和專家預測，當前我國網路安全人才缺口達70萬，到2020年將急劇增加到140萬。「近三年來，全國高校網路安全相關專業年均招生1萬人左右，主要依靠高校培養網路安全人才的方式遠不能滿足網路安全的需要。」周鴻禕坦言，我國目前網路安全人才的缺口巨大。

如今，「網路空間安全」已被國務院學位委員會和教育部增設為一級學科，我國網路安全高層次人才培養邁出了重要一步。「但與打造網路強國對人才的需求規模相比還存在較大差距，高校人才培養難以滿足網路安全實戰需求，網路安全職業培訓質量有待提高，網路安全人才培養體系亟待完善。」周鴻禕說。

「網路安全最重要的不是硬體，也不是軟體，而是人才。網路安全實質是人與人的對抗，不是購買和部署一批網路安全設備、安裝一批軟體就能解決問題。網路安全更需要專業安全運維人員來做分析、規劃、態勢研判、響應和處置。」周鴻禕說。

為儘快彌補網路安全人才缺口，周鴻禕建議，大力支持網路安全企業設立相關教育培訓機構，依靠社會力量開展職業教育，大規模培養，是短期內彌補網路安全人才缺口的有效途徑；支持網路安全企業開辦教育培訓機構，邀請具有豐富實戰經驗的技術專家擔任講師，結合網路安全行業的最新需求，在網路安全企業進行實戰演練，建立快速、規模化培養實戰型網路安全人才的機制；開展網路安全學科聯合建設，鼓勵高校和科研院所與優秀網路安全企業聯合建設網路安全學院，開辦網路安全專業學科。

如何留住人才？肖新光表示，產業是人才的基本水土，產業規模和產業能力決定人才的吸引力。「應立足本地產業優勢，形成標誌性企業，帶動產業規模，才能大量留住網路安全人才。」

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！