以下是現場速記。

公安部保密中心副主任李超

 

李超：各位同仁，大家下午好!我是來自公安部保密科技司李超，下面由我給大家分享一下關于“大智移云”時代網絡安全形勢和對策。

 

剛才各位領導全面講了信息化的整體情況包括自己單位信息化的情況，但實際上這一塊從我來說，我一直在做安全，比如說從國家層面，全部進入電子化辦公之后，如果你上了戶口之后，發現網斷了，連戶口上不了了，到醫院看病，網斷了病都看不了了，家里電斷了之后，網用不了或者在網上購物，自己數據被拿走了，這時你還想再用數字化、電子化的東西嗎?因此關于安全的形勢，一直在伴隨著信息化的建設過程之中。

 

下面我簡單從三個方面給大家分享一下：

 

第一，網絡空間面臨的威脅和挑戰。

 

第二，等級保護2.0的工作要求。

 

第三，新形勢下網絡安全主要工作。

 

什么叫“大智移云”?大家都提到新技術的應用，從大數據、移動互聯網、智慧城市，智慧城市主要是用了物聯網相關的技術，還有云計算。大家可能會問到為什么不提區塊鏈?因為區塊鏈在我的眼里，也是在很多做信息安全或者密碼學人的眼里，它不是新技術，只是出現新的方式。因為區塊鏈核心技術還是基于加密算法還有哈希算法、疏密加密算法組成的概念，只要是能夠用區塊鏈解決的問題，用密碼學都能解決。當然有些專家、高校學者為了忽悠甲方，包括特別注重AI的，現在各單位信息化到了一定程度之后也在提AI的概念。

 

AI是什么意思?當時浙大的陳院士在第十八次政務云授課時給習總講了一次課，提到了區塊鏈技術，當時習總不知道出于什么考慮，因為他連國產自主可控包括CPU、芯片、操作系統都沒提過要大力推進，專門針對區塊鏈提出概念。

 

因此有些技術方面的東西，從長期來看，AI技術如果不是使用區塊鏈技術，就如同一個高樓大廈建在沙灘上，我始終沒有想明白AI技術和區塊鏈有多大關系，因為如果說AI技術沒有做過密碼學或者信息安全作為支撐的話，就如同高樓大廈建在沙灘上，我們是可以理解的。比如機器人建了之后不受控制，逮住誰打誰，這時會造成很大的危害。

 

因此在新時代，新技術應用之后，我們越來越重視網絡安全。新技術給網絡安全，給我們的生活包括社會發展、科技進步帶來了巨大的便利，同時也給我們自己國家安全和社會安全、經濟安全、文化安全等等都帶來了巨大的挑戰。

 

互聯網從最早八幾年提出來引進中國之后，用了羅邦帝的話說：網絡把世界一網打盡，讓世界變成一個小小的地球村。包括美國前副總統戈爾說：誰掌握了網絡，誰就掌握了世界。

 

互聯網被美國說得過分了，互聯網給世界設下了一個局。美國是關于網絡最大的贏家，網絡的概念，我們現在提叫因特爾或者互聯網，在真正翻譯過程當中，我們上的是美國的網，不是上的中國的網。

 

我們知道陸、海、空、天是國家的新的主權空間，十八大以后，習總書記越來越重視關于網絡安全。因此將信息提出了網絡空間，上升到國家戰略層面，提出了網絡安全成為陸、海、空、天后新的主權的空間。

 

剛才提到了美國利用網絡把世界一網打盡，它是怎么打盡的?給大家介紹一下。美國掌握著國際互聯網的根服務器，但是在美國自己本土占了10個，還有3個在美國的小兄弟手里即日本、歐洲、美國駐外的領地。全國的IPV4地址有40多億個，美國占30多億，占了全球74%，中國14億人口只占了5000萬左右，只占了1%多一點點。大家都知道IP地址是上網用的，如果沒有IP地址上什么網?或者上網也可以，但是你訪問的時候把根服務器斷了，你上什么網?整個國家網都斷了。這是說的上網的問題，能上網了也可以，但是在互聯網上的信息，我們國家建了國家防火墻之后，把很多信息屏蔽掉了。

 

將來如果翻墻出去會看到全世界由于它的英語信息占了90%，法語占了50%，只有中文信息不足1%。另外還有95%以上的服務信息都是由美國服務的，全世界互聯網信息90%以上是英、美，95%以上都是美國控制的。我們為什么要建長城防火墻?它是有原因的。剛才提到全球的網絡安全形勢，我們上的是美國網。

 

下面說一下我們國家面臨的網絡安全的外部威脅，首先從幾個方面來講：

 

第一，以美國為主導的西方盟友，它有它的小兄弟們。從1993年克林頓時期已經開始提出了信息安全的概念，他當時已經認識到這個問題了，1993年可能我們的網絡估計還是用電話線上網，已經開始籌建網絡防御體系，知道自己保護數據了。就如同現在的老百姓對簽字很敏感。到了小布什時期，2000年左右的時候，進入新時期之后，美國開始做網絡風暴演習的工作，他提出制定第一份《網絡空間安全國家戰略》，第一份是由我翻譯的，當時美國沒太注意，它有網絡風暴1.0，每兩年搞一次，前幾年的網絡風暴它的方案我們都能拿到，后來就拿不到了，因此它也越來越注重安全性保護。之前演習報告在網站上是有的，所以我們能拿到，但是后來拿不到了。當時能看到美國人怎么做的，類似于我們今年國家在搞的公安部組織的護網行動，驗驗你好不好，但是我們還處于小兒科初級階段，如果用學歷來形容，美國拿到博士學位，中國在上小學二年級。

 

從網絡工具到奧巴馬時期，已經發展成型國家戰略部隊出來，它有國家任務部隊，它的指揮體系、網絡武器已經形成完備武器，同時它的假想敵還是中國。因為我們國家黑客水平很高，為什么沒把俄羅斯當為主要對手?因為中國的水平比俄羅斯高一些，它隨時對我們發起網絡戰。

 

下面說一下信息戰的網絡戰概念，我們國家不敢明目張膽來做，但是在國外已經操作了。首先在北非，突尼斯還有茉莉花革命，茉莉花革命是怎么做的?就利用網上信息，通過網上宣揚美國設民主，當然我們國家當時在東丹也有茉莉花革命的跡象，雖然我們有防火墻攔著，但是還是有，中國老百姓特別實在。因此寧愿信網上的謠言，不信實際的事實，不信政府對外的辟謠。

 

另外美國對伊朗20年前就動手了，它利用“震網”病毒，美國讓伊朗核設施基礎癱瘓了。還有美國在兩三年前向歐美、法國，利用“火焰”病毒，監聽老百姓數據。包括德國總理的電話，各方面的信息都被他監聽。

 

同時在中東，他布置了“火焰”病毒，中東向伊朗、包括以色列等它自己的盟友都監聽。

 

下面說一下敵對勢力，我們主要的敵對勢力主要指的是藏獨、疆獨、法輪功，他們利用互聯網對國家綜合系統發起攻擊、控制和突破，主要方式是篡改網頁。特別是高校、中學網站經常被帖反黨的標語。

 

新技術應用越來越廣泛了，同時我們國家的網絡安全也面臨新的挑戰。從技術方面，互聯網的發展我們自己能感覺到，從2018年年底統計的數據，中國互聯網網站數量是500多萬個，美國估計沒那么多，網民是8.29億，其中這8.29億里用手機上網的人是8.17億，手機網民占所有網民98.6%，電子商務交易規模突破了30萬億以上。這個數量能反應出來我們國內對互聯網或者對網絡的依賴，包括社會運轉、人民的生活越來越嚴重，同時就像以前我們提到的說網絡社會是個虛擬社會，但是現在它這個虛擬社會已經深深的融入到了我們的現實生活之中，不能再說網上的社會是一個虛擬社會，它確實已經融入到我們的生活之中。

 

另外網絡安全給我們國家關鍵基礎設施帶來的危害也非常嚴重，因為我們國家大部分設備，關鍵信息、基礎設施存在很嚴重的隱患，因為前期建設過程中都不注重安全性建設，用我的話說“先跑起來再說”，先穿褲衩，外面護甲別帶了，很多信息化建設都是這樣。一個網站上面，甚至連防火墻都沒有，信息直接出去了。前期由于欠帳太多，因此基礎設施的隱患還是比較嚴重的，這也影響到我們國家安全還有社會的公共安全。

 

另外由于這些基礎設施隱患比較嚴重，就像圖片演示的一樣。高鐵一旦發生網絡戰，像高鐵出軌，城市來斷水、斷電，整個城市癱瘓，這也會帶來嚴重的后果。大家都知道，高鐵按照等級保護定的是四級，自來水、供水系統以及國家電網系統都是定的四級，因為它太重要了，這些系統如果出問題，供不了水、斷電了，整個城市就癱了，根本不需要敵人來攻擊我們，我們自己就亂了。再說打仗的目的是什么?打仗的目的就是為了把你搞亂，把你政權搞垮，為了一個目的是賺錢。

 

第三，網絡安全、網絡違法犯罪活動快速增長，同時給社會穩定帶來巨大的影響。剛才提到了8億多網民，網上詐騙、網上泄密、網上賭博等行為越來越猖獗，同時每個人身邊，我估計每個人幾乎每天會平均接到一個廣告電話，這些個人信息泄露行為越來越多。

 

這個圖片講的是大家從網上買數據，買的關于考試的數據，比如網上有賣考試題，同時你找些人，買一些人員信息也是有的，包括股民的信用卡信息等，網上賣什么的都有。

 

還有人有賣藥的，比如藥販子賣藥，老年人的數據是有的，還有病歷是有的，包括個人其他的數據，比如說身份證號碼、銀行卡、家庭住址等等在網上都有賣的。這些數據我們可以警惕，包括我們訂高鐵票需要身份證號碼，在網上注冊信息，手機號實名都需要身份證號碼。比如國家前期調研的時候，我們在做實名制，前臺擬名，后臺實名，在聊天室或者論壇里別人不知道是你，但是我想知道你的時候，我隨時可以知道是你，后臺本來就是你在上網。

 

另外手機號碼，我們有學術語言叫手機號碼是實名制的，但是對個人說的時候，它是弱實名。前段時間滴滴平臺做系統的評審，當時提到他們準備做實名制，但是他說手機號碼不叫實名制，但是我們幾個人一直認為，手機號碼不是實名制，但是它是弱實名。手機號碼本身就實名的，你這個人自己不知道，但是如果他知道你個人的手機號碼之后，比如像運營商有些數據也是泄漏的，它可以從運營商泄漏出去的數據之后，就可以拿到身份證號碼，拿了身份證號碼之后可以對照你的銀行卡、卡號，有了身份證號碼、手機號碼、銀行卡號，去銀行里面干點什么事，或者從網上銀行干點什么事兒就太容易了，因此數據安全越來越重要。

 

前段時間，公安部也在組織一項專項行動叫做“凈網行動”，在全國各地都有宣傳。特別浙江最狠，把違規使用個人數據的公司老板、員工都抓走了，員工是做開發或者做數據的沒有違法，是老板違法，但是老板以前也不知道是違法的，為什么?他認為采集一個人的數據，當時沒有那么明確的要求，但是你采集我的數據，你用于干什么?經過用戶的允許了嗎?因此這時公安把公司老板抓了，為什么也抓了員工?把員工也抓走了，把員工正常發的工資全部繳回，你發的工資也屬于公司非法所得，老板淘自己的腰包發工資。因此經過這一輪“凈網行動”，像很多公司違規使用，采集個人數據的這些公司越來越少了。

 

還有釣魚網站，比如說比較典型的工行的ICBC，網名改為1CBC，搞信息化的人能看出來，但是很多人看不出來，上1CBC把帳號、密碼輸入進去，不法分子拿到帳號、密碼之后把錢轉走。

 

另外還有網上賭博，網上賭博每年都有，現在隨時都有，一抓一個準。還有大型活動世界杯這種情況，包括踢足球的網上賭博特別多。通過這些手段，網上違法的行為可以看到，雖無道德，但是多的是渠道。釣魚網站、電話欺詐、中江信息、手機木馬、招聘騙局、電商刷單等行為多得是，但是這些東西都是他們賺錢的方式，水軍也很賺錢，通過給一條輿論點贊，他也掙錢。

 

第四個方面，我國信息化建設中核心技術、產品和服務嚴重依賴國外，安全隱患特別嚴重，特別是我們國家的重要行業選用國外的操作系統、數據庫、服務器、核心路由器等等，很多產品都被預置了后門，這些產品的后門從發現的時候，它說自己是漏洞，如果沒發現的時候，對我們來說就是后門，它里面的網上工具包括泄密提供了便利的渠道。

 

因此，從上面的數據可以看到，我們中國8多億網民是網絡大國，但是也被信息竊取、網絡攻擊的主要大國，從網絡發展至今發展8億多網民，是全球最大的互聯網國家。

 

同時作為網絡大國，我們信息產業的GDP占全國GDP的6%，產品出口占外貿35.3%，比如像全國賣手機、賣彩電、賣電子機等等占全球一半以上，但是全球一半以上，這些芯片或者操作系統由微軟、英特爾、蘋果把持著。 雖然我們是制造商，但是核心技術不在我們手里邊。另外，國內數據庫和云計算核心設備基本靠進口。

 

第五，網絡新技術新應用不斷出現，給保護網絡安全帶來新挑戰。剛才提到移動互聯網、云計算、大數據、物聯網等技術的應用，使得重要行業包括電力、石油、交通逐步實現智能電網、智能油田和智慧城市等等，但是這些系統建設起來以后，也更容易成為被網絡攻擊的對象。

 

下面說一下新技術自身存在的安全隱患，比如醫療裝置安全問題。2007年，美國時任副總統心臟病發作，被懷疑元于他的心臟除顫器被控制了。美國杰克演示了，在9米之外能控制心臟起搏器等醫療裝置，杰克在參加大會的路上就死了，黑客可以遙控殺人。

 

還有汽車系統安全問題，大家知道的特斯拉，特斯拉系統存在安全隱患，黑客可以通過應用程序漏洞遠程控制車輛，包括車輛開鎖、鳴笛、閃燈以及車輛行駛中的天窗操作，包括科萊斯勒車載系統也遭到黑客攻擊，進行車輛遠程控制。

 

還有我們國家的比亞迪，國內安全公司演示了一下，通過遠程控制破解了比亞迪云的安全漏洞，將比亞迪汽車車門子、發動機、后備廂開啟都能操作。實際在汽車控制系統里，它很多都連著，也是通過破解安全網關就能控制它的汽車了。

 

另外我們國家工業控制系統安全面臨挑戰。我們國家工業控制系統基本靠進口，我們想防護也難防。包括像一些安全廠商，提到了企業賣的工控安全設備很少，頂多能上工控防火墻，因為它的工業控制里邊的協議主要是西門子、ABB這些公司，他們的技術我們還是掌握不了，因為工業控制系統最要命的是要有業務穩定性、業務持續性。

 

物聯網安全面臨的挑戰。包括黑客入侵電表、修改無線傳感器，包括山東燃氣表被修改，安徽電表遠程超標系統被清零，都面臨各種各樣的挑戰。

 

最后總結一下，網絡空間的主要威脅來源包括四個方面：

 

第一，自然災害存在的安全威脅。比如像暴風雨，網絡癱瘓造成的威脅。

 

第二，管理體制。管理機構管理分散，信息共享不暢通，監管流于形式，同時安全防護機制不具備可操作性。

 

第三，恐怖主義。攻擊國家信息系統和關鍵基礎設施已成為恐怖分子的主要手段第一。

 

第四，網絡攻擊。網絡攻擊也是成本最低的，是敵對勢力主要攻擊和報復手段。

 

下面我提一下等級保護2.0，我們國家正式對外說是從今年對外說的，2018年當時要做《網絡安全法》正式頒布，當時提到了等級保護2.0。但是我記得我從14年開始起草《網絡安全法》相配套的東西，包括等保2.0標準已經做完了。

 

什么叫等級保護2.0?首先提一下等級保護的制度，已經改名了。在《網絡安全法》第21條提出國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行網絡安全保護義務。這一條是指做等級保護是義務。

 

《網絡安全法》有一個罰責，每個單位不做等級保護工作，發現了之后輕則警告，重則首先對單位個人來說，網絡安全主管罰5000到10000，對單位來說是2萬到10萬的罰度。如果造成了嚴重后果是要追刑的。

 

什么叫等級保護2.0?有三個含義：

 

第一，等級保護基礎概念里面，這個概念一直保留了十二年了，等級保護分三個層次來講：

 

第一信息系統和網絡是分等級進行保護和監管，第二方面是信息安全的產品分等級的侵略管理，第三個方面是對發生的信息安全事件進行分等級響應和處置，這是等級保護核心內涵和概念。

 

我們一般說的等級保護指的是對信息系統分等級進行保護和監管，因為在安全產品還有這些東西指的是對安全廠商的要求，對用戶、業主來說我要使用相應等級安全產品就可以了，一般來說沒有這根弦，安全廠商給你推的時候也不跟你說。

 

信息安全事件等級已經響應了，但是可操作性不強。

 

剛才提到等級保護1.0到等級保護2.0提出以后，從《網絡安全法》作為時間軸，在《網絡安全法》發布以前叫等級保護1.0《網絡安全法》發布以后叫等級保護2.0。剛才提到《網絡安全法》，大家都在提網絡安全，什么叫網絡安全?首先搞清一個概念性的問題，國家發布的《網絡安全法》如果翻譯成英文，是網絡安全空間的安全，并不是說連個網，幾個交換機傳就是網絡。因此，里面很多條目都是針對于網絡空間的要求。

 

另外，等級保護2.0從我們防守理念也開始變化了，以前是被動防護，偷你東西，把門鎖緊就進不來了，但是理念轉變了，從等級保護2.0以后，我們做的標準提出的是主動防御的概念。什么叫主動防御?你進來之后我打不過你，但是我知道是你進來了，同時加風險評估+安全監測+通報預警+應急處置以及安全工作的效果評價也納入整個等級保護中來。

 

等級保護保護對象也變了，傳統等級保護1.0保護的是網絡安全，傳統的信息系統，但是現在我們把大數據平臺、數據中心、云計算平臺、物聯網平臺、大型互聯網企業納入進來，以前像阿里、京東、滴滴，以前公安沒有把它納入進來，現在納入進來作為監管對象。杭州市網安局領導基本都被阿里挖走了，給的級別都是M5，對應處長給5級。

 

最后講一下新形勢下，網絡安全的主要工作。從兩個方面來講：

 

第一，國家層面。國家層面是指國家以等級保護為抓手，以信息通報作為平臺，以偵查打擊作為支撐，構建打防管控一體化的網絡安全綜合防控體系。

 

第二，我們要開展信息安全通報工作。現在包括央企也已經納入了網絡安全通報里邊來了，每個單位都應該有聯絡員，同時有完善的通報機制，依托通報機制來開展安全監測、態勢感知以及通報預警和應急處置工作。

 

第三，堅決打擊網絡攻擊等違法犯罪活動。對黑客攻擊類違法犯罪開展打擊，建立與電信等部門、互聯網企業的協作配合機制，網絡攻擊、竊取販賣數據、公民個人信息等違法犯罪活動，堅決打擊黑客團伙，產出地下黑色產業鏈，維護群眾的合法利益。同時加強了國際執法合作，嚴厲打擊跨境的網絡攻擊活動，這一塊我們是國合局，包括中美談判也是談到了網絡安全合作的內容。

 

最后講一下，關于行業和單位層面的內容。要想搞好網絡安全問題，首先是領導要重視，如果老大不重視，它就難，如果老大重視，它就不難。

 

同時，國家給了政策支持，各單位也要有相應的配套政策支持。首先要領導重視和政策支持，另外還要自己加強網絡安全的綜合防御能力，要建立包括防御保護、檢查與考核、應急與保障、容災與備份、感知預警覆蓋整個系統全生命周期的安全的機制和策略，形成一個閉環。我們同時要通過健全的安全管理機制、健全的安全策略、完善的防御體系，加強加強前沿、基礎性的技術研究和技術性的攻關，制定相應策略之后，同時我們在做保護體系時一定要注重安全與應用相平衡，同時著眼于將來發展趨勢和發展重點。

 

我在這兒提一下，在做網絡安全的過程中，很多信息化部門包括用戶是背著鍋呢，用戶提到上了系統以后就不好用了。為什么不好用?類似于穿衣服一樣，晚上睡覺為什么穿著睡衣睡覺?當里面只裝凈化機肯定要快，但是裝了東西以后為了保護自己，肯定速度要慢一些，或者性能受影響。但是我們在做信息化建設過程中，同時要注重安全性同時，要保持應用與安全相平衡。搞安全的部門光注重安全了，上了一堆插件上去了，搞應用的說不用上，我們建議應用與安全平衡。

 

人防是根本、物防是基礎、技防是關鍵，通過三者結合提高網絡安全防護。

 

加強網絡安全綜合防御能力提到了四化：規范化管理、一體化運維、集成化監測、智能化研判。六加強是指加強總體規劃設計、加強網絡安全防護、加強數據保護、加強安全檢查和演練，加強安全管理，同時加強技術隊伍建設。我們四化六加強就涵蓋了整個單位將來做信息化的過程，信息化過程中加強安全防御的策略。

 

最后是幾個院士的觀念，三位院士都提到了要通過自主可控技術來加強我們國家網絡安全建設。謝謝大家!抱歉，超時了。

 

提問：李主任，比如說我在微信上面聊天，我想買一個照相機，今日頭條、百度馬上推薦給很多照相機的信息，我這個個人隱私是不是就被他盜取了呢?這個怎么保護?或者公安部對這些企業的管理是怎么做的?

 

李超：這是電商做的AI一種技術，你買這個東西時就自動掌握了你的行為，你的愛好就是這一點，所以被推送出來了。包括你在京東、淘寶買啤酒之后，發現這個人喜歡喝啤酒，下次再打開淘寶馬上給你推送啤酒。

 

提問：微信上聊一聊，我聊完以后，今日頭條就會推送相關信息過來，我手機上本身的信息是不是就被泄漏或者抓取了。

 

李超：是通過APP，已輸入信息被解析之后，通過后臺存儲反饋回去。

 

提問：我的疑慮是我在使用網商銀行的時候，比如輸入密碼、轉賬，這些今日頭條、百度等能不能抓取我銀行的信息?

 

李超：這個不會，銀行里APP會通過安全監測。

 

提問：我瀏覽的頁面，被知道是合法、合理的嗎?我個人隱私怎么得到保護?

 

李超：剛才為什么提到國產化的東西，瀏覽器能掌握你所有的信息，通過瀏覽器瀏覽的東西，后臺都知道。

 

提問：國家對這些方面，公安部有什么法律來規范企業行為。它盜取我個人信息，它肯定拿我的信息到它那里去。

 

李超：看你個人的什么信息。

 

提問：瀏覽頁面。

 

李超：國家出臺了個人信息保護條例，你那些東西算不上個人敏感信息，現在明確規定個人信息指的是姓名、身份證號碼、家庭住址、帳號之類的，你的行為這些東西目前還沒有。

 

張鴻飛：我插一句，關于信息國家正在制定法律。現在我們信息基本比較分散的管理，將來有一個公證機構，將來的發展方向是把你個人的信息放在第三方的平臺上，這個信息廠商是看不到的，比如你要用這些信息，必須得經過一個驗證方進行驗證才可以用，這樣個人信息得到保障。第三方體系是歐盟的標準，我們國家這方面還沒有，現在正在逐步的，在個人隱私方面進行保護，待會兒會后再聊。

 

提問：謝謝。