專訪齊向東：社會對網絡安全建設的了解仍停留在“有病治病”

近年來，網絡安全問題屢見不鮮。從西北工業大學遭受境外網絡攻擊，到Facebook使用者賬号密碼被洩露，資料洩露、網絡攻擊等問題頻頻發生。有資料統計，2022年全球多個國家頻繁發生資料洩露事件，資料洩露事件總計超過20000件。

如何預防網絡安全問題再次發生？進入5G時代之後，數字安全面臨着哪些新挑戰？全國兩會期間，南都記者就此專訪全國政協委員、全國工商聯副主席、奇安信科技集團董事長齊向東。

齊向東指出，大陸政企機構的數字化系統長期缺乏網絡安全營運與維護，導緻漏洞較多，容易遭到黑客攻擊，已經成為資料洩露的主要源頭。

01

網絡安全要遵循“零事故”标準

南都：今年是你第一次履職全國政協委員，重點關注哪些方面？

齊向東：今年兩會，我聚焦民營企業發展和國家網絡安全能力提升兩大方面，提了五份提案。其中兩個提案是《關于網絡安全要遵循“零事故”目标的建議》和《關于資料安全任重道遠，需要有決心、恒心和信心的建議》。

去年，奇安信作為北京冬奧網絡安全官方服務商，創造了奧運“零事故”的世界紀錄。這場大型實戰的勝利啟發我們，網絡安全“零事故”是可以實作的目标。是以，我建議以“零事故”為目标築牢大陸的網絡安全防線。在資料安全保護方面，需要政府部門堅定決心，加快推進網絡安全合法合規落地；網絡安全廠商堅定恒心，以“零事故”為目标提升資料安全保障水準；全社會堅定信心，從我做起，建立縱深防禦的内生安全系統。

南都：如何了解這裡的“決心、恒心和信心”？

齊向東：具體來說，政府主管部門層面，建議制定相關法律法規的實施細則，強化網絡安全工作一把手責任，對瞞報、漏報網絡安全事故依法追究責任，倒逼企業機構加大網絡安全投入。建議财政部明确要求在新增IT預算中10%用于網絡資料安全建設。

網安廠商層面，建議網絡安全廠商以“零事故”為目标，持之以恒地開展高強度科技創新，重點骨幹科創企業應連年保持15%以上的研發費用收入占比，用先進技術跑赢“網絡犯罪”。

政企機構層面，要承擔資料安全主體責任，當涉嫌踩資料安全紅線時，能通過技術手段自證清白，自覺接受安全審查。建議政企機關要加大網絡資料安全系統建設的投資，安全系統占IT投資比例要達到10%以上。

02

政企機構是主要的資料洩露源頭

南都：奇安信是網絡安全的領軍企業。在你看來，目前大陸網絡安全行業有何特點？面臨哪些挑戰？

齊向東：目前大陸的網絡安全行業已經進入高速增長階段，競争激烈，發展空間廣闊。在我看來，網絡安全行業面臨的挑戰主要有三方面：

首先是網絡安全理念落後。社會對網絡安全建設的了解仍停留在“有病治病”的階段，片面認為網絡安全就是簡單的網絡防禦，對網絡安全應付了事，網絡安全防護手段落後。

其次是政企機構缺乏應對全球網絡戰的能力。俄烏沖突爆發說明網絡戰場已經與熱戰戰場緊密關聯，網絡防線關乎現實戰局。絕大多數政企機構在面對強勢網絡攻擊時隻能被動挨打。

最後是多數政企機構缺乏資料安全能力。現在數字經濟高速發展，政企機關的資料量激增，資料存儲、加工、使用和交換安全問題突出，因為事發突然，政企機關普遍缺乏安全能力。

南都：如何才能提升政企機構的安全能力，保障政務資料安全？

齊向東：近幾年，大型資料洩露事件時有發生。其中最主要的洩露源頭，就是政企機構的數字化系統長期缺乏網絡安全營運與維護，導緻漏洞較多，容易遭到黑客攻擊。

保障政務資料安全，要從三個方面入手：一是要有資料安全态勢感覺能力，達到“三個知道”：知道有沒有攻擊，知道有沒有罪犯進來，知道有沒有資料丢失。二是要防外部攻擊。資料安全難，難在資料的應用廣泛，不能鎖在保險櫃裡，内部人在用、外部人在用、還有App調用，外部攻擊就隐藏在其中，識别難、防護難，解決辦法是建系統。

三是防内鬼。網絡安全問題不僅僅是一個技術的問題，更是人的問題——據統計，資料被盜90%以上和内部人有關。“防内鬼”的重點對象是“三員”：技術員、管理者、操作員。解決辦法是用零信任架構和特權賬号管理來牽引資料安全體系建設。

南都：随着疫情防控政策的調整，有觀點認為，健康碼應該完全退出，涉疫資料也應盡快銷毀。對此，你怎麼看？資料“善後”的過程中，有哪些安全問題值得注意？

齊向東：我認為，健康碼的資料需要删除或者做匿名化處理，因為當中包括諸多個人資訊。如果要使用，也得在使用者自主同意後才能使用。

在這個過程中，有關營運部門需要及時公開資料的流向、删除或者匿名化的有關情況，并接受有關部門的監督。如果被利用到其他地方或牟利等非正常途徑，每一個公民都有權利拒絕。

03

大陸網安産業還在初期成長階段

南都：你曾提出，5G時代，傳統安全防護将完全失效。5G時代的數字安全面臨哪些新挑戰？如何建立全新的防護機制？

齊向東：5G時代資料流通速度更快，接口更多，每一個資訊接口都是一個風險點，帶來了很多安全風險。首先是終端裝置種類多數量大，防護“盲點”激增。其次是新技術廣泛應用，安全風險層出不窮。

應對這些挑戰，需要建立完整的内生安全體系。2020年，我們提出“内生安全架構”，用系統工程的方法将内生安全理念落地，真正轉化為體系化的網絡安全。我們将安全能力融入到業務場景中，從源頭端做好安全建設、安全監控，最大程度降低安全風險。

南都：産業界對于增加網絡安全投資的呼聲一直很高。據你觀察，目前大陸對于網絡安全行業的投資和重視程度如何？

齊向東：有資料顯示，大陸網絡安全産業每年有15%-25%的高速增長。政企機關對網絡安全體系建設的投資和重視程度在不斷提升，不論是硬體、軟體還是網絡安全服務的市場都是在穩步擴大。但與發達國家相比，還處于初期成長階段。

一方面，政企客戶網絡安全建設預算過低，與發達國家相比還有很大差距。比如，根據美國白宮公布的2023财年預算提案，非國防聯邦機構的網絡安全預算占IT預算比例達到了16.57%，而大陸的政企機構的網絡安全投資占比僅在3%左右，有巨大的上升空間。

另一方面，政企客戶的需求處在從買産品向買體系化服務的過渡期。網絡安全是攻防對抗行業，隻有以“零事故”為目标的體系化服務，才能不斷發現網絡資料系統的薄弱環節，進而産生擴大的市場需求。

采寫：南都記者胡耕碩