關于強化網絡安全公共安全屬性的提案 - 網安 - 專業的網絡安全產業、社區、知識平臺

日前，全國政協委員、安天集團創始人肖新光向政協十四屆全國委員會提交了一份《關于強化網絡安全公共安全屬性的提案》（征求意見稿），建議強化構建網絡安全戰略優勢能力的目標導向，借鑒公共安全治理經驗，漸進推動網絡安全公共安全服務機制。以下是提案主要內容：

一、提案背景

新時期十年，我國網絡安全體系和能力建設取得巨大成就。技術水平不斷提升，產業規模持續擴大。

二十大報告要求我們堅定不移貫徹總體國家安全觀，對網絡安全工作提出了更高要求。“構建全域聯動、立體高效的國家安全防護體系。增強維護國家安全能力。”“筑牢國家安全人民防線。提高公共安全治理水平，堅持安全第一、預防為主，建立大安全大應急框架，完善公共安全體系，推動公共安全治理模式向事前預防轉型，提高防災減災救災和急難險重突發公共事件處置保障能力。”等要求貫通覆蓋網絡安全領域，“加強個人信息保護”則是針對網絡安全領域的專門工作要求。

對比二十大提出的目標要求，我們依然存在較大差距和短板。

二、問題分析

一是缺少全面收斂網絡安全威脅風險的剛性目標。信息體系是承載價值信息資產的“載體”，更已經成為支撐社會運行的“筋脈”。信息體系的暴露面和可攻擊面不斷擴大，遭遇攻擊將帶來風險連鎖傳導。相關霸權國家在網絡攻擊能力上的投入持續增加，導致網絡空間軍事化加劇；網絡空間非國家行為體活動持續升級，全球網絡犯罪帶來的經濟損失已經超過實體犯罪。網絡安全風險處于持續膨脹的狀態，經濟社會運行存在因國家背景高強度網絡攻擊導致失控崩盤的風險。我國在整體安全監測、應急響應聯動、風險通報機制等方面有較好運行基礎，但缺少從總體國家安全觀視角研判網絡安全投入規模總量的方法，缺少和其他公共安全領域工作的對比拉通和經驗借鑒。以消防領域來類比，根據國家應急管理部統計發布，2022年1-9月份我國火災直接財產損失為55億元，而為了控制火災風險和連鎖損失，我國每年消防市場規模已經達到準萬億級別。證明公共安全領域的風險達到可控收斂的狀態，必然需要超額投入。而我國網絡安全每年實質性市場規模仍在幾百億水平，數字經濟年度市場規模已經達到45萬億，保障投入和保障的目標價值相對比，嚴重失衡。

二是單純依靠網絡安全責任制+市場化供給機制難以充分達成治理效果。網絡空間信息資產分散在各個政企機構所構建的信息體系上。網絡安全依托主體責任機制進行管理，以市場化產品服務供給為主要模式，是發展演化的自然結果。但網絡安全的防護水平受到建設運營機構的風險意識、技術能力和投入規模的制約。高水平網絡攻擊表現為持續隱蔽性信息竊取和潛伏預置，被攻擊機構難以感知。這些因素導致政企機構往往視網絡安全投入為成本，普遍傾向按照能力低線進行合規建設，在實際產品服務選擇中普遍按照“最低價中標”，而非選擇能力更強、更適配的產品服務。長期的低線投入導致建設水平不高，防護能力低下，無力管控政企機構自身網絡安全風險向國家安全、社會治理安全等領域傳導轉化，最終無法有效保障社會公共利益。這其中既有提升改進空間，也是單純依靠市場供給機制推動的規律使然。而即使按照高線投入，單獨的政企機構，也很難具有足夠技術能力與財力，去獨立對抗國家級、高水平的網絡威脅攻擊，需要更多的共性能力支撐與賦能。

從全球來看，2021年僅網絡犯罪使全球經濟損失已經超過1萬億美元，同樣證明，單純以市場商品供給為主導的網絡安全運行模式不足應對網絡安全威脅。消防、防疫等公共安全領域的成熟經驗，值得網絡安全領域借鑒和參考。

三、具體建議

一是強化構建網絡安全戰略優勢能力的目標導向。面對復雜的國際形勢，網絡安全領域可制定更具進取性的目標——成為國家治理體系中的能力長板，成為相較于主要地緣競合方的能力優勢，在應對霸權國家綜合打壓，甚至面臨高烈度安全沖突過程中不會成為重大制約和風險軟肋。在投入總量測算上，基于戰略優勢目標、數字經濟體量規模和底線風險評價，以達成風險增量趨于收斂可控為導向，重新評估合理投入規模，將投入增量以集約化的模式投入到公共安全服務能力建設中。在評價機制上，不僅進行縱向的發展對比，也要和世界最先進水平進行橫向對比。整體防護水平立足于不斷縮小與最發達國家間差距并部分超越，相較周邊地緣國家具備明顯優勢，能對抗國家級高水平攻擊。基于相關工作的復雜性，建議先行先試以下兩個方面。一是將關鍵信息基礎設施的防護水平放到圍繞超高能力網空威脅行為體構建“敵情想定”，能夠經受最高等級攻擊的實戰檢驗看待。二是建議將人民群眾和政企機構高度關切的“手機反詐”、“防數據竊取勒索攻擊”等安全保障工作納入平安中國和新型社會治理的考評指標。

二是借鑒公共安全治理經驗，漸進推動網絡安全公共安全服務機制。借鑒我國在消防、災難救援、衛生防疫等領域的成熟公共安全治理經驗，積極研究國際對網絡安全公共服務化的研究進展和實踐嘗試，探索網絡安全公共安全服務化的中國模式。分析強化網絡安全公共安全服務屬性的分工協同機制和能力供給體系。針對重要信息系統和關鍵信息基礎設施，基于國家安全、社會治理安全、政企機構安全的三個責任層次，和公民個人安全的關聯維度，層次化梳理出需要國家和各級政府統一保障和支撐的部分、需要主管部門賦能的部分、需要機構本身投入的部分等，清晰化網絡安全市場供給機制和網絡安全公共安全服務化機制的工作界面和主體責任。參考消防等公共服務模式，分析網絡安全公共安全服務化的運行模式和需求總量，建構以風險后果為主要度量衡的評價和投入體系，逐步形成國家安全、社會治理安全、政企機構安全共擔成本，協調共建的層次化建設投入機制。當前可以優先支持面向重點行業領域和地緣安全熱點區域省份的網絡安全公共安全服務化支撐能力試點、強化網絡安全領域的國家安全基礎設施建設。鼓勵各地開展網絡安全公共安全服務化試點探索和示范評優。優先支持在經濟發展相對落后地區，構建網絡安全共性基礎設施和網絡安全公共安全服務化能力，通過強化網絡安全公共安全服務能力，彌補信息化及網絡安全保障的歷史投入不足。