祝国邦 公安部网络安全保卫局处长

摘要：公安部网络安全保卫局处长祝国邦以“深入落实国家网络安全等级保护制度，大力推进我们网络安全产业向纵深发展”为主题做纲领性解读，指出了等级保护2.0在法律层面、保护对象、保护措施、技术标准、工作机制等方面的新要求和新变化。

深入落实国家网络安全等级保护制度，大力推进网络安全产业的发展，中央层面非常重视网络工作，尤其是2014年中央成立网信工作小组，现在叫做中央网信委，习近平总书记对网络安全工作做出了一系列的重要指示，有几个重要的论断，比如没有网络安全就没有国家安全，没有信息化就没有现代化，网络安全和信息化是牵一发而动全身，包括介绍了网络安全观，网络安全方面的形势，希望从事网络安全的工作和企业同仁还是不断的学习习近平总书记关于网络安全的指示，来抓好我们网络安全的工作。

对于网络安全工作来讲中央为什么这么重视，主要是因为我们当前面临的严峻复杂网络安全形势，这个网络安全形势集中在几个方面，网络安全是全世界面临的共同安全威胁，网络安全威胁在全世界已经提升为仅次于极端天气重大的安全风险，网络安全有很多的不可预测性，这方面的威胁我们要引起重视，同时网络空间也并不是一个自由的空间，是一个涉及到国家主权和利益的空间，在网络空间领域维护我们网络安全的主权和权益，世界各国都在加强网络安全的工作，我们也需要加强网络安全的相关工作。

在全球范围之内包括刚才我们在开场放的宣传片，实际上在全球范围之内的网络安全的事件频发，比如2017年席卷全球的多个病毒事件，在今年年初爆发了电网断网事件，还有很多数据泄露，重要的基础设施被攻击等相应事件，在全球爆发的还是比较多的。

公安机关作为网络安全的主管部门一直致力于加强网络安全相关的政策法规、技术监管和打击网络犯罪，公安机关近几年开展网络违法犯罪打击来看我们国家网络违法犯罪包括网络诈骗，网络攻击等违法犯罪行为还是比较高发的，虽然公安机关持续加强对网络违法犯罪的打击力度，目前还有很多的网络黑市，暗网数据的贩卖，网络违法犯罪情况比较多的，相对于这么多的违法犯罪情况来看我们自身也存在着很多的不足，公安机关每年都在组织开展网络安全的执法检查，对于在公安机关备案的信息系统运营使用单位开始进行检查和远程检测，我们每年都会发现网络安全方面的问题，这些问题既有对网络安全重视不够、投入不够、人才缺乏保障方面的问题，也有重要基础设施、重要信息系统、网站存在高危安全漏洞，容易被犯罪分子和不法人员利用，攻击窃取我们的系统，关键基础设施，我们自身还存在很多的不足，虽然通过十几年的建设我们已经取得了很大的进步，但我们的基础还是薄弱，虽然我们中国是网络大国，但离网络强国还有很长的路要走，离习近平总书记提到的强国战略还有很多的路要走。

供应链安全问题更加突出，这也是我们需要面临和解决的重大基础性、战略方面的问题，形势还是比较严峻的，相对于形势严峻，网络技术的发展和应用并没有放慢脚步，像物联网、云计算、大数据、风控系统等等，包括现在区块链技术、5G技术，ITV6等新的技术，这方面技术的发展，不会因为安不安全而停下来，技术发展一直在前进，新技术不断的发展和应用也给我们网络安全带来了新的问题，技术在发展的过程中势必还有一些安全问题要投入解决，这些新的技术、新发展也带来了很多新方面的问题，这些都是要引入各单位、各部门、各行业、各企业的重视，共同维护国家的网络安全。

维护国家网络安全，公安部门作为网络安全等级保护的牵头部门主管部门，十几年来一直致力于推动网络安全等级保护工作的开展，业界都在说网络安全等级保护2.0，我们真正迎来的等级保护2.0时代，在这里给大家重温一下等级保护1.0，网络安全等级保护制度的提出，是1994年国务院明确提出我们国家要实施信息安全等级保护制度，当时还不叫网络安全制度，信息安全等级保护保护工作由谁来负责？国务院157号令明确说了，由公安部牵头负责制定相应的管理规范和标准，当时还是在1994年就提出来的，虽然我们国家的信息化、安全化起步较晚，我们开展分等级监管的网络安全的策略还是比较先进的，历经20年实践证明了那一代提出的策略还是科学的，真正网络安全等级保护什么时候开始实施，2007年公安部会同中央网，原来的保卫密码局和国务院信息办，现在的中央网信办，四个部委联合发布了信息安全等级保护制度，真正在各单位进行实施，行业部门了解到的就是2007年开始，整个业界知道国家要正式实施等级保护工作，等级保护1.0公安部会同相关部门出台了一系列等级保护1.0相应政策、标准，包括组织领导体系推动全国落实信息安全等级保护工作，1.0重点开展了我们各方面的工作，就是大家熟知的等级保护五个规定性的动作，就是定级、备案，等级测评，安全建设整改和监督检查，这五个工作就把等级保护工作真正在行业部门得到了有效的落实，行业部门依托等级保护工作梳理了信息技术，开展了相应的安全定级，根据自己定的级别开展相应的安全建设，提升了整个信息系统的安全管理能力和技术保障能力，有效提升行业安全保障，等级保护从2007年开始到2017年我们所说的1.0时代对我们国家网络安全工作发挥了特别大的作用，这方面的作用一方面体现在为行业部门的安全工作提供了标准支撑，也为我们今天在座的很多企业，加强网络安全方面的技术研发和推广创造了很多有利条件，等级保护还是发挥了非常大的基础作用，这就是1.0。

等级保护2.0，2017年很多人说等级保护已经步入了2.0，这方面业界对于等级保护有很多的说法，我认为从主管部门来看我们认为等级保护2.0是全新的时代，并不是什么都是新的，在我们1.0基础之上总结十几年等级保护工作中存在的突出问题，还有哪些在技术、政策、机制标准等等要全力加强的，我们提出了一个全新的2.0概念，对于2.0，业界可以从这几个进行把握，2017年6月1日网络安全法正式颁布实施，网络安全法作为我们国家网络安全的基本大法明确指出国家实行网络安全等级保护制度，这样把网络安全等级保护制度从原来四个部委规定的规范性政策性要求变成了国家的法律要求，我认为这是一个质的飞跃，因为法律方面要求就是各单位各部门必须要严格依法来开展工作，这样我们国家网络安全工作走在了法制的道路，这是一个重要的标志。

另外一个标志我们等级保护监管范围，保护的对象得到了非常大的推动，原来在1.0时代重点保护信息系统的安全，2.0时代信息技术在不断的发展和变化，光有信息系统这个概念是无法承担所有的网络，2.0时代我们强调的就是网络技术进行监管，我们要保护的范围包括了国有云平台，大数据平台，物联网平台，公共的平台等等新技术新应用的平台，等级保护实现了对于保护对象的全覆盖，原来没有覆盖到互联网企业，网络安全法确定之后这个领域就覆盖了，所有的国家安全及其相关的网络必须按照国家法律的要求，解决了保护对象、保护范围的全覆盖的问题，这是2.0时代和1.0时代的不同。

第三个方面在保护措施方面，2.0时代对于1.0全部进行了提升，这个提升体现在几个方面，1.0时代不管是行业部门、公安机关、执法检查我们强调的是以等级保护工作开展，1.0时代我们强调的定位定级，测没测评，备没备案，安不安全，做没做建设，做没做整改，我们强调的都是网络安全方面很多的动作工作为开展而开展的，那时候对网络安全还不是很了解，行业部门不是很重视，2.0时代大家都开展了，现在强调的是安全措施有没有落实到位，强调的不单是动作，你的信息系统，基础设施安不安全，我们2.0重点强调的就是安全，这样我们就会把原来对于动作方面的要求不断的进行拓展，2.0时代，强化的是备份，应急响应，通报预警，安全可控等等方面全部达到国家政策的要求，法律的要求，2.0相比1.0要求会越来越高，要求整体的提升国家安全保护能力，2.0整体比1.0是一个质的飞跃。

最后一个方面为了配合2.0实施国家的网络安全机制，协调联动的机制，全社会共同参与，网络安全的机制等等我们还会有配套支撑，2.0就是一个新的时代，就在总结我们十几年等级保护的工作上，为国家的真正网络安全提供整体的保护能力，包括我们在技术标准层面全部进行更新换代，这个是2.0。

目前国家层面2.0的推动，前不久在国标委发布了等级保护2.0的标准，对于产业的发展我也注意到今天来的很多嘉宾都是网络安全的朋友，一个国家的网络安全究竟能不能安全，产业发挥至关重要的作用，有一次去跟法国交流的时候，在五年之前，法国当时非常羡慕中国，他认为中国有阿里，有百度，有腾讯，他觉得你们中国的互联网技术唯一可以跟美国PK的是中国，他认为你有很好的企业、产业支撑，这样才能支撑国家信息化发展，网络安全领域也是这样，我们国家这几年涌现了国家安全自主企业，体现了国家的研发能力、推广能力发挥了积极的作用，国家非常重视于企业尤其是网络安全产业和企业的发展，尽我们所能支持企业的发展，更好的维护国家网络层面的安全，公安部每年都会开展大规模的网络安全保卫，今年正在做的70周年网络安全的保护，这几年我们经历了41场重大活动网络安全保护，这里面都离不开一批优秀网络安全企业的支撑，公安部牵头建立了国家网络与信息安全信息通报机制，在通报机制当中有上百家的通报机制的技术支持单位，也是企业为我们提供很多的技术、产品、资源的支撑，每年公安机关要组织开展网络安全的执法检查，执法检查过程中也有很多企业协助公安机关发现网络安全方面的问题，提升安全保护的能力，我们非常重视党政机关，行政机关的协同协作，共同处理安全发展，企业发展迎来了很好的契机，尤其是目前等级保护2.0标准的发布，这方面影响效果还是非常大的，上个月等级保护2.0发布会上，有很多业内人士就说了2.0标准的发布对网络安全企业带来几百亿的市场，在2.0标准发布对中国网络安全还是有一定的提升，2.0标准更多强调的是以技术的思维，技术方面的更新和换代，企业发展起到了非常大的帮助。

另外一方面，对企业发展来看，公安部依托等级保护牵头的工作，我们每年也在组织开展等级保护的技术大会，我们建立了等级保护体系和安全建设体系，我们也是让企业有更好的交流平台，刚才大会组委会宋主任也在介绍网络安全大会举办了七届，我们国家在网络安全有很多的大会，都为企业、政府部门相关的行业、专家、科研机构建立了非常好的沟通、交流和学习的平台，我认为这些都是推动于企业和产业的发展。通过推动产业的发展来进一步加强原有工作与企业的协调和配合，我们也会有一些具体的工作安排，我们对于新技术、新应用网络安全的试点示范下一步向企业倾斜，新的技术、新的应用必须要跟技术、应用在建设过程当中同步开展网络安全相关的工作，比如说在网络建设与安全方面的试点，邀请企业参加，共同解决新技术应用在发展过程中的安全问题，通过企业参与到整个国家新技术新应用的发展建设过程当中来共同保护新技术新应用安全的问题，如何来生产符合相应条件标准的技术、产品、标准。

另外一方面在网络安全产品销售许可方面做一些创新，国家网络安全销售许可是在公安部，公安部也是按照国家放管服方面，服务于企业方面我们做了很多的工作，举个例子，我们现在对于企业申请销售许可证全部是网上办的，在网上办理过程当中取消了很多证件证明，全部改到网上，提升工作效率，方便企业来申请销售许可证，具体操作过程当中我们又压缩了销售许可审批的时间，由原来15日缩减10日，就是为了企业更方便更快捷的达到标准。

原来的销售许可有一个具体的标识，后来我们全部做成二维码，另外一方面按照国家要求也在主动对接财政部相关部门，下一步有望在销售许可检测费用方面我们把它变成国家技术性服务，对于网络安全产品的申请销售许可之前的技术变成免费或者是适当的免费，这也是为了网络安全企业更好的发展，对企业做实实在在的好事。

网络安全领域企业也是发挥了不铺替代的作用，不管是在政策、标准、产品人才培养等等方面国家网络安全工作也离不开企业的支持、支撑和保障。

另外一方面在座的网络安全企业尤其是搞安全的企业，更应该依法承担企业应尽的网络安全保护的义务和网络安全保护责任，如果一个企业没有责任和义务在这里，我认为这个企业很难长久的发展，在此呼吁和建议网络安全企业包括一个企业从小做到大，从大做到强，这里面有企业核心的理念，核心的对于安全方面的付出和国家的精神在这里，总书记在多次领导小组都强调网络安全是共同的，也希望我们自己的网络安全企业包括国际上的企业让他们负责任的企业承担起对保护国家安全，维护世界安全的职责和义务，呼吁在座的企业要加强这方面的能力和意识方面的培养。

尤其是网络安全企业参与到国家网络安全重大的项目，重要的系统，重要的网站，重要的平台建设运维和保障，这里面有一个网络安全自身的管理，不能因为自身管理出现问题   导致我们对维护的我们所保护的对象，服务的对象带来风险和问题，建议网络安全企业加强自身安全的管理，提升自身的保障能力。

企业也要不断的加强对整个网络安全技术能力，自身队伍全面的建设，要把原来整个产品不只做单一产品变成服务型的，我们也会按照网信相关的要求，会同网信办全力支持我们自主可控包括企业的发展，我们也保持一个开放的心态，欢迎国际上的网络安全企业在中国来服务，从销售许可的角度来讲我们每年有很多国外的企业，在中国销售许可，在中国提供服务，因为网络安全问题就是一个全球共同面临的问题，需要全球的相应人士共同来解决，我也坚信在政府部门，在我们中央领导的领导下，在相关职能部门、行业带领之下，在我们企业的广泛支撑下，我们国家的网络安全一定会走向的更好，我们也会逐步从网络大国迈向强国，最后倡议大家共同承担起维护国家网络安全这一神圣使命。