【51CTO.com原创稿件】3月3日,全国政协十三届一次会议在人民大会堂开幕。在今年委员通道上,很多委员敢于发出“好声音”,在两会期间引起社会广泛关注。全国政协委员、启明星辰集团首席执行官严望佳,就针对目前国内信息安全多个领域现状,递交了五份提案。
据了解,这五份提案分别是《关于加强智慧城市网络安全测评及监管工作的提案》、《关于工业互联网信息安全建设的提案》、《关于在推进IPv6应用中做好安全保障工作的提案》、《关于加快推进军工行业工业控制系统与涉密信息系统安全互联的提案》、《关于推动国产安全设备在关键信息基础设施保护中应用的提案》。
为了让公众更深入了解提案的背景和价值,日前,启明星辰集团四位专家周涛、谢安明、赵军凯、孟雅辉共同接受了媒体的采访,畅谈这些提案“背后的故事”。
谁为大连接时代的最后一公里买单?
周涛是启明星辰核心研究院院长兼首席研究员。他告诉记者,之所以提交《关于在推进IPv6应用中做好安全保障工作的提案》,主要是考虑到安全漏洞是软件开发过程中普遍存在的安全问题,现有的IPv4协议栈已经大规模使用了数十年,仍然会在不同类型、不同版本操作系统的协议栈软件中发现新的安全漏洞。所以可以推论出,发现与IPv6协议栈软件相关、能够引发严重问题的安全漏洞是大概率事件。而且由于IPv6协议格式的差异,现有的网络安全设备应用到IPv6环境中,需要进行协议栈的替换和大量测试工作,无法直接部署应用。
周涛指出,在大规模推进IPv6应用之前,就应当充分考虑新网络体系架构带来的潜在安全风险,政府在政策和制度层面制定相应的措施,提前做好风险防范和应对工作。他建议采取四个措施来消弭安全风险:一是加强对部署IPv6应用机构的风险评估工作;二是鼓励安全企业和个人对IPv6协议栈的漏洞挖掘;三是加强IPv6安全人才培训教育;四是推动现有网络安全设备尽快过渡到IPv6环境。
智慧城市也要有安全格局
在五个提案中,智慧城市的安全问题牵动了更多人的目光。启明星辰核心研究院研究员谢安明认为,由于智慧城市中存在大量涉及国家安全、经济发展和社会公共利益的重要数据,涉及了大量的个人信息,一旦出现网络安全问题,就可能出现极其严重的后果。“我们提出建议要对智慧城市的安全进行评测和监管,本质就是对于态势的一种掌控。”
谢安明介绍到,由于大多数城市都是在摸索中建设,很多地方都重视硬件条件建设,却忽视建成后效果测评。为此启明星辰建议建立智慧城市网络安全评价体系,大力推进安全测评工作,摸索出好的建设经验,有效引导智慧城市的网络安全建设方向;此外建议政府组合法规、管理和技术手段,加强对影响国计民生的基础信息系统的安全监管。
记者了解到,启明星辰自己也在积极探索保障智慧城市安全的有效手段。强化统一安全监管职能,建设城市网络安全运营中心就是启明星辰的一道“良方”。在2017年12月,启明星辰在成都建立了第一个网络安全运营中心,提供持续的城市级安全运营维护能力。同时,在济南、昆明等地也开始建设城市网络安全运营中心,另外,三门峡、郑州等地正在积极开展相关工作。城市级安全运营中心的建设,可以为智慧城市、城市云、大数据中心及其他城市关键信息基础设施建立网络安全监测、信息通报和应急处置机制,实现“全天候、全方位”的网络安全态势感知、运维服务、应急响应能力。
击碎军工系统安全互联桎梏早日实现强国梦
启明星辰集团工业互联网安全部技术总监孟雅辉透露,军工行业武器装备的论证、研制,科研生产的组织协调基本依赖涉密办公网,但测试、试验、生产用到大量专业设备,基本在控制网,随着对武器装备的先进性的要求越来越高,军工行业需打通工业控制系统和涉密办公网互相连接,以提升我国武器装备的科研生产能力。然而工业控制设备一般更新换代周期长,普遍存在弱口令、漏洞等安全缺陷,互联后可能给工业控制系统带来新的信息安全威胁。一旦受到攻击,将造成生产线损毁或生产能力下降、恶意代码植入武器装备、生产安全等事故。
她还表示,军工行业工控系统对保密要求比普通工控系统高,所处理信息是涉密的,但又难以达到涉密办公系统的强制保护要求,只能根据其结构功能的特点采取有针对性的保护措施,但这么做又不符合国家政策,军工企业无所适从。为了不让军工行业的生产效率和生产任务大大受限于现在的状态,实现系统之间的安全互联,打通武器装备的科研与生产环节的瓶颈,《关于加快推进军工行业工业控制系统与涉密信息系统安全互联的提案》给出了三点建议:首先是要明确监管责任主体与责任边界,其次是推进工业控制系统的安全防护技术在军工行业的应用,建立工业控制系统信息安全管理机制,最后孟雅辉还强调,要全面提高涉密信息系统、非涉密信息系统和工业控制系统安全保密风险实际防控能力。
工业互联网安全需“政策监管+安全机制”双管齐下
与其他几项提案相比,《关于工业互联网信息安全建设的提案》在安全方面的呼吁更容易引起众人的共鸣。启明星辰工控安全部资深咨询顾问赵军凯告诉记者,工业互联网打破了工业控制系统传统的封闭和强调高可靠性的格局,使工控系统信息安全问题大量暴露出来,线上线下安全风险交织叠加放大,安全形势更为复杂,极大威胁到了工业企业、民生、国民经济、甚至国家发展的安全。
虽然业内普遍达成共识,将安全作为工业互联网三大功能体系之一,但赵军凯指出,目前工业互联网信息安全监管责任主体不够明确,现有的信息安全防护技术不能完全适用于工业互联网环境,国家工业互联网安全整体保障能力还亟待加强,需加快建设。“工业互联网是一个很大的范畴,最有效的做法是政策监管和安全机制双管齐下,根据一个统一的标准进行建设。” 赵军凯透露,工业互联网产业联盟安全组去年发布了工业互联网的安全白皮书,现在正在制订整个安全架构的白皮书,后续会联合联盟里的标准组做标准层面的工作。
在提案中,启明星辰针对安全现状给出了几个解决办法,一是明确国家、地方及行业的工业互联网信息安全监督主体和责任,二是建议制定工业互联网安全新技术研究方向,开展工业互联网信息安全技术创新实验室和示范基地的建设,三是建议完善工业互联网信息安全产品认证及准入机制,建立相关产品名录,四是建议完善国家工业互联网整体安全保障能力。
以税收优惠加速国产安全设备落地
《关于推动国产安全设备在关键信息基础设施保护中应用的提案》是最后一个“被拍板”提案,虽然关于国产安全设备“本土化”的需求几乎成了国内众多安全厂商“老生常谈”的课题,但是这一次启明星辰对于具体落地措施提供了一个很好的参考建议。
周涛建议政府相关部门对关键信息基础设施的运营企业购置国产网络安全设备出台税收优惠政策,同时对企业可享受税收优惠的网络安全设备进行明确。提案的灵感来自环保行业。为了改善生态环境节省资源,几年前政府相关部门对企业购置环境保护、节能节水、安全生产等专用设备的税收优惠进行了规定,同时发布相应的“专用设备目录”鼓励社会企业参与,收到了企业的热烈响应。
他告诉记者,在1999-2011年期间,政府曾出台《技术改造国产设备投资抵免企业所得税暂行办法》,规定对企业购置国产的生产经营性设备进行税收抵免,实施效果很好。“我相信,这样的方法也同样适用于关键信息基础设施中,可以切实推动国产安全设备的落地。”
事实证明,安全问题是关系到国计民生的大问题,信息安全的建设不可掉以轻心。在记者看来,启明星辰这五份提案不仅囊括了时下最需要被重视的行业安全重点和热点,更重要的是在这五份提案背后,是一家民族企业背负安全责任默默前行,希望同行者越来越多,那么中国网络安全强国崛起之日将不再遥远。
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】