全国政协委员齐向东：社会对网络安全建设的理解仍停留在“有病治病”

近年来，网络安全问题屡见不鲜。从西北工业大学遭受境外网络攻击，到Facebook用户账号密码被泄露，数据泄露、网络攻击等问题频频发生。有数据统计，2022年全球多个国家频繁发生数据泄露事件，数据泄露事件总计超过20000件。

如何预防网络安全问题再次发生？进入5G时代之后，数字安全面临着哪些新挑战？全国两会期间，南都记者就此专访全国政协委员、全国工商联副主席、奇安信科技集团董事长齐向东。

齐向东指出，我国政企机构的数字化系统长期缺乏网络安全运营与维护，导致漏洞较多，容易遭到黑客攻击，已经成为数据泄露的主要源头。

网络安全要遵循“零事故”标准

南都：今年是你第一次履职全国政协委员，重点关注哪些方面？

齐向东：今年两会，我聚焦民营企业发展和国家网络安全能力提升两大方面，提了五份提案。其中两个提案是《关于网络安全要遵循“零事故”目标的建议》和《关于数据安全任重道远，需要有决心、恒心和信心的建议》。

去年，奇安信作为北京冬奥网络安全官方服务商，创造了奥运“零事故”的世界纪录。这场大型实战的胜利启发我们，网络安全“零事故”是可以实现的目标。因此，我建议以“零事故”为目标筑牢我国的网络安全防线。在数据安全保护方面，需要政府部门坚定决心，加快推进网络安全合法合规落地；网络安全厂商坚定恒心，以“零事故”为目标提升数据安全保障水平；全社会坚定信心，从我做起，建立纵深防御的内生安全系统。

南都：如何理解这里的“决心、恒心和信心”？

齐向东：具体来说，主要是三个层面：

政府主管部门层面，建议制定相关法律法规的实施细则，强化网络安全工作一把手责任，对瞒报、漏报网络安全事故依法追究责任，倒逼企业机构加大网络安全投入。建议财政部明确要求在新增IT预算中10%用于网络数据安全建设。

网安厂商层面，建议网络安全厂商以“零事故”为目标，持之以恒地开展高强度科技创新，重点骨干科创企业应连年保持15%以上的研发费用收入占比，用先进技术跑赢“网络犯罪”。

政企机构层面 ，要承担数据安全主体责任，当涉嫌踩数据安全红线时，能通过技术手段自证清白，自觉接受安全审查。建议政企单位要加大网络数据安全系统建设的投资，安全系统占IT投资比例要达到10%以上。

政企机构是主要的数据泄露源头

南都：奇安信是网络安全的领军企业。在你看来，目前我国网络安全行业有何特点？面临哪些挑战？

齐向东：目前我国的网络安全行业已经进入高速增长阶段，竞争激烈，发展空间广阔。在我看来，网络安全行业面临的挑战主要有三方面：

首先是网络安全理念落后。社会对网络安全建设的理解仍停留在“有病治病”的阶段，片面认为网络安全就是简单的网络防御，对网络安全应付了事，网络安全防护手段落后。

其次是政企机构缺乏应对全球网络战的能力。俄乌冲突爆发说明网络战场已经与热战战场紧密关联，网络防线关乎现实战局。绝大多数政企机构在面对强势网络攻击时只能被动挨打。

最后是多数政企机构缺乏数据安全能力。现在数字经济高速发展，政企单位的数据量激增，数据存储、加工、使用和交换安全问题突出，因为事发突然，政企单位普遍缺乏安全能力。

南都：如何才能提升政企机构的安全能力，保障政务数据安全？

齐向东：近几年，大型数据泄露事件时有发生。其中最主要的泄露源头，就是政企机构的数字化系统长期缺乏网络安全运营与维护，导致漏洞较多，容易遭到黑客攻击。

保障政务数据安全，要从三个方面入手：

一是要有数据安全态势感知能力，达到“三个知道”：知道有没有攻击，知道有没有罪犯进来，知道有没有数据丢失。

二是要防外部攻击。数据安全难，难在数据的应用广泛，不能锁在保险柜里，内部人在用、外部人在用、还有App调用，外部攻击就隐藏在其中，识别难、防护难，解决办法是建系统。

三是防内鬼。网络安全问题不仅仅是一个技术的问题，更是人的问题——据统计，数据被盗90%以上和内部人有关。“防内鬼”的重点对象是“三员”：技术员、管理员、操作员。解决办法是用零信任架构和特权账号管理来牵引数据安全体系建设。

南都：随着疫情防控政策的调整，有观点认为，健康码应该完全退出，涉疫数据也应尽快销毁。对此，你怎么看？数据“善后”的过程中，有哪些安全问题值得注意？

齐向东：我认为，健康码的数据需要删除或者做匿名化处理，因为当中包括诸多个人信息。如果要使用，也得在用户自主同意后才能使用。

在这个过程中，有关运营部门需要及时公开数据的流向、删除或者匿名化的有关情况，并接受有关部门的监督。如果被利用到其他地方或牟利等非正常途径，每一个公民都有权利拒绝。

我国网安产业还在初期成长阶段

南都：你曾提出，5G时代，传统安全防护将完全失效。5G时代的数字安全面临哪些新挑战？如何建立全新的防护机制？

齐向东：5G时代数据流通速度更快，接口更多，每一个信息接口都是一个风险点，带来了很多安全风险。首先是终端设备种类多数量大，防护“盲点”激增。其次是新技术广泛应用，安全风险层出不穷。

应对这些挑战，需要建立完整的内生安全体系。2020年，我们提出“内生安全框架”，用系统工程的方法将内生安全理念落地，真正转化为体系化的网络安全。我们将安全能力融入到业务场景中，从源头端做好安全建设、安全监控，最大程度降低安全风险。

南都：产业界对于增加网络安全投资的呼声一直很高。据你观察，目前我国对于网络安全行业的投资和重视程度如何？

齐向东：有数据显示，我国网络安全产业每年有15%-25%的高速增长。政企单位对网络安全体系建设的投资和重视程度在不断提升，不论是硬件、软件还是网络安全服务的市场都是在稳步扩大。但与发达国家相比，还处于初期成长阶段。

一方面，政企客户网络安全建设预算过低，与发达国家相比还有很大差距。比如，根据美国白宫公布的2023财年预算提案，非国防联邦机构的网络安全预算占IT预算比例达到了16.57%，而我国的政企机构的网络安全投资占比仅在3%左右，有巨大的上升空间。

另一方面，政企客户的需求处在从买产品向买体系化服务的过渡期。网络安全是攻防对抗行业，只有以“零事故”为目标的体系化服务，才能不断发现网络数据系统的薄弱环节，进而产生扩大的市场需求。