互联网与人们的生活密不可分的今天,网络安全问题备受关注。昨日,全国政协委员、360董事长周鸿祎接受重庆商报记者采访时表示,网络安全在中国不光要解决技术层面的问题,更涉及到管理、顶层设计等重要层面。网络安全实质是人与人的对抗,不是购买和部署一批网络安全设备、安装一批软件就能解决问题,要打造国家网络安全人才培养体系。
难题1
人才匮乏 网络安全是人与人的对抗
“网络安全的本质在对抗,对抗的本质在攻防两端能力的较量”。周鸿祎向重庆商报记者表示,网络安全实质是人与人的对抗,不是购买和部署一批网络安全设备、安装一批软件就能解决问题。
周鸿祎说,网络安全更需要专业安全运维人员来做分析、规划、态势研判、响应和处置。在互联网时代,每个政企单位都需要建立自己的网络安全技术团队或委托专业安全服务团队提供网络安保服务,网络安全将成为一个智力密集型的服务业,形成巨大的人才需求。
周鸿祎说,近年来,国家网络安全人才培养取得重要进展。“网络空间安全”被国务院学位委员会和教育部增设为一级学科,我国网络安全高层次人才培养迈出了重要一步。但与打造网络强国对人才的需求规模相比还存在较大差距,网络安全人才培养体系亟待完善。
他介绍,据教育部有关机构和专家预测,当前我国网络安全人才缺口达70万,到2020年将急剧增加到140万。近3年来,全国高校网络安全相关专业年均招生1万人左右,主要依靠高校培养网络安全人才的方式远不能满足网络安全的需要。
从实践来看,目前一些高校人才培养也难以满足网络安全实战需求。一方面由于我国网络安全教育起步较晚,高校网络安全实践型人才储备不足,缺乏精通尖端网络安全技术的专业教师队伍,师资力量亟待加强。另一方面,高校普遍缺乏网络安全实践场景,导致学生普遍理论知识多,实战能力弱,毕业后也很难满足用人单位的要求。
此外,周鸿祎表示,目前,网络安全尚未纳入国家职业资格目录。网络安全从业人员没有权威的职业技能凭证,不利于提高从业人员素质、促进就业。
■建议 校企合作培养对口人才
依靠社会力量开展职业教育,大规模培养,是短期内弥补网络安全人才缺口的有效途径。为提高网络安全高等教育的实战水平和技术能力,建议鼓励高校和科研院所与优秀网络安全企业联合建设网络安全学院,开办网络安全专业学科。双方共同开发课程、共建实验室,并在企业设立实习基地,实现课堂教学、学生培养、实习实践的有机结合,提升网络安全学科水平和学生就业竞争力。
此外,建议政府部门与优秀网络安全企业联合制定网络安全职业技能标准,对网络安全从业人员进行必要的水平评价,满足行业人才需求。
难题2
缺乏激励 遇网络安全问题隐而不报
当然,不管如何防范,网络安全问题随时伴随着人们使用互联网。“网络攻击具有极强的隐蔽性和突发性。”周鸿祎说,政企单位及时上报网络攻击事件对于早期发现、追踪溯源和防止攻击范围及危害进一步扩大,保障国家网络安全具有重大价值和意义。
周鸿祎说,在调查中他发现,由于担心承担责任,一些政企单位遭受网络攻击后,往往倾向于掩盖和隐瞒。这使得许多网络攻击难以及早发现和防范,有关部门因此错失了对网络重大攻击追踪溯源和预警通报的有利时机,攻击者可以继续潜伏或实施二次攻击,造成更大危害。
“根源在于缺乏鼓励上报措施”。周鸿祎说,《网络安全法》第六章规定了网络运营者应当承担的法律责任。对网络安全事故进行监管追责是完全应该的,但是对政企单位主动及时上报遭受网络攻击信息却没有激励或酌情减免责任条款。
他表示,由于计算机系统的天然缺陷,任何网络系统都可能被攻破是一个现实。对防范措施没有做到位而发生的网络攻击事件应当界定为责任事故并追责,但面对超出当前防御能力的网络攻击,即使所有防护手段都做到位了,系统依然能被攻破,需要有责任减免的考量。
周鸿祎坦言,部分政企单位在遭受网络攻击时,既担心单位名誉受损、用户流失、收入下降,又担心受到上级监管部门的严厉处罚。如没有相应鼓励措施,主动上报的积极性很难有所提高。
■建议 全民警觉提高防护水平
一是要建立漏洞管理全流程监督处罚制度,及时发现未修复漏洞的行为,并追究相关责任;二是强制执行重要信息系统上线前漏洞检测,尽量在源头上堵住漏洞。此外,对存在严重网络安全漏洞,可能导致大规模用户隐私泄露、人身伤害或者影响民生服务、关键基础设施正常运行的软硬件产品,应实施强制召回,避免造成更大损失。
有关部门应不断完善网络安全监管技术手段,加大网络执法力度。
来源:重庆商报
领取专属 10元无门槛券
私享最新 技术干货