■本报两会报道组 贺 骏

　　正在召开的全国两会上，全国政协委员、360集团董事长兼CEO周鸿祎提交了四份提案，其中包括《关于鼓励政企单位上报网络攻击事件的提案》、《关于完善网络安全人才培养体系的提案》等。

　　在《关于鼓励政企单位上报网络攻击事件的提案》中，周鸿祎指出,网络攻击具有极强的隐蔽性和突发性。政企单位及时上报网络攻击事件对于早期发现、追踪溯源和防止攻击范围及危害进一步扩大，保障国家网络安全具有重大价值和意义。习总书记在4.19网信工作座谈会上指出，目前存在“谁进来了不知道、是敌是友不知道、干了什么不知道”的情况，指出了对网络攻击情况不掌握、不了解、不全面的问题。去年《网络安全法》实施以来，随着有关部门监管力度的加大，政企单位在应对网络攻击和事件通报方面取得了积极进展，一些单位积极配合监管部门开展网络攻击事件追踪调查和犯罪打击，效果良好。但从现实情况看，政企单位上报网络攻击事件还存在一些问题亟待解决：

　　1. 遭受网络攻击时不愿及时上报。《网络安全法》规定了网络运营者因网络安全事件，发生突发事件或生产安全事故的，应当依照国家有关法律、行政法规进行处置。由于担心承担法律责任，有些政企单位遭受网络攻击后，往往倾向于掩盖和隐瞒。这使得许多网络攻击难以及早发现和防范。有关部门因此错失了对网络重大攻击追踪溯源和预警通报的有利时机，攻击者可以继续潜伏或实施二次攻击，造成更大危害。

　　2. 缺乏鼓励上报措施。《网络安全法》第六章规定了网络运营者应当承担的法律责任。对网络安全事故进行监管追责是完全应该的，但是对政企单位主动及时上报遭受网络攻击信息却没有激励或酌情减免责任的条款。由于计算机系统的天然缺陷，任何网络系统都可能被攻破是一个现实。对防范措施没有做到位而发生的网络攻击事件应当界定为责任事故并追责，但面对超出当前防御能力的网络攻击，即使所有防护手段都做到位了，系统依然能被攻破，需要有责任减免的考量。部分政企单位在遭受网络攻击时，既担心单位名誉受损、用户流失、收入下降，又担心受到上级监管部门的严厉处罚。如没有相应鼓励措施，主动上报的积极性很难有所提高。

　　从国内外网络安全实践来看，及时上报网络攻击事件，是国家应对网络威胁，提高网络安全防护水平的重要途径。为此，周鸿祎建议：

　　一、出台鼓励网络攻击事件上报的相关政策。建议在现有《网络安全法》基础上进行细化补充，出台鼓励政企单位上报网络攻击信息的政策法规。既然世界上不存在无法攻破的网络，就接受现实，把快速发现网络攻击、快速处置减少损失当作应对策略。同时对网络攻击事件应进行分级分类监管。比如，对没有采取相应安全措施的，严肃追责。对遭受国家级网络攻击的，可以视情减免责任。此外，对主动及时上报事件和积极应急处置的单位，给予酌情减免责任和处罚的机会，并帮助其安全整改。

　　二、规范网络攻击事件上报流程。对政企单位上报网络攻击事件的具体流程和方法进行规范，形成可操作的实施细则，明确受报主体、上报时限，采取书面报告、当面汇报、技术接口等方式，主要上报攻击事件发生时间、造成的危害、处置应对情况和后续风险评估等内容。

　　三、加大对知情不报企业查处惩戒力度。政企单位负有向主管部门主动及时上报网络攻击事件的义务，并承担相应法律责任。建议有关部门不断完善网络安全监管技术手段，加大网络执法力度，对知情不报、销毁证据、有意隐瞒、歪曲事实的相关单位予以严肃查处。

　　四、鼓励政企单位选用网络安全企业专业服务。当前许多政企单位缺乏应对网络威胁的能力，一旦遭受网络攻击，难以研判攻击状况。应鼓励政企单位积极选用网络安全企业的监测预警、应急处置、攻击取证服务。在发生网络攻击时，及时向监管部门提供相关证据和解释说明，防止被错判、误判。

　　在《关于完善网络安全人才培养体系的提案》中，周鸿祎指出，网络安全的本质在对抗，对抗的本质在攻防两端能力的较量。网络安全实质是人与人的对抗，不是购买和部署一批网络安全设备、安装一批软件就能解决问题。就像国家安全有了武器，还要有掌握武器的军人和警察。网络安全更需要专业安全运维人员来做分析、规划、态势研判、响应和处置。在互联网时代，每个政企单位都需要建立自己的网络安全技术团队或委托专业安全服务团队提供网络安保服务，网络安全将成为一个智力密集型的服务业，形成巨大的人才需求。

　　近年来，国家网络安全人才培养取得重要进展。“网络空间安全”被国务院学位委员会和教育部增设为一级学科，我国网络安全高层次人才培养迈出了重要一步。但与打造网络强国对人才的需求规模相比还存在较大差距，网络安全人才培养体系亟待完善。

　　为此，周鸿祎建议：一是大力支持网络安全企业设立相关教育培训机构；二是开展网络安全学科联合建设；三是把网络安全纳入职业技能鉴定体系。