周鴻祎
第十三屆全國政協委員,九三學社中央委員,360集團創始人。
履職筆記
今年兩會,我把關注焦點智能網聯汽車安全等問題上。在2019年和2021年我都提出過對智能網聯車進行監管的提案。我建議,強制要求車輛在銷售前通過“數字空間碰撞測試”,確保上路智能網聯汽車的安全。
我的愿望
在我國銷售的智能網聯汽車通過“數字空間碰撞測試”
盡快搭建一套以汽車安全大腦為核心的智能網聯汽車態勢感知體系
今年兩會,周鴻祎把關注焦點放在了數字安全和智能網聯汽車安全等問題上。他接受南都記者采訪時表示,“小毛賊”式的網絡威脅慢慢變成歷史,以國家級黑客組織為代表的專業力量入場,關鍵基礎設施、城市成為了網絡攻擊首選目標,數據成為新的攻擊對象——“對手變了,戰場也變了”。
他提出,應將網絡安全升級為數字安全,并將數字安全納入新基建。在智能網聯汽車方面,他建議強制要求車輛在銷售前通過“數字空間碰撞測試”,確保上路智能網聯汽車的安全。
談數字安全
建議國家把數字安全納入新基建
南都:我們注意到,你在今年兩會的提案中建議國家加大對網絡安全的資金投入,可以具體講講嗎?
周鴻祎:中國數字安全投入占比在全球范圍內相對較低,發達國家僅網絡安全占整體IT的投入比例已達10%,而國內尚不足1%。
我認為,需要從國家層面對數字化安全投入提出明確的要求,至少把比例提升到5%-10%。另外,對數字化安全類的公司以及相應的人才,我建議國家提供一些稅收方面的優惠和扶持政策。
南都:你還建議將網絡安全升級為數字安全,如何理解?
周鴻祎:需要區分的是,網絡安全和數字安全不是一回事。網絡安全對應的是信息化時代,如今是大數據時代、云計算時代、萬物互聯時代,對手變了,戰場也變了。我們無法再用舊方法來解決新時代的問題。
我覺得進入到數字時代之后,最大的安全威脅其實來自于大型的網絡攻擊,甚至國家級對手,“小毛賊”“小木馬”的威脅肯定不成氣候。如今物聯網、工業互聯網、車聯網快速發展,很多基礎設施,比如工廠、變電站、能源、交通設施也都成為了網絡攻擊的對象。在大數據驅動的業務上,數據也變成可攻擊對象。過去數據就是起到存儲的作用,現在數據一旦癱瘓,就意味著業務“歇菜”了,不得不停下來。
南都:在這種情況下,數字安全需要做出哪些改變?
周鴻祎:所以我認為在數字化安全的應對上,首先需要一個頂層設計,從國家級層面再到地市級層面,建立“分布式國家安全大腦”,也就是分布式的數字化安全的大數據分析網絡。在法律法規上,還可以加強數字化安全體系的規劃。比如說車聯網,我們不能說企業都已經賣出去很多輛車了、數據也采集很多了,事后再通過外掛防火墻等方式來解決安全問題,這是不現實的。
我建議打造覆蓋所有數字化場景的數字安全防范應急體系,包括應對工業互聯網、車聯網、智慧城市,以及云安全、數據安全、供應鏈安全等挑戰。同時,國家應該把數字安全納入新基建,讓各地在數字化建設之初便將安全考慮在內,并互聯互通,調集社會各方力量共同參與數字安全體系建設。
談車聯網安全
數字空間碰撞應由第三方來測試
南都:你在2019年和2021年都提出過對智能網聯汽車進行監管的提案。據你觀察,這幾年智能網聯汽車面臨的網絡安全風險有什么變化?
周鴻祎:現在車廠往往用一套云端服務器來控制汽車行駛,一旦云服務被攻破,黑客就可以向你的車下達各種指令,而汽車對于車廠服務器發來的指令是必須執行的,比如遠程啟停,將會帶來很大的風險。另一方面來說,智能網聯車是一個大傳感器,它會采集各種信息。以后每個車廠都會變成一個大數據廠商。大數據遭到勒索攻擊或污損、污染、破壞,這也都會引發安全風險。
南都:對于這些安全風險,你有什么解決方法?
周鴻祎:如果買了一個智能網聯汽車,比如氣囊、底盤這些物理碰撞是可信的,但它數字背后的網絡服務,到底有沒有經受住數字空間的碰撞試驗,這也是需要注意的。
我覺得可以借鑒汽車物理碰撞測試的手段,建立智能網聯汽車“數字空間碰撞測試”長效機制,強制要求在我國銷售的智能網聯汽車通過“數字空間碰撞測試”。同時,汽車行業盡快搭建一套以汽車安全大腦為核心的智能網聯汽車態勢感知體系,幫助監管部門和車企實現汽車安全實時全程“可見、可控、可管”,確保上路的智能網聯汽車始終處于良好的安全狀態。
不過,我覺得不能由各個車廠自己做數字空間碰撞測試,因為他們很難保持中立,應該由第三方來做。我的這份提案應該會轉給工信部,希望國家來統籌,推動建設一些數字空間碰撞的實驗室。
談履職心得
每年3-4個提案 專注數字化領域
南都:今年是你作為十三屆全國政協委員履職的最后一年。這五年有哪些履職心得?
周鴻祎:不知不覺已經有五年了,汪主席有一次給我們講話,他說政協委員沒有調查就沒有發言權,這也是我學到最重要的東西。原來有段時間“兩會”委員都是炒社會熱點,但是如果你對很多東西不懂,你分析的深度是不夠的,你可能只是發現問題,也提不出解決的建議。
我的老本行就是安全,是數字化,我也只懂這些領域。而且這些領域有很多問題也是沒有被解決,所以我們每年只寫3-4個提案,希望能落到實處。
我印象比較深的有一個是關于網絡安全人才培訓的提案。我發現很多高校對于教學生網絡安全攻防是有顧慮的:比如擔心教會學生后,他攻擊教務處把成績改了怎么辦?但是網絡安全的本質就是人跟人的對抗,如果沒有年輕人被培養出來,只靠一兩家公司招募的力量并不能解決中國人才儲備的問題。
南都:這些年來,你確實一直非常關注白帽黑客。你認為白帽黑客的境遇是否有所改變?
周鴻祎:我覺得看到的改善不是特別多,特別是許多人分不清,容易對這個群體污名化,研究限制越來越多,管理也越來越嚴。在這種情況下,很多人轉入地下或者加入到國外的公司。個人白帽黑客其實在網絡安全、數字化安全的安防體系中也是非常重要的。
所以我還在跟主管單位談這件事,我覺得需大力扶持國內的白帽黑客,要給他們一個有安全感的社區,不光是讓他們通過發現漏洞賺到錢,還要讓他們得到認可和尊重,為他們提供一個寬松的環境。
