![[slide:title]](/static/upload/image/20220419/1650359518156137.png)
![[slide:title]](/template/moobm.com/skin/images/information-img.png)
特别策划 | “两会”外的网安声音
![[slide:title]](/template/moobm.com/skin/images/path-icon.png){kind=icon}
今年的“两会”虽然结束了,但层出不穷的关于网络安全产业的发声,至今仍言犹在耳,诉说着旺盛的产业生态。当人们关注着这种发声同时,还有一种声音也不容忽视,他们也在时刻关注着网络安全产业的发展态势,诉说着他们的建议和期望,希冀能为产业的发展献计献策,助力产业更好地发展。下面,就让我们来听听他们的声音。
天融信
聚焦2022年两会 数字经济、网络安全等话题受关注
数据安全是数字经济发展的首要条件,在数据安全方面,基于多年实践经验,天融信提出了建立以数据资产为核心的数据安全治理体系,已为运营商、金融、政府、能源、教育等十余个行业提供了数据安全治理体系建设方案,构建了覆盖数据全生命周期的安全产品和咨询服务体系,为客户提供全面的数据安全保障。在个人信息保护方面,天融信以合规性要求为基础,以保护敏感数据为核心,构建包括个人信息在内的数据全生命周期统一保护体系。在数据安全治理统一框架下实现个人信息保护能力落地,采用脱敏、去标识化、加密、隐私计算等多种新技术保护个人信息安全,积极应对个人信息安全风险与挑战。
两会期间,部分委员建议建立重大交通基础设施全生命周期运营规程,对安全运营相关工作内容、专业技术要求等做出系统描述与要求,对运维阶段做出科学的规定与指引,强化网络漏洞发现能力,提升基础设施安全应对能力。据了解,天融信推出的关键信息基础设施保护方案,通过对网络安全基础能力底座建设、动态综合网络安全防御能力的提升以及网络安全态势监管能力的加强,实现关键信息基础设施安全三重保障。多年来将成熟的网络安全技术与行业业务场景深度融合,打造了覆盖交通、电力、石油、冶金等多个行业的安全解决方案。
针对日益严峻的车联网安全形势,天融信推出的车载防火墙、车载入侵检测、车载安全认证、车联网态势感知平台等多款产品实现了行业场景融合创新与安全功能提升,凭借相关技术,天融信成功入选北京市首批首台(套)重大技术装备企业。
绿盟科技
数字经济下网络安全建设的重要关注点
一是建立网络安全作为底座的“地基”思维。
要扭转安全是传统信息化附属的身份,网络安全已成为整体数字化的“底座”,应利用“三化六防”、“智慧安全3.0”等创新理念,面向攻防,面对网络犯罪组织等建立动态变化的解决方案,注重安全顶层设计,注重安全防护实效,形成系统化建设、协同防御、智能运营、联合作战新局面。
二是网络安全与信息化建设要强化三同步原则。
不论传统IT建设,还是面向政务服务、智慧城市、智能制造、自动驾驶等重点新兴领域,网络安全均对数字化发展起着至关重要的作用,应切实践行网安法要求的“三同步”原则,即关键业务信息化与网络安全应“同步规划、同步建设、同步使用”,让网络安全和信息化并行发展,从而避免花费更大代价的“事后补救”,做到谋于前而动于后,确保重要系统和设施安全有序运行。
三是网络安全建设要个性化防护与体系化防护并行,突出个性化防护。
体系化防护是以系统化方法构筑网络安全,实现完整结构化保护。个性化防护是在体系化保护基础上,适应新生态、新模式、新场景的防护能力建设,结合所处的行业和机构自身业务特性而做出的针对性保护。网络安全建设不是一促而就,应建立与业务信息发展相适应的安全保障能力,并随着业务信息化的发展而不断健全完善,体系化建设是基础,个性化防护是实现安全能力有效提升重要支撑,应突出个性化防护,二者并行发展,才能有效实现安全能力塑造。结合十三五期间国内先行区域的各类创新服务模式的网络安全运营服务建设实践,在十四五期间自然也当属于不可或缺的建设要素,参与到数字经济所列举的各类产业和场景建设中。
体系化防护方面,可参考国内安全建设的最佳实践,如等保、分保等都是体系化防护的有效实践。规划中也明确提出加强网络安全等级保护和密码应用安全性评估等合规能力塑造。推广使用安全可靠的信息产品、服务和解决方案。支持发展社会化网络安全服务。
个性化防护方面,网络安全应突显行业特性和自身业务安全需求,健全完善网络安全方向的行业标准和企业标准,注重智能安全运营、威胁情报应用、安全信息共享与协同作战。规划中明确提出加强网络安全防护能力,提升数据安全保障水平。要强化跨领域网络安全信息共享和工作协同,健全完善网络安全应急事件预警通报机制,提升网络安全态势感知、威胁发现、应急指挥、协同处置和攻击溯源能力。提升网络安全应急处置能力,规范数据采集、传输、存储、处理、共享、销毁全生命周期管理,建立健全数据安全治理体系,增强数据安全防护能力,加强电信、金融、能源、交通运输、水利等重要行业领域关键信息基础设施网络安全防护能力。支持开展常态化安全风险评估。强化针对新技术、新应用的安全研究管理,为新产业新业态新模式健康发展提供保障。推动提升重要设施设备的安全可靠水平,增强重点行业数据安全保障能力。
四是要与国际接轨,制度规则开放。
国际战略在网络社会领域的演进,数据安全面临更复杂挑战。更多地参与国际规则制定、制度规则衔接、营商环境的调整,引导企业在法律合规、数据管理、新技术应用等领域完善自律机制,防范数字技术应用风险。规划指出要统筹数据开发利用、隐私保护和公共安全,加快建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范。还要建立健全数据产权交易和行业自律机制,要加强涉及国家利益、商业秘密、个人隐私的数据保护,加快推进数据安全、个人信息保护等领域基础性立法,强化数据资源全生命周期安全保护,要完善适用于大数据环境下的数据分类分级保护制度,要加强数据安全评估,推动数据跨境安全有序流动。
五是大力推进网络安全人才培养。
网络安全人才,好比医学专家,不但要懂医,还得懂人和社会。网络安全面对的是千变万化的网络空间构成形态以及日新月异的信息技术,实践要求很高,不但要懂信息技术,还要懂防护对象的业务重点等。在当前就业难的社情下网络安全行业的“用工荒”也印证了其培养难度。需持续加强网络安全人才培养力度,注重实效,推动产业健康发展。
在更加明确的政策导向下,数字经济必将持续快速发展,优化升级数字基础设施、大力推进产业数字化转型、推动推动数字产业化、持续提升“互联网+政务服务”、“互联网+社会服务”等公共服务数字化水平等规划中提及的战略与举措的有效落实,离不开网络安全保障,网络安全将不再是信息化建设的附属物,将承担更重要使命,为数字经济发展,甚至智能化革命顺利推进发挥更大作用。
安恒信息
关于构建全社会群防联动体系 精准防治电信网络诈骗的建议
从过往实践中汲取经验,结合“反电信网络诈骗法(草案)”,建议建立“全社会群防联动体系”,鼓励科技创新,实现电信网络诈骗场景化精准防治,其包括三个核心内容:
1、建立社会性组织防范电信网络诈骗工作规范。
衔接即将出台的“反电信网络诈骗法”,通过制定地方标准为政府、公安及其他行业主管单位、金融、通信和互联网企业责任落地提供指导意见。社会性组织防范电信网络诈骗工作规范应遵循“以防为主、责任下沉、重点突出、全民参与”的方针,内容覆盖防范原则、救济措施、应急预案、监督和检查等方面。
2、以运营育产业,提升反制措施。
运用云计算、区块链、隐私计算等技术,建立全省诈骗情报实时同步、共享机制;发挥数字化技术优势,全面革新反诈工作方式,通过数字化引导实现精确打击、精准宣防、精细救济;转变管理方式和系统建设思路,将反诈工作从协调指挥向运营指导转型,构建“城市级反电信网络诈骗运营体系”,统合侦查打击、预警宣防、场景防控、综合治理全流程;
3、探索联合实验室合作模式创新。
通过成立联合实验室,建立警企融合的犯罪研究和技术支撑队伍,充分发挥科技企业在数字经济中的技术优势,通过研究从宏观层面提出有前瞻性的解决方案,结合实战不断提升全省侦查打击和治理能力,为“打防治并举、以防为主、以打为要、以治为基”策略提供有效支撑。
保旺达
紧跟国家网络安全政策,聚焦数据权保障
2022年全国两会,众多代表委员围绕各行业各领域的网络与数据安全建言献策,具体包括瞄准产业数字化新场景,同步规划建设行业数字安全体系,保障传统产业数字化转型;要面向新型数字技术和应用场景,研究建设前瞻性的数字安全平台体系;促进安全技术发展,夯实安全产业基础,增强数据治理能力和数据监管水平的步伐等。
保旺达认为当下数据确定已成为驱动其前进的根本要素,一个数字泛在化的世界正不可逆的展开在我们眼前。财产权、人格权、国家主权,数据安全的重点正在从数据本体保护向数据权保障迁移。确权、授权、维权、收权将逐步替代加密、脱敏、匿名化、防泄漏成为数据安全建设背景下的业务关注主体。
保旺达紧跟国家网络安全政策,聚焦数据权保障,未来,我们将持续提供专业、高效、真诚的服务、伴随用户共同进入高效安全的数字化新世界。
河南省信息化发展有限公司
关于网络安全产业发展建议
一是在数字经济发展规划、信息化发展规划、政务信息化发展规划的基础和引领下,出台2022-2025年密码产业发展规划,鼓励和规范密码产业发展路径。
二是国内商用密码行业起步较晚,大多数企业处于初创时期,尚未形成集群发展之势。建议打造网络安全或密码产业园区,吸引行业领先企业入驻,打通上下游产业链条。
三是建立产学研用一体化产业生态体系,对关键技术攻关项目给予资金支持,完善网络安全产业配套服务,推进建设网络安全攻防实验室、产业基金、产业学院等。
四是目前车联网高速公路、城市应用场景中,各地方政策支持力度不一,建议组织开展车联网创新应用相关试点示范,统一和规范车联网相关应用标准。
奇安信
建设数字经济标杆城市,北京要实现“全面引领”
打造全球数字经济标杆城市,是北京市“十四五”期间的重点任务,当前北京在数字经济领域已建立起了先发优势。但随着新技术加速发展,智能社会治理面临诸多乱象。如何进一步严惩网络犯罪,加强隐私保护,治理大数据杀熟,完善数字经济安全制度体系?
在5日开幕的北京市政协十三届五次会议上,来自科学技术界别的北京市政协委员、奇安信集团董事长齐向东提出,北京应重点围绕智能社会乱象和数字经济发展两个维度,实现“全面引领”,建设“全球标杆”。为此,齐向东提交了《关于加强隐私保护和加大对网络诈骗打击力度的提案》《关于加大对弹窗广告、大数据杀熟治理力度的提案》《关于北京市完善数字经济安全制度的提案》《关于北京市加快建设国际科技创新中心的提案》四个提案。
起底互联网乱象:保护隐私打击网络犯罪
数字经济的高速发展,方便了人们的生活,也成了新型网络犯罪的温床。目前,个人隐私泄露事件屡见不鲜,因此催生隐私贩卖黑市,使得网络诈骗屡屡得手。据统计,超过7成的网络诈骗与个人隐私泄漏或信息窃取有关,隐私泄露和网络诈骗已成为与每一个网民都有着密切关联的互联网乱象之一。
2022年是实施“十四五”规划的关键年。十九届六中全会通过的《中共中央关于党的百年奋斗重大成就和历史经验的决议》指出,让老百姓过上好日子是我们一切工作的出发点和落脚点,必须以保障和改善民生为重点加强社会建设。
齐向东建议,北京市需加强隐私保护并加大对网络诈骗的打击力度,推进“第三方数据监管平台”和“跨行业反诈大数据平台”建设,压实数据保护和打击网诈的主体责任,营造清朗的网络空间,保障百姓安居乐业。
铲除智能社会“牛皮癣”:治理弹窗严惩大数据杀熟
目前,大数据技术应用的不断深化给人们的社会生活带来极大便利,但与此同时衍生出的弹窗广告、大数据杀熟等网络乱象,就像智能社会的“牛皮癣”,屡禁不止。截至2021年6月,我国网民规模达10.11亿,众多网民成为这些“牛皮癣”的直接侵害对象。
强化数字治理,营造开放、健康、安全的数字生态,是“十四五”时期加快建设网络强国和数字中国、推动经济社会高质量发展的重要战略任务。目前,国家针对弹窗广告、大数据杀熟出台了一系列法规条款:《互联网广告管理办法(公开征求意见稿)》《个人信息保护法》,将于3月1日实施的《互联网信息服务算法推荐管理规定》中,明确指出不得利用算法推荐服务从事违法活动或者传播违法信息。
顶层设计已逐渐完善,政策的落地措施还需进一步明确。为此,齐向东建议:应加大对涉事企业平台的处罚力度,提高违法成本,发挥政策的震慑力。处罚金额与涉事企业平台全年的收益总额挂钩,造成的后果越严重,罚金越高,并且不设上限;对于屡教不改、反复出现问题的企业,必要时可以采取强制措施,如限制经营、下架整顿等。
安全保障发展:完善数字经济安全制度
目前,我国数字经济安全制度体系已经基本健全,但还缺乏具体的落地措施。数字经济安全制度体系尚未发挥出应有的效应,存在违规惩戒力度过小、瞒报漏报、安全投入不足等问题。
推进数字经济发展,离不开网络安全这个稳定器。习近平总书记在主持中央政治局第三十四次集体学习时强调,各级领导干部要增强发展数字经济本领,强化安全意识。
因此,齐向东在提案中建议北京市加快制定网络安全相关法律法规的实施细则,强化网络安全工作一把手责任,明确网络安全投入占比不低于10%,并把网络安全产业列为北京高精尖产业集群之首,为北京数字经济发展提供动力。
激活原始创新:打造全球数字经济标杆
“十三五”期间,北京国际科技创新中心建设全面加速,支撑科创中心建设与经济高质量发展的重大项目和任务先后落地,北京在国际科技创新中心建设上已经建立起了绝对的先发优势。《自然》杂志评选的科研城市排名中,北京的科研产出连续4年排名全球第一,每万人发明专利拥有量是全国平均水平的10倍。
面对国内外复杂形势,北京国际科技创新中心建设目前还面临一些不足:原始创新能力有待增强,数据资产潜在价值仍需进一步激活,数字经济安全制度有待进一步完善。
要建设全球数字经济标杆,齐向东建议北京突破关键基础信息技术,打造新一代信息技术创新的全球高地。一方面要“补足短板”,重点突破高端通用芯片、核心电子元器件、高性能数据库等核心关键共性技术,真正掌握发展主动权;另一方面“筑牢长板”,大力促进工业互联网、云计算、大数据、人工智能、区块链等技术的发展与融合。更重要的是,推进数据要素市场化配置改革,激活数据资产潜在价值,把数据安全方面的法律要求,转化为可实施可操作可检测的技术要求,鼓励采用创新技术对原始数据进行脱敏处理,实现“数据不动程序动、数据可用不可见”。
齐向东认为,完善数字经济网络安全制度将极大地推动北京数字经济标杆城市的建设。北京市网络安全产业起步早、基础厚、存量好,建议把网络安全列入北京高精尖产业集群,完善网络安全制度,明确网络安全投入占比不低于10%,切实保护好重要系统的网络安全。
江南信安
推进密码深度融合
随着网络安全法、等保2.0、密码法以及国标39786的陆续颁布,2022年将是落实相关政策法规的重要时期,也是十四五规划和转型的重要节点,网络安全行业将面临新的机遇与挑战。
密码技术做为网络安全的核心之一,主要围绕网络安全全生命周期提供基础安全支撑。保障国家网络安全始终是网络安全行业的使命与重任,随着国家政策出台以及网络安全产业的全方位布局,政府及企事业单位将逐步增大在网络及信息系统的应用,专注提供密码技术的企业应着力将密码技术与传统网络安全进行融合,通过服务提升,业务融合,人才储备,前沿技术攻关,企业转型,将政企用户的诉求以创新技术与优质的服务予以回馈,真正让网络安全体系形成闭环生态。
未来网络安全市场规模将会不断扩大,产业生态会迎来更广阔的前景,为保障我国网络安全筑起高墙。
万里红
聚焦两会数字安全,万里红奋楫起航
党的十八大以来,党中央高度重视发展数字经济,数字经济连续多年被写入政府工作报告。在建设数字中国,构筑智慧型社会的理念引领下,我国已经打造了具有国际竞争力的数字产业集群。互联网、大数据、人工智能持续为实体经济深度赋能,基于互联网的各类创新层出不穷,网络经济空间得到前所未有的拓展。今年政府工作报告进一步指出:要促进数字经济发展;加强数字中国建设整体布局;建设数字信息基础设施。同时完善数字经济治理,释放数据要素潜力,更好赋能经济发展、丰富人民生活。在这样波澜壮阔的背景下,“数字安全”作为数字经济发展的压舱石,在护航实体经济转型、促进共同富裕、保障国家安全方面发挥着重要作用。
分析“两会”安全相关议题不难发现,随着国际国内形式的变幻莫测,受到新冠疫情的影响等因素,“数字安全”的态势在持续发生着变化:
一是境外针对我国关键基础设施,有组织的网络渗透和攻击持续增加,仅2月下旬以来,我国互联网持续遭受境外网络攻击,攻击流量峰值达36Gbps,大量攻击聚焦在能源、金融、交通、水利、工业制造、医疗卫生、公用事业等关乎国计民生领域,这些领域的风险,会直接影响国家和社会的稳定;
二是因“疫情”导致企业经营办公方式发生了变化,互联网办公不仅为企业带来了便利,同时也带来了风险。比如:个人信息、企业数据等“敏感信息”泄露为企业和个人带来了前所未有的风险。
三是云计算对传统业务的赋能,让业务形态发生了变化。工业控制、金融操作等传统业务流程暴露在互联网环境下,因防护手段不足,导致企业和个人此类安全事件频发。如:某制造企业保存在云端数据被恶意泄露、互联网金融领域的经济诈骗案件持续高发等。
四是随着数字化交易手段的丰富和发展,暴露出了传统安全认证方式存在的显著不足,因认证漏洞导致的安全事件呈现高发趋势。如:因人脸识别率低下导致的交易认证漏洞,给企业和个人带来了巨大的经济损失。
信安保密
关于网络安全产业发展建议
一是打造国家网络安全武器库。由网信办牵头,整合各大安全公司机构,组建国家网络攻防武器库。
二是组建全国性质的舆情引导队伍,有组织,有纪律,统一行动。一方面,要打造国家网络安全武器库。由网信办牵头,整合各大安全公司机构,组建国家网络攻防武器库。另一方面,要组建全国性质的舆情引导队伍,有组织,有纪律,统一行动。
悬镜安全
建议加强软件供应链安全管理
现代软件开发以开源为核心驱动,开源成分缺陷及漏洞是一大安全风险。一旦有大规模用户基础的开源软件存在安全漏洞,势必会影响上下游企业软件的安全使用。但是软件供应链安全中对开源风险的治理普便建立在自愿的基础上,开源生态系统可以参照的正式规则也很有限,软件供应链攻击已成常态化。
悬镜安全建议:
1、建立国家级的安全开源组件库平台,保障软件开发时开源组件的来源安全;
2、 要求软件物料清单(SBOM)像食品配料表一样,成为软件出厂、上线、使用的必备一环;
3、推行面向全行业常态化的软件成分抽样检查机制,防微杜渐,避免造成过大的损失。
亿赛通
数据安全行业的新局面
如今安全的信息系统已逐步成为企业拓展新业务、新市场,提升核心竞争力和品牌影响力的重要手段。信息系统的安全需求已从单纯的合规性需求、保障性需求发展成为信息系统建设的核心需求。根据海外市场研究机构Verified Market Research(VMR)统计,2019年全球数据安全市场规模约为173.8亿美元,预计到2027年全球数据安全市场规模将达到572.9亿美元,年复合增长率约为17.35%。根据近七年对RSAC的热词统计,数据安全、隐私合规持续位列全球网络安全市场的前十大热点。
在数字化浪潮席卷而来的当下,数据已成为核心资产,“数据泄露”“数据安全”这些字眼总是活跃在我们眼前。一直以来,数据泄露都是发生最为频繁的安全事件,全球多地都深受数据泄露事件的困扰。数据泄露类型最多涉及到的是个人基本信息,IOT日志、人脸图像等新技术的应用加速了个人信息的暴露面,个人成为最大的牺牲者,因此加强数据安全防护,减少信息泄露事件发生,是网络安全行业不可推卸的责任和义务。
数据安全产业的发展受到政策监管和市场需求双重因素的驱动
全球掀起数据安全与隐私保护的立法热潮,对企业提出了更高的数据安全合规性要求。相关政策落地呈现窗口期,数据安全成为各类组织进行安全管理和合规工作的重要内容。金融、水利、交通、教育、政府、电信与互联网行业为数据安全监管较为严格的行业,数据备份、数据分类分级、数据安全风险评估和审计是监管最为看重的四个子领域。
美国、欧盟纷纷出台数据战略,将数据竞争力上升到国家战略高度
全球132个国家和地区目前已制定数据安全和隐私保护法律。国外真正意义上的信息安全法制建设始于20世纪40年代,以计算机的问世与1947年美国颁布的《国家安全法》和1967年美国《信息自由法》为标志,开启全球信息安全立法时代。而近些年,数据安全立法更是随着欧盟发布《通用数据保护条例》(GDPR),迎来爆发期。印度、巴西、泰国、马来西亚、越南等国纷纷借鉴起草本国数据保护法。
国内也紧跟全球趋势,在云计算、人工智能、物联网等技术的进步及大规模应用下,我国积极推进数据安全政策的制定与出台,落地增速明显。2015年颁布的《国家安全法》明确提出“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”,将数据安全纳入国家安全的范畴。目前我国的数据安全监管体系框架形成了以“数据安全国家战略”为出发点,《网络安全法》《数据安全法》《个人信息保护法》为核心,国务院、地方行政法规,国家标准,行业部门规章以及其它专项规定等为补充的体系框架。
行政法规方面,国务院、各地方立法机构围绕基本法制定的配套法规制度也陆续出台
国务院颁布《关键信息基础设施保护条例》,要求关键信息基础设施运营者应在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。贵州、西安、天津、海南等地相继出台了本地大数据发展和应用相关条例,对大数据安全问题提出了原则性的规定,如贵州省出台大数据风险管理,西安市出台政务数据开放共享等相关政策文件。
标准建设方面,《信息安全技术 数据安全能力成熟度模型(DSMM)》、《政务信息共享 数据安全技术》等相关国家标准密集出炉,覆盖内容包括数据跨境流动、个人信息保护、新技术新应用数据安全防范、重点领域数据安全保护等方面。
并且,政府工作报告中再次提到,要强化网络安全、数据安全和个人信息保护。从趋势来看,政务数据安全、数据安全治理、平台管理成为重点。其中,政务数据由于数据量庞大,敏感数据众多,关乎国计民生和国家安全,后期可尽快推动政务机关数据规范化运行,专项立法,最大程度发挥政务数据价值,确保政务业务在安全环境中稳定运行。最后,亿赛通希望与广大友商共同见证产业大变革,推进数据安全产业发展!
易道信安
始创新“国产化”共建全球网络安全事前防御护城河
易道信安总裁黄江峡建议网络安全的从业者一定要“守正出新”,为此她送给安全从业者一些金玉良言:健康、向上、正向理解世界。她认为安全行业不仅是技术门槛要求高,而且职业道德要求也相当高。易道信安愿意团结各个厂商共同打造事前安全生存产业链,呼吁社会各界,为安全立“心”为生民立“命”,团结一致,易道信安呼吁反垄断恶性循环竞争,支持中国人的原始创新“国产化”共建全球网络安全事前防御护城河。
网络安全严谨求真,需要深厚的学科背景知识,需要有条不紊的推行。事前风控是解决安全问题的重要手段。可惜的是很多安全公司习惯于在“市场”及客户出了问题后再解决,在“事前风控”方面少有涉足,导致极少有安全公司愿意投入资本和精力重点研发事前风控。易道信安却是众多安全公司中少有的务实研究底层“事前安全”技术,并实现“颠覆性”创新,是富有“前瞻性”较强的安全公司。
山不在高,有仙则名,水不在深,有龙则灵。易道信安指出事前风控领域会成为新一轮网络安全产业链布局的必争之地,并积极用事前防御的方式治理安全问题,并有以下几点建议。首先,提升公民的安全意识;其次,积极务实,做好事前防御工作;最后,改变传统的安全治理思维,用事前防御的安全治理方式将未知威胁扼杀在摇篮之中。
易道信安建议呼吁国产化,各安全公司互相团结,共同开启事前防控“网络空间安全”新纪元,力求减少网络空间安全混乱治理现象,实现网络安全治理“安全兼容性大团结”,做真正意义上的网络安全。
渔翁信息
关于重视和加快密码技术在国内发展的建议
(一)是强化密码技术的自主创新能力。积极开展商用密码技术的创新、加强关键核心技术攻关,促进密码技术的成果转化。在供给侧方面,加大国内芯片、操作系统、高端控制元器件等上游产品的技术突破,提升密码芯片、模块等产品性能,加强新一代密码算法、密码技术的基础性研究与创新;在需求侧方面,加强产业技术整合,使密码技术真正嵌入大数据、云计算、区块链、人工智能等新兴技术领域。
(二)是建立健全的密码管理体制。建议国家相关密码管理部门,加快密码领域法律制度的整体规划和顶层设计。重点布局面向政务云、面向工业互联网、物联网等领域的平台化、开放化密码管理服务能力建设,以适应网络信息技术万物互联、智能化的趋势。
(三)是优化商用密码产业生态环境。推进以重大工程、重大专项等为牵引,搭建商用密码协同创新平台,统筹利用政、产、学、研、用等各类资源,促进政府、企业、高校、科研院所、商用密码产品生产商等不同社会分工部门彼此间的互助合作。促进商用密码产业多样化、全覆盖发展,打造商用密码发展新业态。
(四)是持续完善标准化体系建设。加快推进面向等保2.0的商用密码应用标准的编制发布工作,从企业、产业角度,有效指导各行业开展商用密码应用,充分发挥标准化的基础性和引领性作用。推进我国商用密码产品和服务的影响力,增强我国商用密码产业国际竞争力,提升我国在密码标准方面的国际话语权。
(五)是制定完善的人才培养机制。加强密码专业学科和师资队伍建设,积极探索产学研协作创新培养模式,鼓励通过校企合作构建创新基地合作,推动网络安全高层次人才队伍不断壮大。可仿效美国等发达国家,由国家专业机构开展教育培训和在职深造,并将政企骨干人员送往大企业进行锻炼深造,提升专业知识应用和能力。另外,建议逐步将密码学科列为国家重点学科项目,并加快在国家重点高校开设专业课程,培养专业的人才梯队
附:部分企业“两会”提案建议
360
关于加强我国开源软件安全建议
第一,加强对开源软件的代码审查,构建开源软件生态的安全风险评估机制。对中国参与的开源软件生态持续开展代码漏洞安全审查,开展关键信息基础设施和重要信息系统普查,摸清开源软件使用情况“家底”,精确掌握其类型、协议、来源等基础信息,形成全量使用关系视图,布局安全风险管理。
第二,积极参与国际开源社区,提高话语权,建立影响力。从开源软件的发展历程来看,开源是实现技术迭代和长期发展的成功模式,也是全球软件业发展的趋势。鉴于当前国内软件开发实力尚不足以达到国际水平的现实,国内软件业应该积极参与国际开源社区互动,在学习和发展中,在既有规则内,不断提高话语权,建立影响力。不宜采取“禁止或控制开源软件使用”的做法,这样做无异于因噎废食,反而不利于我国软件开发产业的发展。
第三,鼓励第三方市场力量参与国内开源生态建设,推进开源自主,尽快掌控开源软件资源应用的主动权。建议在网信、工信部门的主持下,明确开源软件的安全责任,建立监管方、软件供应方、软件使用方、网络安全服务力量多方共治协调机制。统筹布局,以灵活的机制加大对国内开源社区的投入,鼓励第三方市场力量参与、加快培育我国开源社区、开源基金会、开源协议和开源项目,从源头强化供给。
围绕建立健全智能网联车安全机制的建议
一是建立智能网联汽车“数字空间碰撞测试”机制和相关标准,保障汽车出厂安全和持续检测。通过依法合规地对车身网络、车云网络、车数网络、车联网络和车企网络进行渗透测试,发现汽车“云、管、端”全系统数字安全问题,保障汽车出厂安全。同时,在车检和软件在线升级环节,增加“数字空间碰撞测试”要求。
二是建议规范汽车安全漏洞的上报行为,不恶意炒作和违规披露。鉴于汽车安全漏洞高度敏感,一旦泄露可能造成人身伤害和财产损失,相关部门需进一步加强汽车安全漏洞相关法规的执行力度,引导网安企业和黑客按规定程序上报汽车漏洞。
三是打造以安全大脑为核心的智能网联汽车行业态势感知体系,建立汽车安全监管长效机制。该智能网联汽车行业态势感知体系能够把汽车、车企、车企供应链、路侧设施、云控平台等都连接打通,汇聚分析汽车安全大数据,及时发现安全风险和事件,全面掌握每辆汽车的数字安全状态,帮助监管部门和车企实现汽车安全实时全程“可见、可控、可管”,确保智能网联汽车始终处于良好的安全状态。
关于将网络安全升级为数字安全,建立保障数字经济发展、护航数字中国建设的数字安全屏障体系的建议
一是瞄准产业数字化新场景,同步规划建设行业数字安全体系,保障传统产业数字化转型。未来,所有传统行业都将被数字化重塑,产生工业互联网、能源互联网、车联网等产业数字化新场景。建议相关行业主管部门把建设行业数字安全体系纳入产业数字化的整体规划,推动各行业龙头企业企业建设以安全大脑为核心的数字安全体系,以能力导向代替合规导向,夯实产业数字化的安全底座。
二是要面向新型数字技术和应用场景,研究建设前瞻性的数字安全平台体系。当前,人工智能、区块链、量子计算等新技术不断进步,数字货币、自动驾驶、元宇宙等新应用不断兴起,带来不可预知的安全风险,传统网络安全缺乏成熟的应对经验。建议相关部门采取“揭榜挂帅”的方式,鼓励企业、研究机构、高校共建数字安全平台,如依托国家新一代人工智能开放平台、大数据开放协同实验室等,牵引带动行业创新数字安全体系。
三是建议以城市为主体,由政府统筹打造城市级数字空间安全基础设施和应急体系,保障经济社会稳定发展。城市作为经济、人口的集中地,未来将集聚全国80%的GDP和人口。俄乌冲突等现实案例已证明,城市已成为网络战的首选战场,也是维护国家数字安全的主阵地。一旦城市的政府服务、关键基础设施群遭受网络攻击,就会让城市业务停摆、经济停滞、社会动乱。但是,过去城市并非数字安全的建设主体,各个企业、单位“谁建设谁负责”,自行建设、能力分散,缺乏统一的数字安全感知、应急、指挥体系。建议以城市为主体,由政府统筹打造城市级的数字空间安全基础设施,建设城市的“数字安全医院”,包括城市级的统一感知系统、应急系统和指挥系统,做到及时发现、快速响应、联防联控,为各单位输出安全基础服务,为城市数字化保驾护航。
关于鼓励帮扶中小微企业构建数字安全能力的建议
360创始人周鸿祎建议国家出台专项政策,明确中小微企业应具备的数字安全能力要求。他表示,一方面,希望国家把数字安全能力建设纳入中小微企业数字化发展规划,引导中小微企业提高数字安全能力建设;另一方面,建议有关政府部门、大型企业及关键基础设施在采购政策中明确对供应链中小微企业的数字安全能力要求,在采购中小微企业的数字化产品时,以能力为导向进行数字安全评估,从源头上夯实供应链安全的底座。
此外,他还建议相关部门借鉴免费杀毒的模式,鼓励大型安全企业为中小微企业提供轻量化免费安全服务,让中小微企业数字安全不掉队。“希望相关部门以政策鼓励、提供服务补贴、税收减免等方式,鼓励大型企业为中小微企业提供免费或低成本的数字安全SaaS服务和相关产品,包括提供终端、网络、软件、数据、资产等全方位安全防护与管理服务,降低中小微企业享受数字安全服务的成本与门槛,为中小微企业向‘专精特新’数字化发展提供安全保障。”
启明星辰
关于加强智能网联汽车生产制造安全与数据安全标准建设的提案建议
(一)统筹制定智能网联汽车生产制造权威安全标准
加快建立汽车生产制造信息安全体系指导标准,覆盖汽车整车及零部件生产、设计、制造企业的信息安全组织管理、生产制造过程管理,以及新车型的安全功能及特征要求。建立相应的检测评估机制,明确安全风险闭环和漏洞定级标准,对我国境内生产、开发、设计制造的零部件、电子系统、整车,以及境外生产出口到我国的汽车及零部件、电子系统等形成评估、检测、认证、管理机制。
(二)兼顾创新与安全形成智能网联汽车数据安全标准
着眼标准统一性、协调性、落地性,建设适合汽车行业的数据分类分级标准,特别是在具体场景当中涉及到的身份数据、服务内容数据、信息安全数据等,为车辆数据安全管理提供支撑。建立覆盖各类数据处理活动全生命周期的具体技术标准。当前信安标准发布了TC260—001《汽车采集数据处理安全指南》,但在数据供给、开发利用、流通等环节存在缺失。
关于加强新型电力系统与网络安全同步规划建设,促进能源绿色低碳转型健康发展的提案建议
(一)统筹协同,加强新型电力系统发展与安全同步规划建设。
统筹安排电力部门、网络信息安全部门、创新企业等多方力量,联合开展顶层设计和规划论证。在构建智慧能源体系和加强新型电力系统技术体系建设的同时,也要注重构建能源网络全要素安全技术体系;在大力提升能源网络数据智能自动化安全调度运营管控的能力的同时,也要注重同步安排新型电力系统网络安全防护体系的规划建设。
(二)交叉融合,开展新型电力系统标准制定和技术研发工作。
针对新型电力系统的新技术研发、风险控制、网络管理、数据安全等方面,需要电力、网络、安全、数据等跨学科、多领域专家交叉融合开展创新工作,建立与系统相匹配的、可持续更新的新型电力系统、网络安全、数据安全等工程标准体系,基于新型应用场景开展技术研究、产品研发、应用改进完善等工作。
(三)开放连接,着力提升新型电力系统安全保障水平。
面向日益开放的新型电力系统运行环境,发挥各方比较优势,凝结成高质量安全防护能力,在预防预测、防护保障、监测预警、应急处置等方面,打通产品、服务、人员和流程等关节,通过一体化安全运营模式,衔接整合多方社会优势力量,在真攻实防的环境中,不断提升新型电力系统的网络和数据安全保障水平。
