360 集团创始人周鸿祎: 应对“黑客”采取特殊人才认定和激励政策,防止流失进入黑产
3 月 3 日,从 360 集团处获悉,全国政协委员、360 集团创始人周鸿祎围绕智能汽车网络安全、网络安全行业特殊人才认定、城市级网络安全基础设施三个话题,向两会提交了多项建议。
在《关于加强智能汽车网络安全的提案》中,周鸿祎表示,智能网联汽车就像是一台四个轮子上的 " 大手机 ",集成了大量的摄像头、雷达、测速仪、导航仪等各类传感器,由此导致过去智能终端存在安全问题陆续出现在智能汽车上,可能危及人身安全和公共安全,造成不可挽回的重大损失。
在《关于网络安全行业特殊人才认定和激励政策的提案》中,周鸿祎表示,网络安全顶尖人才依旧十分匮乏。俗称的 " 黑客 " 通常具有过人的网络安全天赋和能力,在网络安全对抗、维护国家网络安全中能够发挥特殊作用,但这些人往往由于学历不高,难以通过正常职业发展途径、成为主流价值观所认同的专业人才。
在《关于加快构建智慧城市安全基座 " 城市级网络安全基础设施 " 的提案》中,周鸿祎表示,智慧城市可能并不像想象得那么美好,由于街道照明、能源、水务、电网、交通甚至每个垃圾桶都联网了,每个传感器都可能有漏洞,都可能被攻击,再加上专业级黑客组织登场,智慧城市面临的网络安全威胁越来越大。
以下为提案全文:
关于加强智能汽车网络安全的提案
当前,我国智能汽车产业爆发增长,预计到 2025 年,智能网联汽车占当年汽车销量 50%,智能汽车联网化将成为新一代汽车发展的必然选择。
随着智能网联汽车产业蓬勃发展和数字化程度越来越高,智能网联汽车就像是一台四个轮子上的 " 大手机 ",集成了大量的摄像头、雷达、测速仪、导航仪等各类传感器,由此导致过去智能终端存在的远程控制、数据窃取、信息欺骗等安全问题已经陆续出现在智能汽车上,这些问题可能危及人身安全和公共安全,造成不可挽回的重大损失。
智能汽车联网带来的安全隐患非常大
智能网联汽车的智能驾驶系统、信息娱乐系统、底盘控制系统和动力控制系统都会与互联网联接,通过网络进行数据传输和系统远程升级。与互联网连接就会有网络安全风险,黑客完全可能通过网络攻击劫持汽车。目前,360 的安全专家已经在实验环境下发现了多个品牌智能汽车的安全漏洞,利用这些漏洞可以对智能汽车实施转向控制、关闭引擎、突然制动、开关车门等操控,严重威胁智能汽车安全驾驶。
智能汽车供应商的安全问题也能殃及池鱼
目前所有的智能网联汽车企业都将智能车辆与车企的云端服务器远程相连,而车企的云服务商作为车企的 IT 供应商,所搭建的系统都会存在漏洞和更新滞后等问题。一旦云端服务器的漏洞被攻击者利用,攻击者就会通过对云端的侵入,进而对汽车实现远程干扰和操控,后果不堪设想。
智能汽车中的各类数据采集泄漏风险巨大
智能汽车中的传感器非常多,可不停地采集汽车运行中车内车外的各种数据,比如零件是否正常运行、车速、胎压等;驾乘人员的出行轨迹、驾乘习惯、车内语音图像等;地图道路环境数据等。这些传感器得到的 " 大数据 " 会在车辆本地和云端进行存储,具有被窃取风险。一旦数据泄漏,用户隐私将被暴露,而道路网数据、导航数据、环境影像等具有地图测绘属性的数据被大量收集和泄漏,甚至可能危及国家安全。
建议如下:
一、把网络安全系统像 " 安全带 " 一样列为智能汽车的标配
建议国家加大鼓励和引导汽车企业,将智能汽车的联网安全防护体系纳入车辆生产、销售和服务体系中,并逐步形成强制性要求,像汽车安全带一样,列为汽车安全的标配。此外,汽车行业应加大网络安全投入,以安全大脑为核心,建设智能网联汽车安全大数据平台、安全智能分析平台、应急响应平台等网络安全基础设施,形成智能网联汽车安全能力体系。
二、推进智能汽车网络安全强制测试
研发针对真实应用场景的智能汽车攻击测试工具,建立覆盖车企、销售、运维和用户全业务流程的系统化攻击测试用例库,构建智能汽车实网攻防式安全验证平台,推进智能汽车联网安全测试成为新的、常规的 " 汽车碰撞测试 ",甚至适时建立强制测试;定期开展实战攻防演练和能力评估,不断检验和提升车企相关行业安全防护、应急处置和指挥调度能力。
三、强化智能网联汽车产生的数据安全监管
建议加强智能汽车在使用过程中数据采集的监管,禁止采集用户不知情数据,禁止过度采集超出满足智能汽车功能的地理环境数据。制定智能网联汽车采集用户数据和地理环境数据的标准规范,并加强这些数据的出境监管。按照国家相关数据安全法规和条例,细化智能网联汽车相关数据安全要求。
关于网络安全行业特殊人才认定和激励政策的提案
网络安全实质是人与人的对抗,人才是我国未来网络安全产业发展的基础。近年来,国家成立了众多网络安全学院,用来加快人才培养步伐,但人才缺口仍十分巨大。
因此有必要重视这个群体的社会价值,采取特殊人才认定和激励政策,使他们得到社会和国家认可,鼓励他们更好地发挥专业特长,为国家做贡献;也防止他们流失到其他行业和国家,甚至去做黑灰产。
网络安全行业特殊人才是国家的宝贵资源
从网络安全行业的现实情况来看,这些高手多数都在民间,不在传统体制内服务,但他们就像数字时代的侠客,同样可以为网络安全行业做出重要贡献。众所周知,针对一些应用场景,很多网络安全人才是可以快速、规模化培养的,但这些特殊的顶尖人才却很难通过学历教育培养出来。
他们是一群极有天赋的人,多数是怪才、偏才,特立独行,散落在社会和企业各处。这些人还有一个共同特点,就是对网络安全行业充满了激情和热爱。他们有很深的安全研究能力,不断帮助企业和各单位发现漏洞、做攻防实战演练、做安全保障服务,是国家网络安全的宝贵资源。
国内现行人才认定标准不适用于网络安全特殊人才
网络安全行业特殊人才往往由于学历不高,没有承担过国家科研项目,没有发表过论文,评不了职称、落不了户、子女入学也可能面临困难。虽然这几年多方努力做了不少工作,但这些问题还没有得到彻底解决。去年底,人社部和公安部正式颁布了首个网络安全行业职业技能国家标准—— " 网络与信息安全管理员 " 国家职业技能标准,填补了职业空白,但对这个领域的人才培养路径和顶尖人才认定等的特殊性考虑还不够,尚难以对他们的技能和贡献进行充分而全面的评价。
建议采取特殊人才认定和激励政策,提高社会对这个群体的理解和认可,也增强他们对国家的认同感,更多吸引他们为网络强国建设做贡献,在重大国家网络安全事件的关键时刻能够挺身而出。
具体建议:
一、制定专门的网络安全特殊人才认定政策
建议国家制定出台以能力为导向、成果为标尺的网络安全特殊人才认定标准,突出专业性、创新性、实用性,突出解决实际问题能力,如大数据安全分析能力、漏洞挖掘与修复能力、APT 攻击发现与追踪溯源能力等,并保持这类特殊人才的独立性和发展潜力。建议建立针对性的职称评定机构和制度,并明确所设置的职称体系在社会中被广泛认可。
二、对符合条件的网络安全人才给予个人税收优惠政策
建议增加针对网络安全特殊人才的个税减免项,对突出贡献所得收入,也给予个税减免。对于符合条件的网络安全新兴领域创业人员和早期员工,对他们的股票和期权比照 " 资本利得 " 征税原理,在实际变现环节按照财产转让所得缴纳个人所得税,激发他们的创业积极性,鼓励创新发展。
三、对符合认定条件的网络安全特殊人才予以必要激励
建议开辟网络安全行业特殊人才引进绿色通道,在落户、购车、购房和子女入学等方面予以特殊照顾,对有突出贡献者发放特殊津贴。
关于加强构建智慧城市安全基座 " 城市级网络安全基础设施 " 的提案
新一代智慧城市是数字化的重要场景
智慧城市利用先进的数字化技术,实现城市智慧式管理和运行,为城市中的人创造更美好的生活。
比如,疫情期间通过医院智慧医疗的远程指导帮助老百姓看病;城市随处可见的充电桩,解决人们汽车的充电问题,等等。
我国已经有大约 500 座城市明确提出或正在建设新型智慧城市。未来孤立的事故、犯罪事件等等都难成气候,具有全局性影响网络安全攻击将成为智慧城市的最大威胁。
因此,必须通过集中建设和运营 " 城市级 " 网络安全基础设施,以类似于电厂、水厂的公共服务方式为城市提供统一的网络安全服务,以提升城市网络安全水平,增强人民群众安全感。
城市级网络安全基础设施是建设智慧城市新一代网络安全体系的关键
我国城市网络安全基础设施十分缺乏,不成体系。现有的网络安全系统大多数是针对特定应用场景和特定用户建设的,自建自用、功能单一,不具有公共服务属性,难以实现城市级的网络安全整体运营和协同联防,更无法形成安全能力的持续积累,因此需要加快构建城市级网络安全基础设施。
网络安全基础设施是以安全大脑为核心的新一代网络安全能力体系的载体,包括威胁情报中心、地图测绘中心、漏洞管理中心、实网攻防靶场、联合指挥中心、应急响应中心等设施。它通过安全专家的持续运营,以安全服务形式对外输出并赋能,保障各类业务安全,实现安全能力的不断进化和成长。
城市级网络安全基础设施是智慧城市的 " 安全基座 ",用来为整座城市的各级机构、各行各业和老百姓提供公共网络安全服务,可以用在智慧交通、智慧金融、智慧能源、安全应急等应用场景,为城市关键基础设施和重要信息系统提供安全保障。
(一)将城市级网络安全基础设施作为智慧城市的标配
建议在 " 十四五 "、智慧城市建设等重大战略规划中,把城市级网络安全基础设施作为智慧城市建设的必备内容,并保证其建设经费投入占比不低于建设总经费的 20%,重点建设威胁情报中心、地图测绘中心、漏洞管理中心、实网攻防靶场等,逐步形成安全能力体系;同时把网络安全基础设施的服务能力水平纳入智慧城市治理能力的评价指标体系,强化网络安全在智慧城市治理中的基础性地位。
(二)开展城市级网络安全基础设施的统一安全运营
建议以安全大脑为核心,通过城市级网络安全基础设施将城市各类用户网络与终端连接起来,由安全专家进行统一安全运营,统一指挥、协同联动,第一时间感知攻击和威胁,对城市网络安全事件进行及时处置和应对,有力支撑智慧城市安全管理和网络治理。
(三)以城市级网络安全基础设施为载体进行服务赋能
建议以城市级网络安全基础设施为载体,面向城市党政部门、企事业单位和重要用户,持续提供威胁情报、威胁研判、漏洞信息、实网攻防演练、人员安全培训、应急响应等公共安全服务,探索形成安全服务的组织运营模式,提升城市网络安全整体水平。