作 者丨白杨
编 辑丨张伟贤
3月4日,21世纪经济报道记者获悉,全国政协委员、360创始人周鸿祎今年将提交多份与安全相关的提案。其中包括《关于把网络安全升级为数字安全,筑牢数字安全屏障的建议》、《关于建立智能网联汽车“数字空间碰撞测试”长效机制的建议》等。
周鸿祎提出,数字化的安全威胁已经超越虚拟世界,延伸到了现实世界。
把网络安全升级为数字安全
在《关于把网络安全升级为数字安全,筑牢数字安全屏障的建议》中,周鸿祎委员提出,安全风险遍布所有数字化场景,网络安全已难以解决新的复杂挑战。
一方面,产业数字化已经深入各行各业,安全风险遍布所有数字化场景。尤其是随着产业数字化的发展,安全风险已遍布关键基础设施、工业互联网、车联网、能源互联网、数字政府、智慧城市等各大场景。由此,数字化的安全威胁已经超越虚拟世界,延伸到了现实世界,影响国家、国防、经济、社会乃至人身安全。
另一方面,数字化新技术、新应用的产生,导致简单安全问题升级为复杂安全问题。随着大数据、云计算、人工智能等大量新技术的使用,除了网络安全外,还面临着大数据安全、云安全、供应链安全、区块链安全等一系列新的复杂安全挑战。
因此,周鸿祎委员提出以下建议:
一是瞄准产业数字化新场景,同步规划建设行业数字安全体系,保障传统产业数字化转型。
未来,所有传统行业都将被数字化重塑,产生工业互联网、能源互联网、车联网等产业数字化新场景。建议相关行业主管部门把建设行业数字安全体系纳入产业数字化的整体规划,推动各行业龙头企业建设以安全大脑为核心的数字安全体系,以能力导向代替合规导向,夯实产业数字化的安全底座。
二是要面向新型数字技术和应用场景,研究建设前瞻性的数字安全平台体系。
当前,人工智能、区块链、量子计算等新技术不断进步,数字货币、自动驾驶、元宇宙等新应用不断兴起,带来不可预知的安全风险,传统网络安全缺乏成熟的应对经验。建议相关部门采取“揭榜挂帅”的方式,鼓励企业、研究机构、高校共建数字安全平台,如依托国家新一代人工智能开放平台、大数据开放协同实验室等,牵引带动行业创新数字安全体系。
三是建议以城市为主体,由政府统筹打造城市级数字空间安全基础设施和应急体系,保障经济社会稳定发展。
城市作为经济、人口的集中地,未来将集聚全国80%的GDP和人口。一旦城市的政府服务、关键基础设施群遭受网络攻击,就会让城市业务停摆、经济停滞、社会动乱。但是,过去城市并非数字安全的建设主体,各个企业、单位“谁建设谁负责”,自行建设、能力分散,缺乏统一的数字安全感知、应急、指挥体系。
建议以城市为主体,由政府统筹打造城市级的数字空间安全基础设施,建设城市的“数字安全医院”,包括城市级的统一感知系统、应急系统和指挥系统,做到及时发现、快速响应、联防联控,为各单位输出安全基础服务,为城市数字化保驾护航。
建立智能网联汽车“数字空间碰撞测试”机制
在《关于建立智能网联汽车“数字空间碰撞测试”长效机制的建议》中, 周鸿祎委员指出,近年来,我国智能网联汽车呈现强劲的发展势头,2021年,L2级(组合驾驶辅助)及以上乘用车新车市场渗透率已超过20%,预计到2025年将突破50%,智能化、网联化已经成为汽车乃至交通行业未来发展的必然趋势。
与此同时,智能网联汽车的数字安全隐患也不断显现,网络攻击事件也越来越多,数字安全正在成为智能网联汽车的重大安全问题。
周鸿祎委员称,软件定义汽车使得数字安全问题不可避免,其危害性不亚于传统安全问题。
首先,代码数量增加使得车载系统安全缺陷激增;其次,网络连接汽车导致攻击面增加;再次,车企网联程度不断提高,云端是最大安全隐患;最后,数据驱动汽车,带来数据安全风险攀升。
因此,汽车网络安全不仅在于车身网络,还包括车云网络、车数网络、车联网络、车企网络等多方面安全,任何一个网络出现问题都可能导致汽车被攻击甚至物理损毁。
但是目前,虽然碰撞测试已成为检验汽车安全性能的强制手段,但是传统碰撞测试只能发现汽车物理安全缺陷,并不能检测出汽车数字安全隐患。
因此,周鸿祎委员提出以下建议:
一是建立智能网联汽车“数字空间碰撞测试”机制和相关标准,保障汽车出厂安全和持续检测。
建议国家借鉴传统汽车碰撞测试理念,尽快建立智能网联汽车“数字空间碰撞测试”机制,鼓励安全企业建设第三方“数字空间碰撞测试”平台,强制要求在我国境内销售的智能网联汽车都必须通过“数字空间碰撞测试”认证,通过依法合规地对车身网络、车云网络、车数网络、车联网络和车企网络进行渗透测试,发现汽车“云、管、端”全系统数字安全问题,保障汽车出厂安全。同时,在车检和软件在线升级环节,增加“数字空间碰撞测试”要求,确保汽车持续保持良好的数字安全状态。
二是建议规范汽车安全漏洞的上报行为,不得恶意炒作和违规披露。
我国已经出台了《网络产品安全漏洞管理规定》,但是仍然存在随意披露汽车安全漏洞、炒作相关安全事件的违规现象。鉴于汽车安全漏洞高度敏感,一旦泄露可能造成人身伤害和财产损失,建议相关部门进一步加强汽车安全漏洞相关法规的执行力度,引导网安企业和黑客按规定程序上报汽车漏洞,不得恶意炒作和违规披露。
三是打造以安全大脑为核心的智能网联汽车行业态势感知体系,建立汽车安全监管长效机制。
智能网联汽车安全是典型的复杂系统问题,需要体系化的安全解决方案,建议汽车行业尽快搭建起一套以安全大脑为核心的智能网联汽车态势感知体系,把汽车、车企、车企供应链、路侧设施、云控平台等都连接打通,汇聚分析汽车安全大数据,及时发现安全风险和事件,全面掌握每辆汽车的数字安全状态,帮助监管部门和车企实现汽车安全实时全程“可见、可控、可管”,确保智能网联汽车始终处于良好的安全状态。
关注开源软件安全以及中小企业安全
除了上述两份提案外,周鸿祎委员围绕安全议题,还提交了《关于鼓励帮扶中小微企业构建数字安全能力的建议》以及《关于加强我国开源软件安全风险防范治理的建议》。
在《关于鼓励帮扶中小微企业构建数字安全能力的建议》中,周鸿祎委员建议监管机构通过安全社区、挑战赛等形式,鼓励各方力量开展对开源代码的系统性漏洞挖掘,掌握安全隐患。并对关键信息基础设施和重要信息系统开展普查,摸清开源软件使用情况“家底”,精确掌握其类型、协议、来源等基础信息,形成全量使用关系视图,并进行系统漏洞挖掘,布局安全风险管理。
建议有关部门明确要求开源软件企业有义务对所使用的开源代码进行漏洞审查,建立企业安全响应中心,提高开源软件的安全管理能力。同时,鼓励中国软件开发者积极参与国际开源社区,提高在国际开源社区的影响力,带动国际开源社区开展大规模的漏洞挖掘,提高开源项目的安全水平。
在《关于加强我国开源软件安全风险防范治理的建议》中,周鸿祎委员则建议出台专项政策,明确中小微企业应具备的数字安全能力要求;建议相关部门以政策鼓励、提供服务补贴、税收减免等方式,鼓励大型企业为中小微企业提供免费或低成本的数字安全SaaS服务和相关产品,降低中小微企业享受数字安全服务的成本与门槛,为中小微企业向“专精特新”数字化发展提供安全保障。
