郭启全:关键信息基础设施保护的对策措施
郭启全:尊敬的倪院士、吴院士,各位专家,各位会议代表,很高兴有这样一个机会和大家汇报一下、通报一下情况。
5月12日“永恒之蓝”勒索病毒人尽皆知。此事件一爆发,5月13日一早就组织国家通报中心,向201个我们国家的重要部委、央企发通报,发预警,提出处置措施。向网站、媒体、中央电视台,向所有媒体,向全社会发布预警,这是公安部组织全国几万网络警察和上百个信息安全企业共同来阻击“永恒之蓝”对中国的攻击。
这次攻击事件给了我们很多启示:第一物理隔离、逻辑隔离无法防范国家级、有组织的高智能的攻击;第二有些重要行业部门对内网安全重视不够,以为把边界防御好了就可以了。其实不对,这次吃亏比较大的主要是内网;第三我们许多行业部门应急队伍、应急能力、应急机制都不强,差距很大。因此如果下次再出现大规模的病毒攻击,我们就有了一定的经验,有了一定的能力来迅速的做出响应。
既然谈关键信息基础设施,作为组织《国家关键信息基础设施条例》制定者之一,我们和有关部门在组织这个事情。首先看看什么是国家关键信息基础设施。《网络安全法》都有定义,我就不重复了,但是我们要清楚,就是重要基础网络、重要系统、数据资源,如果分类的话也就是这几大类,要体现关键。公安机关的职责是什么公安机关有一个警种叫网络警察,网络安全保卫部门,是保卫国家网络空间安全的,这支队伍是国家网络空间安全的主力军。这支队伍主要的职责是保卫国家关键信息基础设施安全,监督、检查、指导,打击危害关键信息基础设施的网络违法犯罪,《警察法》、《国家27号令》、《网络安全法》,还有国务院给公安机关的“三定”都有明确的说明,是保卫网络空间安全的,保卫国家关键信息基础设施安全的。特别是《网络安全法》第31条规定,关键信息基础设施是在等级保护制度基础上实行重点保护。
因此,第二点我就要谈到国家关键信息基础设施要首先落实等级保护制度,什么叫在等级保护制度基础上实施重点保护?因为按照《网络安全法》的要求,关键信息基础设施先要落实国家等级保护制度,因为《网络安全法》的第21条就说得很清楚,国家实施网络安全等级保护制度。作为一项基本制度,一项基本国策,我们国家的等级保护制度,在10年前四部委出台43号文,中央2003年出台27号文,标志着我们国家等级保护制度进入一个全面实施的时代。现在等级保护已经进入2.0时代,这是一个很重要的标志:第一个标志就是从国务院27号令提升到法的高度;第二看看中央有几个重要文件,要求我们完善等级保护制度;第三按照习近平总书记的要求,健全完善以保护国家基础设施为重点的等级保护制度。等级保护制度进入2.0时代,我认为这是有很重要的依据的。
这需要我们大家共同和公安部,和重要行业部门解决什么问题呢?怎么把国家的等级保护制度打造成新时期国家网络安全的基本制度,基本国策。因此,我们大家要一同构建新的法律政策体系、标准体系、人才技术支撑体系、人才队伍体系、教育训练体系和保障体系。吴院士讲的体系结构也是体系,一个国家制度也要成体系。因此,这些事情都要靠我们一起去努力,去构造这个制度体系。
等级保护制度进入2.0时代,核心本质的东西主要是三个方面:一是把《网络安全法》当中以及以前中央有关部委出台的有关重要的文件当中,网络运营者要落实这些关键措施,纳入到这个制度当中去实施。有些措施在《网络安全法》能找到,有些找不到,比如综治考核是什么?那个法当中没有,那是中央文件当中有的。公安部代表中央综治办,代表中央考核地方党委政府网络安全工作,减2分,就是这个意思;二是把以前没有过的,10年前你没听说过大数据、云计算、物联网,10年前没有这些东西,10年之后有这些东西了,要把这些新技术、新应用,包括现在关注的网络基础设施重要业务系统和信息,当然现在又有一些新的东西,把这些东西都要纳入到等级保护去保护和监管;三是互联网企业纳入到等级保护管理,为什么要保护互联网企业?大家都知道,互联网企业的网络基础设施、重要业务系统、大的公共服务平台、大数据,它的安全影响国家安全和社会公共安全。要保护互联网发展,首先要保护网络基础设施安全,这就是我说的等级保护制度的核心内容。
新的历史时期,等级保护制度进入2.0时代,等级保护制度有它的制度特点,有四个方面可以总结一下:一是全新的国家网络安全基本制度体系;二是以保护国家关键信息基础设施为重点;三是保护策略发生变化,因为新的制度体系有技术体系,有人才体系,在座的都是专家和人才。因此,要从保护策略、保护方法、产品、技术等方面综合去布局和考虑,这里面就有变被动防御为主动防御问题,这里面就有可信计算、人工智能、专家系统、IPv6、量子计算等,这些技术体系,怎么变被动防御为主动防御和综合防御;四是保护对象、保护措施发生变化。
正确处理和理解等级保护制度和关键信息基础设施保护这两者的关系,这一点非常重要。制度是关键信息基础设施保护的基础,而关键基础设施是制度保护的重点,二者相辅相成,不能分割。这是我们国家网络安全最重要的两个方面,一个是基本制度,一个是保护的重点。制度是普适性的,关键基础设施是一个点,一个面和点的关系。怎么确定国家关键信息基础设施?目前关键信息基础设施只有一个概念,因为关键信息基础设施认定的方法和指南我们还在研究,还没有出台。指南都没有出来,所以关键信息基础设施现在只有一个概念。是不是关键信息基础设施首先要定级,等级保护五个规定动作,把一级系统、二级系统当做关键信息基础设施,是不合适的。既然是关键,至少要在国家三级以上的系统当中拎出一部分,三级以上的系统还不全是。如何来确定国家关键信息基础设施,范围要清楚。那得是在三级以上系统当中拎出一部分,那个子集才是。是不是国家关键信息基础设施?必须要定级,不定级就无法确定是关键信息基础设施。
关键信息基础设施是越多越好还是越少越好?都不对。是最恰当的,把国家最核心的关键基础设施,重要信息系统,大数据资源拎出来,作为重中之重,所以这是一个范围。必须按照国家等级保护制度的要求去定级。那么这五个规定动作必须做,到公安机关备案,开展等级测评,进行安全检查和安全建设整改。现在网络安全法出台了,但是还有国家安全法,防空法及一些更重要的刑法,这是一个安全体系。看看刑法怎么对网络运营者,违反网络安全的要求,发生重大事件和事故,怎么对它处罚,那是三年以下有期徒刑,这才是对国家网络安全最重要的支撑。关键基础设施的范围是什么,动作是什么,和这个制度的关系是什么要说清楚。我们有一些重要的思路、思想和理念,是以国家级、有组织的网络攻击为标尺,要以国家级的网络攻击作为标尺,保护国家关键信息基础设施,谁攻击你的关键信息基础设施?谁在惦记着它,用什么攻击?所以要把标尺卡准了,标尺都卡不准,搞什么关键信息基础设施保护?想什么呢?这就是最重要的指导思想。所以我们在制定国家的大政方针,在搞顶层设计的时候,不能不考虑这个问题。如果你的对手你不清楚,你把标尺都卡不准,你的保护能力行吗?是不行的。因此我们在制定国家的有关条例当中,最重要的几个指导思想就是这些。把标尺卡准,举国家之力强化。有三个关键词,保卫、保护和保障,如果仅有保护,一定保护不好,一定保卫不了,一定保护不了,防永远是防不住的。因此我要先说保卫,国家关键信息基础设施,一定要动用国家武装力量,军队警察去保卫。靠我们国家一起努力,采用各种关键基础设施去保护。不给你人,不给你经费,不给你装备怎么保护?所以还要有一个保障。因此我们全社会,特别是各级财政、企业、企事业单位要出经费,要给装备,研发新技术,还要给队伍,给人,给机构。所以我们说,保卫、保护和保障是我们国家关键信息基础设施安全的三个关键词。
要以等级保护为抓手,以通报为平台,以情报侦查为突破,以侦查打击为支撑。因此,要构建网络社会的侦攻防管控化的综合防御体系。我们的关键基础设施综合防御能力、水平和技术要针对最强大的对手去设计、提升和创新,所以防御要专业化、集团化和集约化。全面提升我们的网上行动能力。这个行动能力不是靠一家,靠谁,靠某一个组织,靠某个群体,是靠我们共同的。大家都知道政府、企业、专家,我们一起努力来提升我们的行动能力,这就是我们的情报侦查能力、进攻能力、实时监测能力、技术检测能力、通报预警能力、应急处置能力、追踪溯源能力、综合防御能力、态势感知能力、固证打击能力、技术反制能力、数据获取能力,这些能力都要有。
最后,我说点体会。经过这几年的实战,国家重大活动安保和“永恒之蓝”的阻击,我认为网络安全就是我们全体和我们的对手进行信息对抗、技术对抗、人才对抗。以总书记的一个重要指示作为结束语,5月19日,中央电视台已经播过了。习近平总书记在接见公安机关英模集体代表的时候讲了一句很重要的话,其他的就不重复了。习总书记讲:“发展是硬道理”。这是千真万确的,安全也是硬道理,谢谢大家!
本文由编辑根据现场速记整理发布,速记可能存在不准确之处。
相关文章
- 5条评论
- 颜于猫卆2022-06-12 14:42:10
- 有一些重要的思路、思想和理念,是以国家级、有组织的网络攻击为标尺,要以国家级的网络攻击作为标尺,保护国家关键信息基础设施,谁攻击你的关键信息基础设施?谁在惦记着它,用什么攻击?所以要把标尺卡准了,标尺都卡
- 温人眼趣2022-06-13 00:36:44
- 保护互联网企业?大家都知道,互联网企业的网络基础设施、重要业务系统、大的公共服务平台、大数据,它的安全影响国家安全和社会公共安全。要保护互联网发展,首先要保护网络基础设施安全,这就是我说的等级保护制度的核心内容。新的历史时期,等级保护制度进入2.0时代,等级保护制度
- 末屿杞胭2022-06-12 18:32:38
- 能力、水平和技术要针对最强大的对手去设计、提升和创新,所以防御要专业化、集团化和集约化。全面提升我们的网上行动能力。这个行动能力不是靠一家,靠谁,靠某一个组织,靠某个群体,是靠我们共同的。大家都知道政府、企业、专家,我们一起努力来提升我们
- 鹿岛辞取2022-06-12 16:32:30
- 一,我们和有关部门在组织这个事情。首先看看什么是国家关键信息基础设施。《网络安全法》都有定义,我就不重复了,但是我们要清楚,就是重要基础网络、重要系统、数据资源,如
- 晴枙橘寄2022-06-12 18:39:50
- 郭启全:尊敬的倪院士、吴院士,各位专家,各位会议代表,很高兴有这样一个机会和大家汇报一下、通报一下情况。 5月12日“永恒之蓝”勒索病毒人尽皆知。此事件一爆发,5月13日一早就组织国家通报中心,向201个我们国家的重要部委、央企发通报,发预警,提出