聚焦两会丨全国政协委员肖新光
建议细化网络安全责任机制,完善层次化风险与责任分析体系

时间:2023年03月07日    来源:安天


全国两会期间,全国政协委员、安天集团创始人肖新光接受21财经采访。建议围绕落实《网络安全法》进一步细化网络安全责任体系,提升责任制覆盖度。强化网络安全公共安全属性,强化构建网络安全战略优势能力的目标导向,渐进推动网络安全公共安全服务机制。本文来源于21财经,作者:吴立洋、实习生谭砚文。

原文链接:https://m.21jingji.com/article/20230306/herald/3fc0049b7d0f1aa6090b3a09163a846a.html

数字化时代,新兴信息技术与社会经济的高度融合既促进了数字经济的高速发展,也使得各类数字安全风险蔓延到生产生活的各个角落。防范网络安全风险,不仅需要技术手段的进化与更新,更需从顶层设计到一线监管构建更为完善立体的安全防护体系。

3月5日,十四届全国人大一次会议开幕,李克强总理在政府工作报告中指出今年经济社会发展总体要求,其中包括“更好统筹发展和安全”

今年全国两会期间,长期致力于我国网络安全事业发展的全国政协委员、安天科技集团董事长、首席技术架构师肖新光,带来了多份关于进一步完善网络安全治理机制,增强维护国家安全能力的提案。

他建议,围绕落实《网络安全法》进一步细化网络安全责任体系,提升责任制覆盖度。强化网络安全公共安全属性,强化构建网络安全战略优势能力的目标导向,渐进推动网络安全公共安全服务机制。

全国政协委员、安天集团创始人肖新光

细化网络安全责任制

自2016年《网络安全法》正式通过以来,随着不同层级、不同行业的网络安全法律法规先后出台,我国网络安全责任的法理依据渐趋全面,但仍有诸多机制落实与执行层面的问题亟待进一步完善。

在他看来,当前网络安全责任机制存在以下三方面的问题:

一是现有责任机制层次不够清晰。当前,不同政企机构所建设运营的信息系统承载着海量客户信息,这些系统和数据资产与国家安全、社会治理安全、政企机构安全和公民个人安全四个层次息息相关,因此网络安全责任机制不应单纯是建设运营单位的责任机制。

但目前网络安全责任制的实际落实,更偏重于“谁建设、谁负责,谁运营、谁负责”的主体责任机制,并未明确四个风险层次间的责任界面,政企机构缺少层次化的风险分析指引,综合协同机制有所不足。

二是责任机制的覆盖范围仍存盲区。从目前责任机制落实来看,基于事件驱动的问责动作较多,但对于推动网络安全与信息化同步规划、同步建设、同步运营全生命周期提升的全过程责任覆盖还不够。

肖新光指出,我国网络安全水平高度依赖于网信产品,特别是应用开发商的自身安全水平。但我国网信行业整体代码安全工程能力普遍较差,产品带有严重缺陷和漏洞部署到用户现场情况屡见不鲜,很多厂商不能履行快速修复已知漏洞义务。研发场景和软件分发链安全能力差,易于被攻击者入侵,预埋后门木马。上述都是政企机构遭遇网络入侵的重要原因,但目前没有配套的联动问责机制。

三是责任机制缺少综合支撑要素。大部分网络安全事件并非是事故,而是攻击者施加于被攻击目标的恶意行为活动。在这些事件中遭受攻击损失的机构兼具责任者和受害者的双重角色。肖新光认为,一般性政企机构的投入能力和技术水平,很难单独支撑对抗高水平国家级的网络威胁攻击。对于遭到网络安全供给的机构,既需要督促追责、整改检查,也需要辅助帮扶,包括增加预算保障等。

他进一步指出,如果只有问责机制,而没有免责、激励和赋能机制,政企机构一方面没有能力发现隐蔽性很强的高级持续性威胁,另一方面出于避责心理,采用瞒报掩盖方式应对网络攻击,将会影响网络安全事件的强制性报告制度的落实,进而影响网络安全威胁的整体有效感知和威胁情报的快速共享。

针对现存问题,他提出了三点建议:

一是完善层次化风险与责任分析体系。建议主管部门围绕重要信息系统和关键信息基础设施,完善共性方法指引,依托敌情想定和模拟推演等方式,梳理重要信息系统和关键信息基础设施遭遇攻击向国家安全、社会治理安全和公民个人安全的外溢风险,以风险后果视角重新分析网络安全规划和投入的合理性。量化分析规划投入的差距和短板,基于共性和弹性安全能力建设,专项投入支持等方式,弥补重要信息系统和关键信息基础设施运营方的安全投入不足。

二是压实“关口前移,防患于未然”的工作要求,提升责任制覆盖度。建议相关部门组织细化,下沉赋能,对运营关键信息基础设施的政企机构的敌情想定构建、网络安全规划建设情况进行前置检查指导,细化IT供应链网络安全的整体要求、工作机制和流程规范。建立对安全事件有直接责任的网信供应商的关联问责机制。对供应商代码安全能力低下,研发生产环境安全防护投入不足,严重漏洞不及时通报用户并修复,以及提供云、APP等服务关联导致客户资产损失等情况予以追责。鼓励基础安全能力嵌入信息产品,实现安全基因的原生融合。

三是将网络安全问责机制、奖励机制、帮扶赋能机制有机结合。问责机制作为事后惩治手段,对未落实工作要求导致数据泄漏、系统失陷、造成风险损失的,依法追究。同时鼓励积极作为、扎实投入的导向。对高水平建设、规划、运营安全能力的,实施奖励。对按照高水平完成相关能力建设、按照高要求持续安全运营的政企机构,因遭受国家级高水平攻击造成损失的,适度免责。对发现带有国家和地缘安全背景网络攻击时第一时间上报,发现高价值威胁线索,捕获有价值信息的,提供奖励。

强化网络安全公共安全属性

近年来,随着政策端的官方文件的密集出台和数起典型安全事件在社会层面的破圈,网络安全产业开始受到愈加广泛的关注,在自身技术创新和政策指引、资本集聚的多重利好推动下,安全产业规模引来了高速发展。

但变化莫测的安全环境也对产业适应新兴应用场景、应对多变风险威胁的能力提出了更为严峻的挑战。党的二十大报告中,“构建全域联动、立体高效的国家安全防护体系”“建立大安全大应急框架,完善公共安全体系,推动公共安全治理模式向事前预防转型”等要求贯通覆盖网络安全领域。

“对比党的二十大报告提出的目标要求,我们依然存在较大差距和短板。”肖新光指出,一方面,我国缺少全面收敛网络安全威胁风险的刚性目标;另一方面,单纯依靠网络安全责任制+市场化供给机制难以充分达成治理效果。

具体而言,信息体系是承载价值信息资产的“载体”,更已经成为支撑社会运行的“筋脉”。信息体系的暴露面和可攻击面不断扩大,遭遇攻击将带来风险连锁传导。我国在整体安全监测、应急响应联动、风险通报机制等方面有较好运行基础,但缺少从总体国家安全观视角研判网络安全投入规模总量的方法,缺少和其他公共安全领域工作的对比拉通和经验借鉴。

“数字经济年度市场规模已经达到45万亿,而我国网络安全每年实质性市场规模仍在几百亿水平,保障投入和保障的目标价值相比严重失衡。”肖新光说。

细化到政企安全管理层面,网络空间信息资产分散在各个政企机构所构建的信息体系上,网络安全依托主体责任机制进行管理,以市场化产品服务供给为主要模式,但这也使得网络安全的防护水平受到建设运营机构的风险意识、技术能力和投入规模的制约。政企机构往往视网络安全投入为成本,普遍倾向按照能力低线进行合规建设,在实际产品服务选择中普遍按照“最低价中标”,而非选择能力更强、更适配的产品服务。

当前,高水平网络攻击表现为持续隐蔽性信息窃取和潜伏预置,被攻击机构难以感知。而长期的低线投入导致政企安全建设水平不高,防护能力低下,无力管控政企机构自身网络安全风险向国家安全、社会治理安全等领域传导转化,最终无法有效保障社会公共利益。

肖新光表示,公共安全领域的风险达到可控收敛的状态,必然需要超额投入,消防、防疫等公共安全领域的成熟经验,值得网络安全领域借鉴和参考。

他建议,一方面,强化构建网络安全战略优势能力的目标导向。

在投入总量测算上,基于战略优势目标、数字经济体量规模和底线风险评价,以达成风险增量趋于收敛可控为导向,重新评估合理投入规模,将投入增量以集约化的模式投入到公共安全服务能力建设中。在评价机制上,不仅进行纵向的发展对比,也要和世界最先进水平进行横向对比。整体防护水平立足于不断缩小与最发达国家间差距并部分超越,相较周边地缘国家具备明显优势,能对抗国家级高水平攻击。

基于相关工作的复杂性,可以从以下两方面先试先行:一是将关键信息基础设施的防护水平放到围绕超高能力网空威胁行为体构建“敌情想定”,能够经受最高等级攻击的实战检验看待;二是将人民群众和政企机构高度关切的“手机反诈”、“防数据窃取勒索攻击”等安全保障工作纳入平安中国和新型社会治理的考评指标。

另一方面,借鉴公共安全治理经验,渐进推动网络安全公共安全服务机制。

具体而言,分析强化网络安全公共安全服务属性的分工协同机制和能力供给体系,针对重要信息系统和关键信息基础设施,基于国家安全、社会治理安全、政企机构安全的三个责任层次,和公民个人安全的关联维度,层次化梳理出需要国家和各级政府统一保障和支撑的部分、需要主管部门赋能的部分、需要机构本身投入的部分等,清晰化网络安全市场供给机制和网络安全公共安全服务化机制的工作界面和主体责任。

参考消防等公共服务模式,分析网络安全公共安全服务化的运行模式和需求总量,建构以风险后果为主要度量衡的评价和投入体系,逐步形成国家安全、社会治理安全、政企机构安全共担成本,协调共建的层次化建设投入机制。

当前,可优先支持面向重点行业领域和地缘安全热点区域省份的网络安全公共安全服务化支撑能力试点、强化网络安全领域的国家安全基础设施建设;鼓励各地开展网络安全公共安全服务化试点探索和示范评优;优先支持在经济发展相对落后地区,构建网络安全共性基础设施和网络安全公共安全服务化能力,通过强化网络安全公共安全服务能力,弥补信息化及网络安全保障的历史投入不足。