周鸿祎讲过一个真实的惊悚“故事”。
去年,360发现了一款全球知名汽车品牌的几个云端漏洞,通过这些漏洞,360的安全人员可以对该品牌2017年以后出厂的百万辆以上的各种豪车进行远程操控,包括开车门、启动和熄火等。
360把这个漏洞提交给该汽车厂商,对方及时修补了漏洞。
这则“故事”反映出的问题是,汽车厂商云端的漏洞,可以直接造成对汽车物理的破坏。
“我的老本行是做网络安全的,所以,我的话题永远是跟我的老本行相关”,2021年全国两会召开前夕,全国政协委员、360集团创始人周鸿祎在接受21世纪经济报道记者采访时表示。据悉,自2018年当选为全国政协委员以来,周鸿祎连续四年提交的提案内容均聚焦于网络安全行业。
虽然主题固定,但周鸿祎每年关注的焦点却在变化。据记者了解,周鸿祎今年提到的网络安全问题,是未来中国整个数字化发展之下新的数字威胁,具体涉及车联网、智慧城市的安全,此外,周鸿祎还针对行业内的安全专家、特殊技术人才提交了一份提案。
周鸿祎表示,数字化正重新定义网络安全,安全脆弱性前所未有,而网络安全风险遍布在数字化的所有场景。如果用一句话来总结数字经济对网络安全带来的影响,可以说“软件重新定义世界”,这是创新时代下网络安全行业面临的新挑战。
把网络安全列为智能汽车的标配
去年一整年,智能汽车无疑是最具关注度的行业领域之一,周鸿祎今年提交与车联网安全相关的提案,也是其继2019年之后,第二次关注智能汽车安全。
周鸿祎表示,2019年中国造车的浪潮还没有那么高,近年来,国内外车企都热闹起来,传统车厂在努力造智能车,很多互联网公司也要跨界造车。然而,越是在这样热度不减反增的情况下,作为网络安全的从业者,越应该有责任把安全问题提出来,为车企、消费者保驾护航。
在周鸿祎看来,相比手机、电脑的安全问题,智能网联汽车的安全问题更为重要。因为智能网联汽车就好比一台带有四个轮子的“大手机”,集成了大量的摄像头、雷达、测速仪、导航仪等各类传感器,这导致过去智能终端存在的安全问题,也都“转移”到智能汽车上。
周鸿祎向记者表示,目前智能汽车存在三方面的安全问题:首先,智能汽车联网带来的安全隐患非常大。手机、电脑可以通过安装杀毒软件进行杀毒,倘若出现较为严重的问题换台手机、电脑就行。但汽车不行。车辆在行驶过程中不能出现问题,一旦出问题,轻则可能出车祸,重则车毁人亡。
其次,智能网联车的背后是数据在云端的存储与使用,海量的行车数据被采集并存储到云端,通过云端可实现指令下达。在这样一种情况下,一旦汽车厂商云端服务器遭到破坏或漏洞被利用,攻击者能对汽车实现远程操控,包括远程开车门、远程启动、远程熄火等,严重威胁智能汽车安全驾驶。因此,智能汽车供应商的安全问题也能殃及池鱼。
第三,智能汽车中的各类数据采集泄漏风险巨大。现如今的智能汽车行驶在公路上,可以通过传感器、摄像头采集各种数据,如车速、胎压、出行轨迹、沿途建筑物、地标信息等等。这些数据都存储在本地或云端,一旦遭到泄露,用户隐私将被暴露,而道路网数据、导航数据、环境影像等具有地图测绘属性的数据也会被大量收集和泄漏,甚至可能危及大安全。
因此,周鸿祎建议,要把网络安全系统像“安全带”一样列为智能汽车的标配,同时推进智能汽车网络安全强制测试。此外,还要强化智能网联汽车产生的数据安全监管。
据周鸿祎透露,目前已经有很多造车新势力以及传统车厂,都找过360寻求合作。周鸿祎称,安全在很多行业就像个开胃小菜,是个附属品,但在汽车工业上百年的历史中,安全一直是最重要的,所有车出厂都要经过各种碰撞试验,这是因为车和手机等其他附属用品不一样,不出事则已,一出事就是大事,所以随着软件定义汽车时代的到来,网络安全在汽车领域也会起到非常大的作用。
网络安全应该是智慧城市的基座
在谈及智慧城市的话题时,周鸿祎表示,智慧城市是中国数字化战略最重要的场景之一,未来五年我们很多地方政府都会通过智慧城市建设来提升自己的能力。与此同时,城市数字化也为城市发展带来了前所未有的安全风险。
在智慧城市的场景下,整个城市的运转、城市的基础设施,包括水电煤气、交通、老百姓的衣食住行等都架构在软件之上。然而,只要是软件,就一定有漏洞,有漏洞就会被人攻击,特别是物联网,它把物理世界各种基础设施和虚拟网络空间连接了起来,这种情形下,所有在网络空间的虚拟攻击都可以变成物理的伤害。
周鸿祎表示,未来城市安全最大的威胁将是高级网络攻击,因为通过高级网络攻击能够使充分数字化的城市在瞬间失控,可能会导致断水、断电、断气。因此,对城市来讲,网络安全应该是智慧城市的基座,如果没有网络安全的保驾护航,智慧城市数字化做得越充分,越先进,面临网络攻击的时候会越脆弱。
至于如何保障智慧城市的安全,周鸿祎也提出了自己的几点建议:首先是建立安全共识,将城市级网络安全基础设施作为智慧城市标配。“把安全作为数字化智慧城市的附庸是不行的,不能等城市建设好了再买点防火墙、杀毒软件,要在规划数字城市建设的同时规划好安全体系结构”。
第二,要改变过去各自为战的分散做法,开展城市级网络安全基础设施的统一安全运营。过去搞网络建设,叫“谁建设谁负责”,但现在,必须建立城市的安全基础设施,在城市安全基础设施上建立城市级安全专家运营队伍,通过安全专家的运营,把网络安全的能力建立成像水电煤气一样的公共服务能力。
周鸿祎表示,我们可以想象,一个城市,如果没有公共事业的水厂、电厂,没有公共事业的警察、保安,这个城市想发展是不可能的。总体来说,在未来打造智慧城市的同时,必须建立城市自己的一整套安全基础设施,安全运营队伍。未来考核一个城市的智慧城市能力,也要看是不是能够提供城市级的安全运营服务。
为民间“白帽子黑客”代言
除了车联网、智慧城市之外,周鸿祎今年还提交了一份与行业内安全专家、特殊技术人才相关的提案。他向记者表示,人才是网络安全的重中之重。这次提案中提到的网络安全特殊人才,是大家俗称的“黑客”,以往提到“黑客”,大家的态度都比较负面,甚至出现污名化的现象。
但其实,“黑客”在社会上存在一定的误解,有时候被“不分黑白”地抵制。事实上,许多民间的安全高手是“白帽子黑客”,他们一直致力于帮助企业挖掘漏洞、做攻防,有点像数字化时代、信息化时代的侠客。
周鸿祎称,在人才培养方面,虽然部分网络安全人才可以通过教育手段培养出来的,但天赋仍发挥很大作用。很多“白帽子黑客”都是奇才、怪才、偏才,他们往往由于学历不高,没有承担过国家科研项目,没有发表过论文,评不了职称、落不了户、子女入学也可能面临困难。虽然这几年多方努力做了不少工作,但这些问题还没有得到彻底解决。
因此,周鸿祎建议,希望国家可以通过认定和激励措施提高对这些特殊人才的理解与认可,增强他们的荣誉感,吸引他们为网络强国建设作贡献,在重大网络安全事件的关键时刻能够挺身而出。
具体而言,周鸿祎提出了三个建议:首先是制定专门的网络安全特殊人才认定政策。建议国家制定出台以能力为导向、成果为标尺的网络安全特殊人才认定标准,突出专业性、创新性、实用性,突出解决实际问题能力,如大数据安全分析能力、漏洞挖掘与修复能力、APT攻击发现与追踪溯源能力等,并保持这类特殊人才的独立性和发展潜力。建议建立针对性的职称评定机构和制度,并明确所设置的职称体系在社会中被广泛认可。
其次是对符合条件的网络安全人才给予个人税收优惠政策。建议增加针对网络安全特殊人才的个税减免项,对突出贡献所得收入,也给予个税减免。对于符合条件的网络安全新兴领域创业人员和早期员工,对他们的股票和期权比照“资本利得”征税原理,在实际变现环节按照财产转让所得缴纳个人所得税,激发他们的创业积极性,鼓励创新发展。
最后是对符合认定条件的网络安全特殊人才予以必要激励。建议开辟网络安全行业特殊人才引进绿色通道,在落户、购车、购房和子女入学等方面予以特殊照顾,对有突出贡献者发放特殊津贴。
(作者:南方财经全媒体集团全国两会报道组 白杨 编辑:张伟贤)