“网络安全”再次成为众多两会代表提案的关键词
2020-06-01
来源: 工控安全卫士
构筑数字经济防线,加强“安全基建”能力
上海市政协副主席周汉民
出台数字经济“安全基建”的国家标准。伴随着人工智能、区块链、物联网、5G等新技术的快速迭代和持续创新,不同产业的数字化迁移速度加快,对网络空间安全建设标准的需求也尤为迫切。建议有关部门尽快组织关于“安全基建”标准的调研,广泛了解企业在实践中积累且行之有效的做法,结合新一代信息通信技术发展情况,为构建完整的安全基础设施提供参考。要引导不同社会主体在转型数字化伊始就具备风险防御意识和能力,进而确保数字基建运行在较高的安全水平之上。
加快推进“安全基建”的立法工作。近年来,我国不断加快网络安全相关治理和立法工作,如由12部委联合发布的《网络安全审查办法》,为新基建确定了保障网络安全的正确方向。建议在此基础上,通过立法在更大范围内确保数字基础设施的供应链安全,明确数字基础设施的安全操作规范,并对不同应用场景提出不同的规范要求,从源头上降低网络安全风险。
进一步加强“安全基建”的能力建设。我国网络安全产业近年来长足发展,但随着不同行业、不同场景向数字化迁移,“一刀切的安全套装”已经远远不能满足当前数字基建的安全需求。建议在网络安全等领域加强资源整合,在壮大网络安全产业的过程中,让更多有技术能力、有应用场景的企业和科研院所等参与到数字经济的网络安全建设中。把在不同领域、不同行业领先的安全能力变成国家网络安全能力体系的重要组成部分,总结在数字化浪潮中先行企业的经验,提高各行各业的“安全基建”能力。
推动人工智能赋能工业互联网安全发展
启明星辰信息技术集团股份有限公司首席执行官严望佳
1. 引导成立联合实验室促进技术研究与复合型人才培养
工业互联网中工业技术与信息技术深度交叉融合,其中很多网络安全问题是OT网络与IT网络相融合所带来的。要研究针对性的人工智能赋能工业互联网安全技术,必须对具体应用场景有深入全面的了解,这就需要联合工业生产企业、网络安全企业以及相关科研院所等一起开展研究。因此,应当引导激励成立多方参与的联合实验室,构建工业场景的仿真环境以助力网络安全问题的发现(如工控系统漏洞挖掘)及对网络安全技术有效性的验证;培养具备多元知识技能的复合型人才,促进技术融合创新探索。
2. 促进人工智能赋能工业互联网安全实践落地
工业互联网面临的安全威胁多,受攻击面广,且涉及的数据规模大,现有安全防御体系难以应对。同时,由于工业互联网直接影响生产,应避免采用扫描探测、渗透测试等主动式技术手段,而更适合基于网络流量分析的被动式漏洞自动挖掘、恶意代码检测及异常行为发现等,人工智能技术对此可发挥极大助力。然而,由于缺乏真实数据支撑,研究、测试难度大。工信部建设的国家工业互联网安全态势感知与风险预警平台在数据采集汇聚与分析预警方面迈出了一步,建议在此基础上可再采取一些有力措施促进人工智能赋能工业互联网安全的实践,例如鼓励相关数据共享供研究使用、设立实验试点项目开展真实环境部署测试等。
3. 推动人工智能赋能工业互联网安全可持续自适应演进
工业互联网中采用的新一代信息技术对现有网络安全防御体系带来了重大挑战。另一方面,随着工业互联网的智能化发展,攻击者也将采用智能化手段,带来新的威胁。人工智能技术可通过不断从新数据中学习实现自动提升,而且可采用对抗式学习的方法持续增强能力,与恶意的人工智能应用相对抗。因此,研究人工智能赋能工业互联网安全,可实现网络安全防御体系的可持续性自适应演进。建议采取的措施包括:引导激励人工智能赋能工业互联网安全技术自主学习演进、对抗提升的研究,设立研究项目课题推进产学研合作攻关其中的关键技术问题等。
强化信创安全体系顶层设计、统筹构建安全保障体系
360集团董事长 周鸿祎
尽早构建新基建网络安全防护体系:一是要运用整体思维,规划新基建网络安全防护体系顶层设计;二是要同步建设新基建的安全基础设施,聚焦新基建安全防能力构建;三是要强化大数据平台安全,实现安全的大数据协同计算;四是要开展常态化网络安全攻防对抗演习,持续检验和提升新基建安全能力。
尽快制定《国家5G安全战略》:作为新一代的数字基础设施,5G在赋能发展的同时也将引发新的网络安全风险,其安全性具有基础性和全局性意义。应当从战略高度审视5G网络安全的重大意义和紧迫性,加强5G安全的顶层设计,制定《国家5G安全战略》。
加快推进工业互联网安全保障:工业互联网是新基建最大的应用场景之一。保障新基建安全应重点“盯防”工业互联网的安全。加快推进工业互联网安全保障建设,为国家实体经济和社会保驾护航。
加强信创网络安全保障能力建设:信息技术创新应用作为我国信息技术领域打造自主创新生态的国家战略举措,也是新基建的重要抓手。未来3到5年,信创产品和解决方案将在更多领域规模化推广应用。其安全问题将面临前所未有的挑战,要强化信创安全体系顶层设计、统筹构建安全保障体系。
立足应对重大社会风险综合应急保障需要,提升网络安全应急能力
安天集团创始人、首席技术架构师肖新光
以总体国家安全观为指引,充分考虑网络安全作为最典型的非传统安全的规律特点,在加强网络安全防御公共基础设施建设和提升政企机构网络安全防护能力的同时,完善重大社会风险协同研判指挥机制;建立政企结合的网络安全应急与战备人员组织机制;建立网络安全技术装备和战备物资分级战略储备和运维机制。建议相关部委在机制流程预算等方面予以专项保障,形成实战化演训体系,确保体系、人员和装备始终保持高水平实战化能力。
提升数据安全综合能力,助推数字经济创新腾飞
上海市信息安全行业协会会长谈剑锋
一是强化数据安全专业立法和专项执法。他建议要强化《个人信息保护法》和《数据安全法》两部法律强化与其他相关法律和标准的协同,明确国家数据主权、企业数据权益、公民数据权利等基础性法律问题。同时,针对数据黑色产业链、平台过度垄断用户数据等突出问题,在《网络安全法》等法律框架下,开展专项持续性执法,全面扭转数据犯罪和数据侵权的势头。
二是积极开展数据和人工智能安全国际规则对接。围绕“一带一路”等国家建立数据安全流动的“朋友圈”,试点建立具有数据安全国际标准的全球数据港或离岸数据中心。同时,探索建立人工智能等前沿技术数据安全评估机制,增强数据安全预警和溯源能力。
三是加大扶持做大做强网络安全产业和建立适应人工智能发展的数据流通体系。谈剑锋表示,要瞄准数据驱动人工智能创新发展的新特点,开展国家数据安全治理,推动数据资源的规范采集、安全存储、有序流通和依法开放。
加强国家数据安全保护
东航集团董事长刘绍勇
一是加快推进制定《数据安全法》,界定数据合理使用的边界。在有效保护数据的基础上,通过对数据的合理使用,推动国家大数据发展,让民众享受大数据时代的红利。
二是在数据保护立法中设立域外适用条款,为国家数据主权保驾护航。既要为打击境外不法分子针对我国的数据犯罪行为提供执法依据,同时还要维护我国的数据主权。
三是强化数据资产交易管理,在全国范围内培育健康的数据交易市场。为数据资产的流通提供安全可靠、高效活跃的交易平台。
四是建立数据保护官制度,完善企业数据保护组织机构。通过数据保护官制度提升企业依法合规经营水平,培养员工数据资产保护的职业素养。
五是加大对侵害数据安全行为的打击力度,设立信息审判专门机构。建议设立专门性的信息审判法庭,就数据侵权、数据犯罪等行为进行专项审判,以实现司法资源的高效利用。
六是加强对全国民众的普法宣传,营造数据保护的氛围。加强全民对数据权利内容和维权渠道的认识,推进国家大数据战略,加快建设数字中国。
应用区块链技术,建设“国家政务公链”
新大陆董事长王晶
建议以“新基建”为抓手,从国家层面顶层设计,统一规划区块链系统基础设施的投资建设,供各部门直接采用,从源头杜绝“孤岛”的产生。同时,推动区块链标准制定,推动立法完善,实现“国家政务公链”提供分级分类共享服务,加强底层技术和共享技术的研究,掌握核心技术。
完善《网络安全法》相关配套法律、法规
广汽集团董事长曾庆洪
加速完善《网络安全法》等相关配套法律、法规;明确数据在法律上的权利归属;制定统一的数据跨境实施规则和白名单;探索建立对境外主体实施的侵害我国国家层面数据保护的“长臂管辖”制度。
打造国家级制造业信息共享平台
正威集团董事局主席王文银
顶层设计入手,成立国家级制造业信息共享平台。建设制造业平台,更要提升数据治理和安全防护能力。加强信息安全,保护制造业“智力资产”。制造业数据不仅能反映企业经营状况,还能直接反映行业整体运行情况,至关重要。
因此建设制造业平台,更要提升数据治理和安全防护能力。建议从国家层面出发,与信息安全领域的企业开展深度合作,为制造业筑起重要安全支点,更好地助力产业繁荣。
加强个人信息法律保护
贵州贵达律师事务所主任朱山
针对个人信息保护法律实践中存在的主要问题,朱山提出四点建议:
一是建议中央网信办、公安部、司法部等部门,推动全国人大采取实地调研等方法,加快大数据及个人信息保护立法调研,重点针对贵州等大数据试验区地方立法及实践情况深度调研,推动解决个人信息的釆集主体、数据权利、使用范围、退出条件等立法具体问题,必要时就研究较为充分的问题先行立法。
二是加快《信息安全技术个人信息安全规范》等规范和标准文件制定,为监管部门将被动执法转变为主动执法提供基本的依据和标准,与之配套发挥效能的行政法规和规章也应当及时跟进,切实增强公权力干预的有效性和规范性。
三是建议将此类侵权案件纳入公益诉讼范围,建立公益诉讼和自力诉讼相结合的诉讼制度,加强私权的制约力量。四是建议各级执法机关应当主动健全执法规章,加强主动监管力度,从立法、执法环节全面建立常态化的信息报告、抽查、普查以及重点企业调查制度,及时核查信息采集、保存、使用等行为的合规性。