2020年兩會期間,網絡安全依然是備受關注的熱點話題,各界大佬、企業家紛紛建言獻策。近期工業控制系統信息安全產業聯盟特推出兩會話安全專題,梳理兩會代表們涵蓋“網絡安全”、“信息安全”、“物聯網安全”、“工業互聯網安全”、“人工智能安全”、“數據安全”等精彩提議提案。
1 推動人工智能賦能工業互聯網安全發展;推進智能車聯網安全風險評估
推動人工智能賦能工業互聯網安全發展
工業互聯網中快速產生積累大數據,成為人工智能技術應用的天然平臺,因此人工智能賦能工業互聯網必將不斷發展。與此同時,工業互聯網中的安全相關數據也持續快速產生積累,因此應當也積極推動人工智能賦能工業互聯網安全,正如網絡安全與信息化是一體之兩翼、驅動之雙輪,在工業互聯網智能化發展的同時必須同步推進人工智能賦能工業互聯網安全。具體建議如下:
( 1 ) 引導成立聯合實驗室促進技術研究與復合型人才培養
工業互聯網中工業技術與信息技術深度交叉融合,其中很多網絡安全問題是OT網絡與IT網絡相融合所帶來的。要研究針對性的人工智能賦能工業互聯網安全技術,必須對具體應用場景有深入全面的了解,這就需要聯合工業生產企業、網絡安全企業以及相關科研院所等一起開展研究。因此,應當引導激勵成立多方參與的聯合實驗室,構建工業場景的仿真環境以助力網絡安全問題的發現(如工控系統漏洞挖掘)及對網絡安全技術有效性的驗證;培養具備多元知識技能的復合型人才,促進技術融合創新探索。
( 2 ) 促進人工智能賦能工業互聯網安全實踐落地
工業互聯網面臨的安全威脅多,受攻擊面廣,且涉及的數據規模大,現有安全防御體系難以應對。同時,由于工業互聯網直接影響生產,應避免采用掃描探測、滲透測試等主動式技術手段,而更適合基于網絡流量分析的被動式漏洞自動挖掘、惡意代碼檢測及異常行為發現等,人工智能技術對此可發揮極大助力。然而,由于缺乏真實數據支撐,研究、測試難度大。工信部建設的國家工業互聯網安全態勢感知與風險預警平臺在數據采集匯聚與分析預警方面邁出了一步,建議在此基礎上可再采取一些有力措施促進人工智能賦能工業互聯網安全的實踐,例如鼓勵相關數據共享供研究使用、設立實驗試點項目開展真實環境部署測試等。
( 3 ) 推動人工智能賦能工業互聯網安全可持續自適應演進
工業互聯網中采用的新一代信息技術對現有網絡安全防御體系帶來了重大挑戰。另一方面,隨著工業互聯網的智能化發展,攻擊者也將采用智能化手段,帶來新的威脅。人工智能技術可通過不斷從新數據中學習實現自動提升,而且可采用對抗式學習的方法持續增強能力,與惡意的人工智能應用相對抗。因此,研究人工智能賦能工業互聯網安全,可實現網絡安全防御體系的可持續性自適應演進。建議采取的措施包括:引導激勵人工智能賦能工業互聯網安全技術自主學習演進、對抗提升的研究,設立研究項目課題推進產學研合作攻關其中的關鍵技術問題等。
推進智能車聯網安全風險評估
建議針對智能車聯網進行常態化信息安全風險評估和車輛信息安全檢測分析,保護智能車聯網及交通安全。具體建議如下:
( 1 ) 建議相關單位啟動或加快完成包括智能網聯汽車信息安全通用技術、車載網關、車載娛樂系統、車載信息交互系統、汽車遠程管理與服務、智能網聯汽車云平臺等涉及智能網聯汽車和智能網聯汽車重要部件、車路協同系統、智能車聯網絡系統的信息安全標準制定;
( 2 ) 建議在《機動車運行安全技術條件》中增加信息安全要求,明確智能網聯汽車、車輛輔助駕駛系統的信息安全風險評估要求和信息系統與數據安全要求;
( 3 ) 建議要求對含有電子系統、尤其是具有操作系統的智能網聯汽車重要零部件進行銷售前進行信息安全檢測;
( 4 ) 建議包括無人試驗車、無人出租車、低小慢速智能設備等智能網聯車和含有輔助駕駛功能傳統汽車、新能源汽車的在投入使用前必須進行全面的信息安全風險評估。評估內容建議至少包括車載總線系統(CAN總線系統)、車載核心交互系統(T-BOX系統)、車載電子娛樂系統(IVI系統)、車載智能天線、車載無線系統、車路協同系統、車-云交互系統、云端車輛服務系統(V2X系統)等;
( 5 ) 建議要求針對無人試驗車、無人出租車、低小慢速智能設備、電動車等智能網聯車建立常態化的信息安全檢測和評估機制。建議要求包括在車載電子系統或軟件出現重大版本變更或升級、云端服務系統出現重大版本變更或升級、惡意代碼或病毒爆發、車輛開始投入使用前、車輛年檢等情況下必須進行信息安全評估;
( 6 ) 建議對全國在建或已建成的各無人車、智能網聯汽車、低小慢速智能設備的示范區及封閉型試驗區進行智能車聯網絡風險評估,并形成常態化評估機制;
( 7 ) 建議針對目前國內市場上所有的國外進口整車型號,根據《中華人民共和國網絡安全法》和《個人隱私保護條例》等法律條例進行全面信息安全風險評估,并根據法律要求將云端車輛服務系統遷移至中國境內,以防止我國公民個人隱私信息的泄漏。
——全國政協委員、啟明星辰信息技術集團股份有限公司首席執行官 嚴望佳
2 強化完善戰備級的網絡安全應急和資源儲備機制
這次新冠肺炎疫情,帶來了網絡安全次生風險,暴露了系列安全隱患。經過近20年發展運行,我國的網絡安全應急體系已經比較成熟,但面臨重大社會風險時,安全風險是相互滲透和傳遞的,網絡安全威脅活動將會造成各種傳統和非傳統安全后果,同時幾乎所有突發性事件和社會風險都會向網絡空間傳遞。疫情期間,社會更加高度依賴網絡系統,網絡安全風險也劇烈升級。比如這次疫情防控過程中的衛生防疫、檢疫、生物科學研發相關機構成為外方入侵活動重點,防控所需的全面人員信息采集帶來公民隱私和國家安全風險。應以總體國家安全觀為指引,強化多體系聯合快速反機制,讓網絡安全應急體系在國家應急體制中發揮更大的作用。
“新基建”平臺夠不夠安穩,是數字經濟實現快速發展的關鍵。無論是物聯網所支撐的智慧城市,還是大數據和云平臺,以及各種信息系統的建設,都必須在系統的規劃、建設、運維全生命周期考慮網絡安全問題,并通過整體系統安全框架來落實網絡安全能力。
網絡安全為信息化提供同步保障,網絡安全技術創新也要跟隨信息化技術伴生成長。新基建將為國家提供發展動力,網絡安全自主創新企業要爭做網絡安全保障的強大賦能方。
——全國政協委員、安天董事長、首席架構師 肖新光
3 加強數據安全保護與利用
在推動智慧經濟發展方面,應加強數據安全保護與利用。目前我國數據安全和有效利用還有很多提升空間。一方面,智慧經濟面臨嚴峻的數據安全挑戰。生物特征識別技術,暴露出嚴重的安全問題。移動APP過度索權、超范圍收集個人信息的現象讓廣大網民苦不堪言。5G、智能物聯網、車聯網等也產生了嚴重的數據安全風險。另一方面,數據資源的有效利用不足也制約了智慧經濟的發展。
應從全生命周期角度對數據面臨的安全問題進行規制。例如,在即將出臺的《數據安全法》和《個人信息保護法》,應明確參與數據全生命周期環節的各類主體;設置統一的數據安全保護機構以及加快安全標準的修訂等。此外,還應針對新一代信息技術引發的數據安全問題,加強企業在數據安全保護方面的意識和管理,以及完善數據控制和流通規則,明確界定數據流通過程中各方的責任和義務,保障數據的有效利用。
圍繞新基建相關的“5G+工業互聯網”,制造業仍面臨一些難點和挑戰。具體如下:一是數字基礎設施建設迫在眉睫。新全國性的新冠疫情催生了如生產數字化、在線辦公、無人物流等互聯互通需求,但在實際應用中,暴露出企業數字化程度不均、工廠設備聯網率有待提升等問題。二是工業信息安全問題比較突出。近年來,針對工控系統的網絡攻擊、網絡入侵等安全事件頻發。在無線、5G時代,存在“端-邊-云-網-智”的系統化安全問題,涉及工控、網絡傳輸和數據安全等多方面,需要構建體系化的監管機制,否則很難為制造業全產業鏈抵御外部攻擊。此外,目前還缺乏支持5G的專用工業設備、高速數據處理和分析的計算設備以及自主可控的工業軟件平臺,給行業應用也帶來了一定安全隱患,需要加大技術研發和設備改造力度。三是應用場景和盈利模式有待挖掘。
——全國人大代表、聯想集團董事長兼首席執行官 楊元慶
4 加快制定“數據安全法”;加快推進區塊鏈技術和產業創新發展
加快制定“數據安全法”,進一步完善數據治理
我國目前在數據安全方面存在如下問題:公民個人信息和隱私數據被泄露的風險正在大大增加,海量數據的采集和分析也可能導致國家機密信息的泄露;數據存在過度收集與濫用,“大數據殺熟”現象普遍;數據權屬不明確,數據主體的權益保護存在困難;數據壟斷不利于市場有序競爭;公共數據利用存在“不愿”“不敢”和“不會”共享開放等問題;國家數據主權未確立,我國在數據跨境流動中處于劣勢。
我國大數據戰略實施已處于持續深化階段,在數據安全立法方面,“數據安全法”雖已列入了立法規劃,但目前尚未完成制定。因此,應加快制定“中華人民共和國數據安全法”,完善我國數據治理,加快推動數字經濟發展。一是細化數據安全與隱私保護規則,保護公民合法權益;二是明確數據的權利歸屬,促進數據的確權、流通、交易和保護;三是建立數據合理使用制度,實現個人與數據使用者之間的利益平衡;四是建立公共數據開放共享規則,促進公共數據的合理利用;五是完整確立我國數據跨境流動制度,應對國際數據競爭。
加快推進區塊鏈技術和產業創新發展
要想實現區塊鏈技術規模化落地,必須要克服一些難點和問題,包括跨鏈互通與協作難、自主創新能力不足、標準規范建設方面亟待加強、安全問題日益凸顯、監管機制和手段還不完備等。針對此,有以下建議:
一是要加強標準規范建設,加快區塊鏈關鍵急需標準和重點行業專用標準的研制,積極引導和支持主體參與區塊鏈國際標準的研究、制定和推廣。二是要加強關鍵技術攻關,推動區塊鏈與5G、AI、大數據、物聯網等其他新一代信息技術的創新融合,加快自主可控的區塊鏈底層技術研發平臺和基礎設施平臺建設。三是要加強產業政策供給,盡快出臺區塊鏈發展的頂層設計和總體規劃,加強產業體系化布局。四是要加強監管體系建設,在堅決打擊惡意違法行為的同時給新興技術一定包容發展的空間,強化區塊鏈平臺級應用的安全評估,提升區塊鏈技術及應用的合規性和規范性。