周鸿祎：建议鼓励政企单位 上报网络攻击事件

本篇文章1956字，读完约5分钟

在正在召开的全国人大会议上，全国政协委员、360集团董事长兼首席执行官周提出了《关于鼓励政府和企业单位举报网络攻击的建议》和《关于完善网络安全人才培养体系的建议》等四项建议。

在《关于鼓励政府和企业单位举报网络攻击的建议》中，周指出，网络攻击具有极强的隐蔽性和突发性。政府和企业单位及时报告网络攻击，对于早期发现、追踪、防止攻击范围和危害进一步扩大、保障国家网络安全具有重要价值和意义。Xi总书记在4月19日召开的网络信息工作座谈会上指出，“谁进来不知道，朋友或敌人不知道，他做了什么”，并指出他不知道，不明白，对网络攻击没有全面的认识。自去年《网络安全法》实施以来，随着相关部门监管力度的加大，政府和企业单位在应对网络攻击和事件通报方面取得了积极进展，部分单位积极配合监管部门开展网络攻击后续调查和打击犯罪工作，取得了良好效果。然而，从现实情况来看，政府和企业单位在报告网络攻击时仍存在一些亟待解决的问题:

1.不愿及时报告网络攻击。《网络安全法》规定，网络经营者应当按照国家有关法律、行政法规处理突发事件或者因网络安全事件引发的生产安全事故。由于害怕承担法律责任，一些政府和企业单位在受到网络攻击后往往会掩饰和隐瞒。这使得早期检测和防止许多网络攻击变得困难。因此，相关部门错过了追踪和报告重大网络攻击的有利时机，攻击者可以继续潜伏或实施二次攻击，造成更大的危害。

2.缺乏鼓励举报的措施。《网络安全法》第六章规定了网络运营商应承担的法律责任。对网络安全事件进行监管和追究责任是绝对必要的，但对于政府和企业单位主动及时报告网络攻击信息却没有激励或豁免条款。由于计算机系统的固有缺陷，任何网络系统都有可能被攻破，这是事实。预防措施失败导致的网络攻击事件应被定义为责任事故并追究责任。然而，面对超出当前防御能力的网络攻击，即使所有保护措施都已到位，系统仍有可能被攻破，这需要考虑降低责任。当一些政府和企业单位遭受网络攻击时，他们不仅担心声誉受损、用户流失、收入下降，还担心受到上级监管机构的严厉惩罚。如果没有相应的激励措施，很难提高举报的主动性。

从国内外网络安全实践来看，及时报告网络攻击是国家应对网络威胁、提高网络安全防护水平的重要途径。为此，建议周:

首先，出台相关政策，鼓励举报网络攻击。建议完善和补充现有的《网络安全法》，出台政策法规鼓励政府和企业单位报告网络攻击信息。既然世界上没有牢不可破的网络，我们就应该接受现实，把快速发现网络攻击和快速处置以减少损失作为应对策略。同时，应该对网络攻击事件进行分类监管。例如，那些没有采取相应安全措施的人将被严肃追究责任。对于那些遭受国家级网络攻击的人，他们可以酌情被免除责任。此外，积极及时报告事件和积极处理突发事件的单位将有机会酌情减轻其责任和处罚，并帮助其进行安全整改。

第二，规范网络攻击的报告流程。规范政府和企业单位报告网络攻击的具体流程和方法，形成操作实施细则，明确报告主体和报告时限，采用书面报告、面对面报告、技术接口等方式。，主要报告攻击时间、造成的危害、处置和响应，以及后续的风险评估。

三、加大对不报信息企业的处罚力度。政府和企业单位有义务主动及时向主管部门报告网络攻击事件，并承担相应的法律责任。建议有关部门采取网络安全监管技术措施，不断完善，加强网络执法，严肃查处不报信息、销毁证据、故意隐瞒或歪曲事实的相关单位。

四、鼓励政府和企业单位选择专业服务的网络安全企业。目前，许多政府和企业单位缺乏应对网络威胁的能力。一旦受到网络攻击，就很难判断攻击情况。鼓励政府和企业单位积极选择网络安全企业的监控预警、应急响应和攻击取证服务。发生网络攻击时，及时向监管部门提供相关证据和说明，防止误判和误判。

周在《关于完善网络安全人才培养体系的建议》中指出，网络安全的本质在于对抗，对抗的本质在于攻防能力的较量。网络安全的本质是人与人之间的对抗，而不是购买和部署一批网络安全设备和安装一批软件来解决问题。正如国家安全有武器一样，拥有武器的士兵和警察也有武器。网络安全需要专业的安全运维人员进行分析、规划、态势判断、应对和处置。在互联网时代，每个政府和企业单位都需要建立自己的网络安全技术团队或委托专业的安全服务团队提供网络安全服务。网络安全将成为一个智力密集型的服务行业，对人才的需求巨大。

近年来，全国网络安全人才培养取得了重要进展。“网络空机房安全”被国务院学位委员会和教育部列为一级学科，为我国培养高层次网络安全人才迈出了重要一步。然而，与建设网络强国的人才需求规模相比仍有较大差距，网络安全人才培养体系亟待完善。

为此，周建议:一是大力支持网络安全企业设立相关教育培训机构；二是开展网络安全学科联合建设；第三，将网络安全纳入职业技能鉴定体系。