论文部分内容阅读
(一)完善网络安全法律法规。一是以网络安全法为核心,加快出台配套法律规范,不断完善网络安全法律法规体系。加快出台关键信息基础设施安全保护条例,明确行业主体、关键信息基础设施运营者负主体责任。加快出台数据安全管理办法、个人信息出境安全评估办法等配套法规,加快建立个人信息和重要数据处理评估制度等方面,加强重要数据和个人信息保护。二是尽快出台“个人信息保护法”,明确个人信息保护工作监管部门,界定个人信息、个人隐私的范围,明确个人信息处理、使用的基本要求,规定个人合法权益遭受损害的救济手段。出台“数据安全法”,明确数据安全监管部门及相关部门职责,建立数据分级分类制度,规范数据全生命周期安全管理,建立完善数据安全风险评估制度。
(二)强化关键信息基础设施安全保障能力。一是加快建立关键信息基础设施识别认定机制。国家网信部门联合行业主管部门制定关键信息基础设施识别认定标准,组织开展关键信息基础设施识别认定工作,建立并维护国家关键信息基础设施清单。二是强化关键信息基础设施运营者主体责任。尽快建立健全关键信息基础设施安全保护制度,明确并强化行业和企业作为关键信息基础设施运营者承担的主体防护责任,推动运营者不断完善和优化网络安全管理制度,从物理、网络、主机、应用、数据等层面加强关键信息基础设施的安全防护,确保网络安全技术与业务系统同步规划、同步建设、同步实施。三是常态化开展关键信息基础设施安全监管。关键信息基础设施保护工作部门应切实履行好监管责任,不断健全完善关键信息基础设施安全检查评估机制,组织开展行业网络安全检查和风险评估,指导并监督企业开展安全自查,组织专业队伍对重点系统开展安全抽查,健全完善自查与抽查相结合、线上与线下相结合的长效机制。扎实推进针对网络产品和服务的网络安全审查工作,确保关键信息基础设施供应链安全。完善关键信息基础设施安全风险信息共享机制,理顺信息报送渠道,完善监测技术手段和监测网络,强化关键信息基础设施网络安全风险信息共享。
(三)加强数据安全管理和个人信息保护。一是加强数据安全和个人信息保护监管。持续推进App违法违规收集使用个人信息专项治理,切实治理App强制授权、过度索权、超范围收集个人信息等个人信息保护乱象。推动各行业主管部门开展各自行业的数据安全保护、个人信息保护治理行动,形成长效机制。依法严厉打击针对和利用国家大数据资源和个人信息的违法犯罪活动。创新监管手段,引入第三方检测评估和认证监测机制,组织开展自愿性App个人信息安全认证,鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的App,不断提升网络运营者个人信息保护的主动性。二是加快研究制定数据安全、个人信息安全保护相关标准。应尽快制定个人信息分级分类标准,区分可使用、可交易的商业数据信息和不可使用、不可交易的数据信息明确相应级别的保护措施。尽快制定个人信息去标识化指南,提炼业内当前通行的最佳实践,规范个人信息去标识化的目标、原则、技术、模型、过程和组织措施,提出能有效抵御安全风险、符合信息化發展需要的个人信息去标识化指南。数据出境安全评估指南等个人信息安全相关国家标准也需加快研制。
(四)推进网络安全核心技术自主创新。一是加快突破“卡脖子”核心技术。支持通过国家科技重大专项、国家集成电路产业投资基金等加大对CPU、图形处理器、高端存储器,以及集成电路设计开发工具、高端光刻机、工艺制程等核心技术攻关的支持。二是大力发展网络安全核心技术。支持高校、科研院所、安全企业开展网络安全防护体系基础理论和关键技术研究,强化高级威胁防护、监测预警、DDoS防护等技术攻关。支持相关单位聚焦网络安全事前防护、事中监测、事后处置、调查取证等环节需要,大力推动资产识别、漏洞挖掘、病毒查杀、边界防护、入侵防御、源码检测、数据保护、追踪溯源等网络安全产品演进升级,持续推进云安全、大数据安全、移动安全、物联网安全、工控安全等领域网络安全产品迭代创新,不断提升隐患排查、态势感知、应急处置和追踪溯源能力。支持相关单位,加大可信计算技术、可信芯片、可信终端、可信网络、可信云的研发投入,聚焦5G、人工智能、工业互联网、区块链等领域网络安全新技术研究。
(五)加大技术网络安全研究力度。一是重点突破人工智能网络安全技术。加大对感知技术、深度学习、机器学习等人工智能算法的研发支持力度,重点提升算法的可解释性、透明性、运行效率等。加强对抗性机器学习研究,不断提升人工智能算法的鲁棒性。推动人工智能先进技术在网络安全领域的深度应用,加强基于人工智能技术的漏洞挖掘、安全测试、威胁预警、攻击检测、应急处置等网络安全技术攻关,强化人工智能安全态势感知、测试评估、威胁信息共享和应急处置等能力;基于人工智能技术,加强对网络攻击的特点和规律的分析,研究恶意程序和攻击手段的演化方向,提升网络攻击防御的效率和精准度。二是加快推进区块链核心技术研究。支持高校、科研院所等加强区块链技术涉及的数学、信息学、密码学、经济学的基础理论研究,为区块链技术发展提供理论支持。支持企业加大研发力度,加快突破智能合约安全、共识协议、跨链通信、数据隐私保护等核心技术,不断提升区块链系统在去中心化或多中心条件下的性能效率、互联互通和安全性。提高运用和管理区块链技术能力,突破传统安全技术瓶颈,解决网络安全问题,弥补安全技术漏洞。三是加强工业互联网、大数据等新兴领域网络安全新技术研究。加强工业互联网安全技术研究,强化工业互联网边界防护、异常流量检测、协议漏洞挖掘等技术,推动工业设备指纹库及网络安全监测、态势感知技术研究;加强云平台虚拟机安全技术、虚拟化网络安全技术、云安全审计技术研究;聚焦数据安全交换、去隐私化、跨境数据管控等难点,推进数据流通、大数据协同安全等技术研究。加强5G、车联网等新兴领域网络安全威胁和风险分析,大力推动相关场景下的网络安全技术产品研发。支持云计算、大数据、量子计算等技术在网络安全领域的应用。积极探索拟态防御、零信任安全等网络安全新理念、新架构,推动网络安全理论和技术创新。 (六)提升网络安全产业整体实力。一是推动网络安全产业集聚发展。制定出台促进网络安全产业发展的指导性文件,强化网络安全技术产业统筹规划和整体布局。扎实推进国家网络安全产业园区建设,打造引領国家网络安全技术产业发展的战略高地。调动地方产业发展积极性,支持在全国范围内重点布局网络安全产业园区,发挥区域优势,以点带面,辐射带动全国网络安全产业发展。二是加快网络安全服务创新发展。倡导“安全即服务”的理念,支持专业机构和企业开展网络安全规划咨询、威胁情报、风险评估、检测认证、安全集成、应急响应等安全服务。加快转变“重产品轻服务”的思维观念,发挥党政机关和关键信息基础设施领域的引领示范作用,推动安全服务采购与产品采购保持独立、适当剥离,将服务能力作为衡量厂商综合能力的重要指标,引导网络安全企业由提供安全产品向提供安全服务和解决方案转变。支持企业探索开展网络安全保险服务。三是规范网络安全认证、漏洞披露等服务。统一网络安全专用产品的检测标准和规范,支持合法设立的认证机构依法开展网络安全认证,推动安全认证和安全检测结果互认,避免重复认证、检测。扎实开展网络安全审查、云计算服务安全评估等工作。探索建立统一的关键信息基础设施供应商安全认证。规范网络安全漏洞扫描、披露,网络安全威胁信息发布活动。借鉴美国“黑入五角大楼”等机制,探索开展针对党政机关和重点行业的网络安全众测服务。四是扩大网络安全市场需求。一方面,推动网络安全技术产品在重点行业领域广泛引用。充分发挥党政机关和相关行业主管部门作用,推动网络安全技术产品在重点行业领域部署应用。开展常态化的网络安全监督检查工作,督促指导重点行业企业采取必要的网络安全技术措施。另一方面,支持网络安全企业走出去,从“一带一路”沿线国家出发,加强政府主导的国际技术交流和战略合作,为企业走出去营造好的外部环境。支持网络安全优势企业与信息技术企业、电子制造企业、运营商等开展更大范围的技术合作与市场渠道合作,借助国家“一带一路”海外工程项目、信息基础设施对外援助建设等,推动网络安全产品走出去。
(七)加快网络安全人才队伍建设。一是建立多层次的网络安全人才培养体系。加强网络空间安全一级学科体系建设,强化网络安全教材、课程体系、师资队伍、实验室等建设,完善网络空间安全本、硕、博培养体系。实施一流网络安全学院示范建设项目。支持高等院校创新人才培养模式,与网络安全企业合作,产教结合共同培养人才。加快建设网络安全高等职业教育体系,将高等职业教育机构作为网络安全高技能人才培养的主要依托,鼓励高等职业院校与网络安全企业合作。加快发展网络安全人才职业培训机构,制定网络安全职业培训标准和人员认证规则,规范职业培训和人员资质认证活动,加强对网络安全职业培训机构的监管。二是加快网络安全高层次人才和紧缺人才培养。实施网络安全特殊人才国家储备计划,通过政府指导,社会资金支持,发挥企业、科研机构、行业组织等作用,打造具有国际影响力的网络安全竞赛,建立以竞赛为主的特殊人才发现和追踪机制,建设网络安全特殊人才国家储备库。强化党政机关和重点行业人才能力建设,建立党政机关网络安全人员定期培训制度,鼓励党政机关网络安全人员获取网络安全人员资质认证。探索在金融、能源、通信、交通行业重点企业探索建立首席网络安全官制度,明确首席网络安全官职责和能力素质要求,规范和指导首席网络安全官设置。三是建立适应网络安全人才特点的职称评价体系。制定出台网络安全专业人才职称评价办法和评价标准,突出尊重和实现人才价值的导向,以实际能力为衡量标准,突出专业性、创新性、实用性。探索企事业单位自主职称评价机制,支持国有企事业单位按照网络安全专业人才职称评价办法进行评审。推动逐步放开职称制度的名额限制,推动逐步将竞争性评价改为水平性评价,对具有同等能力和水平的专业技术人员赋予相应职称。
(二)强化关键信息基础设施安全保障能力。一是加快建立关键信息基础设施识别认定机制。国家网信部门联合行业主管部门制定关键信息基础设施识别认定标准,组织开展关键信息基础设施识别认定工作,建立并维护国家关键信息基础设施清单。二是强化关键信息基础设施运营者主体责任。尽快建立健全关键信息基础设施安全保护制度,明确并强化行业和企业作为关键信息基础设施运营者承担的主体防护责任,推动运营者不断完善和优化网络安全管理制度,从物理、网络、主机、应用、数据等层面加强关键信息基础设施的安全防护,确保网络安全技术与业务系统同步规划、同步建设、同步实施。三是常态化开展关键信息基础设施安全监管。关键信息基础设施保护工作部门应切实履行好监管责任,不断健全完善关键信息基础设施安全检查评估机制,组织开展行业网络安全检查和风险评估,指导并监督企业开展安全自查,组织专业队伍对重点系统开展安全抽查,健全完善自查与抽查相结合、线上与线下相结合的长效机制。扎实推进针对网络产品和服务的网络安全审查工作,确保关键信息基础设施供应链安全。完善关键信息基础设施安全风险信息共享机制,理顺信息报送渠道,完善监测技术手段和监测网络,强化关键信息基础设施网络安全风险信息共享。
(三)加强数据安全管理和个人信息保护。一是加强数据安全和个人信息保护监管。持续推进App违法违规收集使用个人信息专项治理,切实治理App强制授权、过度索权、超范围收集个人信息等个人信息保护乱象。推动各行业主管部门开展各自行业的数据安全保护、个人信息保护治理行动,形成长效机制。依法严厉打击针对和利用国家大数据资源和个人信息的违法犯罪活动。创新监管手段,引入第三方检测评估和认证监测机制,组织开展自愿性App个人信息安全认证,鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的App,不断提升网络运营者个人信息保护的主动性。二是加快研究制定数据安全、个人信息安全保护相关标准。应尽快制定个人信息分级分类标准,区分可使用、可交易的商业数据信息和不可使用、不可交易的数据信息明确相应级别的保护措施。尽快制定个人信息去标识化指南,提炼业内当前通行的最佳实践,规范个人信息去标识化的目标、原则、技术、模型、过程和组织措施,提出能有效抵御安全风险、符合信息化發展需要的个人信息去标识化指南。数据出境安全评估指南等个人信息安全相关国家标准也需加快研制。
(四)推进网络安全核心技术自主创新。一是加快突破“卡脖子”核心技术。支持通过国家科技重大专项、国家集成电路产业投资基金等加大对CPU、图形处理器、高端存储器,以及集成电路设计开发工具、高端光刻机、工艺制程等核心技术攻关的支持。二是大力发展网络安全核心技术。支持高校、科研院所、安全企业开展网络安全防护体系基础理论和关键技术研究,强化高级威胁防护、监测预警、DDoS防护等技术攻关。支持相关单位聚焦网络安全事前防护、事中监测、事后处置、调查取证等环节需要,大力推动资产识别、漏洞挖掘、病毒查杀、边界防护、入侵防御、源码检测、数据保护、追踪溯源等网络安全产品演进升级,持续推进云安全、大数据安全、移动安全、物联网安全、工控安全等领域网络安全产品迭代创新,不断提升隐患排查、态势感知、应急处置和追踪溯源能力。支持相关单位,加大可信计算技术、可信芯片、可信终端、可信网络、可信云的研发投入,聚焦5G、人工智能、工业互联网、区块链等领域网络安全新技术研究。
(五)加大技术网络安全研究力度。一是重点突破人工智能网络安全技术。加大对感知技术、深度学习、机器学习等人工智能算法的研发支持力度,重点提升算法的可解释性、透明性、运行效率等。加强对抗性机器学习研究,不断提升人工智能算法的鲁棒性。推动人工智能先进技术在网络安全领域的深度应用,加强基于人工智能技术的漏洞挖掘、安全测试、威胁预警、攻击检测、应急处置等网络安全技术攻关,强化人工智能安全态势感知、测试评估、威胁信息共享和应急处置等能力;基于人工智能技术,加强对网络攻击的特点和规律的分析,研究恶意程序和攻击手段的演化方向,提升网络攻击防御的效率和精准度。二是加快推进区块链核心技术研究。支持高校、科研院所等加强区块链技术涉及的数学、信息学、密码学、经济学的基础理论研究,为区块链技术发展提供理论支持。支持企业加大研发力度,加快突破智能合约安全、共识协议、跨链通信、数据隐私保护等核心技术,不断提升区块链系统在去中心化或多中心条件下的性能效率、互联互通和安全性。提高运用和管理区块链技术能力,突破传统安全技术瓶颈,解决网络安全问题,弥补安全技术漏洞。三是加强工业互联网、大数据等新兴领域网络安全新技术研究。加强工业互联网安全技术研究,强化工业互联网边界防护、异常流量检测、协议漏洞挖掘等技术,推动工业设备指纹库及网络安全监测、态势感知技术研究;加强云平台虚拟机安全技术、虚拟化网络安全技术、云安全审计技术研究;聚焦数据安全交换、去隐私化、跨境数据管控等难点,推进数据流通、大数据协同安全等技术研究。加强5G、车联网等新兴领域网络安全威胁和风险分析,大力推动相关场景下的网络安全技术产品研发。支持云计算、大数据、量子计算等技术在网络安全领域的应用。积极探索拟态防御、零信任安全等网络安全新理念、新架构,推动网络安全理论和技术创新。 (六)提升网络安全产业整体实力。一是推动网络安全产业集聚发展。制定出台促进网络安全产业发展的指导性文件,强化网络安全技术产业统筹规划和整体布局。扎实推进国家网络安全产业园区建设,打造引領国家网络安全技术产业发展的战略高地。调动地方产业发展积极性,支持在全国范围内重点布局网络安全产业园区,发挥区域优势,以点带面,辐射带动全国网络安全产业发展。二是加快网络安全服务创新发展。倡导“安全即服务”的理念,支持专业机构和企业开展网络安全规划咨询、威胁情报、风险评估、检测认证、安全集成、应急响应等安全服务。加快转变“重产品轻服务”的思维观念,发挥党政机关和关键信息基础设施领域的引领示范作用,推动安全服务采购与产品采购保持独立、适当剥离,将服务能力作为衡量厂商综合能力的重要指标,引导网络安全企业由提供安全产品向提供安全服务和解决方案转变。支持企业探索开展网络安全保险服务。三是规范网络安全认证、漏洞披露等服务。统一网络安全专用产品的检测标准和规范,支持合法设立的认证机构依法开展网络安全认证,推动安全认证和安全检测结果互认,避免重复认证、检测。扎实开展网络安全审查、云计算服务安全评估等工作。探索建立统一的关键信息基础设施供应商安全认证。规范网络安全漏洞扫描、披露,网络安全威胁信息发布活动。借鉴美国“黑入五角大楼”等机制,探索开展针对党政机关和重点行业的网络安全众测服务。四是扩大网络安全市场需求。一方面,推动网络安全技术产品在重点行业领域广泛引用。充分发挥党政机关和相关行业主管部门作用,推动网络安全技术产品在重点行业领域部署应用。开展常态化的网络安全监督检查工作,督促指导重点行业企业采取必要的网络安全技术措施。另一方面,支持网络安全企业走出去,从“一带一路”沿线国家出发,加强政府主导的国际技术交流和战略合作,为企业走出去营造好的外部环境。支持网络安全优势企业与信息技术企业、电子制造企业、运营商等开展更大范围的技术合作与市场渠道合作,借助国家“一带一路”海外工程项目、信息基础设施对外援助建设等,推动网络安全产品走出去。
(七)加快网络安全人才队伍建设。一是建立多层次的网络安全人才培养体系。加强网络空间安全一级学科体系建设,强化网络安全教材、课程体系、师资队伍、实验室等建设,完善网络空间安全本、硕、博培养体系。实施一流网络安全学院示范建设项目。支持高等院校创新人才培养模式,与网络安全企业合作,产教结合共同培养人才。加快建设网络安全高等职业教育体系,将高等职业教育机构作为网络安全高技能人才培养的主要依托,鼓励高等职业院校与网络安全企业合作。加快发展网络安全人才职业培训机构,制定网络安全职业培训标准和人员认证规则,规范职业培训和人员资质认证活动,加强对网络安全职业培训机构的监管。二是加快网络安全高层次人才和紧缺人才培养。实施网络安全特殊人才国家储备计划,通过政府指导,社会资金支持,发挥企业、科研机构、行业组织等作用,打造具有国际影响力的网络安全竞赛,建立以竞赛为主的特殊人才发现和追踪机制,建设网络安全特殊人才国家储备库。强化党政机关和重点行业人才能力建设,建立党政机关网络安全人员定期培训制度,鼓励党政机关网络安全人员获取网络安全人员资质认证。探索在金融、能源、通信、交通行业重点企业探索建立首席网络安全官制度,明确首席网络安全官职责和能力素质要求,规范和指导首席网络安全官设置。三是建立适应网络安全人才特点的职称评价体系。制定出台网络安全专业人才职称评价办法和评价标准,突出尊重和实现人才价值的导向,以实际能力为衡量标准,突出专业性、创新性、实用性。探索企事业单位自主职称评价机制,支持国有企事业单位按照网络安全专业人才职称评价办法进行评审。推动逐步放开职称制度的名额限制,推动逐步将竞争性评价改为水平性评价,对具有同等能力和水平的专业技术人员赋予相应职称。