全國(guó)政協(xié)委員周鴻祎兩會(huì)提案：加強(qiáng)對(duì)開(kāi)源軟件的代碼審查把數(shù)字安全納入新基建

2022-03-03 16:29

《科創(chuàng)板日?qǐng)?bào)》（北京記者胡家銘）訊，今年全國(guó)兩會(huì)，全國(guó)政協(xié)委員、360創(chuàng)始人周鴻祎將再次攜多份提案上會(huì)，內(nèi)容聚焦數(shù)字安全、智能網(wǎng)聯(lián)汽車安全、開(kāi)源軟件安全以及中小企業(yè)安全。

周鴻祎建議將網(wǎng)絡(luò)安全升級(jí)為數(shù)字安全，打造覆蓋所有數(shù)字化場(chǎng)景的數(shù)字安全防范應(yīng)急體系；建議建立智能網(wǎng)聯(lián)汽車“數(shù)字空間碰撞測(cè)試”長(zhǎng)效機(jī)制；建議加強(qiáng)對(duì)開(kāi)源軟件的代碼審查。

此外，周鴻祎還提出鼓勵(lì)和支持大企業(yè)以創(chuàng)新輕量化產(chǎn)品、SaaS服務(wù)為抓手，推動(dòng)中小企業(yè)實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型。

建議將網(wǎng)絡(luò)安全升級(jí)為數(shù)字安全

近年以來(lái)，網(wǎng)絡(luò)攻擊已經(jīng)從虛擬世界影響到了現(xiàn)實(shí)世界，小毛賊、小黑客已經(jīng)成為歷史，以國(guó)家級(jí)黑客組織為代表的高級(jí)別專業(yè)力量入場(chǎng)，關(guān)鍵基礎(chǔ)設(shè)施、城市、大型企業(yè)成為網(wǎng)絡(luò)攻擊的首選目標(biāo)，數(shù)據(jù)成為新的攻擊對(duì)象。我國(guó)數(shù)字安全投入占比在全球范圍內(nèi)相對(duì)較低，發(fā)達(dá)國(guó)家僅網(wǎng)絡(luò)安全占整體IT的投入占比已達(dá)10％，而國(guó)內(nèi)尚不足1％，究其原因是部分政企單位僅依照合規(guī)堆砌產(chǎn)品，缺乏實(shí)戰(zhàn)能力，缺乏科學(xué)能力評(píng)估。

為此，周鴻祎建議將網(wǎng)絡(luò)安全升級(jí)為數(shù)字安全，打造覆蓋所有數(shù)字化場(chǎng)景的數(shù)字安全防范應(yīng)急體系，包括應(yīng)對(duì)工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)、智慧城市，以及云安全、數(shù)據(jù)安全、供應(yīng)鏈安全等挑戰(zhàn)。周鴻祎同時(shí)建議國(guó)家把數(shù)字安全納入新基建，各地?cái)?shù)字化建設(shè)之初便將安全考慮在內(nèi)，并互聯(lián)互通，調(diào)集社會(huì)各方力量共同參與數(shù)字安全體系建設(shè)，真正提升國(guó)家的數(shù)字安全能力。

建立智能網(wǎng)聯(lián)汽車“數(shù)字空間碰撞測(cè)試”長(zhǎng)效機(jī)制

近年來(lái)，智能網(wǎng)聯(lián)汽車發(fā)展迅猛，車聯(lián)網(wǎng)作為數(shù)字化新場(chǎng)景，面臨巨大的安全挑戰(zhàn)。據(jù)360車聯(lián)網(wǎng)安全實(shí)驗(yàn)室統(tǒng)計(jì)，國(guó)內(nèi)25家車企的53款在售智能網(wǎng)聯(lián)汽車中，360公司共計(jì)發(fā)現(xiàn)漏洞1600余個(gè)，其中，云端漏洞1000余個(gè)，可導(dǎo)致攻擊者遠(yuǎn)程批量控制該品牌所有的智能網(wǎng)聯(lián)汽車；車端漏洞600余個(gè)，可導(dǎo)致近距離非接觸式控制汽車，如開(kāi)關(guān)車門(mén)、啟動(dòng)引擎等。

為此，周鴻祎建議借鑒汽車物理碰撞測(cè)試的手段，建立智能網(wǎng)聯(lián)汽車“數(shù)字空間碰撞測(cè)試”長(zhǎng)效機(jī)制，強(qiáng)制要求在我國(guó)銷售的智能網(wǎng)聯(lián)汽車通過(guò)“數(shù)字空間碰撞測(cè)試”。同時(shí)，他還建議汽車行業(yè)盡快搭建一套以汽車安全大腦為核心的智能網(wǎng)聯(lián)汽車態(tài)勢(shì)感知體系，幫助監(jiān)管部門(mén)和車企實(shí)現(xiàn)汽車安全實(shí)時(shí)全程“可見(jiàn)、可控、可管”，確保上路的智能網(wǎng)聯(lián)汽車始終處于良好的安全狀態(tài)。

建立中國(guó)自主開(kāi)源生態(tài)

2021年12月，Apache基金會(huì)開(kāi)源項(xiàng)目的Log4j2組件被發(fā)現(xiàn)存在遠(yuǎn)程代碼執(zhí)行漏洞，該漏洞被業(yè)內(nèi)稱為“核彈級(jí)”漏洞。

周鴻祎表示，在Log4j2漏洞曝出之前，開(kāi)源軟件漏洞便已存在大量漏洞，只不過(guò)此漏洞的爆發(fā)引起了外界的普遍關(guān)注。周鴻祎對(duì)開(kāi)源軟件依然持積極看法，并十分提倡開(kāi)源精神，認(rèn)為這是新時(shí)代的“集中力量辦大事”，沒(méi)有開(kāi)源軟件也就沒(méi)有中國(guó)互聯(lián)網(wǎng)的今天。然而，從安全的角度，開(kāi)源軟件很容易成為他國(guó)對(duì)我進(jìn)行網(wǎng)絡(luò)滲透攻擊的渠道。

周鴻祎建議加強(qiáng)對(duì)開(kāi)源軟件的代碼審查，國(guó)內(nèi)軟件業(yè)應(yīng)該積極參與國(guó)際開(kāi)源社區(qū)互動(dòng)，不斷提高話語(yǔ)權(quán)，建立影響力，鼓勵(lì)第三方市場(chǎng)力量參與國(guó)內(nèi)開(kāi)源生態(tài)建設(shè)，盡快掌控開(kāi)源軟件資源應(yīng)用的主動(dòng)權(quán)。

幫扶中小企業(yè)數(shù)字化轉(zhuǎn)型過(guò)程中的數(shù)字安全也被周鴻祎關(guān)注。作為中國(guó)經(jīng)濟(jì)的“毛細(xì)血管”，中小企業(yè)貢獻(xiàn)了50％以上的稅收，60％以上的GDP，70％以上的技術(shù)創(chuàng)新，80％以上的城鎮(zhèn)勞動(dòng)就業(yè)，90％以上的企業(yè)數(shù)量。推動(dòng)中小企業(yè)發(fā)展數(shù)字化轉(zhuǎn)型，對(duì)我國(guó)就業(yè)穩(wěn)定、經(jīng)濟(jì)增長(zhǎng)及產(chǎn)業(yè)轉(zhuǎn)型意義重大。然而，中小企業(yè)深受“不會(huì)轉(zhuǎn)、不敢轉(zhuǎn)、不能轉(zhuǎn)”的困擾。

不僅數(shù)字化轉(zhuǎn)型困難，中小企業(yè)普遍缺乏數(shù)字安全能力。隨著萬(wàn)物互聯(lián)時(shí)代的到來(lái)，中小企業(yè)的安全缺口不僅危及自身，還有可能成為攻擊的跳板，對(duì)大型企業(yè)、單位，乃至國(guó)家安全造成傷害。為此，周鴻祎提出鼓勵(lì)和支持大企業(yè)以創(chuàng)新輕量化產(chǎn)品、SaaS服務(wù)為抓手，消除中小微企業(yè)在認(rèn)知、資金、技術(shù)、人才等方面的差距，推動(dòng)中小企業(yè)實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型。

來(lái)源：科創(chuàng)板日?qǐng)?bào)記者胡家銘

原文標(biāo)題 : 全國(guó)政協(xié)委員周鴻祎兩會(huì)提案：加強(qiáng)對(duì)開(kāi)源軟件的代碼審查把數(shù)字安全納入新基建