3月28日,由中国信息协会主办,信息化观察网、中国信息化网、国润互联信息技术研究院共同承办的2019第四届中国网络信息安全峰会在北京裕龙国际大酒店成功召开。
会上公安部十一局七处副处长范春玲带来了题为“新形势下的网络安全等级保护制度”主题演讲,以下是范春玲在2019第四届中国网络信息安全峰会现场演讲实录,未经整理。
公安部十一局七处副处长范春玲
各位领导,各位嘉宾,各位参会的代表:
大家下午好!今天特别荣幸受到信息协会的邀请来到我们这个会场,主要也是想借着这个平台介绍一下等保制度,是2007年全国范围内推进实施以来有了这么多年,积累了这么多经验,在此基础上随着形势的发展和变化,随着网络强国战略的提出,我们等级保护制度在新的环境下,新的时期,新的时代,新的形势下不断完善。
公安部网络安全保卫局,或者公安机关的网安部门在网络空间,在我们等保工作里一直做着牵头实施,在全国范围内深入推进。我们按照中央最新的要求,我们公安部按照中央确定的,在网络空间的职责,主要有几个方面,这是我们新的时期,我们在网络空间领域发挥主力军作用的几个方面。
第一个是要建立实施关键信息基础设施保护制度,各位都清楚,随着国家网络空间,网络安全,网络安全形势日益严峻,国家提出了关键信息基础设施的保护制度,在国家有关文件做了明确规定,我们公安部和中央网信办共同牵头加强能源、交通、通讯等等,总共是8个重要领域的关键信息基础设施的保护。另外新的形势下,中央就我们国家网络安全方面的具体工作进一步推进实施网络空间等级保护制度,这也是我们最新的,公安部三定方案里提出来的,进一步贯彻落实网络空间安全等级保护制度,按照网络空间保障的政策策略的要求进一步健全完善等保制度,此外还有我们要进一步健全完善网络安全,信息安全,信息通道机制,加强监测,通报预警等等工作,提升我们国家整体的网络控制的防御能力,这是我们在网络空间,网安部门在网络空间里发挥主力军作用的三个最重要的方面。
此外还有我们要进一步按照公安部履行相关职能要求,进一步监督、检查、指导网络安全保护工作,按照赋予我们的职责任务,每年持续开展全国性的,专项集中的专门的安全检查。此外还有情报侦查,打击网络违法犯罪,另外就是我们近几年一直在推进开展的网络攻防实战演习,常说的护网行动,这是从攻和防提升我们的能力。此外我们还连续开展了关于网络安全专项的行动,我们近些年连续开展了一系列的,我们前些年开展了关于我们互联网网站的专项整治活动,近些年我们开展了关于党政机关,企事业单位的电子邮件的专项整治活动,又开展了以大型互联网企业为主,大型互联网企业的网络安全保卫,我们按照中央领导的要求,按照人民群众反映最突出的关于数据安全的问题正在集中开展大数据的安全整治,这都是我们开展网络安全专项行动的具体工作。
另外,我们公安部也按照147号令的规定在开展网络安全产品的销售许可管理,这可以说是网络安全产品进入市场的第一道门槛,市场准入。另外我们综合相关各方面的职能,我们集中目标,集中力量,最终要构建一个管防一体化的防御体系,这是在公安网安部门的职能作用。
随着形势的发展和变化,随着国家网络安全法的发布实施,法律里面明确规定国家要实行网络安全等级保护制度,这是147号令里规定等保制度以来,进一步将等保制度上升为国家法律规定,同时我们在网络安全法进一步就网络安全等级保护制度和关键基础设施保护的关系做了明确,下一步我们相关的部门也正在按照法律要求开展相关的一是法律法规体系方面的建设,另外一个就是我们在重点防护方面采取重要的工作,专项工作。
我们在立法方面,我们是要按照我们国家有关,随着形势发展,技术发展应用,整个形势安全的需求,我们在不断推进网络空间体系的建设,我们有了网络空间法,我们后续配套的关键基础设施条例,数据安全法等等一系列关于网络安全方面的法律法规正在不断的制定出台,像我们的互联网信息服务管理办法等等,这些相关的法律规定也按照形势发展的要求正在不断的健全和完善。
从公安部的角度来讲,我们推进实施了近十多年的网络安全等级保护制度,按照中央领导的批示要求正在出台网络安全等级保护条例。我们等保制度是我们国家网络安全工作的一个基本制度,基本策略和基本方法,也是经过实践检验的,我们觉得经过近十多年的实验,国家重要领域开展网络工作的时候一直将网络安全等级保护制度作为一个核心,作为一条主线来推进本单位,本领域,本信息系统的安全保护工作,这也是我们积累了这么多年,网络安全保障工作实践经验而来的最重要的一个工作措施和工作方法。
等保制度随着这么多年在国内的推进和实施,到了新形势下,也随着现代形势发展的需求不断的健全和完善,实际上我们到了如今,前些年实施等保制度的时候主要还是推进我们这些重要的行业部门,很多系统都是在内网上建立的系统,随着形势的发展,为了互联网广泛的普及和应用,等保工作的重点逐步调整为关键信息基础设施和大数据,这是近一两年等保制度推进实施过程中不断调整我们的重点方向,一个重要的表现。
可以讲我们等保制度的贯彻和实施,是一项关乎国家安全,社会稳定和国家利益的重要任务。我们在新的时期,新的情况下,我们等保制度的健全和完善,从指导思想方面有以下的几个方面。
第一,我们在新的时期,要以我们最强的网络攻击能力为标尺,大家都知道世界上的网络空间里能够称之为有霸权地位的几个主要的国家,我们在构建全新网络安全等级保护制度的形势下,我们需要以现在世界上最强的网络攻击能力为标尺依法开展网络安全的保卫、保护和保障的相关工作,这也是当前在等保健全完善的过程里首先要遵循的第一个,首位的指导思想。
第二,等保工作,以往很多人理解为只是一个重点是在于防御方面,随着现在形势的发展,实际上我们是要构建一个打防管控一体化综合的管控体系,目前我们朝着这个目标构建我们等保的制度体系。
第三,以我们的网络安全事件为主线,以我们当前存在的网络安全的重担问题为导向注重我们的攻防兼备能力的建设,是我们主要的指导思想。
新的技术不断发展,不断应用的过程中,等保制度也是进一步结合可信计算人工智能、大数据分析新的技术,以这些新技术,包括我们的密码的不断推进,以新技术为核心构建一个主动防御,主动免疫的综合防御体系。去年公安部部长专门提出了几点要求,其中一点就是将我们以往被动防御变成主动防御,从静态改为动态,从零散的分割的改为整体的,融合的防护体系,加强我们国家整体的网络空间的防护能力。
我们在构建等保制度体系的指导思想方面,要以全面提升网上行动能力为根本,不管是攻击也好,防御也好,最重要的是实现我们在网上的行动能力,体现主要是我们的实时监测能力,检测评估能力,态势感知能力,追踪溯源能力,技术反制能力等等,这一系列技术涉及到我们主管部门,科研院所,重要行业部门还有很多网络安全企业,大家共同参与,从各自不同的角度提升各自应当提升的能力,这也是构建新时期等保制度一个重要的方面。
新形势下等保主要从构建方面要形成几个全新的体系,第一个就是组织领导体系,当然了我们现有的等保制度的体系肯定还是要在我们原有的信息安全等级保护这么多年实践经验的基础上进一步健全完善。在整个制度体系方面包括以下几个方面,第一个是组织领导体系,现在随着我们国家公安委,网信委等相关部门的成立,我们在网络空间的组织领导架构进一步明确,体系进一步健全,所以我们在网络空间等级安全保护上要构建一个全新的组织领导体系。
第二,新的法律和政策体系,刚才说到相关条例,一些有关办法,涉及到我们在当前网络安全工作里最迫切需要解决重点方向的法律法规,政策标准方面的研究,都是我们政策法律体系构建的一个重要方面。
第三,标准体系,等保工作正是如此,因为标准先行,我们以往的等保工作也是以标准和试点先行的工作思路来推进,标准方面早在几年前我们已经组织研发了等保的2.0标准,前期在一些会议上,在一些论坛上做了一些发表,后期我们等保2.0相关标准正式发布以后,我们也会组织相关的大范围去宣贯和培训,让企业能够和等保制度,最开始在源头上就能密切的结合起来,到了我们用户环节能够更好的为我们重要领域,重要部门的重要信息系统提供更好的网络安全服务。
第四,技术支撑体系方面,我们现在有了一系列网络安全的技术支撑力量,下一步我们在这些力量的基础上要进一步的加强我们的技术智能体系建设,动员和发动调动我们全社会各方的力量共同来提升我们国家整体的防卫能力。
第五,人才队伍体系上,网络空间里最重要的,而且国家在一些重要的政策,包括一些高校,包括一些论坛,包括一些竞赛方面开展了一些工作,都是为了选拔人才,能够使网络安全专门的人才在重要的岗位,重要的任务中发挥出最好的作用,所以我们在人才队伍上要持续不断的加强人才的选拔、任用、培养机制。
第六,教育训练体系,等保制度要不断与时俱进,随着我们现在技术的发展,随着安全管理体系的不断健全完善,我们在教育体系方面要不断的加强教育培训,面对不同层次,不同主体,不同方向,不同研究目标的开展教育训练体系。
第七,新的保障体系,国家应该不断加强网络空间的保障,从重大的工程项目,从专项行动,开展的专项工作等等。各个方面来保证我们这项工作能够更加有序的推进下去,包括我们在一些等级保护专门的工具,等级保护有关的标准,等级保护工具的平台,等等方面开展基础保障,增加投入。
这是我们网络安全等级保护体系框架图,涉及到我们等级保护工作的各个环节,各个环节里需要适用到的政策、标准,等保新的形势下有了新的规定,新的要求,我们应着网络安全法的要求,我们公安部会同相关部门已经制定起草了网络安全等级保护条例,去年通过几个相关的渠道向社会公开征求意见,征求了来自各个方向的一些意见和建议。
目前我们这个条例的进展情况在这里给大家交流一下,这个条例经过了公开征求意见,反复研讨论证以后,到现在我们有关部门之间已经达成初步的一致意见,下一步我们几个部门进一步会签报送国务院,加快推动该条例的出台。按照目前的框架主要由八章,72条。
在座的很多企业,包括一些重要行业部门,对我们条例的内容已经有了大致的了解,一个是大家有这方面的实践,另外也是我们条例公开征求意见之后得到社会各方的广泛关注,从条例的征求意见稿当中可以看出有一些新的要求。第一个方面在适用范围方面有一些扩展,条例征求意见稿明确规定中华人民共和国境内都要适用到等保工作。
另外,在等保制度适用范围上,将目前的风险评估、安全监测、通报预警等等,在我们现在很多的重要的信息系统安全防护过程中使用到一些有效的措施都要纳到等保制度里实施,进一步巩固这些制度在重点工作方面发挥重要作用。此外将网络基础设施重要信息系统,现在网络变化很快,网络系统类型很多样化,我们将网络的基础设施,云平台,大数据,物联网,工控等等一些新的业态纳入到我们等保制度里监管,包括我们现在网约车平台,对公众提供一些服务的平台化企业的信息系统,都要纳到等保里面去监管,确保向社会提供服务的时候能够做到安全、稳定的运行,确保我们支撑的业务应用能够得到很好的推进。
定级流程方面,我们也是结合了以往的定级编写工作的情况,在此基础上我们又进一步优化了定级流程,增加了专家评审的环节,其他方面按照现有的工作要求开展推进,确保我们的级别确定下来之后,经过专家审核,经过主管部门的审批,经过有关方面的审核把关以后,能够基本反映我们系统的安全性,重要性,来确定一个科学合理的级别。
备案管辖方面也是随着我们适用范围的扩大,包括我们公安网安部门在这项工作管辖方面的具体规定,我们进一步扩展到县级以上的公安机关,现有规定是需要到地市级,等保条例正式发布以后,要做进一步的调整。条例里进一步明确了网络运营者一般性的安全保护义务,后面还有一个特殊性的,还有一个是重要性的,有三个方面的安全保护义务,这是针对我们不同的网络运营的主体提出来的保护义务,对一般性安全保护义务还是依从于网络安全法里面规定的网络运营者的基本义务,结合等保制度在十多年实践中的网络运营者应该履行的义务提出了几方面,我们要有一个明确的等保制度责任人,建立相应工作责任制,从管理和技术方面要落实一系列相应的管理措施,技术防范的措施,从身份管理到身份识别各个方面都有一些要求。
现在大家比较关注的关于数据,我们现在的信息系统中存储的,使用的,传输的重要数据,公民个人的隐私数据要落实重要数据的备份、加密、数据分类,另外对于个人信息,我们在等保条例里,对于个人信息保护也提出了一些明确要求,这里面只是提出了我们一般性的安全保护义务,后面对我们重要数据和公民重要信息的保护还有专门要求。
另外对我们有专门的网络服务平台,在发现了一些违法信息传播或者是发现了违法有害信息的时候,应该有发现阻断消除的措施,确保违法信息不能大量的传播,等等一般性的保护义务,涉及到全国范围内网络运营的主体。
对网络运营者来讲,对第三级以上的网络运营者,是我们国家重要的网络,事关国家安全,国计民生,是从这个角度来定义的。第三级以上的网络运营者应该履行的保护义务要高于刚才说的一般性保护义务,这是对我们第三级以上的网络运营者应该做的保护义务有了明确的要求,主要是基于更能发挥好第三级以上的网络系统运营主体在开展网络安全保护工作中更进一步的发挥作用,起到安全保护的作用,从这个角度提出相关的安全保护义务,比如说确定相关的网络安全管理机构,有人,有机构,有力量才能开展。另外对第三级整体安全的规划,整体的建设,包括我们后续的一些整改加固方案都要进行专门的技术审查,符合国家有关标准规范要求,符合了当前重要信息系统的安全保证要求以后才能投入实施,才能开展加强。对重要人员要实施背景审查,这是在现有工作里,尤其是重大活动安保,我们对提供安全服务的人员已经开展了安全背景审查,过程中也是发现了各类人员,所以我们专门增加了对负责人和关键岗位人的审查要求。
我们对服务人员和服务机构也要进行安全管理,另外对于我们三级以上网络系统开展安全监测,有关的重要数据要和国家有关数据进行对接,能够更好的形成我们国家整体的网络安全态势的挖掘分析。另外还有我们最重要的几个方面,我们一些重要设备的,重要链路,包括重要数据容易备份,还有我们对第三级网络系统要开展等级保护测评,这是大家相对来说比较了解到的一些情况。
这是我们对第三级以上网络运营者在条例里规定的重要的保护义务。另外对于我们一些条例里,征求意见稿规定了一些特殊的安全保护义务,主要对我们互联网信息服务提供者和互联网接入服务,主要从信息内容的角度提出来的,这两类主体应当落实的有关安全保护义务,当然了这些规定主要还是依据我们对网上有害违法信息比较泛滥是密切相关的,我们对互联网服务提供者,互联网机构服务提供者的义务也在等保条例里做了规定。
另外,我们征求意见稿对测评,刚才也讲到一点儿,第三级以上的网络运营者应当每年开展一次网络安全等级测评,是为了我们更好的掌握网络系统的安全保护状况,根据我们当时的态势分析,能够更好的提出好的一些安全加固的方案,保证系统的安全稳定运行。对于新建的第三级以上的网络应当通过等级测评后投入运行,这是从系统上线之前能确保安全。
对我们网络安全服务机构,除了等保测评机构以外,对为第三级以上网络提供网络建设、运行维护、安全监测等等的机构都应该符合国家法律法规和技术标准的要求,需要我们实践中不断健全和完善有关规定,有些规定现在还没有,但我们在条例里已经将我们这个领域里有可能存在的风险和隐患考虑到了,所以在这里我们有这样的规定,是为了规避各类网络安全服务机构为第三级以上网络提供网络安全服务的过程中有可能造成次生的危害和威胁。
我们在过程中对网络安全服务机构,对他们所知悉的信息有了明确规定,不得对外发布。另外我们对技术维护要求,第三级以上网络应当在境内实施技术维护,不得在境外远程技术维护,我们因业务需要,确需进行境外远程技术维护的应当进行评估,确保网络安全维护是可控的,是安全的。
对数据和信息安全保护方面,现在国家层面正在出台跨境传输,数据安全保护,数据安全的评估等等相关的规定,等保条例里进一步明确提出来网络运营者应当建立健全并落实重要数据和个人信息安全保护制度,借助等保条例的有关规定,将等保条例里明确重要的网络和系统中存储、使用或者是采集,或者是传输的一些重要的数据信息要加强这方面的安全防护,确保数据的安全运行,确保数据的安全。
对依法收集的使用处理的个人信息,也要落实个人信息保护措施,防止个人信息的泄露、损毁、丢失或者滥用,后续都有相应的措施来支撑我们有关数据和信息安全保护要求的有效落实。
应急处置要求,这个和我们目前提到的应急处置要求基本上是保持一致的,尤其是我们对第三级以上的网络运营者应当制定相应的应急预案定期开展应急演练,应急处置这一块,按照有关要求我们在应急处置的过程里要进一步的调查、追踪、溯源,所以处置过程中,我们的网络运营主体,包括一些服务机构要注重保护现场,记录并留存相关数据信息,向有关部门报告,以便后续工作的开展。另外我们在应急处置要求里,尤其是发生重大网络安全事件时,电信业务经营者,互联网服务提供者应当为重大网络安全事件的处置提供支持和协助,这也是能够发挥出电信运营商在我们信息网络资源优势方面,处置重大网络安全事件的时候提供有力支持和服务。
审批要求,主要是结合当前互联网经济的发展,我们网络运营者建设运营维护和网络时,向社会够中提供需取得行政许可的经营活动的,相关主管部门应当纳入到审计和审核的范围,比如现在我们的网约车,网约车在获得牌照或者许可的前提就是要通过等保相关的工作要求,落实有关的等保制度,确保平台的安全,提供了安全的保障以后,才能够去申请相应业务的开展,这是我们当前对这类,尤其是向社会公众提供一些服务的经营活动有了明确的要求,要以等保制度的落实情况作为审批的先决条件之一。
以上主要是结合等保条例当中与我们现有等保工作的规定做了一些调整方面给大家做了交流,另外等保条例也是进一步明确了我们等保制度是国家网络空间基本制度,国家和政府落实等保工作方面也有一些责任和义务,这些都在等保条例里。比如说整体要求方面,国家要健全这样的组织领导体制,技术支持体系和保障体系,加大这方面的投入,支撑整个等保生态不断发展。各级人民政府在规划本单位或者本部门的网络安全工作或者信息化项目建设的时候,要将等保制度的实施纳入整体规划,进入三同步,统筹考虑,统筹推进。还有一个方面,在标准制定方面,等保工作和标准体系是同步推进的,确保我们等保制度能够在各个地区,各个行业贯彻落实,我们下一步会进一步的健全和完善等保相关的标准体系,包括产品的标准。
国家也支持相关主体,包括行业组织来参与我们等保有关标准的制定,行业标准,地方标准,团体标准都可以,结合我们现在的实际需求开展整个标准体系的健全完善。此外在我们投入保障方面,包括各级人民政府要鼓励和扶持一些重点工程和项目,尤其上等保的,支持等保的技术开发和应用。技术支持方面,要健全新的技术支持体系,这里面有专家队伍,涉及到等保各个环节的技术支持体系都要不断健全和完善。还有行业主管部门,各级人民政府要将等保的情况纳入绩效综合治理考核当中,目前我们和中央政法委,我们已经将等保工作的有关情况纳入到社会综合治理考核里去,下一步这块要发挥考核指挥棒的作用,将我们等保工作与国家和安全相关的考核评价工作密切结合起来,确保这项工作能够更好,有力的贯彻和实施。
宣传教育和培训,我们部里去年年底专门印发了关于开展网络安全训练教育体系的相关规划,我们后续会加强各个层面的教育训练体系,结合我们国家最新的网络安全的政策要求,结合等保工作最新的实际需求来鼓励大家能够更好,更快的适应到我们最新的形势发展过程中,结合我们最新的实际需求去开展一些研究,能够使我们更大范围参与我们等保工作,能够提升到全社会的网络安全保护的能力和水平。
鼓励和创新,我们新技术和新应用不断的发展,不断完善,我们鼓励用新技术开展,采取新技术提升网络安全的防范水平,我们国家对新技术,对新应用,借鉴现有工作的实践经验,对一些新技术,新应用,推广的时候国家有关部门会组织开展网络安全的风险评估,不能等到技术全面推进实施以后再去考虑安全的问题,确实会带来一些成本和更严重的危害后果,所以是国家对新技术,新应用的推广要开展网络安全的风险评估,防范新技术,新应用推广过程中的风险,做到有效利用,有效使用。以上是结合当前公安网安部门的实际工作情况和我们国家制定出台等保条例过程里的考虑给大家做一个简单的交流,后续希望大家在座各位企业,科研院所对我们等保工作大力支持,谢谢大家。