数字化程度越深,网络攻击突破点越多,给国家安全、社会生产安全、百姓人民财产安全带来极大挑战。近年来,我国出台一系列网络安全法律法规,遏制了网络安全事故频发的局面。2022年北京冬奥会,我国成功实现网络安全“零事故”,这场冬奥实践表明,以“零事故”为目标,能够有效杜绝网络安全事故的发生。2023年全国两会召开在即,全国政协委员、全国工商联副主席、奇安信集团董事长齐向东提出议案,他建议制定标准规范、明确网络安全投入占比、建设纵深防御的内生安全系统,用“零事故”目标筑牢网络安全防线。
一、数字时代网络安全事故影响国家安全、生产安全和人民幸福感。
1.影响国家安全。近年来,高级持续性威胁、网络勒索、数据窃取等事件频发。今年2月,北京奇安盘古实验室揭露了对华实施数据窃取的ATW黑客组织,该组织发起了大规模的网络攻击活动,对我国的网络安全、数据安全造成了严重危害。
2.影响生产安全。数字时代,关基设施或重要单位一旦被网络攻击,极有可能导致“断水”“断电”“断肉”“断播”对企业生产、社会稳定、经济发展造成难以估量的影响。今年1月,加拿大铜山矿业公司遭到勒索攻击,矿厂被迫关停,严重威胁了生产安全。
3.影响人民幸福感。个人隐私信息一旦泄露严重影响百姓的生活幸福,网络诈骗让老百姓家破人亡的案例时有发生。2022年7月,重庆警方破获特大虚假网络投资理财诈骗案,全国600多人受骗,涉案金额超1亿元。
二、近年网络安全法规密集出台,通过落实主体防护责任和惩戒违法行为两手抓,遏制了网络安全事故频发的局面。
1、划红线,网络安全主体责任进一步压实。近年来,《数据安全法》《个人信息保护法》《数据出境安全评估办法》等法律法规密集出台。中共中央办公厅也发布《党委(党组)网络安全工作责任制实施办法》,我国网络安全红线更加明确,网络安全主体责任进一步压实。
2、抓典型,网络安全从“有法可依”走向“有法必依”。2022年前三季度,工信部责令整改APP上千款,对近200个不良APP进行下架处理。2022年7月,我国开出了数据安全领域的首张顶格罚单,滴滴由于存在16项违法事实,被罚80.26亿。安全合规成为了企业经营发展的必选项。
三、建议制定标准规范、明确网络安全投入占比、建设纵深防御的内生安全系统,用“零事故”目标筑牢安全防线。
2022年北京冬奥会,我国成功实现网络安全“零事故”,说明以“零事故”目标能够实现。以往很多单位都要求“不出大事故”,但随着数字化深入,像供电、地铁等都实现智能化,一旦出事故就很难人为控制事故大小,所以建议网络安全遵循“零事故”目标,杜绝网络安全事故的发生。
1.建议网信办将“零事故”目标转化为政企机构网络安全建设的标准规范。从冬奥网络安保看,“零事故”不是零攻破,而是当个别的终端、服务器或者其他的网络资产被破坏时,能快速采取措施,不发生网络安全事故。具体讲,网络安全“零事故”的标准有三条:业务不中断、数据不出事、合规不踩线。建议网信办出台“零事故”目标的标准规范,为政企机构开展安全建设提供明确指引。
2.建议财政部明确要求政企机构在新增IT预算中10%用于网络安全建设。目前我国网络安全预算和发达国家有差距,美国非国防联邦机构2023财年网安预算占IT预算比例为16.57%,而我国在3%左右,差距较大,需填平补齐。
3.建议政企机构建设纵深防御的内生安全系统。纵深,是保证多道网络安全防线联动,一道防线被突破还有其它若干防线拦截攻击;内生,是把安全能力内置到网络的全链条中,内置到业务系统中,及时识别并阻断网络攻击。