今年的“兩會”雖然結束了,但層出不窮的關于網絡安全產業的發聲,至今仍言猶在耳,訴說著旺盛的產業生態。當人們關注著這種發聲同時,還有一種聲音也不容忽視,他們也在時刻關注著網絡安全產業的發展態勢,訴說著他們的建議和期望,希冀能為產業的發展獻計獻策,助力產業更好地發展。下面,就讓我們來聽聽他們的聲音。
天融信
聚焦2022年兩會 數字經濟、網絡安全等話題受關注
數據安全是數字經濟發展的首要條件,在數據安全方面,基于多年實踐經驗,天融信提出了建立以數據資產為核心的數據安全治理體系,已為運營商、金融、政府、能源、教育等十余個行業提供了數據安全治理體系建設方案,構建了覆蓋數據全生命周期的安全產品和咨詢服務體系,為客戶提供全面的數據安全保障。在個人信息保護方面,天融信以合規性要求為基礎,以保護敏感數據為核心,構建包括個人信息在內的數據全生命周期統一保護體系。在數據安全治理統一框架下實現個人信息保護能力落地,采用脫敏、去標識化、加密、隱私計算等多種新技術保護個人信息安全,積極應對個人信息安全風險與挑戰。
兩會期間,部分委員建議建立重大交通基礎設施全生命周期運營規程,對安全運營相關工作內容、專業技術要求等做出系統描述與要求,對運維階段做出科學的規定與指引,強化網絡漏洞發現能力,提升基礎設施安全應對能力。據了解,天融信推出的關鍵信息基礎設施保護方案,通過對網絡安全基礎能力底座建設、動態綜合網絡安全防御能力的提升以及網絡安全態勢監管能力的加強,實現關鍵信息基礎設施安全三重保障。多年來將成熟的網絡安全技術與行業業務場景深度融合,打造了覆蓋交通、電力、石油、冶金等多個行業的安全解決方案。
針對日益嚴峻的車聯網安全形勢,天融信推出的車載防火墻、車載入侵檢測、車載安全認證、車聯網態勢感知平臺等多款產品實現了行業場景融合創新與安全功能提升,憑借相關技術,天融信成功入選北京市首批首臺(套)重大技術裝備企業。
綠盟科技
數字經濟下網絡安全建設的重要關注點
一是建立網絡安全作為底座的“地基”思維。
要扭轉安全是傳統信息化附屬的身份,網絡安全已成為整體數字化的“底座”,應利用“三化六防”、“智慧安全3.0”等創新理念,面向攻防,面對網絡犯罪組織等建立動態變化的解決方案,注重安全頂層設計,注重安全防護實效,形成系統化建設、協同防御、智能運營、聯合作戰新局面。
二是網絡安全與信息化建設要強化三同步原則。
不論傳統IT建設,還是面向政務服務、智慧城市、智能制造、自動駕駛等重點新興領域,網絡安全均對數字化發展起著至關重要的作用,應切實踐行網安法要求的“三同步”原則,即關鍵業務信息化與網絡安全應“同步規劃、同步建設、同步使用”,讓網絡安全和信息化并行發展,從而避免花費更大代價的“事后補救”,做到謀于前而動于后,確保重要系統和設施安全有序運行。
三是網絡安全建設要個性化防護與體系化防護并行,突出個性化防護。
體系化防護是以系統化方法構筑網絡安全,實現完整結構化保護。個性化防護是在體系化保護基礎上,適應新生態、新模式、新場景的防護能力建設,結合所處的行業和機構自身業務特性而做出的針對性保護。網絡安全建設不是一促而就,應建立與業務信息發展相適應的安全保障能力,并隨著業務信息化的發展而不斷健全完善,體系化建設是基礎,個性化防護是實現安全能力有效提升重要支撐,應突出個性化防護,二者并行發展,才能有效實現安全能力塑造。結合十三五期間國內先行區域的各類創新服務模式的網絡安全運營服務建設實踐,在十四五期間自然也當屬于不可或缺的建設要素,參與到數字經濟所列舉的各類產業和場景建設中。
體系化防護方面,可參考國內安全建設的最佳實踐,如等保、分保等都是體系化防護的有效實踐。規劃中也明確提出加強網絡安全等級保護和密碼應用安全性評估等合規能力塑造。推廣使用安全可靠的信息產品、服務和解決方案。支持發展社會化網絡安全服務。
個性化防護方面,網絡安全應突顯行業特性和自身業務安全需求,健全完善網絡安全方向的行業標準和企業標準,注重智能安全運營、威脅情報應用、安全信息共享與協同作戰。規劃中明確提出加強網絡安全防護能力,提升數據安全保障水平。要強化跨領域網絡安全信息共享和工作協同,健全完善網絡安全應急事件預警通報機制,提升網絡安全態勢感知、威脅發現、應急指揮、協同處置和攻擊溯源能力。提升網絡安全應急處置能力,規范數據采集、傳輸、存儲、處理、共享、銷毀全生命周期管理,建立健全數據安全治理體系,增強數據安全防護能力,加強電信、金融、能源、交通運輸、水利等重要行業領域關鍵信息基礎設施網絡安全防護能力。支持開展常態化安全風險評估。強化針對新技術、新應用的安全研究管理,為新產業新業態新模式健康發展提供保障。推動提升重要設施設備的安全可靠水平,增強重點行業數據安全保障能力。
四是要與國際接軌,制度規則開放。
國際戰略在網絡社會領域的演進,數據安全面臨更復雜挑戰。更多地參與國際規則制定、制度規則銜接、營商環境的調整,引導企業在法律合規、數據管理、新技術應用等領域完善自律機制,防范數字技術應用風險。規劃指出要統籌數據開發利用、隱私保護和公共安全,加快建立數據資源產權、交易流通、跨境傳輸和安全保護等基礎制度和標準規范。還要建立健全數據產權交易和行業自律機制,要加強涉及國家利益、商業秘密、個人隱私的數據保護,加快推進數據安全、個人信息保護等領域基礎性立法,強化數據資源全生命周期安全保護,要完善適用于大數據環境下的數據分類分級保護制度,要加強數據安全評估,推動數據跨境安全有序流動。
五是大力推進網絡安全人才培養。
網絡安全人才,好比醫學專家,不但要懂醫,還得懂人和社會。網絡安全面對的是千變萬化的網絡空間構成形態以及日新月異的信息技術,實踐要求很高,不但要懂信息技術,還要懂防護對象的業務重點等。在當前就業難的社情下網絡安全行業的“用工荒”也印證了其培養難度。需持續加強網絡安全人才培養力度,注重實效,推動產業健康發展。
在更加明確的政策導向下,數字經濟必將持續快速發展,優化升級數字基礎設施、大力推進產業數字化轉型、推動推動數字產業化、持續提升“互聯網+政務服務”、“互聯網+社會服務”等公共服務數字化水平等規劃中提及的戰略與舉措的有效落實,離不開網絡安全保障,網絡安全將不再是信息化建設的附屬物,將承擔更重要使命,為數字經濟發展,甚至智能化革命順利推進發揮更大作用。
安恒信息
關于構建全社會群防聯動體系 精準防治電信網絡詐騙的建議
從過往實踐中汲取經驗,結合“反電信網絡詐騙法(草案)”,建議建立“全社會群防聯動體系”,鼓勵科技創新,實現電信網絡詐騙場景化精準防治,其包括三個核心內容:
1、建立社會性組織防范電信網絡詐騙工作規范。
銜接即將出臺的“反電信網絡詐騙法”,通過制定地方標準為政府、公安及其他行業主管單位、金融、通信和互聯網企業責任落地提供指導意見。社會性組織防范電信網絡詐騙工作規范應遵循“以防為主、責任下沉、重點突出、全民參與”的方針,內容覆蓋防范原則、救濟措施、應急預案、監督和檢查等方面。
2、以運營育產業,提升反制措施。
運用云計算、區塊鏈、隱私計算等技術,建立全省詐騙情報實時同步、共享機制;發揮數字化技術優勢,全面革新反詐工作方式,通過數字化引導實現精確打擊、精準宣防、精細救濟;轉變管理方式和系統建設思路,將反詐工作從協調指揮向運營指導轉型,構建“城市級反電信網絡詐騙運營體系”,統合偵查打擊、預警宣防、場景防控、綜合治理全流程;
3、探索聯合實驗室合作模式創新。
通過成立聯合實驗室,建立警企融合的犯罪研究和技術支撐隊伍,充分發揮科技企業在數字經濟中的技術優勢,通過研究從宏觀層面提出有前瞻性的解決方案,結合實戰不斷提升全省偵查打擊和治理能力,為“打防治并舉、以防為主、以打為要、以治為基”策略提供有效支撐。
保旺達
緊跟國家網絡安全政策,聚焦數據權保障
2022年全國兩會,眾多代表委員圍繞各行業各領域的網絡與數據安全建言獻策,具體包括瞄準產業數字化新場景,同步規劃建設行業數字安全體系,保障傳統產業數字化轉型;要面向新型數字技術和應用場景,研究建設前瞻性的數字安全平臺體系;促進安全技術發展,夯實安全產業基礎,增強數據治理能力和數據監管水平的步伐等。
保旺達認為當下數據確定已成為驅動其前進的根本要素,一個數字泛在化的世界正不可逆的展開在我們眼前。財產權、人格權、國家主權,數據安全的重點正在從數據本體保護向數據權保障遷移。確權、授權、維權、收權將逐步替代加密、脫敏、匿名化、防泄漏成為數據安全建設背景下的業務關注主體。
保旺達緊跟國家網絡安全政策,聚焦數據權保障,未來,我們將持續提供專業、高效、真誠的服務、伴隨用戶共同進入高效安全的數字化新世界。
河南省信息化發展有限公司
關于網絡安全產業發展建議
一是在數字經濟發展規劃、信息化發展規劃、政務信息化發展規劃的基礎和引領下,出臺2022-2025年密碼產業發展規劃,鼓勵和規范密碼產業發展路徑。
二是國內商用密碼行業起步較晚,大多數企業處于初創時期,尚未形成集群發展之勢。建議打造網絡安全或密碼產業園區,吸引行業領先企業入駐,打通上下游產業鏈條。
三是建立產學研用一體化產業生態體系,對關鍵技術攻關項目給予資金支持,完善網絡安全產業配套服務,推進建設網絡安全攻防實驗室、產業基金、產業學院等。
四是目前車聯網高速公路、城市應用場景中,各地方政策支持力度不一,建議組織開展車聯網創新應用相關試點示范,統一和規范車聯網相關應用標準。
奇安信
建設數字經濟標桿城市,北京要實現“全面引領”
打造全球數字經濟標桿城市,是北京市“十四五”期間的重點任務,當前北京在數字經濟領域已建立起了先發優勢。但隨著新技術加速發展,智能社會治理面臨諸多亂象。如何進一步嚴懲網絡犯罪,加強隱私保護,治理大數據殺熟,完善數字經濟安全制度體系?
在5日開幕的北京市政協十三屆五次會議上,來自科學技術界別的北京市政協委員、奇安信集團董事長齊向東提出,北京應重點圍繞智能社會亂象和數字經濟發展兩個維度,實現“全面引領”,建設“全球標桿”。為此,齊向東提交了《關于加強隱私保護和加大對網絡詐騙打擊力度的提案》《關于加大對彈窗廣告、大數據殺熟治理力度的提案》《關于北京市完善數字經濟安全制度的提案》《關于北京市加快建設國際科技創新中心的提案》四個提案。
起底互聯網亂象:保護隱私打擊網絡犯罪
數字經濟的高速發展,方便了人們的生活,也成了新型網絡犯罪的溫床。目前,個人隱私泄露事件屢見不鮮,因此催生隱私販賣黑市,使得網絡詐騙屢屢得手。據統計,超過7成的網絡詐騙與個人隱私泄漏或信息竊取有關,隱私泄露和網絡詐騙已成為與每一個網民都有著密切關聯的互聯網亂象之一。
2022年是實施“十四五”規劃的關鍵年。十九屆六中全會通過的《中共中央關于黨的百年奮斗重大成就和歷史經驗的決議》指出,讓老百姓過上好日子是我們一切工作的出發點和落腳點,必須以保障和改善民生為重點加強社會建設。
齊向東建議,北京市需加強隱私保護并加大對網絡詐騙的打擊力度,推進“第三方數據監管平臺”和“跨行業反詐大數據平臺”建設,壓實數據保護和打擊網詐的主體責任,營造清朗的網絡空間,保障百姓安居樂業。
鏟除智能社會“牛皮癬”:治理彈窗嚴懲大數據殺熟
目前,大數據技術應用的不斷深化給人們的社會生活帶來極大便利,但與此同時衍生出的彈窗廣告、大數據殺熟等網絡亂象,就像智能社會的“牛皮癬”,屢禁不止。截至2021年6月,我國網民規模達10.11億,眾多網民成為這些“牛皮癬”的直接侵害對象。
強化數字治理,營造開放、健康、安全的數字生態,是“十四五”時期加快建設網絡強國和數字中國、推動經濟社會高質量發展的重要戰略任務。目前,國家針對彈窗廣告、大數據殺熟出臺了一系列法規條款:《互聯網廣告管理辦法(公開征求意見稿)》《個人信息保護法》,將于3月1日實施的《互聯網信息服務算法推薦管理規定》中,明確指出不得利用算法推薦服務從事違法活動或者傳播違法信息。
頂層設計已逐漸完善,政策的落地措施還需進一步明確。為此,齊向東建議:應加大對涉事企業平臺的處罰力度,提高違法成本,發揮政策的震懾力。處罰金額與涉事企業平臺全年的收益總額掛鉤,造成的后果越嚴重,罰金越高,并且不設上限;對于屢教不改、反復出現問題的企業,必要時可以采取強制措施,如限制經營、下架整頓等。
安全保障發展:完善數字經濟安全制度
目前,我國數字經濟安全制度體系已經基本健全,但還缺乏具體的落地措施。數字經濟安全制度體系尚未發揮出應有的效應,存在違規懲戒力度過小、瞞報漏報、安全投入不足等問題。
推進數字經濟發展,離不開網絡安全這個穩定器。習近平總書記在主持中央政治局第三十四次集體學習時強調,各級領導干部要增強發展數字經濟本領,強化安全意識。
因此,齊向東在提案中建議北京市加快制定網絡安全相關法律法規的實施細則,強化網絡安全工作一把手責任,明確網絡安全投入占比不低于10%,并把網絡安全產業列為北京高精尖產業集群之首,為北京數字經濟發展提供動力。
激活原始創新:打造全球數字經濟標桿
“十三五”期間,北京國際科技創新中心建設全面加速,支撐科創中心建設與經濟高質量發展的重大項目和任務先后落地,北京在國際科技創新中心建設上已經建立起了絕對的先發優勢。《自然》雜志評選的科研城市排名中,北京的科研產出連續4年排名全球第一,每萬人發明專利擁有量是全國平均水平的10倍。
面對國內外復雜形勢,北京國際科技創新中心建設目前還面臨一些不足:原始創新能力有待增強,數據資產潛在價值仍需進一步激活,數字經濟安全制度有待進一步完善。
要建設全球數字經濟標桿,齊向東建議北京突破關鍵基礎信息技術,打造新一代信息技術創新的全球高地。一方面要“補足短板”,重點突破高端通用芯片、核心電子元器件、高性能數據庫等核心關鍵共性技術,真正掌握發展主動權;另一方面“筑牢長板”,大力促進工業互聯網、云計算、大數據、人工智能、區塊鏈等技術的發展與融合。更重要的是,推進數據要素市場化配置改革,激活數據資產潛在價值,把數據安全方面的法律要求,轉化為可實施可操作可檢測的技術要求,鼓勵采用創新技術對原始數據進行脫敏處理,實現“數據不動程序動、數據可用不可見”。
齊向東認為,完善數字經濟網絡安全制度將極大地推動北京數字經濟標桿城市的建設。北京市網絡安全產業起步早、基礎厚、存量好,建議把網絡安全列入北京高精尖產業集群,完善網絡安全制度,明確網絡安全投入占比不低于10%,切實保護好重要系統的網絡安全。
江南信安
推進密碼深度融合
隨著網絡安全法、等保2.0、密碼法以及國標39786的陸續頒布,2022年將是落實相關政策法規的重要時期,也是十四五規劃和轉型的重要節點,網絡安全行業將面臨新的機遇與挑戰。
密碼技術做為網絡安全的核心之一,主要圍繞網絡安全全生命周期提供基礎安全支撐。保障國家網絡安全始終是網絡安全行業的使命與重任,隨著國家政策出臺以及網絡安全產業的全方位布局,政府及企事業單位將逐步增大在網絡及信息系統的應用,專注提供密碼技術的企業應著力將密碼技術與傳統網絡安全進行融合,通過服務提升,業務融合,人才儲備,前沿技術攻關,企業轉型,將政企用戶的訴求以創新技術與優質的服務予以回饋,真正讓網絡安全體系形成閉環生態。
未來網絡安全市場規模將會不斷擴大,產業生態會迎來更廣闊的前景,為保障我國網絡安全筑起高墻。
萬里紅
聚焦兩會數字安全,萬里紅奮楫起航
黨的十八大以來,黨中央高度重視發展數字經濟,數字經濟連續多年被寫入政府工作報告。在建設數字中國,構筑智慧型社會的理念引領下,我國已經打造了具有國際競爭力的數字產業集群。互聯網、大數據、人工智能持續為實體經濟深度賦能,基于互聯網的各類創新層出不窮,網絡經濟空間得到前所未有的拓展。今年政府工作報告進一步指出:要促進數字經濟發展;加強數字中國建設整體布局;建設數字信息基礎設施。同時完善數字經濟治理,釋放數據要素潛力,更好賦能經濟發展、豐富人民生活。在這樣波瀾壯闊的背景下,“數字安全”作為數字經濟發展的壓艙石,在護航實體經濟轉型、促進共同富裕、保障國家安全方面發揮著重要作用。
分析“兩會”安全相關議題不難發現,隨著國際國內形式的變幻莫測,受到新冠疫情的影響等因素,“數字安全”的態勢在持續發生著變化:
一是境外針對我國關鍵基礎設施,有組織的網絡滲透和攻擊持續增加,僅2月下旬以來,我國互聯網持續遭受境外網絡攻擊,攻擊流量峰值達36Gbps,大量攻擊聚焦在能源、金融、交通、水利、工業制造、醫療衛生、公用事業等關乎國計民生領域,這些領域的風險,會直接影響國家和社會的穩定;
二是因“疫情”導致企業經營辦公方式發生了變化,互聯網辦公不僅為企業帶來了便利,同時也帶來了風險。比如:個人信息、企業數據等“敏感信息”泄露為企業和個人帶來了前所未有的風險。
三是云計算對傳統業務的賦能,讓業務形態發生了變化。工業控制、金融操作等傳統業務流程暴露在互聯網環境下,因防護手段不足,導致企業和個人此類安全事件頻發。如:某制造企業保存在云端數據被惡意泄露、互聯網金融領域的經濟詐騙案件持續高發等。
四是隨著數字化交易手段的豐富和發展,暴露出了傳統安全認證方式存在的顯著不足,因認證漏洞導致的安全事件呈現高發趨勢。如:因人臉識別率低下導致的交易認證漏洞,給企業和個人帶來了巨大的經濟損失。
信安保密
關于網絡安全產業發展建議
一是打造國家網絡安全武器庫。由網信辦牽頭,整合各大安全公司機構,組建國家網絡攻防武器庫。
二是組建全國性質的輿情引導隊伍,有組織,有紀律,統一行動。一方面,要打造國家網絡安全武器庫。由網信辦牽頭,整合各大安全公司機構,組建國家網絡攻防武器庫。另一方面,要組建全國性質的輿情引導隊伍,有組織,有紀律,統一行動。
懸鏡安全
建議加強軟件供應鏈安全管理
現代軟件開發以開源為核心驅動,開源成分缺陷及漏洞是一大安全風險。一旦有大規模用戶基礎的開源軟件存在安全漏洞,勢必會影響上下游企業軟件的安全使用。但是軟件供應鏈安全中對開源風險的治理普便建立在自愿的基礎上,開源生態系統可以參照的正式規則也很有限,軟件供應鏈攻擊已成常態化。
懸鏡安全建議:
1、建立國家級的安全開源組件庫平臺,保障軟件開發時開源組件的來源安全;
2、 要求軟件物料清單(SBOM)像食品配料表一樣,成為軟件出廠、上線、使用的必備一環;
3、推行面向全行業常態化的軟件成分抽樣檢查機制,防微杜漸,避免造成過大的損失。
億賽通
數據安全行業的新局面
如今安全的信息系統已逐步成為企業拓展新業務、新市場,提升核心競爭力和品牌影響力的重要手段。信息系統的安全需求已從單純的合規性需求、保障性需求發展成為信息系統建設的核心需求。根據海外市場研究機構Verified Market Research(VMR)統計,2019年全球數據安全市場規模約為173.8億美元,預計到2027年全球數據安全市場規模將達到572.9億美元,年復合增長率約為17.35%。根據近七年對RSAC的熱詞統計,數據安全、隱私合規持續位列全球網絡安全市場的前十大熱點。
在數字化浪潮席卷而來的當下,數據已成為核心資產,“數據泄露”“數據安全”這些字眼總是活躍在我們眼前。一直以來,數據泄露都是發生最為頻繁的安全事件,全球多地都深受數據泄露事件的困擾。數據泄露類型最多涉及到的是個人基本信息,IOT日志、人臉圖像等新技術的應用加速了個人信息的暴露面,個人成為最大的犧牲者,因此加強數據安全防護,減少信息泄露事件發生,是網絡安全行業不可推卸的責任和義務。
數據安全產業的發展受到政策監管和市場需求雙重因素的驅動
全球掀起數據安全與隱私保護的立法熱潮,對企業提出了更高的數據安全合規性要求。相關政策落地呈現窗口期,數據安全成為各類組織進行安全管理和合規工作的重要內容。金融、水利、交通、教育、政府、電信與互聯網行業為數據安全監管較為嚴格的行業,數據備份、數據分類分級、數據安全風險評估和審計是監管最為看重的四個子領域。
美國、歐盟紛紛出臺數據戰略,將數據競爭力上升到國家戰略高度
全球132個國家和地區目前已制定數據安全和隱私保護法律。國外真正意義上的信息安全法制建設始于20世紀40年代,以計算機的問世與1947年美國頒布的《國家安全法》和1967年美國《信息自由法》為標志,開啟全球信息安全立法時代。而近些年,數據安全立法更是隨著歐盟發布《通用數據保護條例》(GDPR),迎來爆發期。印度、巴西、泰國、馬來西亞、越南等國紛紛借鑒起草本國數據保護法。
國內也緊跟全球趨勢,在云計算、人工智能、物聯網等技術的進步及大規模應用下,我國積極推進數據安全政策的制定與出臺,落地增速明顯。2015年頒布的《國家安全法》明確提出“實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控”,將數據安全納入國家安全的范疇。目前我國的數據安全監管體系框架形成了以“數據安全國家戰略”為出發點,《網絡安全法》《數據安全法》《個人信息保護法》為核心,國務院、地方行政法規,國家標準,行業部門規章以及其它專項規定等為補充的體系框架。
行政法規方面,國務院、各地方立法機構圍繞基本法制定的配套法規制度也陸續出臺
國務院頒布《關鍵信息基礎設施保護條例》,要求關鍵信息基礎設施運營者應在網絡安全等級保護的基礎上,采取技術保護措施和其他必要措施,保障關鍵信息基礎設施安全穩定運行,維護數據的完整性、保密性和可用性。貴州、西安、天津、海南等地相繼出臺了本地大數據發展和應用相關條例,對大數據安全問題提出了原則性的規定,如貴州省出臺大數據風險管理,西安市出臺政務數據開放共享等相關政策文件。
標準建設方面,《信息安全技術 數據安全能力成熟度模型(DSMM)》、《政務信息共享 數據安全技術》等相關國家標準密集出爐,覆蓋內容包括數據跨境流動、個人信息保護、新技術新應用數據安全防范、重點領域數據安全保護等方面。
并且,政府工作報告中再次提到,要強化網絡安全、數據安全和個人信息保護。從趨勢來看,政務數據安全、數據安全治理、平臺管理成為重點。其中,政務數據由于數據量龐大,敏感數據眾多,關乎國計民生和國家安全,后期可盡快推動政務機關數據規范化運行,專項立法,最大程度發揮政務數據價值,確保政務業務在安全環境中穩定運行。最后,億賽通希望與廣大友商共同見證產業大變革,推進數據安全產業發展!
易道信安
始創新“國產化”共建全球網絡安全事前防御護城河
易道信安總裁黃江峽建議網絡安全的從業者一定要“守正出新”,為此她送給安全從業者一些金玉良言:健康、向上、正向理解世界。她認為安全行業不僅是技術門檻要求高,而且職業道德要求也相當高。易道信安愿意團結各個廠商共同打造事前安全生存產業鏈,呼吁社會各界,為安全立“心”為生民立“命”,團結一致,易道信安呼吁反壟斷惡性循環競爭,支持中國人的原始創新“國產化”共建全球網絡安全事前防御護城河。
網絡安全嚴謹求真,需要深厚的學科背景知識,需要有條不紊的推行。事前風控是解決安全問題的重要手段。可惜的是很多安全公司習慣于在“市場”及客戶出了問題后再解決,在“事前風控”方面少有涉足,導致極少有安全公司愿意投入資本和精力重點研發事前風控。易道信安卻是眾多安全公司中少有的務實研究底層“事前安全”技術,并實現“顛覆性”創新,是富有“前瞻性”較強的安全公司。
山不在高,有仙則名,水不在深,有龍則靈。易道信安指出事前風控領域會成為新一輪網絡安全產業鏈布局的必爭之地,并積極用事前防御的方式治理安全問題,并有以下幾點建議。首先,提升公民的安全意識;其次,積極務實,做好事前防御工作;最后,改變傳統的安全治理思維,用事前防御的安全治理方式將未知威脅扼殺在搖籃之中。
易道信安建議呼吁國產化,各安全公司互相團結,共同開啟事前防控“網絡空間安全”新紀元,力求減少網絡空間安全混亂治理現象,實現網絡安全治理“安全兼容性大團結”,做真正意義上的網絡安全。
漁翁信息
關于重視和加快密碼技術在國內發展的建議
(一)是強化密碼技術的自主創新能力。積極開展商用密碼技術的創新、加強關鍵核心技術攻關,促進密碼技術的成果轉化。在供給側方面,加大國內芯片、操作系統、高端控制元器件等上游產品的技術突破,提升密碼芯片、模塊等產品性能,加強新一代密碼算法、密碼技術的基礎性研究與創新;在需求側方面,加強產業技術整合,使密碼技術真正嵌入大數據、云計算、區塊鏈、人工智能等新興技術領域。
(二)是建立健全的密碼管理體制。建議國家相關密碼管理部門,加快密碼領域法律制度的整體規劃和頂層設計。重點布局面向政務云、面向工業互聯網、物聯網等領域的平臺化、開放化密碼管理服務能力建設,以適應網絡信息技術萬物互聯、智能化的趨勢。
(三)是優化商用密碼產業生態環境。推進以重大工程、重大專項等為牽引,搭建商用密碼協同創新平臺,統籌利用政、產、學、研、用等各類資源,促進政府、企業、高校、科研院所、商用密碼產品生產商等不同社會分工部門彼此間的互助合作。促進商用密碼產業多樣化、全覆蓋發展,打造商用密碼發展新業態。
(四)是持續完善標準化體系建設。加快推進面向等保2.0的商用密碼應用標準的編制發布工作,從企業、產業角度,有效指導各行業開展商用密碼應用,充分發揮標準化的基礎性和引領性作用。推進我國商用密碼產品和服務的影響力,增強我國商用密碼產業國際競爭力,提升我國在密碼標準方面的國際話語權。
(五)是制定完善的人才培養機制。加強密碼專業學科和師資隊伍建設,積極探索產學研協作創新培養模式,鼓勵通過校企合作構建創新基地合作,推動網絡安全高層次人才隊伍不斷壯大。可仿效美國等發達國家,由國家專業機構開展教育培訓和在職深造,并將政企骨干人員送往大企業進行鍛煉深造,提升專業知識應用和能力。另外,建議逐步將密碼學科列為國家重點學科項目,并加快在國家重點高校開設專業課程,培養專業的人才梯隊。
附:部分企業“兩會”提案建議
360
關于加強我國開源軟件安全建議
第一,加強對開源軟件的代碼審查,構建開源軟件生態的安全風險評估機制。對中國參與的開源軟件生態持續開展代碼漏洞安全審查,開展關鍵信息基礎設施和重要信息系統普查,摸清開源軟件使用情況“家底”,精確掌握其類型、協議、來源等基礎信息,形成全量使用關系視圖,布局安全風險管理。
第二,積極參與國際開源社區,提高話語權,建立影響力。從開源軟件的發展歷程來看,開源是實現技術迭代和長期發展的成功模式,也是全球軟件業發展的趨勢。鑒于當前國內軟件開發實力尚不足以達到國際水平的現實,國內軟件業應該積極參與國際開源社區互動,在學習和發展中,在既有規則內,不斷提高話語權,建立影響力。不宜采取“禁止或控制開源軟件使用”的做法,這樣做無異于因噎廢食,反而不利于我國軟件開發產業的發展。
第三,鼓勵第三方市場力量參與國內開源生態建設,推進開源自主,盡快掌控開源軟件資源應用的主動權。建議在網信、工信部門的主持下,明確開源軟件的安全責任,建立監管方、軟件供應方、軟件使用方、網絡安全服務力量多方共治協調機制。統籌布局,以靈活的機制加大對國內開源社區的投入,鼓勵第三方市場力量參與、加快培育我國開源社區、開源基金會、開源協議和開源項目,從源頭強化供給。
圍繞建立健全智能網聯車安全機制的建議
一是建立智能網聯汽車“數字空間碰撞測試”機制和相關標準,保障汽車出廠安全和持續檢測。通過依法合規地對車身網絡、車云網絡、車數網絡、車聯網絡和車企網絡進行滲透測試,發現汽車“云、管、端”全系統數字安全問題,保障汽車出廠安全。同時,在車檢和軟件在線升級環節,增加“數字空間碰撞測試”要求。
二是建議規范汽車安全漏洞的上報行為,不惡意炒作和違規披露。鑒于汽車安全漏洞高度敏感,一旦泄露可能造成人身傷害和財產損失,相關部門需進一步加強汽車安全漏洞相關法規的執行力度,引導網安企業和黑客按規定程序上報汽車漏洞。
三是打造以安全大腦為核心的智能網聯汽車行業態勢感知體系,建立汽車安全監管長效機制。該智能網聯汽車行業態勢感知體系能夠把汽車、車企、車企供應鏈、路側設施、云控平臺等都連接打通,匯聚分析汽車安全大數據,及時發現安全風險和事件,全面掌握每輛汽車的數字安全狀態,幫助監管部門和車企實現汽車安全實時全程“可見、可控、可管”,確保智能網聯汽車始終處于良好的安全狀態。
關于將網絡安全升級為數字安全,建立保障數字經濟發展、護航數字中國建設的數字安全屏障體系的建議
一是瞄準產業數字化新場景,同步規劃建設行業數字安全體系,保障傳統產業數字化轉型。未來,所有傳統行業都將被數字化重塑,產生工業互聯網、能源互聯網、車聯網等產業數字化新場景。建議相關行業主管部門把建設行業數字安全體系納入產業數字化的整體規劃,推動各行業龍頭企業企業建設以安全大腦為核心的數字安全體系,以能力導向代替合規導向,夯實產業數字化的安全底座。
二是要面向新型數字技術和應用場景,研究建設前瞻性的數字安全平臺體系。當前,人工智能、區塊鏈、量子計算等新技術不斷進步,數字貨幣、自動駕駛、元宇宙等新應用不斷興起,帶來不可預知的安全風險,傳統網絡安全缺乏成熟的應對經驗。建議相關部門采取“揭榜掛帥”的方式,鼓勵企業、研究機構、高校共建數字安全平臺,如依托國家新一代人工智能開放平臺、大數據開放協同實驗室等,牽引帶動行業創新數字安全體系。
三是建議以城市為主體,由政府統籌打造城市級數字空間安全基礎設施和應急體系,保障經濟社會穩定發展。城市作為經濟、人口的集中地,未來將集聚全國80%的GDP和人口。俄烏沖突等現實案例已證明,城市已成為網絡戰的首選戰場,也是維護國家數字安全的主陣地。一旦城市的政府服務、關鍵基礎設施群遭受網絡攻擊,就會讓城市業務停擺、經濟停滯、社會動亂。但是,過去城市并非數字安全的建設主體,各個企業、單位“誰建設誰負責”,自行建設、能力分散,缺乏統一的數字安全感知、應急、指揮體系。建議以城市為主體,由政府統籌打造城市級的數字空間安全基礎設施,建設城市的“數字安全醫院”,包括城市級的統一感知系統、應急系統和指揮系統,做到及時發現、快速響應、聯防聯控,為各單位輸出安全基礎服務,為城市數字化保駕護航。
關于鼓勵幫扶中小微企業構建數字安全能力的建議
360創始人周鴻祎建議國家出臺專項政策,明確中小微企業應具備的數字安全能力要求。他表示,一方面,希望國家把數字安全能力建設納入中小微企業數字化發展規劃,引導中小微企業提高數字安全能力建設;另一方面,建議有關政府部門、大型企業及關鍵基礎設施在采購政策中明確對供應鏈中小微企業的數字安全能力要求,在采購中小微企業的數字化產品時,以能力為導向進行數字安全評估,從源頭上夯實供應鏈安全的底座。
此外,他還建議相關部門借鑒免費殺毒的模式,鼓勵大型安全企業為中小微企業提供輕量化免費安全服務,讓中小微企業數字安全不掉隊。“希望相關部門以政策鼓勵、提供服務補貼、稅收減免等方式,鼓勵大型企業為中小微企業提供免費或低成本的數字安全SaaS服務和相關產品,包括提供終端、網絡、軟件、數據、資產等全方位安全防護與管理服務,降低中小微企業享受數字安全服務的成本與門檻,為中小微企業向‘專精特新’數字化發展提供安全保障。”
啟明星辰
關于加強智能網聯汽車生產制造安全與數據安全標準建設的提案建議
(一)統籌制定智能網聯汽車生產制造權威安全標準
加快建立汽車生產制造信息安全體系指導標準,覆蓋汽車整車及零部件生產、設計、制造企業的信息安全組織管理、生產制造過程管理,以及新車型的安全功能及特征要求。建立相應的檢測評估機制,明確安全風險閉環和漏洞定級標準,對我國境內生產、開發、設計制造的零部件、電子系統、整車,以及境外生產出口到我國的汽車及零部件、電子系統等形成評估、檢測、認證、管理機制。
(二)兼顧創新與安全形成智能網聯汽車數據安全標準
著眼標準統一性、協調性、落地性,建設適合汽車行業的數據分類分級標準,特別是在具體場景當中涉及到的身份數據、服務內容數據、信息安全數據等,為車輛數據安全管理提供支撐。建立覆蓋各類數據處理活動全生命周期的具體技術標準。當前信安標準發布了TC260—001《汽車采集數據處理安全指南》,但在數據供給、開發利用、流通等環節存在缺失。
關于加強新型電力系統與網絡安全同步規劃建設,促進能源綠色低碳轉型健康發展的提案建議
(一)統籌協同,加強新型電力系統發展與安全同步規劃建設。
統籌安排電力部門、網絡信息安全部門、創新企業等多方力量,聯合開展頂層設計和規劃論證。在構建智慧能源體系和加強新型電力系統技術體系建設的同時,也要注重構建能源網絡全要素安全技術體系;在大力提升能源網絡數據智能自動化安全調度運營管控的能力的同時,也要注重同步安排新型電力系統網絡安全防護體系的規劃建設。
(二)交叉融合,開展新型電力系統標準制定和技術研發工作。
針對新型電力系統的新技術研發、風險控制、網絡管理、數據安全等方面,需要電力、網絡、安全、數據等跨學科、多領域專家交叉融合開展創新工作,建立與系統相匹配的、可持續更新的新型電力系統、網絡安全、數據安全等工程標準體系,基于新型應用場景開展技術研究、產品研發、應用改進完善等工作。
(三)開放連接,著力提升新型電力系統安全保障水平。
面向日益開放的新型電力系統運行環境,發揮各方比較優勢,凝結成高質量安全防護能力,在預防預測、防護保障、監測預警、應急處置等方面,打通產品、服務、人員和流程等關節,通過一體化安全運營模式,銜接整合多方社會優勢力量,在真攻實防的環境中,不斷提升新型電力系統的網絡和數據安全保障水平。
