首页>电子报 > > 正文

周鸿祎:强化网络安全需多管齐下

2018-03-12 16:41:34
来源:中国高新技术产业导报 作者:张伟 戈清平 评论:0
导语:随着经济的发展,网络信息安全的重要性在各个领域得以体现。目前,我国已将网络安全战略上升为国家战略。全国政协委员、360集团董事长兼首席执行官周鸿祎今年的提案均关注网络安全问题,从鼓励政企单位上报网络攻击事件、强化网络安全漏洞管理等方面提出了自己的建议。

  

  随着经济的发展,网络信息安全的重要性在各个领域得以体现。目前,我国已将网络安全战略上升为国家战略。全国政协委员、360集团董事长兼首席执行官周鸿祎今年的提案均关注网络安全问题,从鼓励政企单位上报网络攻击事件、强化网络安全漏洞管理等方面提出了自己的建议。

  鼓励政企单位上报网络攻击事件

  在周鸿祎看来,网络攻击具有极强的隐蔽性和突发性。政企单位及时上报网络攻击事件对于早期发现、追踪溯源和防止攻击范围及危害进一步扩大,保障国家网络安全具有重大价值和意义。

  周鸿祎表示,自2017年《网络安全法》实施以来,随着有关部门监管力度的加大,政企单位在应对网络攻击和事件通报方面取得了积极进展,一些单位积极配合监管部门开展网络攻击事件追踪调查和犯罪打击,效果良好。但从现实情况看,政企单位上报网络攻击事件还存在两方面的问题亟待解决。一是遭受网络攻击时不愿及时上报,导致有关部门因此错失了对网络重大攻击追踪溯源和预警通报的有利时机,攻击者可以继续潜伏或实施二次攻击,造成更大危害。二是缺乏鼓励上报措施。部分政企单位在遭受网络攻击时,既担心单位名誉受损、用户流失、收入下降,又担心受到上级监管部门的严厉处罚。

  “从国内外网络安全实践来看,及时上报网络攻击事件,是国家应对网络威胁,提高网络安全防护水平的重要途径。”在这一方面,周鸿祎建议,一是出台鼓励网络攻击事件上报的相关政策。“建议在现有《网络安全法》基础上进行细化补充,出台鼓励政企单位上报网络攻击信息的政策法规。”

  二是规范网络攻击事件上报流程。对政企单位上报网络攻击事件的具体流程和方法进行规范,形成可操作的实施细则,明确受报主体、上报时限,采取书面报告、当面汇报、技术接口等方式,主要上报攻击事件发生时间、造成的危害、处置应对情况和后续风险评估等内容。

  三是加大对知情不报企业查处惩戒力度。“建议有关部门不断完善网络安全监管技术手段,加大网络执法力度,对知情不报、销毁证据、有意隐瞒、歪曲事实的相关单位予以严肃查处。”

  四是鼓励政企单位选用网络安全企业专业服务。应鼓励政企单位积极选用网络安全企业的监测预警、应急处置、攻击取证服务。在发生网络攻击时,及时向监管部门提供相关证据和解释说明,防止被错判、误判。

  完善网络安全人才培养体系

  近年来,国家网络安全人才培养取得重要进展。“网络空间安全”被国务院学位委员会和教育部增设为一级学科,我国网络安全高层次人才培养迈出了重要一步。但与打造网络强国对人才的需求规模相比还存在较大差距,网络安全人才培养体系亟待完善。

  为了尽快弥补网络安全人才缺口,满足建设网络强国的需要,周鸿祎建议,一要大力支持网络安全企业设立相关教育培训机构。支持网络安全企业开办教育培训机构,邀请具有丰富实战经验的技术专家担任讲师,结合网络安全行业的最新需求,在网络安全企业进行实战演练,建立快速、规模化培养实战型网络安全人才的机制。“希望政府在办学资质审批、资金、场地、税收等方面提供一定的便利和优惠政策。”

  二要开展网络安全学科联合建设。应鼓励高校和科研院所与优秀网络安全企业联合建设网络安全学院,开办网络安全专业学科。双方共同开发课程、共建实验室,并在企业设立实习基地,实现课堂教学、学生培养、实习实践的有机结合,提升网络安全学科水平和学生就业竞争力。

  三要把网络安全纳入职业技能鉴定体系。“建议政府部门与优秀网络安全企业联合制定网络安全职业技能标准,对网络安全从业人员进行必要的水平评价,满足行业人才需求。经主管部门认可的相关机构职业培训后,向网络安全从业人员颁发初级、中级、高级认证证书,规范网络安全就业环境,为网络安全人才创造良好的就业机会。”周鸿祎说。

  强化网络安全漏洞管理

  在周鸿祎看来,漏洞是网络安全的“命门”。软硬件系统漏洞使得攻击者可以利用漏洞窃取信息或者控制、破坏目标系统,从而引发各种网络安全问题。

  为了强化网络安全漏洞管理,降低被攻击风险,提高我国网络安全防护能力,周鸿祎提出了四点建议。一是建立漏洞管理全流程监督处罚制度。尽快制定覆盖网络安全漏洞发现、审核、披露、通报、修复、追责等全流程的管理细则,强制要求漏洞必须及时修复,对漏洞修复时间以及违规处罚措施予以明确规定。应建立监督检查机制和力量,及时发现未及时修复漏洞的行为,并追究相关单位和责任人责任。

  二是强制执行重要信息系统上线前漏洞检测。对涉及国计民生、国家关键信息基础设施的重大信息系统工程和项目,一方面在其上线运行或交付使用之前,应强制要求进行网络安全漏洞的自检和备案,尤其应加强源代码层面的安全缺陷和漏洞检测。另一方面,国家网络安全主管部门应对上线系统进行抽检,发现问题及时整改。同时,应引导和鼓励软硬件系统开发企业加强安全开发规范和流程,尽量在源头避免网络安全漏洞的出现。

  三是强制召回存在重大网络安全漏洞产品。对存在严重网络安全漏洞,可能导致大规模用户隐私泄露、人身伤害或者影响民生服务、关键基础设施正常运行的软硬件产品,尤其是物联网、智能汽车等产品,应借鉴汽车行业的做法,对存在重大网络安全漏洞产品的实施强制召回,避免造成更大损失。

  四是鼓励政企单位采用众测众包方式发现和收集漏洞。网络安全漏洞的挖掘和发现具有一定的偶然性,需要集合民间智慧。一方面,加强政企单位与专业网络安全企业的深度合作,充分利用网络安全企业的漏洞挖掘能力和情报优势,帮助政企单位及早发现和修复漏洞。另一方面,在安全可控的前提下,鼓励政企单位采用众测众包方式,充分发动民间安全研究力量发现和收集漏洞,提高网络安全整体防护能力。

(责任编辑:沙欣)

相关阅读:

版权与免责声明:
①凡本站注明稿件来源为:中国高新技术产业导报、中国高新网、中高新传媒的所有文字、图片和音视频稿件,版权均属本网所有,任何媒体、网站或个人未经本网协议授权不得转载、链接、转贴或以其他方式复制发表。已经本网授权使用作品的,被授权人应在授权范围内使用,并注明“来源:中国高新网、中高新传媒或者中国高新技术产业导报”。违反上述声明者 ,本网将追究其相关法律责任。
② 任何单位或个人认为本网站或本网站链接内容可能涉嫌侵犯其合法权益,应该及时向本网站书面反馈,并提供身份证明,权属证明及详细侵权情况证明,本网站在收到上述文件后,将会尽快移除被控侵权的内容或链接。
③如因作品内容、版权和其他问题需要与本网联系的,请在该事由发生之日起30日内进行。电话:010-68667266 电子邮件:dbrmt#chih.org (请将“#”换为“@”)
排行
  • 全部/
  • 本月

编辑推荐


扫描添加 中国高新技术产业导报

(数字报)

扫描添加 中国高新APP客户端
扫描添加 新浪微博
扫描添加 腾讯微信公众号