作 者丨白楊
編 輯丨張偉賢
3月4日,21世紀經濟報道記者獲悉,全國政協委員、360創始人周鴻祎今年將提交多份與安全相關的提案。其中包括《關于把網絡安全升級為數字安全,筑牢數字安全屏障的建議》、《關于建立智能網聯汽車“數字空間碰撞測試”長效機制的建議》等。
周鴻祎提出,數字化的安全威脅已經超越虛擬世界,延伸到了現實世界。
把網絡安全升級為數字安全
在《關于把網絡安全升級為數字安全,筑牢數字安全屏障的建議》中,周鴻祎委員提出,安全風險遍布所有數字化場景,網絡安全已難以解決新的復雜挑戰。
一方面,產業數字化已經深入各行各業,安全風險遍布所有數字化場景。尤其是隨著產業數字化的發展,安全風險已遍布關鍵基礎設施、工業互聯網、車聯網、能源互聯網、數字政府、智慧城市等各大場景。由此,數字化的安全威脅已經超越虛擬世界,延伸到了現實世界,影響國家、國防、經濟、社會乃至人身安全。
另一方面,數字化新技術、新應用的產生,導致簡單安全問題升級為復雜安全問題。隨著大數據、云計算、人工智能等大量新技術的使用,除了網絡安全外,還面臨著大數據安全、云安全、供應鏈安全、區塊鏈安全等一系列新的復雜安全挑戰。
因此,周鴻祎委員提出以下建議:
一是瞄準產業數字化新場景,同步規劃建設行業數字安全體系,保障傳統產業數字化轉型。
未來,所有傳統行業都將被數字化重塑,產生工業互聯網、能源互聯網、車聯網等產業數字化新場景。建議相關行業主管部門把建設行業數字安全體系納入產業數字化的整體規劃,推動各行業龍頭企業建設以安全大腦為核心的數字安全體系,以能力導向代替合規導向,夯實產業數字化的安全底座。
二是要面向新型數字技術和應用場景,研究建設前瞻性的數字安全平臺體系。
當前,人工智能、區塊鏈、量子計算等新技術不斷進步,數字貨幣、自動駕駛、元宇宙等新應用不斷興起,帶來不可預知的安全風險,傳統網絡安全缺乏成熟的應對經驗。建議相關部門采取“揭榜掛帥”的方式,鼓勵企業、研究機構、高校共建數字安全平臺,如依托國家新一代人工智能開放平臺、大數據開放協同實驗室等,牽引帶動行業創新數字安全體系。
三是建議以城市為主體,由政府統籌打造城市級數字空間安全基礎設施和應急體系,保障經濟社會穩定發展。
城市作為經濟、人口的集中地,未來將集聚全國80%的GDP和人口。一旦城市的政府服務、關鍵基礎設施群遭受網絡攻擊,就會讓城市業務停擺、經濟停滯、社會動亂。但是,過去城市并非數字安全的建設主體,各個企業、單位“誰建設誰負責”,自行建設、能力分散,缺乏統一的數字安全感知、應急、指揮體系。
建議以城市為主體,由政府統籌打造城市級的數字空間安全基礎設施,建設城市的“數字安全醫院”,包括城市級的統一感知系統、應急系統和指揮系統,做到及時發現、快速響應、聯防聯控,為各單位輸出安全基礎服務,為城市數字化保駕護航。
建立智能網聯汽車“數字空間碰撞測試”機制
在《關于建立智能網聯汽車“數字空間碰撞測試”長效機制的建議》中, 周鴻祎委員指出,近年來,我國智能網聯汽車呈現強勁的發展勢頭,2021年,L2級(組合駕駛輔助)及以上乘用車新車市場滲透率已超過20%,預計到2025年將突破50%,智能化、網聯化已經成為汽車乃至交通行業未來發展的必然趨勢。
與此同時,智能網聯汽車的數字安全隱患也不斷顯現,網絡攻擊事件也越來越多,數字安全正在成為智能網聯汽車的重大安全問題。
周鴻祎委員稱,軟件定義汽車使得數字安全問題不可避免,其危害性不亞于傳統安全問題。
首先,代碼數量增加使得車載系統安全缺陷激增;其次,網絡連接汽車導致攻擊面增加;再次,車企網聯程度不斷提高,云端是最大安全隱患;最后,數據驅動汽車,帶來數據安全風險攀升。
因此,汽車網絡安全不僅在于車身網絡,還包括車云網絡、車數網絡、車聯網絡、車企網絡等多方面安全,任何一個網絡出現問題都可能導致汽車被攻擊甚至物理損毀。
但是目前,雖然碰撞測試已成為檢驗汽車安全性能的強制手段,但是傳統碰撞測試只能發現汽車物理安全缺陷,并不能檢測出汽車數字安全隱患。
因此,周鴻祎委員提出以下建議:
一是建立智能網聯汽車“數字空間碰撞測試”機制和相關標準,保障汽車出廠安全和持續檢測。
建議國家借鑒傳統汽車碰撞測試理念,盡快建立智能網聯汽車“數字空間碰撞測試”機制,鼓勵安全企業建設第三方“數字空間碰撞測試”平臺,強制要求在我國境內銷售的智能網聯汽車都必須通過“數字空間碰撞測試”認證,通過依法合規地對車身網絡、車云網絡、車數網絡、車聯網絡和車企網絡進行滲透測試,發現汽車“云、管、端”全系統數字安全問題,保障汽車出廠安全。同時,在車檢和軟件在線升級環節,增加“數字空間碰撞測試”要求,確保汽車持續保持良好的數字安全狀態。
二是建議規范汽車安全漏洞的上報行為,不得惡意炒作和違規披露。
我國已經出臺了《網絡產品安全漏洞管理規定》,但是仍然存在隨意披露汽車安全漏洞、炒作相關安全事件的違規現象。鑒于汽車安全漏洞高度敏感,一旦泄露可能造成人身傷害和財產損失,建議相關部門進一步加強汽車安全漏洞相關法規的執行力度,引導網安企業和黑客按規定程序上報汽車漏洞,不得惡意炒作和違規披露。
三是打造以安全大腦為核心的智能網聯汽車行業態勢感知體系,建立汽車安全監管長效機制。
智能網聯汽車安全是典型的復雜系統問題,需要體系化的安全解決方案,建議汽車行業盡快搭建起一套以安全大腦為核心的智能網聯汽車態勢感知體系,把汽車、車企、車企供應鏈、路側設施、云控平臺等都連接打通,匯聚分析汽車安全大數據,及時發現安全風險和事件,全面掌握每輛汽車的數字安全狀態,幫助監管部門和車企實現汽車安全實時全程“可見、可控、可管”,確保智能網聯汽車始終處于良好的安全狀態。
關注開源軟件安全以及中小企業安全
除了上述兩份提案外,周鴻祎委員圍繞安全議題,還提交了《關于鼓勵幫扶中小微企業構建數字安全能力的建議》以及《關于加強我國開源軟件安全風險防范治理的建議》。
在《關于鼓勵幫扶中小微企業構建數字安全能力的建議》中,周鴻祎委員建議監管機構通過安全社區、挑戰賽等形式,鼓勵各方力量開展對開源代碼的系統性漏洞挖掘,掌握安全隱患。并對關鍵信息基礎設施和重要信息系統開展普查,摸清開源軟件使用情況“家底”,精確掌握其類型、協議、來源等基礎信息,形成全量使用關系視圖,并進行系統漏洞挖掘,布局安全風險管理。
建議有關部門明確要求開源軟件企業有義務對所使用的開源代碼進行漏洞審查,建立企業安全響應中心,提高開源軟件的安全管理能力。同時,鼓勵中國軟件開發者積極參與國際開源社區,提高在國際開源社區的影響力,帶動國際開源社區開展大規模的漏洞挖掘,提高開源項目的安全水平。
在《關于加強我國開源軟件安全風險防范治理的建議》中,周鴻祎委員則建議出臺專項政策,明確中小微企業應具備的數字安全能力要求;建議相關部門以政策鼓勵、提供服務補貼、稅收減免等方式,鼓勵大型企業為中小微企業提供免費或低成本的數字安全SaaS服務和相關產品,降低中小微企業享受數字安全服務的成本與門檻,為中小微企業向“專精特新”數字化發展提供安全保障。
本期編輯 劉巷 實習生 詹惠楠
