公安部十一局原副局长郭启全在第八届“一带一路”园区建设国际合作峰会首次网络安全国际合作专题论坛发表演讲,以“中国网络安全基本制度的建立与实施”为主题,在中国网络等级保护制度的确立、内在关系、实施经验等方面,为参会者呈现了中国网络安全政策和制度的全貌。
演讲全文如下:
尊敬的各位来宾,新老朋友们,很高兴在这个场合和大家相聚在一起,一起研究网络安全。说实话,今天这场活动这几年就想办,今天办成,可以告诉大家,不容易。因为专门网络安全的国际合作论坛,我印象中这是第一次。许多大的场合也有网络安全的交流,但专门的网络安全交流,我认为比较好。因此我们有责任、有担当、有义务,在网络安全领域加强国际合作交流,特别是“一带一路”国家,怎么按照指示要求构建网络空间命运共同体。
网络空间命运共同体,建立这个共同体,安全是最重要的,安全是保障、是基础。前面几位专家讲得都很好,非常赞成,我也认真聆听了,给我很多启示和启发。我干网络安全时间不短了,在座很多老朋友。我今天介绍一下中国的等级保护制度。十几年前,国外一些国家非常关注中国的等级保护制度,我们多次面对面的交流。今天这样一个公开场合,我愿意把中国的等级保护制度简要向在座的来宾朋友们做汇报和介绍,希望“一带一路”国家关注中国的等级保护制度,共享中国的等级保护的经验。
网络安全等级保护制度,在中国是一个基本制度。既然是基本制度,它的来龙去脉、它的重要性,我简单和大家作个报告。
中国等级保护制度的确立。1994年,中国出台的《计算机信息系统安全保护条例》,国务院第147号令,第9条规定计算机信息系统实行安全等级保护,安全等级划分标准和安全保护具体办法由公安部会同有关部门制定。之后,2023年,国家信息化领导小组出台的有关意见中明确指出,实施信息安全等级保护,抓紧建立等级保护制度。这是第一次提到加紧建立制度,制定管理办法和技术指南。这是中国的领导机关从文件中作出的明确要求。2017年中国出台《中华人民共和国网络安全法》,第21条规定国家实行网络安全等级保护制度。名字变了,内涵、外延发生了根本变化。标志着中国网络等级保护制度进入新时代,2.0时代。信息安全保护制度是1.0时代。网络安全法确立了网络安全保护制度作为基本制度进入2.0时代。
中国网络安全制度的内在关系。中国的网络安全制度,等级保护是基本制度,它有好几个制度,这几个制度的关系。网络安全法第31条、关键信息基础设施安全保护条例第六条规定关键信息基础设施,在网络安全等级保护制度的基础上实行重点保护。等级保护是基础,关键信息基础设施是在等保制度基础上重点保护。这体现了等级保护的基础性地位。
数据安全法第27条规定利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度基础上,履行数据安全保护义务。法律把等级保护作为数据安全的基础。
中国的网络安全制度主要包括网络安全等级保护制度、关键信息基础设施安全保护制度、数据安全保护制度,前者是基础,后两者是重点。个人信息在保护的时候纳入数据安全保护中。
我构建了这样一个中国网络安全制度体系的架构图。三个主要制度,一个基础、两个重点。每个制度,纵向来看有法律支撑、政策指引还有标准。最全的就是中国的等级保护制度。纵向来看,三个制度,法律制度标准确立制度的建立。法律规定等保是基础,那两个是重点保护制度。因此法律上是一致的。法律要求一个基础、两个重点,政策要求一个基础、两个重点。在制定标准的时候也要以等级保护为基础,那两个作为重点。所以三者间的关系,从法律层面、政策层面、标准层面要一致,否则就要犯错误。
下面汇报中国网络安全等级保护制度的主要内容。实施有20多年的历史了,它的核心内容是对网络实行分等级保护。对网络和网络应用者分等级进行监管。对网络安全产品,按等级进行管理。对事件,分等级进行响应处置。这是等级保护制度设计时的核心内容。等级保护制度从工作层面包括五个环节。最早的四部委的文件,也就是43号文,2007年发的。五个环节,包括信息系统网络要定级、要备案、开展安全测评、要整改和监督自查,这是五个规定动作。
这是我国网络安全等级制度的核心内容以及相关保卫、保护、保障的关系。我们等级保护的对象是网络系统、云平台、物联网、移动互联、新技术、新应用等等。网络安全等级保护工作环节这五个。2.0的制度最重要的是“一个中心、三重防护”,安全管理中心、安全计算环境、安全区域边界、安全通信网络。
等级保护制度外延扩大了,在公安部的有关文件中规定了网络安全等级保护有安全防护、监测预警、技术对抗、事件处置、威胁情报、侦查打击、综合保障。在国家网络安全保卫、保护、保障这三个大的方面网络安全的全貌,等级保护制度它的支撑、是它的基石,由此形成了国家网络安全总体策略,左侧有法律法规支撑,右侧有政策标准支撑,构成了我国的网络安全的总体策略框架。等级保护制度是基础。
等级保护制度的五个环节。我们干网络安全20年了,大家都知道信息安全等级保护。新加入这支队伍的同志们,要了解了解我们这个制度的核心内容。这个制度,法律规定全社会都要落实,并且是很成熟的。在我国这20年中,对国家网络安全工作起到支撑作用,它是基石,是中国在网络安全领域的智慧结晶,因此需要和大家共享。首先网络定级。按照重要性和遭受损坏后的危害性分五个等级,一级最高,从一级到五级。第二,网络运营者根据定级指南拟定网络的保护等级,对拟定的等级进行评审,要出具专家意见。这个等级是怎么划分的呢?按照这几个要素,从维护国家安全、社会秩序、公共利益、公民法人合法权益四个维度,判别网络的重要性以及遭到破坏后对其危害程度将网络分为五个安全保护等级。第二网络备案,登记以后,网络运营者将二级以上的系统向公安机关备案,公安机关审核通过的颁发备案证明。这就是我们的网络系统有了户口本。我们的网络系统升级之后,到公安机关备案以后,网络有了户口本,这就能进行加强管理。行业主管部门有备案要求的,网络运营者应向行业主管部门备案。第三,等级测评。我们每人每年要进行体检,信息系统每年要有测评机构对它进行体检,对分等级系统按照标准检测评估,查找问题隐患、提出整改意见。测评机构依据国家标准。中国的等级保护制度,标准已经进入2.0时代,是比较全面的。测评机构依据标准对网络开展检测评估。第四,安全建设整改。网络运营者根据中国的有关法律政策,特别是基本要求和安全设计技术要求开展安全建设。说网络空间安全有基线,中国的等级保护制度就是规定了我国在网络空间安全的底线要求、基线要求,也叫最低要求。因此都要满足。这是法律明确规定要落实制度的核心所在。所以各单位、各部门都要按照法律、政策标准开展安全建设。中国的等级保护制度进入到2.0时代,“一个中心”“三重防护”,这是积累了十几年的经验,创立了中国等级保护2.0时代的标准核心内容。第五是监督检查。中国等级保护制度是公安机关来监督管理、监督检查,这代表了这个制度的强制性、重要性,重要地位和作用。公安机关是打击犯罪的部门,又是社会许多方面的管理者。等级保护制度是公安部牵头会同相关部门实施。
中国网络安全等级保护制度的实施,我谈点经验。依据中国网络安全法和有关政策、国家标准,各地区各部门都要开展等级保护工作。主要目的是建立良好的网络安全保护生态,等级保护制度发挥了极其重要的作用,没有制度形不成生态。全面提升网络安全基础支撑能力,基石在这儿。主要措施是,按照有关文件,我列了关键词。要建立完善网络安全领导体系和工作体系。制定网络安全规划和行业标准规范。将网络安全等级保护制度和其他制度有机结合起来落实。建立网络安全责任制和问责制度。深化开展等级保护的登记备案工作。制定等级保护的建设方案并实施。开展等级测评。制定整改方案并实施。强化新技术、新应用的安全。强化物理环境的安全保障,加强通信网络安全保护,加强区域边界保护,加强计算环境保护,就体现了“一个中心、三重防护”。构建网络安全管理中心,前两天有一个企业,讲一个重要网络系统的方案,我问他你有三重防护了,安全管理中心呢?没有中心,策略怎么下发?灵魂、大脑是谁?指挥官是谁?所以要深入理解,它叫安全管理中心。建立完善网络安全管理体系。加强数据全生命周期的保护。强化供应链安全。采取多种方式检验安全保护措施的有效性,比如说演习演练,专项行动等等。加强云平台的安全保护。加强移动互联网网络系统安全保护。加强物联网安全保护。一开始大行业部门不愿意搞等级保护,你看看中国的等级保护2.0把你包含进来了没有?不搞等级保护是违法。加强工业控制系统安全保护。加强大数据及平台安全保护。加强自主可控和创新工程安全管理。没有这么多年的自主可控,没有我国网络安全今天的大好局面。一系列国际的大事件,告诫我们,必须要自主可控。加强对采用5G网络技术的安全保护。加强区块链技术架构安全保护。加强IPv6技术网络系统安全保护。建设网络安全综合业务平台。落实网络安全实时监测措施。在保护的基础上实时监测是最重要的。健全完善网络与信息安全信息通报机制。建立重大事件和威胁报告制度,落实事件处置措施。落实技术应对措施,提升技术对抗能力。这些年我和大家交流,老讲技术对抗,为什么呢?当前网络安全的时代特征就是打、就是技术对抗。等级保护制度2.0,特意强调技术对抗,就是标准中的主动防御,我认为还不够。和犯罪团伙斗争中,提升我们的能力。所以一定要提升技术对抗能力。实施挂图作战,网络安全领域的最高境界就是挂图作战。建大平台、建队伍、建机制,然后实施挂图作战,提升整个国家的技术对抗能力。加强网络安全经费和设备设施改造升级经费保障。加强网络安全教育训练和人才培养。以上这些共34项是等级保护2.0版的有关部委文件的政策要求。
“一带一路”国家共享中国网络安全等级保护经验。一个制度的建立、一项工作的实施,中国的等级保护制度实施了20多年,我建议“一带一路”友好国家好好研究中国的等级保护制度是什么、怎么干、怎么落地,政策、法律标准是什么,队伍是什么、措施是什么。这样我们友好的“一带一路”国家才能提升能力,提升网络空间的保护能力,造福于人类、造福于社会,保护好全人类共同的利益。我很感慨地和大家讲,要研究中国的等级保护制度最朴素的措施和经验。中国与“一带一路”国家共享经验,交流政策、标准、措施,支持“一带一路”国家建好本国的网络安全生态,为有关部门提供平台、共建网络空间命运共同体,共同繁荣进步。
这是本人和有关专家们写的一些材料,供大家参考。还有“一带一路”网络安全等级保护书籍。这三本书。如果喊口号,怎么让友好国家看中文呢?不成。这几年我们做了充分准备,提供一些支撑。
我汇报的内容就这些。不对的地方请专家、领导提出批评指正。谢谢!
