两会提案(二) | CCIA理事长肖新光:关于强化网络安全公共安全属性的提案

2023-03-07

本文为全国政协委员、安天集团创始人肖新光在2023年全国两会提交的《关于强化网络安全公共安全属性的提案》全文。


01 背

      新时期十年,我国网络安全体系和能力建设取得巨大成就。技术水平不断提升,产业规模持续扩大。

二十大报告要求我们坚定不移贯彻总体国家安全观,对网络安全工作提出了更高要求。“构建全域联动、立体高效的国家安全防护体系。增强维护国家安全能力。”“筑牢国家安全人民防线。提高公共安全治理水平,坚持安全第一、预防为主,建立大安全大应急框架,完善公共安全体系,推动公共安全治理模式向事前预防转型,提高防灾减灾救灾和急难险重突发公共事件处置保障能力。”等要求贯通覆盖网络安全领域,“加强个人信息保护”则是针对网络安全领域的专门工作要求。

对比二十大提出的目标要求,我们依然存在较大差距和短板。


02 问题  

      一是缺少全面收敛网络安全威胁风险的刚性目标。信息体系是承载价值信息资产的“载体”,更已经成为支撑社会运行的“筋脉”。信息体系的暴露面和可攻击面不断扩大,遭遇攻击将带来风险连锁传导。相关霸权国家在网络攻击能力上的投入持续增加,导致网络空间军事化加剧;网络空间非国家行为体活动持续升级,全球网络犯罪带来的经济损失已经超过实体犯罪。网络安全风险处于持续膨胀的状态,经济社会运行存在因国家背景高强度网络攻击导致失控崩盘的风险。我国在整体安全监测、应急响应联动、风险通报机制等方面有较好运行基础,但缺少从总体国家安全观视角研判网络安全投入规模总量的方法,缺少和其他公共安全领域工作的对比拉通和经验借鉴。以消防领域来类比,根据国家应急管理部统计发布,2022年1-9月份我国火灾直接财产损失为55亿元,而为了控制火灾风险和连锁损失,我国每年消防市场规模已经达到准万亿级别。证明公共安全领域的风险达到可控收敛的状态,必然需要超额投入。而我国网络安全每年实质性市场规模仍在几百亿水平,数字经济年度市场规模已经达到45万亿,保障投入和保障的目标价值相对比,严重失衡。

二是单纯依靠网络安全责任制 市场化供给机制难以充分达成治理效果。网络空间信息资产分散在各个政企机构所构建的信息体系上。网络安全依托主体责任机制进行管理,以市场化产品服务供给为主要模式,是发展演化的自然结果。但网络安全的防护水平受到建设运营机构的风险意识、技术能力和投入规模的制约。高水平网络攻击表现为持续隐蔽性信息窃取和潜伏预置,被攻击机构难以感知。这些因素导致政企机构往往视网络安全投入为成本,普遍倾向按照能力低线进行合规建设,在实际产品服务选择中普遍按照“最低价中标”,而非选择能力更强、更适配的产品服务。长期的低线投入导致建设水平不高,防护能力低下,无力管控政企机构自身网络安全风险向国家安全、社会治理安全等领域传导转化,最终无法有效保障社会公共利益。这其中既有提升改进空间,也是单纯依靠市场供给机制推动的规律使然。而即使按照高线投入,单独的政企机构,也很难具有足够技术能力与财力,去独立对抗国家级、高水平的网络威胁攻击,需要更多的共性能力支撑与赋能。

从全球来看,2021年仅网络犯罪使全球经济损失已经超过1万亿美元,同样证明,单纯以市场商品供给为主导的网络安全运行模式不足应对网络安全威胁。消防、防疫等公共安全领域的成熟经验,值得网络安全领域借鉴和参考。


03 建议  

一是强化构建网络安全战略优势能力的目标导向。面对复杂的国际形势,网络安全领域可制定更具进取性的目标——成为国家治理体系中的能力长板,成为相较于主要地缘竞合方的能力优势,在应对霸权国家综合打压,甚至面临高烈度安全冲突过程中不会成为重大制约和风险软肋。在投入总量测算上,基于战略优势目标、数字经济体量规模和底线风险评价,以达成风险增量趋于收敛可控为导向,重新评估合理投入规模,将投入增量以集约化的模式投入到公共安全服务能力建设中。在评价机制上,不仅进行纵向的发展对比,也要和世界最先进水平进行横向对比。整体防护水平立足于不断缩小与最发达国家间差距并部分超越,相较周边地缘国家具备明显优势,能对抗国家级高水平攻击。基于相关工作的复杂性,建议先行先试以下两个方面。一是将关键信息基础设施的防护水平放到围绕超高能力网空威胁行为体构建“敌情想定”,能够经受最高等级攻击的实战检验看待。二是建议将人民群众和政企机构高度关切的“手机反诈”、“防数据窃取勒索攻击”等安全保障工作纳入平安中国和新型社会治理的考评指标。

二是借鉴公共安全治理经验,渐进推动网络安全公共安全服务机制。借鉴我国在消防、灾难救援、卫生防疫等领域的成熟公共安全治理经验,积极研究国际对网络安全公共服务化的研究进展和实践尝试,探索网络安全公共安全服务化的中国模式。分析强化网络安全公共安全服务属性的分工协同机制和能力供给体系。针对重要信息系统和关键信息基础设施,基于国家安全、社会治理安全、政企机构安全的三个责任层次,和公民个人安全的关联维度,层次化梳理出需要国家和各级政府统一保障和支撑的部分、需要主管部门赋能的部分、需要机构本身投入的部分等,清晰化网络安全市场供给机制和网络安全公共安全服务化机制的工作界面和主体责任。参考消防等公共服务模式,分析网络安全公共安全服务化的运行模式和需求总量,建构以风险后果为主要度量衡的评价和投入体系,逐步形成国家安全、社会治理安全、政企机构安全共担成本,协调共建的层次化建设投入机制。当前可以优先支持面向重点行业领域和地缘安全热点区域省份的网络安全公共安全服务化支撑能力试点、强化网络安全领域的国家安全基础设施建设。鼓励各地开展网络安全公共安全服务化试点探索和示范评优。优先支持在经济发展相对落后地区,构建网络安全共性基础设施和网络安全公共安全服务化能力,通过强化网络安全公共安全服务能力,弥补信息化及网络安全保障的历史投入不足。

联系我们
办公地点:中国电子技术标准化研究院
地址:北京安定门东大街1号
邮编:100007
电话:010-64102639
邮箱:cciahyz@china-cia.org.cn

微信公众号