【特辑】“两会”中的网络安全话题
编者按
2018年全国“两会”万众瞩目,网络安全作为当前一个热点话题备受关注。在总理政府工作报告中,多次提到“网络”、“信息”,为今后的互联网发展指明了发展方向。“两会”代表委员积极就“网络安全”建言献策,政协委员周鸿祎的四个提案均和网络安全息息相关,互联网安全、手机支付漏洞、人工智能发展。这些当下社会各界关注的话题也是不少政协委员关注的热点。值得关注的是,今年“两会”期间,全国人大常委会高度重视网络安全的问题,首次尝试了邀请第三方有序地参与检查。主要情况有:
政府工作报告多次提及“信息”和“网络”
2018年政府工作报告中,提及6次“网络”,6次“信息”。“信息”和“网络”几乎贯穿全文,强调了要扩大网络的普及度,要利用好网络等信息手段惠及民生,但同时也强调了网络安全问题。我们要成为网络大国、网络强国,网络安全是前提,也是根基。以下是政府工作报告摘录:
◆ 五年来,创新驱动发展成果丰硕。高铁网络、电子商务、移动支付、共享经济等引领世界潮流。“互联网+”广泛融入各行各业。
◆ 加大网络提速降费力度,实现高速宽带城乡全覆盖,扩大公共场所免费上网范围,明显降低家庭宽带、企业宽带和专线使用费,取消流量“漫游”费,移动网络流量资费年内至少降低30%,让群众和企业切实受益,为数字中国建设加油助力。
◆ 发展民族教育、特殊教育、继续教育和网络教育。
◆ 推进平安中国建设,严密防范和坚决打击暴力恐怖活动,依法开展扫黑除恶专项斗争,惩治盗抢骗黄赌毒等违法犯罪活动,整治电信网络诈骗、侵犯公民个人信息、网络传销等突出问题,维护国家安全和公共安全。
◆ 加快政府信息系统互联互通,打通信息孤岛。
◆ 改善供水、供电、信息等基础设施,新建改建农村公路20万公里。
◆ 要多渠道增加学前教育资源供给,运用互联网等信息化手段,加强对儿童托育全过程监管,一定要让家长放心安心。
◆ 创新食品药品监管方式,注重用互联网、大数据等提升监管效能,加快实现全程留痕、信息可追溯,让问题产品无处藏身、不法制售者难逃法网,让消费者买得放心、吃得安全。
全国政协委员周鸿祎:四个提案均和网络安全息息相关
全国政协委员、360集团董事长兼CEO周鸿祎在两会期间接受记者采访时表示,自己这次上两会,从专业领域角度带来了几个提案都和网络安全息息相关,希望能够帮助国家真正提升网络安全水平。
今年提案
1
《关于强化网络安全漏洞管理的提案》:漏洞是网络安全的“命门”。建议一是要建立漏洞管理全流程监督处罚制度,及时发现未修复漏洞的行为,并追究相关责任;二是强制执行重要信息系统上线前漏洞检测,尽量在源头上堵住漏洞。
2
《关于鼓励政企单位上报网络攻击事件的提案》:建议出台鼓励网络攻击事件上报的相关政策;规范网络攻击事件上报流程;加大对知情不报企业查处惩戒力度;鼓励政企单位选用网络安全企业专业服务。
3
《关于完善网络安全人才培养体系的提案》:建议大力支持网络安全企业设立相关教育培训机构;开展网络安全学科联合建设;把网络安全纳入职业技能鉴定体系。
4
《关于用户隐私信息保护“三原则”的提案》:建议进一步完善网络安全法,对用户数据保护进行更清晰的定义,制定用户隐私信息保护“三原则”。即明确用户数据信息是用户个人资产;保障用户对数据信息使用的知情权、选择权;明确互联网公司保护用户数据信息安全的责任。(科技日报)
网络安全漏洞如何补?多位全国政协委员建言献策
互联网安全、手机支付漏洞、人工智能发展。这些当下社会各界关注的话题同样也是今年参加全国政协十三届一次会议的不少政协委员关注的热点。
全国政协委员马珺:从国家层面加大投入,对于网络安全网络核心技术的研制和开发,要解除网络核心技术受他人制约的这种隐患,从社会的层面构筑网络和谐,尤其是网络主管部门,企业,更要发挥自己的优势,各负其职,共同构建网络安全。另外我们作为一个公民,人人都要加入到网络安全建设的这个队伍中。
全国政协委员贺盛瑜:通过大数据在电商平台方面可以把消费者每一个人的个性化的需求,我们消费的偏好,购物方式都可以采集到,因此要加强立法的研究,把大数据管理和个人信息管理纳入法律的保护范围。
全国政协委员的肖新光一直从事反病毒引擎、反病毒体系架构应急响应等网络安全领域研究,他的提案就是关于“在网络空间安全领域进行针对性投入和布局应对重大地缘安全风险”。全国政协委员肖新光:按照安全威胁的情况,进行针对性的投入,再完善相应的敌情响应,特别是我们的不同的部门,不同的行业,不同的地域,面临不同的一些响应,需要进行差异化的有针对性的安全投入。
新委员王小川一直从事人工智能技术研发。他更关注人工智能技术的实际应用,这次带来了的提案是通过人工智能技术构建新型医联体普惠全民。全国政协委员王小川:互联网公司去部分承担数字家庭医生这样一个研发,使医联体最后一公里能够辐射到所有人,实现未来五到十年间,每个人都能享受一个数字家庭医生的服务,解决我们看病难和医疗资源不足的困难。(央视)
全国政协委员谈剑锋:加大网络安全产业投入,避免受制于人
3月7日,全国政协委员、上海众人网络安全技术有限公司的董事长谈剑锋在驻地接受记者采访时表示,维护网络安全就是守护国家安全,需要自主、健康发展的网络安全产业来支撑,才能避免受制于人。
谈剑锋分析,信息化时代,网络安全产业并非孤立存在,其发展滞后也阻碍其他产业的升级发展,更谈不上以数字化与网络安全形成经济发展新动能的双轮驱动。为促进我国的网络安全产业的健康发展,侧重对需求和产业的科学规划,电子政务系统应率先增加网络安全投入,多方面促进产业发展,及早形成正向外部性效应。
谈剑锋提出建议:一方面,从战略层面进行网络安全的体系化和层次化设计。应对网络安全问题首先应把握网络安全的发展规律,需要靠有层次的战略架构去保障。克服以往网络安全体系的认知盲点,系统性的建立网络安全态势感知与威胁情报共享网络,梳理电子政务网、关键基础设施中的网络安全需求,定义安全框架和模型,明确安全防护关键节点,针对重要环节整理制度、组织和技术等层面的最佳实践,将攻防技术标准化,确立安全检测标准,为政府部门、企业等提供网络安全指引,建立政府、企业间信息共享机制,定期为各机构培训网络安全。
其次,要制定积极的网络安全产业发展政策,实行主动纵向的产业政策。从国家安全角度出发,将网络安全产业定义为战略性新兴产业,落实包含资源配置导向的网安产业的结构政策,支持和吸引更多有志于网络安全的企业和创业者进入该领域;兼顾产业的合理化,鼓励企业研发新技术、形成安全管理新思维、构筑健康合作关系。
第三,要在政府及国有企业采购中增加网络安全产品和服务采购比例,提振产业空间。在部分可标准化网络安全环节中,强制政府及国有企业采购项目采购中网络安全产品和服务的比例,并设定相关产品的国产化率。针对关键基础设施网络落实网络安全检查与加固,建立定期安全漏洞扫描与巡查制度。(华夏时报)
政协委员肖新光:保障国家网络安全针对性投入防范风险
全国政协委员肖新光所在的安天集团是为载人航天发射等重点型号任务、大飞机首飞等提供网络安全保障的。在全国政协十三届一次会议上,肖新光表示,过去五年,国家发展取得历史性成就,发生历史性变革。无论是安天还是网络安全产业都需要加速发展,才能赶上发展步伐,才能跟得上在网络空间保障我国发展成果的需要。为更好地在网络空间维护国家主权、安全和发展利益贡献力量,他建议在网络空间安全领域进行有针对性地投入,布局应对地缘安全风险。
肖新光建议相关部门在调研工作中,避免把网络安全看成孤立风险和单一风险,而应与总体国家安全观有效联通。对不同领域、行业和地域应进行的网络安全投入方向和投入重点作出系统研判。新增财政专项转移支付资金,该专项资金可以用于国防相关单位的网络安全防护升级改造、态势感知等相关工作,以及网络安全领域的军民融合工作等。在国家正在进行和将要进行的相关大型网络安全工程建设中,在黑龙江等有较好网络安全产业基础的省份,建立镜像节点或子工程体系,强化当地产业和人才基础。(黑龙江日报)
全国政协委员严望佳:加强智慧城市网络安全测评及监管工作
一、问题及原因分析
推进新型智慧城市建设,是党中央、国务院基于我国信息化和新型城镇化发展现状作出的重大决策。然而,越来越复杂的信息系统及大量“云物移大智”等新兴技术的应用,给智慧城市网络安全带来巨大挑战。由于智慧城市中存在大量涉及国家安全、经济发展和社会公共利益的重要数据,一旦出现网络安全问题,就可能出现极其严重的后果。如2017年席卷全球的WannaCry事件,已经严重影响到很多国家的重要信息基础设施。
智慧城市面临的网络安全风险主要体现在以下几方面:
智慧城市网络安全建设重建设轻测评
随着网络安全重要性凸显,各地在建设智慧城市时,大都会规划和部署网络安全产品,但仍然存在大量重建设轻测评的现象,即重视硬件条件建设,却忽视建成后效果测评。安全测评环节的缺失,无法保证安全防护措施切实发挥作用,多地甚至出现了安全系统失效、系统被入侵等安全事件却毫不知情的现象。
智慧城市安全监管责任分散,缺乏有效安全监管手段
智慧城市项目庞大复杂,实际建设和运营时大多按照行业、领域、部门进行条块分割,导致缺少统领全局的安全监管。同时,大多智慧信息系统未建设安全运营中心,不能对智慧应用进行实时安全监控,无法及时了解城市网络安全现状并进行态势评估。
对大量涉及国计民生、社会公众的基础信息系统监管不足
随着国内等级保护、安全审查等安全措施的落实,我国政府机关、国企和事业单位的关键信息基础设施均已逐步纳入安全监管。但近年来伴随互联网发展而出现的大量基础信息系统(如电子商务、互联网金融、大数据交易服务等)尚处于监管盲区。这类信息系统用户基数庞大,业务范围深入国民经济和公众日常生活中,一旦发生安全问题将会造成不可估量的经济损失。
二、具体建议
加强智慧城市网络安全评价体系建设,及时加强安全防范能力,指导智慧城市网络安全建设。加强智慧城市安全监管、建设网络安全运营中心,实时监控智慧城市信息化系统面临的风险并及时防范,最大限度地保障智慧城市网络、系统、数据等安全。特此建议如下:
建立智慧城市网络安全评价体系,大力推进安全测评工作
建立规范的智慧城市网络安全评价体系,通过定量分析城市网络安全度量指标,帮助城市明确自身建设情况,找出差距。组织智慧城市网络安全测评工作,是科学衡量智慧城市建设成效的迫切需要,也是是探寻智慧城市发展规律的内在要求,对于规范、监督和指导智慧城市的建设具有重要的意义。
强化统一安全监管职能,建设网络安全运营中心
理顺安全责任,强化统一网络安全监管职能,推动网络安全管理工作有序开展,实现业务发展和网络安全管理的协调统一。建立智慧城市安全运营中心,树立动态、综合的防护理念,采用先进信息化手段开展安全运营工作,对抗不断发展的网络安全威胁。
组合法规、管理和技术手段,加强对影响国计民生的基础信息系统的安全监管
制定法律、法规和相关管理办法,组合管理、技术手段,加强对基础信息系统的安全监管力度。对于电子商务、互联网金融、大数据交易服务等涉及国计民生的重要信息系统,应建立准入、备案和常态化的安全审查制度,加强安全监管,控制安全风险,切实保障智慧城市安全。
加强政策引导,鼓励网络安全技术自主创新
加强政策引导,在智慧城市关键信息基础设施建设中建立自主可控技术门槛,要求智慧城市网络安全中关键、核心产品必须采用我国自主可控技术。坚持走自主可控、安全可信的智慧城市建设之路,鼓励我国核心技术自主创新,打破国外技术垄断格局,避免“棱镜门”重现。(海峡法治在线)
代表委员问诊网络安全 如何对网络新隐患“见招拆招”?
飞速发展的互联网技术在给人们生活带来便利的同时,也对安全造成挑战。今年伊始,一些APP“默认勾选”事件引起舆论关注。
全国政协委员、中国电子信息产业发展研究院院长卢山说: “工信部公布的违规软件中,绝大部分涉及违规收集使用用户个人信息、强行捆绑推广其他应用软件等问题。”去年工信部下架改号APP超过2000个,其中利用新手段破坏网络安全事件占比相当大。
互联网、通信领域代表委员认为,新形势下网络安全呈现出网络病毒花样翻新、老骗局不断衍生新版本、网络新事物暗藏隐患等三大特点。
全国政协委员、360集团董事长周鸿祎说:“以新的病毒或攻击为例,它们永远不在我们的黑名单上,很难去识别和防御。去年席卷全球的勒索病毒就是例证。”
全国人大代表、中国信息通信研究院院长刘多:“二维码支付成为新招数,微信假红包带有钓鱼信息,甚至一些无线网络存在漏洞,访问的网站、输入的账号密码在后台一目了然。”工业互联网、云计算等新技术新应用中同样暗藏漏洞。“这些新技术被黑客掌握,也会带来新威胁。比如量子计算可以更好实现大数据运算,也能被黑客用来攻破高强度加密信息。”在刘多看来,网络就像一个风险无处不在的丛林,在享受便利的同时,还要在安全的边界上扎紧篱笆。
如何“见招拆招”还网络一片净土?
“不可能要求每个人都成为‘武林高手’,但至少应具备一定的防身技能。相关部门也要在预警防御上有新突破。”周鸿祎建议改变过去以隔离、防守、防御为主的做法,将重点放在如何以最快的速度发现和响应上。加快推进新技术新业务监测预警,进行技术创新,对网络威胁进行感知、预判并提供解决方案。
织密网络安全防御政策体系,加大对违法违规行为惩戒力度。全国人大代表、浪潮集团董事长孙丕恕认为,在严格执行既有规范规定,创新监督方法之外,应在立法层面将原本分散的保护规定整合起来,建立起专门的保护机制。加强源头整治,加大处罚力度。
壮大安全市场,形成良性发展循环。“我国网络安全产业规模远不及美国等发达国家,需要做强自己的安全产品,构建网络安全服务产业,壮大人才队伍,优化产业生态,激发更多创新。”刘多说。(新华网)
人大首次邀请第三方参与网络安全检查 1/4被检单位存在问题
3月12日下午,十三届全国人大一次会议新闻中心就“人大监督工作”相关问题举行记者会。针对网络安全问题,十二届全国人大内司委委员郑功成表示,全国人大常委会高度重视网络安全的问题,首次尝试了邀请第三方有序地参与检查。
“没有网络安全就没有国家安全,也不会有组织和个人信息的安全。”郑功成表示,由于互联网应用的广泛性和网络安全的重要性,全国人大常委会高度重视网络安全问题,在2012年12月通过了《关于加强网络信息保护的决定》,2016年11月制定了网络安全法,简称为“一法一决定”。法律制定还不到一年,十二届全国人大常委会就在2017年8月至10月份对“一法一决定”的实施情况进行了执法检查。
郑功成介绍,这次执法检查首次尝试邀请第三方有序地参与检查。执法检查过程中,委托国内很权威的一个测评中心,在检查单位不知情的情况下对部分关键信息技术设施进行专业性的检测,该中心出具的检测报告显示,有大约1/4的单位的网络安全存在着这样或那样的问题,有的单位问题还比较突出。检查还发现,攻击者可以利用网站存在的漏洞,对某地级市政府的门户网站发布的内容进行篡改、删除,还可利用某省级地方金融管理信息系统存在的漏洞,轻易地侵入该服务器管理权限,这严重地威胁了广大客户的财产安全和信息安全。此外,还委托另一家第三方机构,对网络安全法实施情况进行了民意调查。
郑功成表示,第三方的有序参与较好地解决了执法检查组专业性不足的难点,还增强了执法检查的客观性、公正性。(新京报)