周鸿祎：推进互联网安全融合创新 为实体经济保驾护航

本篇文章1523字，读完约4分钟

在全国人大会议上，全国政协委员、360集团董事长兼首席执行官周提交了《关于鼓励政府和企业单位举报网络攻击的建议》、《关于完善网络安全人才培养体系、推进产业网络安全整合创新保护实体经济的建议》。

在“促进工业互联网的安全集成和创新，保护实体经济等”的建议中，周指出，工业互联网作为新一代信息技术与制造业深度融合的产物，已经成为工业现代化和实体经济发展的关键支撑。其安全对国民经济和社会发展至关重要。

近年来，工业互联网的发展使得现实世界和网络世界紧密相连，导致网络空之间的攻击渗透到虚拟空，直接影响到工业运营的安全，并蔓延渗透到城市安全、人身安全、关键基础设施安全甚至国家安全。这就是我们常说的，网络安全已经从“信息安全”时代进入了“大安全”时代。

工业互联网的重要性使其成为网络攻击的主要目标。近年来，乌克兰发生了一系列黑客攻击导致的停电事件。2017年在美国举行的“网络卫士”年度网络安全演习和今年的“网络风暴”演习侧重于工业基础设施。2017年的“永恒蓝色”勒索事件利用了美国泄露的网络武器，这是网络战的预演，导致中国许多工业企业被招募，占各行业攻击总数的17.3%，给经济和社会带来了严重影响。

此外，作为一个新的融合领域，工业互联网也面临着新的安全问题。首先，工业企业对网络安全不够重视，普遍缺乏安全能力，因此敞开了大门。例如，在设计工业互联网的工业控制器时，我们经常注意它的功能是否易于使用，而忽略了它的安全性。随着工业领域网络化和智能化的发展，工业控制系统的安全隐患日益突出。据统计，近60%的工业企业使用明文密码。平均而言，每个工业应用站点都有5个高风险漏洞。平均而言，每个工业应用都有4个以上的安全问题。

其次，网络安全企业的产品和服务不适应行业的实际需求。行业内有39大类525个子类，每个行业都有特殊的网络安全要求。然而，网络安全专家通常不具备行业细分的专业知识，很难形成通用的网络安全解决方案。工业网络安全仍有许多限制，要求高实时性和可靠性。例如，为了确保工业系统的平稳运行，一些安全补丁不能及时安装。

最后，工业企业和网络安全企业单独作战，很少深入合作。从国外来看，工控企业通常与网络安全企业合作，共同开发网络安全解决方案。目前，这种合作模式在中国还没有基本启动。一方面，没有强制要求工业网络必须采用安全方案，工业企业对网络安全重视不够，难以产生合作需求。另一方面，一些行业整合企业想做自己的安全，与网络安全企业合作存在行业壁垒。

因此，周建议，应该首先制定让工业企业进入网络安全体系的强制性政策。许多工业企业出于成本和当前运行稳定性的原因，对网络安全系统重视不够。360集团在实际工作中发现，许多工业控制系统的使用寿命超过10年。为了保证控制的稳定性，工业控制系统没有安装任何补丁或杀毒软件，存在很大的安全隐患。一旦遭到网络攻击，影响是不可估量的。建议制定工业企业网络安全体系强制性政策，将工业运行系统与网络安全体系整合，确保工业发展的长期稳定。

其次，鼓励工业控制系统制造企业、工业企业和网络安全企业深入合作。“+”的新情况仍然需要用“+”来解决。工业互联网安全覆盖面广，业务差异大，灵敏度高。建议制定鼓励政策，加快工业企业与网络安全企业的合作，组建国家级企业，选择汽车、航空、空航天、能源等重点行业重点攻关，合作研发尖端安全产品和解决方案，共同打造高效安全的工业互联网。

最后，产业政策应关注产业互联网安全的倾向。虽然我们已经逐渐认识到网络安全的重要性，但安全不创造价值的观念仍然普遍存在，相关投入仍然不足。美国的网络安全投资占it投资的10%，而中国仅为2%。建议国家加大这方面的投入，以网络安全保护产业价值。