加強我國網絡安全防護能力的對策建議

（一）完善網絡安全法律法規。一是以網絡安全法為核心，加快出臺配套法律規范，不斷完善網絡安全法律法規體系。加快出臺關鍵信息基礎設施安全保護條例，明確行業主體、關鍵信息基礎設施運營者負主體責任。加快出臺數據安全管理辦法、個人信息出境安全評估辦法等配套法規，加快建立個人信息和重要數據處理評估制度等方面，加強重要數據和個人信息保護。二是盡快出臺“個人信息保護法”，明確個人信息保護工作監管部門，界定個人信息、個人隱私的范圍，明確個人信息處理、使用的基本要求，規定個人合法權益遭受損害的救濟手段。出臺“數據安全法”，明確數據安全監管部門及相關部門職責，建立數據分級分類制度，規范數據全生命周期安全管理，建立完善數據安全風險評估制度。

（二）強化關鍵信息基礎設施安全保障能力。一是加快建立關鍵信息基礎設施識別認定機制。國家網信部門聯合行業主管部門制定關鍵信息基礎設施識別認定標準，組織開展關鍵信息基礎設施識別認定工作，建立并維護國家關鍵信息基礎設施清單。二是強化關鍵信息基礎設施運營者主體責任。盡快建立健全關鍵信息基礎設施安全保護制度，明確并強化行業和企業作為關鍵信息基礎設施運營者承擔的主體防護責任，推動運營者不斷完善和優化網絡安全管理制度，從物理、網絡、主機、應用、數據等層面加強關鍵信息基礎設施的安全防護，確保網絡安全技術與業務系統同步規劃、同步建設、同步實施。三是常態化開展關鍵信息基礎設施安全監管。關鍵信息基礎設施保護工作部門應切實履行好監管責任，不斷健全完善關鍵信息基礎設施安全檢查評估機制，組織開展行業網絡安全檢查和風險評估，指導并監督企業開展安全自查，組織專業隊伍對重點系統開展安全抽查，健全完善自查與抽查相結合、線上與線下相結合的長效機制。扎實推進針對網絡產品和服務的網絡安全審查工作，確保關鍵信息基礎設施供應鏈安全。完善關鍵信息基礎設施安全風險信息共享機制，理順信息報送渠道，完善監測技術手段和監測網絡，強化關鍵信息基礎設施網絡安全風險信息共享。

（三）加強數據安全管理和個人信息保護。一是加強數據安全和個人信息保護監管。持續推進App違法違規收集使用個人信息專項治理，切實治理App強制授權、過度索權、超范圍收集個人信息等個人信息保護亂象。推動各行業主管部門開展各自行業的數據安全保護、個人信息保護治理行動，形成長效機制。依法嚴厲打擊針對和利用國家大數據資源和個人信息的違法犯罪活動。創新監管手段，引入第三方檢測評估和認證監測機制，組織開展自愿性App個人信息安全認證，鼓勵搜索引擎、應用商店等明確標識并優先推薦通過認證的App，不斷提升網絡運營者個人信息保護的主動性。二是加快研究制定數據安全、個人信息安全保護相關標準。應盡快制定個人信息分級分類標準，區分可使用、可交易的商業數據信息和不可使用、不可交易的數據信息明確相應級別的保護措施。盡快制定個人信息去標識化指南，提煉業內當前通行的最佳實踐，規范個人信息去標識化的目標、原則、技術、模型、過程和組織措施，提出能有效抵御安全風險、符合信息化發展需要的個人信息去標識化指南。數據出境安全評估指南等個人信息安全相關國家標準也需加快研制。

（四）推進網絡安全核心技術自主創新。一是加快突破“卡脖子”核心技術。支持通過國家科技重大專項、國家集成電路產業投資基金等加大對CPU、圖形處理器、高端存儲器，以及集成電路設計開發工具、高端光刻機、工藝制程等核心技術攻關的支持。二是大力發展網絡安全核心技術。支持高校、科研院所、安全企業開展網絡安全防護體系基礎理論和關鍵技術研究，強化高級威脅防護、監測預警、DDoS防護等技術攻關。支持相關單位聚焦網絡安全事前防護、事中監測、事后處置、調查取證等環節需要，大力推動資產識別、漏洞挖掘、病毒查殺、邊界防護、入侵防御、源碼檢測、數據保護、追蹤溯源等網絡安全產品演進升級，持續推進云安全、大數據安全、移動安全、物聯網安全、工控安全等領域網絡安全產品迭代創新，不斷提升隱患排查、態勢感知、應急處置和追蹤溯源能力。支持相關單位，加大可信計算技術、可信芯片、可信終端、可信網絡、可信云的研發投入，聚焦5G、人工智能、工業互聯網、區塊鏈等領域網絡安全新技術研究。

（五）加大技術網絡安全研究力度。一是重點突破人工智能網絡安全技術。加大對感知技術、深度學習、機器學習等人工智能算法的研發支持力度，重點提升算法的可解釋性、透明性、運行效率等。加強對抗性機器學習研究，不斷提升人工智能算法的魯棒性。推動人工智能先進技術在網絡安全領域的深度應用，加強基于人工智能技術的漏洞挖掘、安全測試、威脅預警、攻擊檢測、應急處置等網絡安全技術攻關，強化人工智能安全態勢感知、測試評估、威脅信息共享和應急處置等能力;基于人工智能技術，加強對網絡攻擊的特點和規律的分析，研究惡意程序和攻擊手段的演化方向，提升網絡攻擊防御的效率和精準度。二是加快推進區塊鏈核心技術研究。支持高校、科研院所等加強區塊鏈技術涉及的數學、信息學、密碼學、經濟學的基礎理論研究，為區塊鏈技術發展提供理論支持。支持企業加大研發力度，加快突破智能合約安全、共識協議、跨鏈通信、數據隱私保護等核心技術，不斷提升區塊鏈系統在去中心化或多中心條件下的性能效率、互聯互通和安全性。提高運用和管理區塊鏈技術能力，突破傳統安全技術瓶頸，解決網絡安全問題，彌補安全技術漏洞。三是加強工業互聯網、大數據等新興領域網絡安全新技術研究。加強工業互聯網安全技術研究，強化工業互聯網邊界防護、異常流量檢測、協議漏洞挖掘等技術，推動工業設備指紋庫及網絡安全監測、態勢感知技術研究;加強云平臺虛擬機安全技術、虛擬化網絡安全技術、云安全審計技術研究;聚焦數據安全交換、去隱私化、跨境數據管控等難點，推進數據流通、大數據協同安全等技術研究。加強5G、車聯網等新興領域網絡安全威脅和風險分析，大力推動相關場景下的網絡安全技術產品研發。支持云計算、大數據、量子計算等技術在網絡安全領域的應用。積極探索擬態防御、零信任安全等網絡安全新理念、新架構，推動網絡安全理論和技術創新。

（六）提升網絡安全產業整體實力。一是推動網絡安全產業集聚發展。制定出臺促進網絡安全產業發展的指導性文件，強化網絡安全技術產業統籌規劃和整體布局。扎實推進國家網絡安全產業園區建設，打造引領國家網絡安全技術產業發展的戰略高地。調動地方產業發展積極性，支持在全國范圍內重點布局網絡安全產業園區，發揮區域優勢，以點帶面，輻射帶動全國網絡安全產業發展。二是加快網絡安全服務創新發展。倡導“安全即服務”的理念，支持專業機構和企業開展網絡安全規劃咨詢、威脅情報、風險評估、檢測認證、安全集成、應急響應等安全服務。加快轉變“重產品輕服務”的思維觀念，發揮黨政機關和關鍵信息基礎設施領域的引領示范作用，推動安全服務采購與產品采購保持獨立、適當剝離，將服務能力作為衡量廠商綜合能力的重要指標，引導網絡安全企業由提供安全產品向提供安全服務和解決方案轉變。支持企業探索開展網絡安全保險服務。三是規范網絡安全認證、漏洞披露等服務。統一網絡安全專用產品的檢測標準和規范，支持合法設立的認證機構依法開展網絡安全認證，推動安全認證和安全檢測結果互認，避免重復認證、檢測。扎實開展網絡安全審查、云計算服務安全評估等工作。探索建立統一的關鍵信息基礎設施供應商安全認證。規范網絡安全漏洞掃描、披露，網絡安全威脅信息發布活動。借鑒美國“黑入五角大樓”等機制，探索開展針對黨政機關和重點行業的網絡安全眾測服務。四是擴大網絡安全市場需求。一方面，推動網絡安全技術產品在重點行業領域廣泛引用。充分發揮黨政機關和相關行業主管部門作用，推動網絡安全技術產品在重點行業領域部署應用。開展常態化的網絡安全監督檢查工作，督促指導重點行業企業采取必要的網絡安全技術措施。另一方面，支持網絡安全企業走出去，從“一帶一路”沿線國家出發，加強政府主導的國際技術交流和戰略合作，為企業走出去營造好的外部環境。支持網絡安全優勢企業與信息技術企業、電子制造企業、運營商等開展更大范圍的技術合作與市場渠道合作，借助國家“一帶一路”海外工程項目、信息基礎設施對外援助建設等，推動網絡安全產品走出去。

（七）加快網絡安全人才隊伍建設。一是建立多層次的網絡安全人才培養體系。加強網絡空間安全一級學科體系建設，強化網絡安全教材、課程體系、師資隊伍、實驗室等建設，完善網絡空間安全本、碩、博培養體系。實施一流網絡安全學院示范建設項目。支持高等院校創新人才培養模式，與網絡安全企業合作，產教結合共同培養人才。加快建設網絡安全高等職業教育體系，將高等職業教育機構作為網絡安全高技能人才培養的主要依托，鼓勵高等職業院校與網絡安全企業合作。加快發展網絡安全人才職業培訓機構，制定網絡安全職業培訓標準和人員認證規則，規范職業培訓和人員資質認證活動，加強對網絡安全職業培訓機構的監管。二是加快網絡安全高層次人才和緊缺人才培養。實施網絡安全特殊人才國家儲備計劃，通過政府指導，社會資金支持，發揮企業、科研機構、行業組織等作用，打造具有國際影響力的網絡安全競賽，建立以競賽為主的特殊人才發現和追蹤機制，建設網絡安全特殊人才國家儲備庫。強化黨政機關和重點行業人才能力建設，建立黨政機關網絡安全人員定期培訓制度，鼓勵黨政機關網絡安全人員獲取網絡安全人員資質認證。探索在金融、能源、通信、交通行業重點企業探索建立首席網絡安全官制度，明確首席網絡安全官職責和能力素質要求，規范和指導首席網絡安全官設置。三是建立適應網絡安全人才特點的職稱評價體系。制定出臺網絡安全專業人才職稱評價辦法和評價標準，突出尊重和實現人才價值的導向，以實際能力為衡量標準，突出專業性、創新性、實用性。探索企事業單位自主職稱評價機制，支持國有企事業單位按照網絡安全專業人才職稱評價辦法進行評審。推動逐步放開職稱制度的名額限制，推動逐步將競爭性評價改為水平性評價，對具有同等能力和水平的專業技術人員賦予相應職稱。