安全新高度:网络安全事关国计民生
2018-05-26中国网络空间研究院赵彦伟
◎中国网络空间研究院 赵彦伟
党的十九大之后召开的新一届全国“两会”与新时代的春天一起到来,在两会代表委员中出现了更多的互联网从业者,马化腾、李彦宏、丁磊、雷军、张近东、刘强东、杨元庆、周鸿祎、肖新光、王小川、姚劲波、谈剑峰等20余名网络大咖参会,数量创历史新高。互联网正在深刻改变着中国,已经和水、电一样成为不可或缺的公共资源。
在这些互联网行业的代表委员中哪个领域的人最多?不是电子商务、社交网络、人工智能,而是网络安全,至少4位是网络安全相关企业或机构的负责人,他们分别是肖新光(中国网安联盟理事长、安天首席架构师)、谈剑峰(众人科技创始人)、周鸿祎(360创始人)、孙丕恕(浪潮集团董事长)。4名网络安全行业从业者“入围”两会,也说明了中国对网络安全的高度重视,没有网络安全就没有国家安全,网络安全事关国计民生。我们迎来千载难逢的发展机遇,但机遇和挑战并存,必须进一步提高对网络安全的认识,树立正确的网络安全观,集思广益、群策群力,从更高的层面、更深的视角、更广的领域,采取更有力的措施,更大限度地保障网络安全。
2018年3月5日,第十三届全国人民代表大会第一次会议在北京人民大会堂开幕。国务院总理李克强作政府工作报告,报告中多处涉及网信工作。
一、“两会”上的网络安全
3月5日,国务院总理李克强作政府工作报告。报告中涉及“互联网+”、人工智能、大数据等内容10余处,如“量子通信”、“电子商务、移动支付、共享经济等引领世界潮流”、“互联网+广泛融入各行各业”、“建成全球最大的移动宽带网”。在取得领先世界的成绩的同时,政府报告也强调了“整治电信网络诈骗、侵犯公民个人信息、网络传销等突出问题,维护国家安全和公共安全。”
在3月9日最高人民法院和最高人民检察院的工作报告中,关于电信诈骗相关案件在两份报告中均有提及。最高人民法院院长周强在作报告时表示,净化网络空间,决不让网络成为法外之地。最高人民检察院检察长曹建明在2018年工作中,建议开展严打电信网络诈骗犯罪等专项行动。
全国人大代表、中央网络安全和信息化领导小组办公室原副主任任贤良表示,随着公安、信息管理等部门打击力度持续增强,针对侵犯公民个人信息犯罪的网络整治已取得明显成效。然而,随着大数据时代来临,“数据洪流”在带来生活便利的同时,也使个人信息泄露风险倍增、电信网络诈骗“花样翻新”,朋友圈晒照片可能暴露住址,随手连接免费WiFi却发现支付密码被窃,登录某些手机应用后即遭骚扰短信疯狂“轰炸”,个人信息保护正不断受到新挑战。
全国人大内司委郑功成委员在接受记者采访时指出,我们已经生活在互联网时代,网络安全问题已成为普遍关注的一个现实问题,不仅关系到国家的长治久安和经济社会的发展,也和人民群众的切身利益密切相关。没有网络安全就没有国家安全,也不会有组织和个人信息的安全。正是由于互联网应用的广泛性和网络安全的重要性,全国人大常委会高度重视网络安全的问题。在2012年12月通过了《全国人大常委会关于加强网络信息保护的决定》,2016年11月制定了《网络安全法》,十二届全国人大常委会在2017年8月至10月对“一法一决定”的实施情况进行了执法检查,开创了法律制定不到一年就进行执法检查的先例,表明网络安全的特殊重要性。检查组委托国内权威的测评中心在检查单位不知情的情况下,对部分关键信息技术设施进行专业性检测,结果发现有大约四分之一的单位的网络安全存在这样或那样的问题,有的单位问题还比较突出。
习近平总书记在“4·19”讲话中明确指出:“安全是发展的前提,发展是安全的保障,安全和发展要同步推进。”“从世界范围看,网络安全威胁和风险日益突出,并日益向政治、经济、文化、社会、生态、国防等领域传导渗透。特别是国家关键信息基础设施面临较大风险隐患,网络安全防控能力薄弱,难以有效应对国家级、有组织的高强度网络攻击。这对世界各国都是一个难题,我们当然也不例外。”
今年2月5日,中国网络安全的领军人物沈昌祥院士到民族网络安全企业梆梆安全调研时强调,要牢记“四个没有根本改变”论断,即:美国垄断网络空间霸权的格局没有根本改变;网络空间敌强我弱的态势没有根本改变;敌对势力利用网络“扳倒中国”的图谋没有根本改变;核心技术受制于人的局面没有根本改变。
一方面是越来越复杂严峻的网络安全形势,一方面是普通公众网络安全意识的缺乏和在法律、技术、人才、投入等存在急需解决的问题,的确需要互联网界的两会代表委员在国家最高级别的会场参政议政、出谋划策。
二、网络安全事关国家安全,又是民生大事
网络安全是个全球性的问题。西方国家常常利用网络作为武器发动“颜色革命”或者攻击别国关键设施,但去年以来让特朗普总统非常挠头的“通俄门”事件以及facebook的5000万用户信息泄露让一度非常阳光的扎克伯格深陷信任危机,网络安全可以影响政治走向和国家兴衰。2016年中国的网络诈骗造成大学生徐玉玉死亡,2018年美国的优步无人驾驶撞死行人,这样血淋淋的事实也在警示着网络安全与每个人息息相关。
2017年5月12日,WannaCry勒索病毒在全球近百个国家和地区爆发,受到勒索病毒攻击的电脑会被锁死,弹出提示框告知交纳“赎金”的方式,国内多所大学和政府部门、医疗服务、公共交通、邮政、通信和汽车制造业深受影响。勒索病毒事件,又一次印证了网络安全的重要性和普遍性。
习近平总书记在“4·19”讲话中谈及网络安全的几个主要特点,从五个维度全面阐释了正确的网络安全观,网络安全是整体的而不是割裂的,网络安全是动态的而不是静态的,网络安全是开放的而不是封闭的。网络安全是相对的而不是绝对的,网络安全是共同的而不是孤立的。这从两会代表委员的提案和讲话中得到充分解读。
全国政协委员、安天首席架构师肖新光认真学习梳理了总书记提到的总体国家安全观和十九大报告,注意到2014年提出的总体国家安全观,列举了政治安全、经济安全等11种安全形式,但没有网络安全,在十九大报告中网络安全作为仅次于恐怖主义排在第二位的非传统安全。这说明网络安全和其他11种安全有一定的差异性,其他11种安全总体来说是限定域,而网络安全是处于连通域,所以,网络安全和国家主要关注的11种安全都息息相关。我们不能只看网络安全对网络的影响,需要深入看到网络安全对其他相关领域的影响。比如一些西方国家通过网络手段去干涉其他国家的政治进程,这就是政治安全。一些国家试图通过网络手段窃取技术成果,它又涉及科技安全的问题。如果只是单纯的就网络而论网络,而不考虑它对总体国家安全的影响,就相当于把一个连通域的网络安全问题看成了一个限定域的问题,就没有站到总书记在总体国家安全观中所要求的高度。肖新光表示,未来将是网络安全的大投入、大建设期。网络安全为人民,网络安全靠人民。网络安全不只是主管和职能部门的事情,也不只是安全厂商的事情,它和每一家机构、每一个用户都息息相关。要协同会商,分析敌情,共同摸索,形成合力,每个行业、每个单位、每个区域都能形成既符合安全基本规律,又适配自身特点的有效安全能力。
在信息时代,网络安全对国家安全牵一发而动全身。全国政协委员、360集团董事长兼CEO周鸿祎提出“大安全”的概念,覆盖了国家安全、社会安全,基础设施安全、人身安全等。网络是一个整体,任何一个单位、系统存在漏洞,都会成为犯罪分子和敌对势力攻击的跳板,成为整个网络的薄弱环节。漏洞是网络安全的“命门”。“每个设备都有可能成为攻击的发起点”。360一年新发现的网络安全漏洞就超过8万个。周鸿祎今年的提案之一就是强化网络安全漏洞管理。他建议,一是要建立漏洞管理全流程监督处罚制度,及时发现未修复漏洞的行为,并追究相关责任;二是强制执行重要信息系统上线前漏洞检测,尽量在源头上堵住漏洞。
全国政协委员、上海众人网络安全技术有限公司董事长谈剑锋每逢新的互联网技术应用概念出炉,他总要泼上一盆冷水:“网络没有绝对的安全!”他有两部手机,一部是iPhone,用来上网;另一部是华为,只用来打电话,完全断网,他既不用微信支付,也不用支付宝。在他眼里,相当数量的互联网公司只顾及流量,却不顾用户安全,只顾及体验,却不顾隐私保护。“人脸识别”炒得火热时,他说:“密码丢了可以换,但生物信息是不可再生的,一旦泄露,对不起,你不可能再有第二张脸了。”在互联网环境下,一旦采用生物特征认证,就一定会有特征数据库,所有的生物特征数据,只要进入计算机,就会被转换为计算机代码。只要是代码就可以被截获、被重放、被重构,服务器端存储大量用户的特征数据库,特征数据库一旦被黑客或犯罪分子获取,后果无法挽回。
中国信息通信研究院刘多强调“过去网络安全只是网络本身,如今却关系到社会生活各个领域”,当数字成为经济运行的基础要素,拥有高效的监管方式,建立与之相适应的安全体系尤为重要。她建议增强数据安全预警和溯源能力,提高安全共同维护、治理共同参与能力。
三、多管齐下,保障网络安全
一是加强立法,确保网络安全治理法治化。
在全面依法治国的大背景下,中国互联网法律在探索中创新,走出了互联网法治的中国路径。2017年,《民法总则》《反不正当竞争法》《电子商务法》等基础性法律陆续出台、制定或者修订,标志着互联网法律基本框架体系逐步形成。作为网络安全领域的基本法律,《网络安全法》于2016年11月正式公布,2017年网安法配套规范陆续出台。全国政协委员、重庆静昇律师事务所主任彭静向大会提交了《关于以保护个人信息安全为基点优化我国的信息法制环境的建议》,希望借此明确当事人享有的信息知情权、同意权和获得救济权,并规制滥用个人信息行为的法律责任。全国政协委员、搜狗公司CEO王小川建议“要从立法上,使得国家和企业承担更多的责任,使消费者的数据得到更多的保护,给消费者更放心的数据使用的机会。”全国人大代表、科大讯飞股份有限公司董事长刘庆峰建议制定大数据安全保护法律法规,应实行大数据分级安全保护机制,加强对各行业领域大数据安全治理。结合各行业数据的敏感程度、数据脱敏与否、数据可用性要求等对大数据资产进行分类分级,采取不同级别的安全防护策略。
二是加大投入,促进网络安全产业战略化。
发展是硬道理,解决网络安全必须依靠网络安全产业的健康发展。全国政协委员谈剑锋提到一份调查数据,在信息安全投入占信息化投入的比重方面,美国占到20%—25%,欧洲的数据为10%—15%,而中国还仅有1%—3%。这意味着,作为世界第一的互联网应用大国,我国在网络安全上的投入远远落后于发达国家,网络信息安全产业存在巨大的发展空间。全国政协委员肖新光同样密切关注网络安全领域的投入不充分、不平衡的问题。我国网络安全事业取得了很大进步,但依然有很多问题和短板,特别是基础能力不够扎实,距离总书记的“全天候全方位感知网络安全态势和有效防护”等要求还有很大差距,加快把总书记“没有网络安全就没有国家安全”的战略判断和战略意志转化为全面的能力要求和刚性需求的速度。他建议,从国家安全角度出发,将网络安全产业定义为战略性新兴产业。要从战略层面进行网络安全的体系化和层次化设计,同时制定积极的网络安全产业发展政策,实行主动纵向的产业政策,在政府及国有企业采购中增加网络安全产品和服务采购比例,提振产业空间。
三是加快攻坚,确保网络安全核心技术自主化。
互联网核心技术是我们最大的“命门”。习近平总书记在中央政治局第三十六次集体学习时强调,“要紧紧牵住核心技术自主创新这个‘牛鼻子’,抓紧突破网络发展的前沿技术和具有国际竞争力的关键核心技术,加快推进国产自主可控替代计划,构建安全可控的信息技术体系。”我们要以技术对技术,以技术管技术,魔高一尺,道高一丈,网络安全的技术问题要通过提高网络安全核心技术能力来解决。
北斗卫星导航系统就是落实习近平总书记“构建安全可控的信息技术体系”的成功范例。过去该领域被美国的GPS系统所垄断,我们发扬两弹一星和载人航天精神,加大自主创新力度,用了不到20年的时间,成功构建了安全可控的北斗卫星导航系统。“北斗”成功的经验也表明,今天中国已经有能力通过集中力量办大事,通过自主创新,构建网信领域的各个安全可控的信息技术体系。
全国政协委员、中国科学院院士潘建伟表示,在当前信息安全遭受很大威胁的情况下,量子通信提供了一种不能被破解、窃听的安全的信息传输方式,这种技术在国防、政务、金融等方面,在银行转款、个人隐私保护等事项上,都会起到比较好的作用。去年我们有些比较好的成果,比如墨子号完成相关科研任务、京沪干线全线开通。通过后续五到十年的努力,希望能构建天地一体化的量子保密通信网络,来保护千家万户的信息安全。
“围绕着大安全战略,人工智能还是可以大有可为的。”周鸿祎说,比如现在有很多利用未知漏洞、网络上未知节点发起的攻击,到了物联网时代,通过摄像头、打印机都可以发动攻击,每一台智能设备都可能成为网络攻击的节点。利用大数据,通过深度学习、人工智能等,将是发现未知攻击、对未知漏洞进行防范的很好的方法。人工智能在大安全领域可以大有可为。
四是以人为本,加快网络安全人才队伍专业化。
人才是第一资源。去年,中央网信办等六部委出台《关于加快网络安全学科建设和人才培养的意见》,全国七所高校被确定为首批一流网络安全学院建设示范项目高校,国家网络安全人才与创新基地也在武汉加快建设中,网络安全人才的培养进入快车道。下一步,要真正培养、用好人才,真正做到“聚天下英才而用之”,对于特殊人才制定特殊政策,提高全球范围内配置人才资源的能力,为网络安全提供有力的人才支撑。
网络安全的本质在对抗,对抗的本质在攻防两端能力的较量。其实质是人与人的对抗,不是购买和部署一批网络安全设备、安装一批软件就能解决问题。周鸿祎呼吁“解决网络安全的关键不是硬件,也不是软件,而是人才。”据教育部有关机构和专家预测,当前我国网络安全人才缺口达70万,到2020年将急剧增加到140万。人才缺口巨大,建议大力支持网络安全企业设立相关教育培训机构,开展网络安全学科联合建设,并把网络安全纳入职业技能鉴定体系,为网络安全人才创造良好的就业机会。
党的十九大发出了新时代的动员令,2018年全国“两会”进一步凝聚了社会共识,随后出台的《深化党和国家机构改革方案》掀开了一场全面深化机构改革的大幕。机构改革中将中央网络安全和信息化领导小组改为委员会,同时优化中央网络安全和信息化委员会办公室职责,将国家计算机网络与信息安全管理中心由工信部调整为网信办管理,这样进一步理顺了网络安全管理的体制机制,整合了资源,集中了力量。新时代,要有新作为,网络安全事关国计民生,不论是为了实现“国家治理体系和治理能力现代化”,还是为了增强“人民群众获得感、幸福感、安全感”,我们都需要高度重视网络安全,切实提高认识,提升网络安全水平,为实现中华民族伟大复兴的中国梦奠定坚实的网络安全基础。