以下是現場速記。

國家環保部信息中心處長 徐敏

 

徐敏：各位領導、嘉賓，下午好。我聽了一下午的講座，大家很辛苦，看到群里面林主任說頭有點木了，我下面盡量用簡潔的匯報給我們介紹一下生態環境部的網絡安全的情況，從議程上看到范總很費心思，花了四分之一的議程講安全，由此可見網絡安全在企業、行業、每個人心中的位置，所以我想從這個角度跟大家談一下一年來我在網絡安全方面工作的心得和體會。

 

介紹這個之前，我想介紹一下我自己。我是來自生態環境部網信辦網絡安全組的徐敏。我想這個角色大家也知道，生態環境部對網絡安全的重視。去年成立了網信辦，網信辦設在辦公廳，好多部委可能都有網信辦，但像一些單位的網信辦基本上都設在信息中心。生態環境部考慮到網信辦的綜合協調，包括管理職能，我們的網信辦設在了辦公廳。辦公廳的網信辦分為三個組，其中一個組是網絡安全組，由此可見網絡安全在目前國家以及包括部委工作里面的重要性。

 

我想介紹今天的片子之前，想跟大家分享一下整個網絡安全的思路。我現在目前在網信辦的網絡安全組，自然要從國家的安全，從黨中央的要求來入手考慮網絡安全的思路。大家瑯瑯上口的都知道，2014年中央成立了網信辦，習主席任網信辦小組的組長，沒有網絡安全就國家國家。大家都覺得網絡安全跟每個人還是有一定的距離，但是從這個里面大家可以看到網絡安全工作事關國家安全、政治安全和經濟社會發展。這句話怎么發展，舉一個例子大家就很容易理解了。在去年10月份Facebook爆出數據被英國劍橋分析的數據咨詢公司利用，最后導致了特朗普大選競選傾向性的推動。在4月份的時候小扎也向國會解釋了一下Facebook在里面怎么影響到了大選，從后續的分析和報道里面大家都能知道，Facebook和微信一樣，是社會的一個公眾小程序，這里面有一個程序是測試人的心理分析的，這個就是當時劍橋數據在Facebook里面嵌入的小應用，當時拿到了27萬人的數據隱私，通過27萬再迭代分析，分析出美國8700人的隱私或者對這些人進行了精準的畫像。8700萬人口是什么量級呢?基本上是美國選民的四分之一，對這些選民怎么樣進行選舉的影響呢?舉個例子，比如說特朗普是擁槍的，他就會精準的投廣告，你的自由是要由自己來守護的，對于保守的，對于不支持擁槍的人會說“你的家人需要你來守護”。通過這樣的一些方式影響到了政權的安全。從這些案例里面大家就能明白，網絡安全事關國家安全、政權安全和經濟社會的發展，這也是在2017年國家黨委黨組的網絡安全工作責任制里面的一個很核心的一句話，意思就是說以后的網絡安全工作不光是部門履行的重點，它是由黨委黨組來重點做主體責任進行布置落實的一項工作。還有一句話，在去年的4月20日國家網絡安全工作會上習大大提出，“沒有網絡安全就沒有國家安全，就沒有經濟社會的穩定運行，廣大人民群眾的利益也難以得到保障”。從這句話又是對上一句話詳細的注解和解讀。對于行業部門來講，怎么理解黨中央的決策部署呢?這里面也提到了一句話“行政主管監管部門對本行業、本領域的網絡安全指負主管責任。

 

圍繞剛才提到的網絡安全的指導監管責任，作為一個行業監管部門來說要干什么呢?我們要從三個維度，親自干什么要干什么，帶頭干要干什么，指導干要干什么。我們分析以后，從黨中央的決策部署以及部黨委的要求，我們是這樣的定位。以落實黨中央決策部署和部黨組網絡安全工作責任制為核心，履行網絡安全監管與指導職能，負責統籌協調我部網絡安全重大問題，組織網絡安全制度建設、風險隱患排查與整治，指導全國生態環境系統網絡安全工作。圍繞黨委黨組工作責任制，我們要親自干網絡安全協調工作、風險隱患排查，指導全國的生態環境系統的網絡安全的工作，這個就是我們網絡安全組的職能定位。

 

下面介紹一下去年網絡安全工作整體的進展。第一，壓實網絡安全責任，健全管理體制方面，我們印發了黨委黨組責任制實施細則，明確了每個單位黨委黨組主要負責人為網絡安全第一責任人，分管網絡安全的領導班子成員為直接責任人，上傳下達及時處理應急事件起到了很好的協調作用，同時對于網信辦本身的頂層設計，包括制度方面也做了一些研究和推進。

 

第二個方面的工作是，把握關鍵環節，落實網絡安全制度。大家都知道，網絡安全從國家的要求來講，涉密網有分保，非密網有等級保護制度，剛才論客老總說到郵件安全系統，從相應制度的要求下，我們也開展了一系列的工作。比如說我們在去年借鑒于前幾年的網絡安全工作推進的痛處，我們原來一直在文件里面強調，要推廣等級保護制度的落實，在2017年6月1日起等級保護制度已經入了法，《網絡安全法》里面提到了每個主管必須實行等級保護制度，每個單位從文件到文件的推進力度還是比較弱，尤其是生態環境保護部，如果不是作為一項強制性要求，大家在人員、資金的投入就不是那么有力。去年整個機制調整以后，我們從所謂的打涉要打七寸抓主要矛盾，我們最開始以部機關的歸口管理的信息系統定期工作來作為抓手推動網絡安全保護工作。定期工作做完以后，網絡安全主體責任包括等保的整改以及措施，各單位自己來推進。去年通過定期為切入點，等級保護工作還是有很大的切入點。第二是關鍵基礎設施，大家都知道關鍵信息基礎設施是等級保護要重點進行保護的系統，國家也會對關鍵基礎設施進行認定和保護的政策性投入，我們部里也在關鍵基礎設施做了重點防護，去年圍繞著部里的關鍵基礎設施開展了上、下半年兩次風險評估工作，也對他們提出了評估要求以及風險的整治。

 

第三，加強日常監管，做好重保時期安全保障工作。去年在春節、兩會、上合、進博、物聯網大會召開前都向相關部署單位下發了工作部署文件，同時對他們的網絡安全工作也有一些專項的部署，比如說要讓他們開展漏洞的自查，釣魚郵件的排查和弱口令的專項整治，我們自己也分析了一下，對于部委網絡安全的態勢來講，可能弱口令和郵件是風險的一個薄弱環節，也是我們要關注的重點環節，我們對相關的工作進行了專項部署。在日常我們也加強了安全監管，引入了專業的安服團隊進行安全進行7×24小時的安全防護，包括人的駐場的服務。應該說，通過網信辦到信息中心的技術支持，到各個單位，從不同的層面，建立了一個立體的生態防御體系。從去年來講，整個安全被主管部門通報的事件大幅度減少。

 

第四，根據目前存在的風險，從等保的管理和技術兩個方面梳理了一些安全的風險，梳理出了48項風險，并且提出了針對性的整改措施，拉條掛賬進行整改。同時我們也做好日常的向相關主管部門網絡安全通報的工作。去年還做了一次實戰的應急風險演練，我想可能有些部委都聽說過。國家相關主管部門每年都會對網絡安全進行應急演練，去年護網2018是一個實戰的演練，我們部委雖然不是在2018護網行動參與的部委，我們自己也對于自己的實戰系統進行了應急演練，通過應急演練的方式來鍛煉大家技術防護的能力以及人員的水平。

 

第五，在網絡安全責任制里面也提到了，要開展安全檢查，提高安全防護的水平，去年我們也在行業的安全檢查方面開展了三步工作。第一步，要求每個單位來進行自查，我們收集到整個行業應該是全系統每個單位的自查情況，形成了自查報告，報給了相關行業主管部門。同時在8、9月份還對以互聯網服務為窗口進行對外服務系統，進行遠程滲透發現風險和漏洞，對相關的系統提出整改要求。從去年整個滲透的情況來看，生態環境部的互聯網對外服務系統情況還比較良好，后來我也跟相關的主管部門溝通了一下，這次我們情況不錯，因為我們當時滿分的有20個系統，一共有78個系統，有60多個系統都是90分以上，我說這個情況還是比較樂觀的。因為這兩年國家對于網絡安全的重視，特別是郝總也提到了，對于網站群的安全整治，對于郵件的綜合整治，部委網絡安全工作意識以及網絡安全水平都有了很大的提高，這一塊還是比較令人欣慰的。第三，在去年下半年查出有問題或者是在安全意識上不是很重視的單位進行了現場的抽查，通過三步曲以查促改帶動整個行業的網絡安全工作。

 

第六，組織網絡安全教育培訓。大家都說，網絡安全是三分技術七分管理，的確是，如果安全意識有問題的話，整個的網絡安全就像一個篩子一樣，在每個環節點上都有可能被人攻擊進來，導致系統的崩潰。去年在“國家安全教育日”部里通過平面和立體、通過網上和網下進行了整個網絡安全的宣傳和教育，我們去年結合等級保護定期工作的開展進行了專項培訓，同時在培訓班里也對網絡安全工作進行了部署和傳達。

 

以上就是去年的網絡安全工作。一葉知秋，舉一反三，大家可以看到整個網絡安全在一個部委里面重要的部署，也可以看到下一步的重點。

 

下一步，基于今年還是要開展幾方面的工作，我歸納了二十個字體，壓實責任、健全機制、把握關鍵、加強監管、提升能力。所謂壓實責任，圍繞黨委黨組網絡安全責任制的落實，量化考核指標，形成一個網絡安全的考評機制。所謂健全機制，要印發自己的網絡安全事件應急預案，以及部里的通報管理規定，我們會以技術和管理相結合的方式，通過平臺來檢查落地制度的實施。所謂把握關鍵，剛才提到了等級保護的定級，根據去年的工作成果，推進今年全面等保工作在部委整個工作的推廣。所謂加強工作，我們的重點工作是要開展日常的監管，提高自己的早發現、早預警以及快速響應的水平，我們今年的重點還會在加強監管上下大力氣。所謂提升能力，對于人員，對于技術防護，在下一步也是我們的一個要重點加強的方向。

 

以上就是我想跟大家分享的，我們作為生態環境部網絡安全工作的整體情況。借范總的平臺，提前給大家拜個年。借用習大大的一句話，我們都在奔跑，我們都是追夢人，2019年祝在座的各位新年快樂、身體健康、夢想城真、心想事成。謝謝大家!