关注 | 全力构建国家网络安全等级保护制度体系 坚决维护关键信息基础设施安全

全力构建国家网络安全等级保护制度体系

坚决维护关键信息基础设施安全

——公安部网络安全保卫局 郭启全

第一部分：网络安全等级保护制度体系设计的指导思想

一是以最强大对手的网络攻击能力为标尺，举国家之力，依法开展网络安全保卫、保护、保障，打合成仗整体仗，构建等级保护制度体系。

二是以网络安全等级保护为抓手，以信息通报为平台，以情报侦察为突破，以侦查打击为支撑，构建“侦攻防管控”一体化的网络安全综合防控体系。 

三是以网络安全案（事）件为主线，强化实时监测、通报预警、快速处置、追踪溯源、态势感知、情报信息、侦查打击、等级保护、指挥调度。

四是网络安全综合防御能力、水平和技术，要针对最强大对手去设计，去提升，去创新。防御要专业化、集团化、集约化。攻防协同、打防协同、情报协同、能力协同。 

五是全面提升网上行动能力：情报侦察能力、进攻能力、实时监测能力、技术检测能力、通报预警能力、应急处置能力、追踪溯源能力、综合防御能力、态势感知能力、 固证打击能力、技术反制能力、数据获取能力。

第二部分：国家网络安全等级保护制度的体系架构

（一）网络安全等级保护制度进入2.0时代

一是《网络安全法》第二十一条明确要求：国家实行网络安全等级保护制度。

二是中央关于加强社会治安防控体系建设的意见要求“健全完善信息安全等级保护制度 ” 。 

三是习近平总书记等中央领导批示要求：健全完善以保护国家关键信息基础设施安全为重点的网络安全等级保护制度。

（二）把等级保护制度打造成新时期国家网络安全的基本制度、基本国策

• 构建新的法律、政策体系

• 构建新的标准体系

• 构建新的技术支撑体系

• 构建新的人才队伍体系

• 构建新的教育训练体系

• 构建新的保障体系

构建新的法律政策体系

坚决贯彻落实《网络安全法》。

• 制定出台《关键信息基础设施保护条例》。

• 制定出台《网络安全等级保护条例》 。

• 修改完善网络安全等级保护定级、备案、等级测评、安全建设整改、安全检查等政策规范。

• 建立完善测评机构管理、信息安全企业管理规范。

构建新的标准体系

1、修改拟出台的国家标准 

• 《网络安全等级保护基本要求》

• 《网络安全等级保护安全设计技术要求》

• 《网络安全等级保护测评要求》 重点解决云计算、物联网、工控系统、移动互联、大数据安全。

 2、已出台的国家标准

• 《信息安全等级保护实施指南》

• 《信息安全等级保护测评过程指南》

3、已出台的公安行业标准 

• 《网络安全等级保护定级指南》（GA/T 1389—2017）

• 《网络安全等级保护基本要求》第2部分：云计算安全扩展要求（GA/T 1390.2—2017）

• 《网络安全等级保护基本要求》第3部分：移动互联安全扩展要求（GA/T 1390.3—2017）

• 《网络安全等级保护基本要求》第5部分：工业控制系统安全扩展要求（GA/T 1390.5— 2017）

构建新的技术支撑体系

（一）技术支撑体系

• 新一代网络技术

• 云计算技术

• 大数据技术

• 端计算技术

• 量子通信、量子计算

• 人工智能技术

• 区块链技术

• 虚拟现实技术

（二）网络安全技术体系

• 可信计算技术

• 自主可控的密码技术

• 态势感知技术

• 高速网络传输安全防护技术

• 安全检测技术

• 主动防御技术

• 应急响应技术

• 侦察打击技术

• 车联网安全防护技术

• 云安全防护技术

• 网络反制技术

• 工业互联网安全防护技术

• 智能防护技术

• 生物识别技术

构建新的人才队伍体系

• 公安机关网络安全人才

• 重要行业部门网络安全人才

• 等级测评机构网络安全人才

• 运行维护机构网络安全人才

• 系统集成商网络安全人才

• 产品开发商网络安全人才

构建新的教育训练体系

• 建立网上、网下教育训练环境

• 师资队伍建设

• 教材建设

• 题库建设

• 考试考核

构建新的保障体系

• 专业实验室建设

• 公安机关指挥作战平台，监督检查工具

• 重要行业部门业务支撑平台，自查工具

• 技术检测机构检测平台和工具

• 公安机关和重要行业部门的经费保障

（三）网络安全等级保护制度的核心内容

1. 将风险评估、安全监测、通报预警、案事件 调查、数据防护、灾难备份、应急处置、自 主可控、供应链安全、效果评价、综治考核等重点措施全部纳入等级保护制度并实施。

2. 将网络基础设施、重要信息系统、网站、大数据中心、云计算平台、物联网、工控系统 、公众服务平台等全部纳入等级保护监管。

3. 将互联网企业纳入等级保护管理，保护互联网企业健康发展。

   
   

（四）网络安全等级保护重点任务 

1. 科学确定保护对象的安全保护等级网络运营者根据《网络安全等级保护定级指 南》（GA/T1389-2017)初步确定网络系统安全保护等级。不是自主定级、专家评审、主管部门审核。

2. 向公安机关备案。网络运营者将网络系统定级材料向公安机关备案，公安机关审核，对符合要求的发放备案证明。

3. 开展等级测评。网络运营者选择符合国家规定条件的测评机构，对三级以上系统每年开展等级测评。

4. 安全建设整改。网络运营者根据系统安全保护等级，按照国家标准开展安全建设整改。

5. 监督检查。公安机关每年开展执法检查。

第三部分：国家网络安全等级保护制度的贯彻实施

一 、按照国家等级保护制度要求依法实施关键信息基础设施保护

（一）什么是关键信息基础设施。关系国家重大利益、人民群众生命财产安全和社会生产生活秩序，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的网络设施、信息系统和数据资源。

（二）公安机关职责。保卫关键信息基础设施安全，监督、检查、指导关键信息基础设施安全保护工作，防范打击危害关键信息基础设施安全的违法犯罪活动。 

（三）关键信息基础设施必须落实国家网络 安全等级保护制度网络安全法第三十一条规定：国家对公共通信和信息服务、能源、交通、水利、金融、 公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露， 可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。

（四）处理好网络安全等级保护制度与关键信息基础设施保护的关系

• 等级保护制度是普适性的制度，是关键信息基础设施保护的基础，关键信息基础设施是等级保护制度的保护重点。

• 等级保护制度和关键信息基础设施保护是网络安全的两个重要方面，不可分割。

• 关键信息基础设施的范围必须在定级备案的第三级（含）以上的保护对象中确定。

• 关键信息基础设施必须按照等级保护制度要求，开展定级备案、等级测评、安全建设整改、安全检查等强制性、规定性工作。

• 关键信息基础设施保护，要落实公安机关、 保密部门、密码部门的保卫、保护、监管责任，落实网络运营者和行业主管部门的主体责任。

• 公安机关在情报侦察、追踪溯源、快速处置 、打击犯罪、等级保护、通报预警、互联网管理等方面，发挥职能作用，发挥主力军作用。

二、加强对国家级重要信息系统的安全保障

• 落实2014年10月13日公安部与国家发改委、财政部联合下发的《关于加强国家级重要信息系统安全保障工作有关事项的通知》（公信安[2014]2182号）。

• 对47个重点行业、276家单位、500个国家级重要信息系统，在工程项目、经费、等级保护、通报预警、打击犯罪等方面，给予重点支持和保障。

三、加强对等级测评机构的管理

• 组织全国等级测评机构参加技术检测能力验证 、比武竞赛，提升专业能力。

• 2012年-2016年，信息产业信息安全测评中心作为实施单位，公安部信息安全等级保护评估中心作为技术专家单位，承担了及中关村信息安全测评联盟信息系统安全等级保护测评能力验证活动。

• 加强对测评机构管理，清理违规机构。

• 为贯彻《网络安全法》，提高网络安全检查机构和人员的专业技术能力，完善网络安全人才培养机制，公安部网络安全保卫局、中关村信息安全测评联盟指导 。

• 信息产业信息安全测评中心计划在全国开展“全国网络安全应用检测专业技术人员” （NSATP）培训及认证，注重培养具备网络安全攻防技术能力的专业人员。

四、加强对信息安全企业、服务商、集成商的管理

在公安部指导下，公安部第一研究所开展网络安全企业、服务商、集成商的等级保护安全建设整改的自愿性能力验证。

网络安全在线培训平台功能架构图

五、组织开展智慧城市网络安全建设和管理

各级公安机关，会同网信部门、发改部门 、通信管理部门，组织重要行业部门，落实《关于加强智慧城市网络安全建设和管理工作的指导意见》(中网办发文[2015]9号)、组织开展智慧城市网络安全年度评价工作。信息安全企业、测评机构在智慧城市网络安全建设和管理中发挥重要作用。

六、加强对重点网站的安全管理和防护

落实公安部、中编办、中央网信办、工信部 联合出台的《党政机关、事业单位和国有企 业互联网网站安全专项整治行动方案》(公信 安[2015]2562号) ，加强对重点网站的安全 管理。加快部署公安部第一研究所研发的“网防 G01” 。建立了33家服务站，覆盖各省区市。

七、对党委政府网络安全保障工作开展综治考核

中央综治办将“网络安全保障工作”纳入 对地方党委政府综治考核，明确党委政府 的网络安全保障责任。 公安部按照中央综治办要求，下发考核要点，在网络安全等级保护、网络安全通报预警、打击网络违法犯罪、互联网安全管理等方面，对地方党委政府开展年度考核 。

八、公安机关开展网络安全执法大检查

1、按照《2017年公安机关网络安全执法检查工作方案》（公传发[2017]156号）要求，对第三级（含）以上信息系统、重点网站及所属单位，开展执法检查，梳理排查国家关键信息基础设施。

2、采取现场检查、技术检测和远程渗透相结合的方式，开展执法大检查，下发执法检查反馈意见书、整改通知书、安全隐患告知书，督促其开展整改，消除问题和隐患。

3、制定检查指引 

• 公安机关网络安全执法检查工作指引

• 政府信息系统及网站安全执法检查工作指引

• 云计算平台、大数据服务、工业控制系统安全执法检查工作指引

• 视频监控系统安全执法检查工作指引

• 移动APP系统安全执法检查工作指引

• 邮件系统安全执法检查工作指引

• IDC、CDN、DNS安全执法检查工作指引

九、全力维护国家重大活动网络安全

建立公安机关牵头，工信、安全、军委联参、 武警、交通、铁路、民航、能源、新闻广电、电信运营商、CNCERT等单位参加的网络安保组 ，构建扁平化、一体化的合成作战机制。成立由院士挂帅的国家级专家组，遴选了40多支国家级技术支持单位。在网络安保组领导下，开展检查、技术检测、渗透测试，实时监测，应急演练，应急处置。

十、加强网络安全信息通报预警工作

按照中央关于加强社会治安防控体系建设的意见的要求，“完善国家网络安全监测预警 和通报处置工作机制” 。按照国家网络安全政策要求，“健全国家网络安全信息通报机制” 。建立覆盖部省市三级、200个重要行业、横纵通畅的立体化全国网络安全预警通报体系。

十一、组织开展网络攻防实战演习

公安部会同民航局、国家电网，组织开展了 “护网-2016”网络安全攻防演习。

• 演习历时三个月，攻防双方对抗14天，围绕电力和民航两大演习目标，在真实的网络系统中互有攻守、深度博弈，在安全可控的总前提下，检验并提升了电力、民航等重要行业部门网络安全防护和应急处置能力。

• 2017年6月13日，公安部下发通知：《公安机 关网络安全攻防演习工作规范（试行）》（公 信安[2017]1592号）,各地按照规范执行。

来源：中国网络安全等级保护网

END

点击“阅读原文”查看更多资讯