在2019年3月举行的政协第十三届全国委员第二次会议上,周鸿祎提交3份涉及国家级网络安全大脑建设、智能汽车网络安全、人工智能的提案。
眼下,2020年两会召开在即,即将第三次参加全国政协会议的周鸿祎,这次会关注什么样的网络安全问题呢?
5月19日下午,时代周报记者从360集团方面获悉,今年两会,周鸿祎将携四份提案参会,主题依然是网络信息安全,涉及新基建、5G、信息技术创新应用和工业互联网四个领域。
周鸿祎提出,要尽早构建新基建网络安全防护体系,尽快制定《国家5G安全战略》,加强信创网络安全保障能力建设,加快推进工业互联网安全保障。
构建新基建网络安全防护体系
新基建是数字化基建的基础设施,涉及到5G、大数据、人工智能等大量新技术,推动远程医疗、智能网联车、机器人和工业互联网等领域大量新业务的产生和发展。新基建对未来国家经济与社会发展至关重要,是我们国家经济发展的重大战略与举措。
然而,数字化以及涉及大量新技术、新业务的特性,决定了新基建网络将面临更大、也是全新的安全挑战。
当前网络空间日趋复杂,网络攻防不对称加剧,网络安全攻击日益猖獗,传统安全防御手段已经无法有效阻止APT等高级网络攻击。因此,周鸿祎提出,新基建的安全防护手段亟待升级,既要深入探索和研究新基建网络的安全新形势和新问题,更要重新定义新基建网络语境下的安全边界和安全概念。
他建议,要运用整体思维,规划新基建网络安全防护体系顶层设计。全面考虑安全防护体系的检测、响应、防御等威胁应对环节需求,覆盖终端、网络、服务器等各层攻击面,贯通安全防护、安全运营、应急响应和安全培训等业务体系。
同时,他还提出要同步建设新基建的安全基础设施,聚焦新基建安全能力构建。在各地新基建开展过程中,同步规划、同步建设和同步运行网络安全基础设施,形成新基建安全能力的基础条件。另外,汇聚新基建领域安全大数据、安全知识库和威胁情报,组建安全专家团队,打造新基建的安全大脑。最终形成多方参与、面向实战攻防要求的安全能力。
他还建议强化大数据平台安全,防范各级数据中心的高级别网络安全威胁和数据协同流动中的安全风险,并且开展常态化网络安全攻防对抗演习,通过入侵模拟、实网攻防、红蓝对抗等方式,对新基建安全防护和应急响应进行持续的实战检验,并及时完善和提升安全能力。
尽快制定《国家5G安全战略》
2019年以来,5G商用牌照发放、中央关于加快5G等新基建建设的决议,启动了我国5G建设和应用的加速键。5G作为新一代的数字基础设施,在赋能发展的同时也将引发新的网络安全风险,其安全性具有基础性和全局性意义。
5G能够提供新一代的连接、传输、通信等基础功能,是上层应用的基础承载设施。数据中心、工业互联网、车联网等新基建都离不开5G的承载,他们对5G有着难以分割的依赖性。
但同时难以避免的是,5G打通虚拟空间和物理空间将会引入大量新的安全风险。在5G支持下,联网设备规模将达到百亿级,使得潜在的攻击面大大增加;由于全方位、高密度的物联设备接入,传统企业将真正拥有海量大数据,数据安全风险将更加突出。此外,5G驱动的无人驾驶、无线医疗、联网无人机、新型智慧城市等新应用场景,将面临新的安全挑战和风险。
目前,在国际上,主要国家都在围绕5G进行长远战略布局,积极开展5G安全研究和部署。美国在2019年提出《安全可信通信网络法案》《5G及其它安全法案》,并于今年3月发布《5G安全国家战略》,在5G国内部署、风险评估、风险防御等方面做出部署;法国在2019年也制定了《5G网络安全法案》,设立了经营审批和安全审查制度。
基于此周鸿祎认为,我国应高度重视5G安全的基础性作用和全局性影响,加强5G安全的顶层设计,制定《国家5G安全战略》势在必行。
他建议,从明确5G安全战略主体、确立5G安全战略原则、建设5G安全综合防护体系、重视并充分发挥安全人力因素、开展5G安全实战演练、加快5G安全标准研制六个维度,推进《国家5G安全战略》的制定,最终形成网络设备供应商、终端生产商、网络运营商和网络安全企业合作,同步推进、协同共治和自主可控的5G安全战略,建立起集威胁检测、态势理解、应急响应、溯源处置为一体的安全运营体系。
他还建议,从国内和国际两个层面开展5G安全标准的研制工作。在国内层面,应加快5G安全标准的课题立项,构建5G安全标准体系和安全认证体系;在国际层面,要积极推进5G增强技术和安全机制国际标准的制定,在5G全球布局中取得更多话语权。
加强信创网络安全保障
信息技术创新应用是我国信息技术领域打造自主创新生态的国家战略举措。未来3到5年,在国家重大软件工程的支持下,信创产品和解决方案将在更多领域规模化推广应用,信创产业进入高质量发展的战略机遇期。
而信创产业的规模化应用,将导致信创系统大面积暴露在开放的网络环境中,系统自身的脆弱性加上安全防护体系的缺失,信创系统将面临前所未有的网络安全风险。
周鸿祎认为,当前我国信创系统安全主要存在以下几个问题:一是信创企业安全开发能力不足,产品安全性测试不充分,信创产品漏洞隐患大;二是适配的网络安全产品少,满足合规要求的信创安全产品无法提供所需的安全防护能力;三是信创产品及用户尚未经受实战检验,应对能力不足;四是信创体系安全人才短缺,安全技术创新能力有待加强。
针对这些问题他建议,由信创主管部门组织开展信创安全体系顶层设计,在强调攻防视角的能力建设、强调整体目标和通过开放运营集中社会力量的指导思想下,统筹协调相关部门构建信创安全体系,为信创产业经受住实战考验提供安全保障。
同时由信创主管部门牵头制定信创产品安全管理办法、产品安全性测试标准、关键软件产品安全服务接口标准等,出台配套政策支持信创安全企业发展。同时建立合规与能力并重的信创安全评价体系、建设国家级信创网络安全大脑,提升信创安全服务能力和高级威胁应对能力。
周鸿祎还建议,进一步支持信创企业联合安全企业或学术研究机构开展关键产品底层安全架构技术创新;鼓励学校、企业和研究机构设立信创安全技术体系培训课程和教育体系。
推进工业互联网安全保障
工业互联网作为新一代信息技术与制造业深度融合的产物,日益成为新工业革命的关键支撑和深化“互联网+先进制造业”的重要基石。
当前,工业互联网安全对国家安全的威胁不断加深。由于工业互联网将现实世界和网络世界深度连通,网络攻击得以穿透虚拟空间,直接影响到工业运行安全,并扩散到关键基础设施安全、城市安全、社会安全、人身安全,乃至国家安全,造成的影响范围和损害后果日益严重。正因如此,工业互联网正在成为国家之间网络战的重要攻击目标。
周鸿祎建议国家出台相关政策,鼓励工业企业部署专业的第三方网络安全系统和服务,让工业互联网系统与网络安全系统融为一体;建议制定促进工业控制系统制造企业、工业企业和网络安全企业合作的鼓励政策,协作研发高精尖安全解决方案。
同时他还建议,政府机构、科研院所、工业企业和安全企业等共同开展工业互联网安全大脑的同步设计、同步建设、同步推进,并在智能汽车、航空航天、新能源、智能制造等重点产业领域进行试点示范与推广应用,为国家实体经济和社会保驾护航。
