鼓励做好开源,提升国家软件开发能力
发布时间:2022-08-22
“发达国家的网络安全占整体IT的投入占比达10%,而国内尚不足1%,我国数字安全投入占比在全球范围内相对较低。”
在全国“两会”召开前夕,第十四届全国政协委员、360集团创始人周鸿祎接受了包括澎湃新闻(www.thepaper.cn)记者在内的媒体采访。
作为网络安全行业最知名的企业家,周鸿祎带来的提案依然离不开老本行“安全”。今年,他带来的是有关数字安全、智能网联汽车安全、开源软件安全以及中小企业安全四个提案。
“我的老本行是网络安全、数字化,我也只懂得这些领域。每年我提交的议案并不多,但希望每一个都能落到实处。”周鸿祎坦言。
这也是他连续第五年担任全国政协委员,谈到多年来坚持提交议案的效果,他表示:“这几年我坚持给工信部写提案,看到工信部去年正式出台有关车联网采集数据和注意车联网安全的文件,我很欣慰。未来在车联网方面,我还会继续坚持不懈地推动有关车辆安全的各种规范。”
周鸿祎也对澎湃新闻记者坦言,并不是每一个提案最终都能落地。“我想到《肖申克的救赎》里的安迪,每天给州政府写信要求捐助一些没用的书籍,一共写了6年,终于在监狱里建起了图书馆,对于那些我们认为是正确的事情,也要发挥这样的精神。”
谈开源系统:对开源非常认可,期待更多“中国力量”
“我们要热烈拥抱开源,必须充分理解开源模式的先进性。”在接受澎湃新闻记者采访时,周鸿祎表示。
所谓的开源,指的是开放源代码。开源软件最大的特点就是开放,任何人都能得到源代码,加以修改学习,甚至重新发放。在此基础上也形成了“开源社区”,任何人都能免费分享和下载源代码,并且参与到软件的共同开发。
“开源”之所以在今年成为热词,主要源于去年12月10日,Apache基金会开源项目的Log4j2组件被发现存在远程代码执行漏洞,该漏洞被业内称为“核弹级”漏洞,一经披露受到广泛关注。
“行业光盯着这个漏洞应该向谁通报的问题,但在我们看来,这个漏洞不像是代码写得不好,不小心留下的漏洞,更像是人为故意留下的。”在周鸿祎看来,与其称其为“漏洞”,不如说是“后门”。
其实,在Log4j2漏洞曝出之前,开源软件漏洞便已存在大量漏洞,只不过此漏洞的爆发引起了外界的普遍关注。“国家应该更多鼓励和支持开源项目,并且发挥主导力量。即使有些项目跟国外产生分歧,我也非常反对把国外的开源拿过来闭源,变成公司私有,这个不仅很自私,违背开源的精神。”周鸿祎表示,他认为,仅仅依靠一家公司无法支持一个庞大系统的正常进化和生态发展。
在他看来,没有开源软件就没有今天的互联网行业和大数据。“即使美国很多的公司,比如Facebook、Google,我也跟他们交流过,他们的很多系统为什么是开源?因为如今的数字化规模越来越大后,靠一家公司支撑一套大数据或人工智能的独立体系,有几万名工程师都支持不住,必须通过开源,变成很多公司、自由工程师、软件高手一起来支撑开源项目,就变成了我为人人、人人为我。”
他建议,要充分拥抱开源,理解开源本身这种模式的先进性,国家应该提供更多的政策引领。各国家部门、各大数字经济公司应该更积极地在国内由中国力量主导的开源项目建设,例如阿里、腾讯、百度、字节跳动等公司已经对此有所布局。“要鼓励更多公司、软件技术人员积极参与国际的开源社区,占据社区的发言权,以此来主导一些项目的方向和发展,把开源做好了,整个国家的软件开发能力都会有巨大的提升。”
谈智能汽车:要建立“数字空间碰撞测试”机制
此前,周鸿祎曾多次在提案中呼吁要关注智能汽车网络安全。2019年时,周鸿祎曾在当年的提案中建议:制定强制性生产标准,把网络安全列为智能汽车标配。去年,周鸿祎关注到了目前已经存在的远程控制、数据窃取、信息欺骗等安全问题,建议加强智能汽车在使用过程中数据采集的监管,禁止采集用户不知情数据,禁止过度采集超出满足智能汽车功能的地理环境数据。
近年来,随着“蔚来”“小鹏”“理想”等新能源汽车崛起,车联网作为数字化新场景,面临巨大的安全挑战。据360车联网安全实验室统计,国内25家车企的53款在售智能网联汽车中,共计发现漏洞1600余个,其中,云端漏洞1000余个,可导致攻击者远程批量控制该品牌所有的智能网联汽车;车端漏洞600余个,可导致近距离非接触式控制汽车,如开关车门、启动引擎等。
“汽车工业是我见过对安全最重视的行业,因为这个行业安全一出都不是小事,就是人身安全。”周鸿祎表示。在他看来,汽车本身是一个传感器的集合体,会采集各种信息,包括路面状况、地理位置、视频和画面等,采集不到充足的数据就不能改进汽车的驾驶状态,所以每个车厂都会变成一个大数据厂商。
随着厂商采集数据不断增多,也带来更多风险——一旦大数据遭到勒索攻击、污染破坏,就会带来个人隐私的问题。“比如把采集的数据里的人脸模糊掉,会引起汽车的大部分功能丧失。一个车厂的大数据中心如果被攻击了,很可能自动驾驶都不能运行,很多人的车就趴路上了,这也会带来更大的风险。”周鸿祎认为。
在他看来,可以通过借鉴汽车物理碰撞测试的手段,建立智能网联汽车“数字空间碰撞测试”长效机制,以此来加强车联网络的数据安全性。“希望国家来统筹,推动一些数字空间碰撞的实验室,对自动网联车做数字空间的碰撞,实际上是数字空间的模拟攻击。”
同时,他还建议汽车行业尽快搭建一套以汽车安全大脑为核心的智能网联汽车态势感知体系,帮助监管部门和车企实现汽车安全实时全程“可见、可控、可管”,确保上路的智能网联汽车始终处于良好的安全状态。
谈网络安全:需要“顶层设计”,扶持相关人才
近年以来,网络攻击已经从虚拟世界影响到了现实世界,数据成为新的攻击对象。
在周鸿祎看来,网络安全的本质是人跟人的对抗,衡量网络安全能力的唯一标准就是在对抗视角下看实战的能力。“对手变了,战场也变了,现在工业互联网、车联网,很多基础设施、很多城市成为攻击的对象,过去电脑中毒就影响个人工作,今天当整个国家数字化以后,整个国家社会的秩序,甚至个人人身安全,都会受到网络安全的影响。”
他建议,要对网络安全进行顶层设计,要在国家层面,建立一个分布式数字化安全的大数据分析网络,也可以称作分布式国家安全大脑。“这几年通过华为事件,大家突然意识到原来我们‘缺芯’,我觉得网络安全的重要意义不比芯片小,因为网络安全也会涉及从芯片到操作系统,特别是应用软件到网络连接,包括今天谈的人工智能、大数据、物联网,所有这些先进的数字化技术,最后都会回到数字化安全的问题。”
在周鸿祎看来,现在网络安全行业存在“内卷”严重、利润率低的现状,国家应该对数字化安全公司和人才提供税收优惠和扶持政策。尤其是对于小微企业而言,在网络安全问题上普遍没有投入足够的资金和重视程度。“中小企业普遍缺乏数字安全能力。随着万物互联时代的到来,中小企业的安全缺口不仅危及自身,还有可能成为攻击的跳板,对大型企业、单位,乃至国家安全造成伤害。”
他提到,可以鼓励和支持大企业以创新轻量化产品、SaaS服务为抓手,消除中小微企业在认知、资金、技术、人才等方面的差距,推动中小企业实现数字化转型。
同时他也建议,网络安可以升级为数字安全,打造覆盖所有数字化场景的数字安全防范应急体系,包括应对工业互联网、车联网、智慧城市,以及云安全、数据安全、供应链安全等挑战。把数字安全纳入新基建,调集社会各方力量共同参与数字安全体系建设,真正提升国家的数字安全能力。
谈“元宇宙”:要一分为二看待
在采访中,周鸿祎也回应了近期大热的“元宇宙”话题。
“原来大家以为我狂喷元宇宙,其实我对元宇宙的看法一分为二。”周鸿祎表示,在他看来,元宇宙用对了方向依旧大有可为,但是也有一种“元宇宙原教旨主义者”,他们认为元宇宙应该在网上构造一套完全虚拟的空间,切断和现实世界的联系,在元宇宙世界里可以实现任何想法,哪怕违背现实世界的道德观和价值观。“如果这样的元宇宙,我同意刘慈欣的说法,这对人类是不合适的。”
他提到,对于元宇宙,一千个人有一千种理解。“其实元宇宙本质是数字化的最高境界。元宇宙有很多技术,包括云、大数据、物联网、人工智能、还有VR/AR技术等。我对元宇宙的理解是数字孪生,数字化的最高境界就是把物理世界虚拟化到虚拟空间里,成为一对一的映射,使得现实世界里物理设备无法计算的内容,通过虚拟化后能够计算、仿真、模拟,通过大数据的推理、计算,得出一些现实世界发现不了的规律,再来反作用于现实世界,所以我认为元宇宙还是为真实世界服务。