周鸿祎
第十三届全国政协委员,九三学社中央委员,360集团创始人。
履职笔记
今年两会,我把关注焦点智能网联汽车安全等问题上。在2019年和2021年我都提出过对智能网联车进行监管的提案。我建议,强制要求车辆在销售前通过“数字空间碰撞测试”,确保上路智能网联汽车的安全。
我的愿望
在我国销售的智能网联汽车通过“数字空间碰撞测试”
尽快搭建一套以汽车安全大脑为核心的智能网联汽车态势感知体系
今年两会,周鸿祎把关注焦点放在了数字安全和智能网联汽车安全等问题上。他接受南都记者采访时表示,“小毛贼”式的网络威胁慢慢变成历史,以国家级黑客组织为代表的专业力量入场,关键基础设施、城市成为了网络攻击首选目标,数据成为新的攻击对象——“对手变了,战场也变了”。
他提出,应将网络安全升级为数字安全,并将数字安全纳入新基建。在智能网联汽车方面,他建议强制要求车辆在销售前通过“数字空间碰撞测试”,确保上路智能网联汽车的安全。
谈数字安全
建议国家把数字安全纳入新基建
南都:我们注意到,你在今年两会的提案中建议国家加大对网络安全的资金投入,可以具体讲讲吗?
周鸿祎:中国数字安全投入占比在全球范围内相对较低,发达国家仅网络安全占整体IT的投入比例已达10%,而国内尚不足1%。
我认为,需要从国家层面对数字化安全投入提出明确的要求,至少把比例提升到5%-10%。另外,对数字化安全类的公司以及相应的人才,我建议国家提供一些税收方面的优惠和扶持政策。
南都:你还建议将网络安全升级为数字安全,如何理解?
周鸿祎:需要区分的是,网络安全和数字安全不是一回事。网络安全对应的是信息化时代,如今是大数据时代、云计算时代、万物互联时代,对手变了,战场也变了。我们无法再用旧方法来解决新时代的问题。
我觉得进入到数字时代之后,最大的安全威胁其实来自于大型的网络攻击,甚至国家级对手,“小毛贼”“小木马”的威胁肯定不成气候。如今物联网、工业互联网、车联网快速发展,很多基础设施,比如工厂、变电站、能源、交通设施也都成为了网络攻击的对象。在大数据驱动的业务上,数据也变成可攻击对象。过去数据就是起到存储的作用,现在数据一旦瘫痪,就意味着业务“歇菜”了,不得不停下来。
南都:在这种情况下,数字安全需要做出哪些改变?
周鸿祎:所以我认为在数字化安全的应对上,首先需要一个顶层设计,从国家级层面再到地市级层面,建立“分布式国家安全大脑”,也就是分布式的数字化安全的大数据分析网络。在法律法规上,还可以加强数字化安全体系的规划。比如说车联网,我们不能说企业都已经卖出去很多辆车了、数据也采集很多了,事后再通过外挂防火墙等方式来解决安全问题,这是不现实的。
我建议打造覆盖所有数字化场景的数字安全防范应急体系,包括应对工业互联网、车联网、智慧城市,以及云安全、数据安全、供应链安全等挑战。同时,国家应该把数字安全纳入新基建,让各地在数字化建设之初便将安全考虑在内,并互联互通,调集社会各方力量共同参与数字安全体系建设。
谈车联网安全
数字空间碰撞应由第三方来测试
南都:你在2019年和2021年都提出过对智能网联汽车进行监管的提案。据你观察,这几年智能网联汽车面临的网络安全风险有什么变化?
周鸿祎:现在车厂往往用一套云端服务器来控制汽车行驶,一旦云服务被攻破,黑客就可以向你的车下达各种指令,而汽车对于车厂服务器发来的指令是必须执行的,比如远程启停,将会带来很大的风险。另一方面来说,智能网联车是一个大传感器,它会采集各种信息。以后每个车厂都会变成一个大数据厂商。大数据遭到勒索攻击或污损、污染、破坏,这也都会引发安全风险。
南都:对于这些安全风险,你有什么解决方法?
周鸿祎:如果买了一个智能网联汽车,比如气囊、底盘这些物理碰撞是可信的,但它数字背后的网络服务,到底有没有经受住数字空间的碰撞试验,这也是需要注意的。
我觉得可以借鉴汽车物理碰撞测试的手段,建立智能网联汽车“数字空间碰撞测试”长效机制,强制要求在我国销售的智能网联汽车通过“数字空间碰撞测试”。同时,汽车行业尽快搭建一套以汽车安全大脑为核心的智能网联汽车态势感知体系,帮助监管部门和车企实现汽车安全实时全程“可见、可控、可管”,确保上路的智能网联汽车始终处于良好的安全状态。
不过,我觉得不能由各个车厂自己做数字空间碰撞测试,因为他们很难保持中立,应该由第三方来做。我的这份提案应该会转给工信部,希望国家来统筹,推动建设一些数字空间碰撞的实验室。
谈履职心得
每年3-4个提案 专注数字化领域
南都:今年是你作为十三届全国政协委员履职的最后一年。这五年有哪些履职心得?
周鸿祎:不知不觉已经有五年了,汪主席有一次给我们讲话,他说政协委员没有调查就没有发言权,这也是我学到最重要的东西。原来有段时间“两会”委员都是炒社会热点,但是如果你对很多东西不懂,你分析的深度是不够的,你可能只是发现问题,也提不出解决的建议。
我的老本行就是安全,是数字化,我也只懂这些领域。而且这些领域有很多问题也是没有被解决,所以我们每年只写3-4个提案,希望能落到实处。
我印象比较深的有一个是关于网络安全人才培训的提案。我发现很多高校对于教学生网络安全攻防是有顾虑的:比如担心教会学生后,他攻击教务处把成绩改了怎么办?但是网络安全的本质就是人跟人的对抗,如果没有年轻人被培养出来,只靠一两家公司招募的力量并不能解决中国人才储备的问题。
南都:这些年来,你确实一直非常关注白帽黑客。你认为白帽黑客的境遇是否有所改变?
周鸿祎:我觉得看到的改善不是特别多,特别是许多人分不清,容易对这个群体污名化,研究限制越来越多,管理也越来越严。在这种情况下,很多人转入地下或者加入到国外的公司。个人白帽黑客其实在网络安全、数字化安全的安防体系中也是非常重要的。
所以我还在跟主管单位谈这件事,我觉得需大力扶持国内的白帽黑客,要给他们一个有安全感的社区,不光是让他们通过发现漏洞赚到钱,还要让他们得到认可和尊重,为他们提供一个宽松的环境。