加強我國網絡安全防護能力的對策建議

（一）完善網絡安全法律法規(guī)。一是以網絡安全法為核心，加快出臺配套法律規(guī)范，不斷完善網絡安全法律法規(guī)體系。加快出臺關鍵信息基礎設施安全保護條例，明確行業(yè)主體、關鍵信息基礎設施運營者負主體責任。加快出臺數(shù)據安全管理辦法、個人信息出境安全評估辦法等配套法規(guī)，加快建立個人信息和重要數(shù)據處理評估制度等方面，加強重要數(shù)據和個人信息保護。二是盡快出臺“個人信息保護法”，明確個人信息保護工作監(jiān)管部門，界定個人信息、個人隱私的范圍，明確個人信息處理、使用的基本要求，規(guī)定個人合法權益遭受損害的救濟手段。出臺“數(shù)據安全法”，明確數(shù)據安全監(jiān)管部門及相關部門職責，建立數(shù)據分級分類制度，規(guī)范數(shù)據全生命周期安全管理，建立完善數(shù)據安全風險評估制度。

（二）強化關鍵信息基礎設施安全保障能力。一是加快建立關鍵信息基礎設施識別認定機制。國家網信部門聯(lián)合行業(yè)主管部門制定關鍵信息基礎設施識別認定標準，組織開展關鍵信息基礎設施識別認定工作，建立并維護國家關鍵信息基礎設施清單。二是強化關鍵信息基礎設施運營者主體責任。盡快建立健全關鍵信息基礎設施安全保護制度，明確并強化行業(yè)和企業(yè)作為關鍵信息基礎設施運營者承擔的主體防護責任，推動運營者不斷完善和優(yōu)化網絡安全管理制度，從物理、網絡、主機、應用、數(shù)據等層面加強關鍵信息基礎設施的安全防護，確保網絡安全技術與業(yè)務系統(tǒng)同步規(guī)劃、同步建設、同步實施。三是常態(tài)化開展關鍵信息基礎設施安全監(jiān)管。關鍵信息基礎設施保護工作部門應切實履行好監(jiān)管責任，不斷健全完善關鍵信息基礎設施安全檢查評估機制，組織開展行業(yè)網絡安全檢查和風險評估，指導并監(jiān)督企業(yè)開展安全自查，組織專業(yè)隊伍對重點系統(tǒng)開展安全抽查，健全完善自查與抽查相結合、線上與線下相結合的長效機制。扎實推進針對網絡產品和服務的網絡安全審查工作，確保關鍵信息基礎設施供應鏈安全。完善關鍵信息基礎設施安全風險信息共享機制，理順信息報送渠道，完善監(jiān)測技術手段和監(jiān)測網絡，強化關鍵信息基礎設施網絡安全風險信息共享。

（三）加強數(shù)據安全管理和個人信息保護。一是加強數(shù)據安全和個人信息保護監(jiān)管。持續(xù)推進App違法違規(guī)收集使用個人信息專項治理，切實治理App強制授權、過度索權、超范圍收集個人信息等個人信息保護亂象。推動各行業(yè)主管部門開展各自行業(yè)的數(shù)據安全保護、個人信息保護治理行動，形成長效機制。依法嚴厲打擊針對和利用國家大數(shù)據資源和個人信息的違法犯罪活動。創(chuàng)新監(jiān)管手段，引入第三方檢測評估和認證監(jiān)測機制，組織開展自愿性App個人信息安全認證，鼓勵搜索引擎、應用商店等明確標識并優(yōu)先推薦通過認證的App，不斷提升網絡運營者個人信息保護的主動性。二是加快研究制定數(shù)據安全、個人信息安全保護相關標準。應盡快制定個人信息分級分類標準，區(qū)分可使用、可交易的商業(yè)數(shù)據信息和不可使用、不可交易的數(shù)據信息明確相應級別的保護措施。盡快制定個人信息去標識化指南，提煉業(yè)內當前通行的最佳實踐，規(guī)范個人信息去標識化的目標、原則、技術、模型、過程和組織措施，提出能有效抵御安全風險、符合信息化發(fā)展需要的個人信息去標識化指南。數(shù)據出境安全評估指南等個人信息安全相關國家標準也需加快研制。

（四）推進網絡安全核心技術自主創(chuàng)新。一是加快突破“卡脖子”核心技術。支持通過國家科技重大專項、國家集成電路產業(yè)投資基金等加大對CPU、圖形處理器、高端存儲器，以及集成電路設計開發(fā)工具、高端光刻機、工藝制程等核心技術攻關的支持。二是大力發(fā)展網絡安全核心技術。支持高校、科研院所、安全企業(yè)開展網絡安全防護體系基礎理論和關鍵技術研究，強化高級威脅防護、監(jiān)測預警、DDoS防護等技術攻關。支持相關單位聚焦網絡安全事前防護、事中監(jiān)測、事后處置、調查取證等環(huán)節(jié)需要，大力推動資產識別、漏洞挖掘、病毒查殺、邊界防護、入侵防御、源碼檢測、數(shù)據保護、追蹤溯源等網絡安全產品演進升級，持續(xù)推進云安全、大數(shù)據安全、移動安全、物聯(lián)網安全、工控安全等領域網絡安全產品迭代創(chuàng)新，不斷提升隱患排查、態(tài)勢感知、應急處置和追蹤溯源能力。支持相關單位，加大可信計算技術、可信芯片、可信終端、可信網絡、可信云的研發(fā)投入，聚焦5G、人工智能、工業(yè)互聯(lián)網、區(qū)塊鏈等領域網絡安全新技術研究。

（五）加大技術網絡安全研究力度。一是重點突破人工智能網絡安全技術。加大對感知技術、深度學習、機器學習等人工智能算法的研發(fā)支持力度，重點提升算法的可解釋性、透明性、運行效率等。加強對抗性機器學習研究，不斷提升人工智能算法的魯棒性。推動人工智能先進技術在網絡安全領域的深度應用，加強基于人工智能技術的漏洞挖掘、安全測試、威脅預警、攻擊檢測、應急處置等網絡安全技術攻關，強化人工智能安全態(tài)勢感知、測試評估、威脅信息共享和應急處置等能力;基于人工智能技術，加強對網絡攻擊的特點和規(guī)律的分析，研究惡意程序和攻擊手段的演化方向，提升網絡攻擊防御的效率和精準度。二是加快推進區(qū)塊鏈核心技術研究。支持高校、科研院所等加強區(qū)塊鏈技術涉及的數(shù)學、信息學、密碼學、經濟學的基礎理論研究，為區(qū)塊鏈技術發(fā)展提供理論支持。支持企業(yè)加大研發(fā)力度，加快突破智能合約安全、共識協(xié)議、跨鏈通信、數(shù)據隱私保護等核心技術，不斷提升區(qū)塊鏈系統(tǒng)在去中心化或多中心條件下的性能效率、互聯(lián)互通和安全性。提高運用和管理區(qū)塊鏈技術能力，突破傳統(tǒng)安全技術瓶頸，解決網絡安全問題，彌補安全技術漏洞。三是加強工業(yè)互聯(lián)網、大數(shù)據等新興領域網絡安全新技術研究。加強工業(yè)互聯(lián)網安全技術研究，強化工業(yè)互聯(lián)網邊界防護、異常流量檢測、協(xié)議漏洞挖掘等技術，推動工業(yè)設備指紋庫及網絡安全監(jiān)測、態(tài)勢感知技術研究;加強云平臺虛擬機安全技術、虛擬化網絡安全技術、云安全審計技術研究;聚焦數(shù)據安全交換、去隱私化、跨境數(shù)據管控等難點，推進數(shù)據流通、大數(shù)據協(xié)同安全等技術研究。加強5G、車聯(lián)網等新興領域網絡安全威脅和風險分析，大力推動相關場景下的網絡安全技術產品研發(fā)。支持云計算、大數(shù)據、量子計算等技術在網絡安全領域的應用。積極探索擬態(tài)防御、零信任安全等網絡安全新理念、新架構，推動網絡安全理論和技術創(chuàng)新。

（六）提升網絡安全產業(yè)整體實力。一是推動網絡安全產業(yè)集聚發(fā)展。制定出臺促進網絡安全產業(yè)發(fā)展的指導性文件，強化網絡安全技術產業(yè)統(tǒng)籌規(guī)劃和整體布局。扎實推進國家網絡安全產業(yè)園區(qū)建設，打造引領國家網絡安全技術產業(yè)發(fā)展的戰(zhàn)略高地。調動地方產業(yè)發(fā)展積極性，支持在全國范圍內重點布局網絡安全產業(yè)園區(qū)，發(fā)揮區(qū)域優(yōu)勢，以點帶面，輻射帶動全國網絡安全產業(yè)發(fā)展。二是加快網絡安全服務創(chuàng)新發(fā)展。倡導“安全即服務”的理念，支持專業(yè)機構和企業(yè)開展網絡安全規(guī)劃咨詢、威脅情報、風險評估、檢測認證、安全集成、應急響應等安全服務。加快轉變“重產品輕服務”的思維觀念，發(fā)揮黨政機關和關鍵信息基礎設施領域的引領示范作用，推動安全服務采購與產品采購保持獨立、適當剝離，將服務能力作為衡量廠商綜合能力的重要指標，引導網絡安全企業(yè)由提供安全產品向提供安全服務和解決方案轉變。支持企業(yè)探索開展網絡安全保險服務。三是規(guī)范網絡安全認證、漏洞披露等服務。統(tǒng)一網絡安全專用產品的檢測標準和規(guī)范，支持合法設立的認證機構依法開展網絡安全認證，推動安全認證和安全檢測結果互認，避免重復認證、檢測。扎實開展網絡安全審查、云計算服務安全評估等工作。探索建立統(tǒng)一的關鍵信息基礎設施供應商安全認證。規(guī)范網絡安全漏洞掃描、披露，網絡安全威脅信息發(fā)布活動。借鑒美國“黑入五角大樓”等機制，探索開展針對黨政機關和重點行業(yè)的網絡安全眾測服務。四是擴大網絡安全市場需求。一方面，推動網絡安全技術產品在重點行業(yè)領域廣泛引用。充分發(fā)揮黨政機關和相關行業(yè)主管部門作用，推動網絡安全技術產品在重點行業(yè)領域部署應用。開展常態(tài)化的網絡安全監(jiān)督檢查工作，督促指導重點行業(yè)企業(yè)采取必要的網絡安全技術措施。另一方面，支持網絡安全企業(yè)走出去，從“一帶一路”沿線國家出發(fā)，加強政府主導的國際技術交流和戰(zhàn)略合作，為企業(yè)走出去營造好的外部環(huán)境。支持網絡安全優(yōu)勢企業(yè)與信息技術企業(yè)、電子制造企業(yè)、運營商等開展更大范圍的技術合作與市場渠道合作，借助國家“一帶一路”海外工程項目、信息基礎設施對外援助建設等，推動網絡安全產品走出去。

（七）加快網絡安全人才隊伍建設。一是建立多層次的網絡安全人才培養(yǎng)體系。加強網絡空間安全一級學科體系建設，強化網絡安全教材、課程體系、師資隊伍、實驗室等建設，完善網絡空間安全本、碩、博培養(yǎng)體系。實施一流網絡安全學院示范建設項目。支持高等院校創(chuàng)新人才培養(yǎng)模式，與網絡安全企業(yè)合作，產教結合共同培養(yǎng)人才。加快建設網絡安全高等職業(yè)教育體系，將高等職業(yè)教育機構作為網絡安全高技能人才培養(yǎng)的主要依托，鼓勵高等職業(yè)院校與網絡安全企業(yè)合作。加快發(fā)展網絡安全人才職業(yè)培訓機構，制定網絡安全職業(yè)培訓標準和人員認證規(guī)則，規(guī)范職業(yè)培訓和人員資質認證活動，加強對網絡安全職業(yè)培訓機構的監(jiān)管。二是加快網絡安全高層次人才和緊缺人才培養(yǎng)。實施網絡安全特殊人才國家儲備計劃，通過政府指導，社會資金支持，發(fā)揮企業(yè)、科研機構、行業(yè)組織等作用，打造具有國際影響力的網絡安全競賽，建立以競賽為主的特殊人才發(fā)現(xiàn)和追蹤機制，建設網絡安全特殊人才國家儲備庫。強化黨政機關和重點行業(yè)人才能力建設，建立黨政機關網絡安全人員定期培訓制度，鼓勵黨政機關網絡安全人員獲取網絡安全人員資質認證。探索在金融、能源、通信、交通行業(yè)重點企業(yè)探索建立首席網絡安全官制度，明確首席網絡安全官職責和能力素質要求，規(guī)范和指導首席網絡安全官設置。三是建立適應網絡安全人才特點的職稱評價體系。制定出臺網絡安全專業(yè)人才職稱評價辦法和評價標準，突出尊重和實現(xiàn)人才價值的導向，以實際能力為衡量標準，突出專業(yè)性、創(chuàng)新性、實用性。探索企事業(yè)單位自主職稱評價機制，支持國有企事業(yè)單位按照網絡安全專業(yè)人才職稱評價辦法進行評審。推動逐步放開職稱制度的名額限制，推動逐步將競爭性評價改為水平性評價，對具有同等能力和水平的專業(yè)技術人員賦予相應職稱。