"今年的政府工作报告中提出,推进国家安全体系和能力建设,强化网络安全、数据安全和个人信息保护。这为安全行业的发展指明了方向,也激励着我们要坚持科技报国理念,勇攀科技高峰,帮助国家突破‘急难关卡’的技术障碍,筑牢数字安全屏障体系。"在聆听完政府工作报告之后,全国政协委员、360创始人周鸿祎如是表达自己的感受。
实际上,作为全国政协委员,周鸿祎参政议政五年来,每年提交的建议几乎都是围绕安全来展开的,共计提交了17份与"安全"相关的建议。
"政协委员要有调查才能有发言权。如果去追踪社会热点,但你对很多东西并不懂,分析的深度是不够的,可能只是发现问题,但提不出解决的建议。所以,这五年里,我一直聚焦于自己的专业领域,从过去的网络安全到今天的数字安全,将工作中发现的问题总结提炼,为国家建言献策,帮助国家、社会更好地构建安全体系,为中国数字经济发展保驾护航。"周鸿祎告诉《中国经济周刊》记者。
在周鸿祎看来,数字化的程度越高,安全挑战也就越大。安全是发展的前提,发展是安全的保障。"随着数字化渗透到国家经济、社会、政府等方方面面,也需要同步把网络安全升级为数字安全,建立保障数字经济发展、数字中国建设的数字安全屏障体系。"他说。
网络安全升级为数字安全,对手变了,战场也变了
周鸿祎告诉记者,今年他更加关注产业数字化背景下的数字安全。随着互联网发展进入下半场,政府和传统企业成为产业互联网的主角,安全风险也开始遍布关键基础设施、工业互联网、车联网、能源互联网、数字政府、智慧城市等各大场景。因此,数字化的安全威胁已经超越虚拟世界,延伸到了现实世界,影响到国防、经济、社会乃至人身安全。
"传统的网络安全已无法解决这些新的复杂挑战。安全保护的对象正在从计算机安全、网络安全升级为数字安全。"周鸿祎以大数据安全为例,他透露,仅360公司每年接到并处理的勒索攻击事件就多达4000余起,受害企业面临着重要数据资产被盗和泄漏的严重后果,轻则造成业务停顿,重则被迫缴纳巨额赎金。
但这还不是最大的挑战。近年来,网络攻击已经从虚拟世界影响到了现实世界,小毛贼、小黑客已经成为历史,以国家级黑客组织为代表的高级别专业力量入场,关键基础设施、城市、大型企业成为网络攻击的首选目标,数据成为新的攻击对象。
"对手变了,战场变了,后果也变了。"周鸿祎总结说。
他透露,360最近发现某大国的国家安全局对中国长达十余年的高级网络攻击,受害对象涵盖政府、金融、科研院所、运营商、教育、军工、航空航天、医疗等重要行业,对我国国家安全造成严重危害。
"甚至像华为这样的公司都被某大国入侵过,说明当别人用一个国家的力量来进攻我们的企业、高校、科研院所时,你根本没有足够的力量抵抗,甚至连发现的能力都没有。"周鸿祎表示,这就意味着,今天中国在数字化安全应对上首先也必须要有顶层设计。
"这几年,大家通过‘华为事件’意识到‘缺芯’会被‘卡脖子’,因此,我们下定决心要在芯片方面做大量投入。但我觉得,网络安全的重要意义并不见得比芯片小,而且网络安全不仅涉及芯片、操作系统,还涉及到应用软件、网络连接,几乎所有先进的数字化技术都面临安全问题。"周鸿祎说。
数字安全需从车联网等重点场景入手,中小企业也"一个都不能少"
但让周鸿祎感到忧虑的是,目前我国数字安全投入占比在全球范围内相对较低。"发达国家仅网络安全占整体IT的投入占比已达10%,而国内尚不足1%,究其原因是部分政企单位仅依照合规堆砌产品,缺乏实战能力,缺乏科学能力评估。"他说。
更为重要的是,数字化带来场景的增加,数字安全涵盖的方面也更加广泛,周鸿祎认为,有些领域已经相当迫切,比如车联网场景、工业互联网场景。
"网络时代的攻击最多就攻击到电脑这一级,而今天通过攻击工控网络可以去攻击变电站、地铁,造成基础设施失灵;可以通过攻击车厂的服务器,遥控你的汽车让你出车祸,这些在过去都是不可想象的。"周鸿祎说。
实际上,从去年到今年的全国两会上,周鸿祎都提出专门建议,强调要重视近年来发展迅猛的智能汽车、车联网领域的数字安全问题。
据周鸿祎透露,来自360车联网安全实验室的统计显示,国内25家车企的53款在售智能网联汽车中,360公司共计发现漏洞1600余个,其中,云端漏洞1000余个,可导致攻击者远程批量控制该品牌所有的智能网联汽车;车端漏洞600余个,可导致近距离非接触式控制汽车,如开关车门、启动引擎等。
为此,周鸿祎提出建议,应该借鉴汽车物理碰撞测试的手段,建立智能网联汽车"数字空间碰撞测试"长效机制,强制要求在我国销售的智能网联汽车通过"数字空间碰撞测试"。同时,他还建议汽车行业尽快搭建一套以汽车安全大脑为核心的智能网联汽车态势感知体系,帮助监管部门和车企实现汽车安全实时全程"可见、可控、可管"。
此外,周鸿祎还建议,在帮扶中小企业数字化转型的同时,也应该帮助他们保障数字安全。
"现在全世界很流行供应链的攻击,即攻击不了大型军工企业和大型央企,就转而攻击重要的中小微企业,进行供应链渗透和破坏。中小微企业普遍在安全上没钱、没人、没技术,也不重视,国家现在谈扶持中小微企业,在数字化战略和数字安全领域,也都应给予扶持。"周鸿祎建议,通过鼓励和支持大企业以创新轻量化产品、SaaS服务为抓手,消除中小微企业在认知、资金、技术、人才等方面的差距,在数字安全上做到"一个都不能少",保障中小微企业在数字安全上"不掉队"。
(来源:中国经济周刊 记者 孙冰)