原副标题:民盟中央常务委员周鸿祎有关加强信息安全可靠恶意软件管理工作的决议案
有关加强信息安全可靠恶意软件管理工作的决议案
民盟中央常务委员、360集团子公司副董事长兼CEO周鸿祎
恶意软件是信息安全可靠的“莫韦赞”。硬件控制系统恶意软件使得普通用户可以利用恶意软件盗取信息或者控制、毁坏目标控制系统,从而引起各种信息安全可靠难题。例如,2010年美伊公共设施遭遇“Wannacry病原体”反击,2016年美国西海岸间歇性断电该事件,和2017年侵袭全球的“WannaCry”敲诈病原体该事件,都是由于信息安全可靠恶意软件引起的。
更更为重要的是,互联网是两个整体,任何人两个基层单位、任何人两个控制系统存有恶意软件,单厢正式成为犯罪分子和美帝国主义反击的跳台,正式成为整个互联网的难点。作为中国最大的信息安全可靠子公司,360集团子公司一年新发现的信息安全可靠恶意软件就超过8亿个。从我省情况看,信息安全可靠恶意软件管理工作方面存有以下难题:
1、对恶意软件不倚重、复原不及时现象普遍存有。据360五府恶意软件积极响应网络平台统计,25.6%的恶意软件未进行复原,一些行业恶意软件平均复原天数长达数年半之久。去年5月12日“WannaCry”敲诈病原体该事件暴发,其实甲骨文子公司早在3月份就已发布了适当安全可靠恶意软件补丁,但我省许多基层单位却一直没短果,引致近30万部PS3和笔记本电脑被病毒感染。直到今天,360子公司还能监控到我省每晚仍有近两百万笔记本电脑病毒感染此敲诈病原体。
2、缺乏具体内容的恶意软件复原管理工作实施细则和行政处罚监督机制。《信息安全可靠法》已经正式实施,明确规定了互联网管理者的安全可靠权利和适当的惩处。但对信息安全可靠恶意软件管理工作还没继续执行实施细则。如,对于安全可靠恶意软件的复原天数等还缺乏具体内容明确规定,引致许多基层单位复原周期性太长,有时长达数月甚至数年,给普通用户遗留下机会。此外,缺乏严苛的监督管理继续执行和行政处罚监督机制,对未及时处理复原安全可靠恶意软件的基层单位无法及时处理发现和不予行政处罚。
为加强信息安全可靠恶意软件管理工作,降低被反击风险,提高我省信息安全可靠防雷能力,建议:
一、建立恶意软件管理工作全业务流程监督管理行政处罚制度
尽快制定覆盖信息安全可靠恶意软件发现、审核、披露、通报、复原、惩处等全业务流程的管理工作实施细则,强制要求恶意软件必须及时处理复原,对恶意软件复原天数和违规行政处罚措施不予明确明确规定。此外,应建立监督管理检查监督机制和力量,及时处理发现未及时处理复原恶意软件的行为,并追究相关基层单位和责任人责任。
二、强制继续执行重要信息控制系统上线前恶意软件检测
对涉及国计民生、国家关键信息基础公共设施的重大信息控制系统工程和项目,一方面在其上线运行或交付使用之前,应强制要求进行信息安全可靠恶意软件的自检和备案,尤其应加强源代码层面的安全可靠缺陷和恶意软件检测。另一方面,国家信息安全可靠主管部门应对上线控制系统进行抽检,发现难题及时处理整改。同时,应引导和鼓励硬件控制系统开发企业加强安全可靠开发规范和业务流程,尽量在源头避免互联网安全恶意软件的出现。
三、强制召回存有重大信息安全可靠恶意软件产品
对存有严重信息安全可靠恶意软件,可能引致大规模用户隐私泄露、人身伤害或者影响民生服务、关键基础公共设施正常运行的硬件产品,尤其是物联网、智能汽车等产品,应借鉴汽车行业的做法,对存有重大信息安全可靠恶意软件产品的实施强制召回,避免造成更大的损失。
四、鼓励政企基层单位采用众测众包方式发现和收集恶意软件
信息安全可靠恶意软件的挖掘和发现具有一定的偶然性,需要集合民间智慧。建议借鉴美国在安全可靠恶意软件收集和挖掘方面的做法。一方面,加强政企基层单位与专业信息安全可靠企业的深度合作,充分利用信息安全可靠企业的恶意软件挖掘能力和情报优势,帮助政企基层单位及早发现和复原恶意软件。另一方面,在安全可靠可控的前提下,鼓励政企基层单位采用众测众包方式,充分发动民间安全可靠研究力量发现和收集恶意软件,提高信息安全可靠整体防雷能力。
