全國政協委員齊向東：社會對網絡安全建設的理解仍停留在“有病治病”

近年來，網絡安全問題屢見不鮮。從西北工業大學遭受境外網絡攻擊，到Facebook用戶賬號密碼被泄露，數據泄露、網絡攻擊等問題頻頻發生。有數據統計，2022年全球多個國家頻繁發生數據泄露事件，數據泄露事件總計超過20000件。

如何預防網絡安全問題再次發生？進入5G時代之后，數字安全面臨著哪些新挑戰？全國兩會期間，南都記者就此專訪全國政協委員、全國工商聯副主席、奇安信科技集團董事長齊向東。

齊向東指出，我國政企機構的數字化系統長期缺乏網絡安全運營與維護，導致漏洞較多，容易遭到黑客攻擊，已經成為數據泄露的主要源頭。

網絡安全要遵循“零事故”標準

南都：今年是你第一次履職全國政協委員，重點關注哪些方面？

齊向東：今年兩會，我聚焦民營企業發展和國家網絡安全能力提升兩大方面，提了五份提案。其中兩個提案是《關于網絡安全要遵循“零事故”目標的建議》和《關于數據安全任重道遠，需要有決心、恒心和信心的建議》。

去年，奇安信作為北京冬奧網絡安全官方服務商，創造了奧運“零事故”的世界紀錄。這場大型實戰的勝利啟發我們，網絡安全“零事故”是可以實現的目標。因此，我建議以“零事故”為目標筑牢我國的網絡安全防線。在數據安全保護方面，需要政府部門堅定決心，加快推進網絡安全合法合規落地；網絡安全廠商堅定恒心，以“零事故”為目標提升數據安全保障水平；全社會堅定信心，從我做起，建立縱深防御的內生安全系統。

南都：如何理解這里的“決心、恒心和信心”？

齊向東：具體來說，主要是三個層面：

政府主管部門層面，建議制定相關法律法規的實施細則，強化網絡安全工作一把手責任，對瞞報、漏報網絡安全事故依法追究責任，倒逼企業機構加大網絡安全投入。建議財政部明確要求在新增IT預算中10%用于網絡數據安全建設。

網安廠商層面，建議網絡安全廠商以“零事故”為目標，持之以恒地開展高強度科技創新，重點骨干科創企業應連年保持15%以上的研發費用收入占比，用先進技術跑贏“網絡犯罪”。

政企機構層面 ，要承擔數據安全主體責任，當涉嫌踩數據安全紅線時，能通過技術手段自證清白，自覺接受安全審查。建議政企單位要加大網絡數據安全系統建設的投資，安全系統占IT投資比例要達到10%以上。

政企機構是主要的數據泄露源頭

南都：奇安信是網絡安全的領軍企業。在你看來，目前我國網絡安全行業有何特點？面臨哪些挑戰？

齊向東：目前我國的網絡安全行業已經進入高速增長階段，競爭激烈，發展空間廣闊。在我看來，網絡安全行業面臨的挑戰主要有三方面：

首先是網絡安全理念落后。社會對網絡安全建設的理解仍停留在“有病治病”的階段，片面認為網絡安全就是簡單的網絡防御，對網絡安全應付了事，網絡安全防護手段落后。

其次是政企機構缺乏應對全球網絡戰的能力。俄烏沖突爆發說明網絡戰場已經與熱戰戰場緊密關聯，網絡防線關乎現實戰局。絕大多數政企機構在面對強勢網絡攻擊時只能被動挨打。

最后是多數政企機構缺乏數據安全能力。現在數字經濟高速發展，政企單位的數據量激增，數據存儲、加工、使用和交換安全問題突出，因為事發突然，政企單位普遍缺乏安全能力。

南都：如何才能提升政企機構的安全能力，保障政務數據安全？

齊向東：近幾年，大型數據泄露事件時有發生。其中最主要的泄露源頭，就是政企機構的數字化系統長期缺乏網絡安全運營與維護，導致漏洞較多，容易遭到黑客攻擊。

保障政務數據安全，要從三個方面入手：

一是要有數據安全態勢感知能力，達到“三個知道”：知道有沒有攻擊，知道有沒有罪犯進來，知道有沒有數據丟失。

二是要防外部攻擊。數據安全難，難在數據的應用廣泛，不能鎖在保險柜里，內部人在用、外部人在用、還有App調用，外部攻擊就隱藏在其中，識別難、防護難，解決辦法是建系統。

三是防內鬼。網絡安全問題不僅僅是一個技術的問題，更是人的問題——據統計，數據被盜90%以上和內部人有關。“防內鬼”的重點對象是“三員”：技術員、管理員、操作員。解決辦法是用零信任架構和特權賬號管理來牽引數據安全體系建設。

南都：隨著疫情防控政策的調整，有觀點認為，健康碼應該完全退出，涉疫數據也應盡快銷毀。對此，你怎么看？數據“善后”的過程中，有哪些安全問題值得注意？

齊向東：我認為，健康碼的數據需要刪除或者做匿名化處理，因為當中包括諸多個人信息。如果要使用，也得在用戶自主同意后才能使用。

在這個過程中，有關運營部門需要及時公開數據的流向、刪除或者匿名化的有關情況，并接受有關部門的監督。如果被利用到其他地方或牟利等非正常途徑，每一個公民都有權利拒絕。

我國網安產業還在初期成長階段

南都：你曾提出，5G時代，傳統安全防護將完全失效。5G時代的數字安全面臨哪些新挑戰？如何建立全新的防護機制？

齊向東：5G時代數據流通速度更快，接口更多，每一個信息接口都是一個風險點，帶來了很多安全風險。首先是終端設備種類多數量大，防護“盲點”激增。其次是新技術廣泛應用，安全風險層出不窮。

應對這些挑戰，需要建立完整的內生安全體系。2020年，我們提出“內生安全框架”，用系統工程的方法將內生安全理念落地，真正轉化為體系化的網絡安全。我們將安全能力融入到業務場景中，從源頭端做好安全建設、安全監控，最大程度降低安全風險。

南都：產業界對于增加網絡安全投資的呼聲一直很高。據你觀察，目前我國對于網絡安全行業的投資和重視程度如何？

齊向東：有數據顯示，我國網絡安全產業每年有15%-25%的高速增長。政企單位對網絡安全體系建設的投資和重視程度在不斷提升，不論是硬件、軟件還是網絡安全服務的市場都是在穩步擴大。但與發達國家相比，還處于初期成長階段。

一方面，政企客戶網絡安全建設預算過低，與發達國家相比還有很大差距。比如，根據美國白宮公布的2023財年預算提案，非國防聯邦機構的網絡安全預算占IT預算比例達到了16.57%，而我國的政企機構的網絡安全投資占比僅在3%左右，有巨大的上升空間。

另一方面，政企客戶的需求處在從買產品向買體系化服務的過渡期。網絡安全是攻防對抗行業，只有以“零事故”為目標的體系化服務，才能不斷發現網絡數據系統的薄弱環節，進而產生擴大的市場需求。