第二章 2018年我国网络安全发展状况

2018年，我国对网络空间安全的重视程度持续提高，不断完善网络安全相关政策法规。2月，教育部印发《2018年教育信息化和网络安全工作要点》，首次将“网络安全”与“教育信息化”并列提出，彰显了网络安全工作将成为教育信息化建设的重要地位；3月，中央网信办和中国证监会联合印发《关于推动资本市场服务网络强国建设的指导意见》，从对网信事业的总体要求、政策引导、网信企业发展以及组织保障四个方面阐述了15条指导意见；6月，公安部发布《网络安全等级保护条例（征求意见稿）》，对网络等级保护工作提出了更加具体、操作性更强的要求，为开展等级保护工作提供了重要的法律支撑；《关于促进“互联网+医疗健康”发展的意见》《关于纵深推进防范打击通讯信息诈骗工作的通知》《互联网个人信息安全保护指引（征求意见稿）》和《微博客信息服务管理规定》等一系列各行业领域政策法规的出台，不断丰富完善我国网络安全法律体系。在网络安全的标准方面，网络安全相关技术、管理、应用等标准陆续出台，身份标识、数据安全、安全可控等相关标准制定工作稳步推进。在基础工作方面，国家网信办、工业和信息化部等部委开展了个人隐私保护方面的专项行动；国家网信办、工业和信息化部等部委对基础电信和互联网企业开展了网络安全检查。在网络安全产业方面，政策环境的优化促使网络安全市场需求持续增长，使得我国的网络安全产业规模快速增长。在技术方面，我国网络安全可控能力不断提高，安全防护能力显著增强，区块链技术得到快速推广和应用。在国际合作方面，我国继续与德国、俄罗斯、欧盟等国家和地区开展网络安全对话和合作，在APEC、G20等国际多边交流舞台宣扬我国网络空间主权思想，通过举办世界互联网大会、世界进出口博览会等国际高端会议搭建对话和合作桥梁。

第一节 政策环境持续优化

一、顶层设计陆续完善

自中央网络安全和信息化领导小组成立以来，我国不断强化对网络安全的重视程度，将网络安全上升到国家战略层面。2016年，《国家网络空间安全战略》发布实施，确立了我国网络安全发展的战略方针，提出了保护关键信息基础设施、夯实网络安全基础、提升网络空间防护能力等网络安全发展的战略任务。2017年，《网络空间国际合作战略》发布，系统地阐述了国家关于在网络空间开展国际合作的系列主张和立场，是我国网络空间治理理念在网络空间国际合作领域的延伸和发展。2018年，《网络安全等级保护条例（征求意见稿）》发布，其适用范围由“国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统”，扩大为“境内建设、运营、维护、使用网络的单位原则上都要在等保的使用范围”，标志着所有网络运营者都要对相关网络设施展开等级保护工作。网络空间安全顶层文件的陆续出台，为我国网络空间安全发展指明了方向和道路，对维护我国网络空间主权、保障国家网络安全具有重要意义。

二、行业政策陆续出台

2018年，我国各行业出台多项网络空间安全相关政策文件，强化网络空间的安全管理。2月，教育部印发《2018年教育信息化和网络安全工作要点》；3月，中央网信办和中国证监会联合印发《关于推动资本市场服务网络强国建设的指导意见》；5月，工业和信息化部印发《关于纵深推进防范打击通讯信息诈骗工作的通知》；11月，公安部印发《互联网个人信息安全保护指引（征求意见稿）》。

三、法规体系逐渐完善

2018年，我国颁布多部网络安全相关法规，丰富完善了我国网络安全法规体系。2月，国家互联网信息办公室发布《微博客信息服务管理规定》，成为新时代微博客健康有序发展的重要指引。5月，国家邮政局颁布《快递暂行条例》，特别注重对个人信息安全的保护，对快递行业提升整体个人信息保护水平具有重要指引和规范作用。6月，公安部发布《网络安全等级保护条例（征求意见稿）》，细化了网络安全等级保护制度，作为《网络安全法》的重要配套法规。8月，《中华人民共和国电子商务法》由中华人民共和国第十三届全国人民代表大会常务委员会第五次会议正式通过，在均衡考虑电子商务各主体的权利和义务上，该法侧重保护消费者利益，适当加重了电子商务经营者责任，解决了现在消费者易受侵害的问题，同时完善和创新了符合电子商务发展特点的协同监管体制和具体制度，并鼓励社会各界共同参与电子商务治理，充分利用行业自身的治理机制和社会监督力量。9月，公安部部长办公会议通过《公安机关互联网安全监督检查规定》，明确了公安机关对互联网服务提供者和互联网使用单位履行法律、行政法规规定的网络安全义务情况进行的安全监督检查的职责，对提高互联网领域监管和执法能力具有积极的示范作用。12月，国家互联网信息办公室颁布《金融信息服务管理规定》，对金融信息服务机构的内容管理及行为管理做出明确规定，对于解决金融信息服务安全问题具有很强的针对性。

第二节 标准制定步伐加快

一、国家标准体系日趋完善

（一）国家标准颁布数量增加

自1995年我国颁布首个网络安全领域国家标准，20多年来，我国网络安全标准数量持续增加，增长率保持在较高水平，标准建设进入快速发展期。截至2018年年底，全国信息安全标准化技术委员会发布的网络安全国家标准数量达291个，整体呈现上升趋势。其中，2018年全国新发布的网络安全国家标准53个，具体情况如表2-1和图2-1所示。

（二）国家标准体系日趋完善

我国的网络安全国家标准分为基础标准、技术标准、管理标准和应用标准四大类。从1995年开始，历经20余年的发展，我国网络安全标准体系基本建立，2018年各类国家标准继续完善。我国网络安全标准建设详细情况见表2-2。

（三）密码相关标准数量增长放缓

密码是网络安全的基础，对网络安全发展起着重要支柱作用。我国国产密码算法已经广泛应用于金融、政务等重要领域，并不断向电子商务、互联网服务等领域发展。2018年，国家密码相关标准发布数量较少。在2018年发布的53个网络安全国家标准中，密码相关标准仅有2个，分别为GB/T 36322—2018《信息安全技术 密码设备应用接口规范》和GB/T 37092—2018《信息安全技术 密码模块安全要求》。

二、重点行业标准稳步推进

（一）通信行业网络安全标准体系不断完善

随着5G等通信网络的发展，信息通信领域网络安全问题日益凸显。为促进通信行业健康发展，通信行业网络安全相关标准陆续出台，标准体系不断完善。截至2018年12月，我国通信行业网络安全相关标准数量达到55个，见表2-3。其中，2018年发布通信行业网络安全标准8个，分别为《传送网设备安全技术要求 第5部分：OTN设备》《传送网设备安全技术要求 第6部分：PTN设备》《面向物联网的蜂窝窄带接入（NB-IoT）安全技术要求和测试方法》《集装箱式互联网数据中心安全技术要求》《通信用架空钢绞线绝缘安全护套技术要求和测试方法》《网上营业厅安全防护检测要求》《网络交易系统安全防护检测要求》《电信网和互联网安全服务实施要求》。

（二）保密行业安全标准尚无进展

保密行业由于其特殊性，在标准发布上进展缓慢，截至2018年12月，仅有32部保密行业信息安全标准，见表2-4。2018年没有公布新的保密行业信息安全标准。

（三）等级保护标准体系趋于完善

等级保护标准是我国重要行业和领域网络安全的重要保障，等级保护行业标准已形成以公安部门为核心，中国人民银行、交通运输部、工信部、国家邮政局、国家烟草专卖局、海关等部门形成等级保护技术的相关行业标准体系。截至2018年年底，全国等级保护行业标准总量达到18个，如表2-5所示。其中，2018年发布5个等级保护行业标准，分别是《信息安全技术 网关设备性能测试方法》《信息安全技术 网络型流量控制产品安全技术要求》《信息安全技术 移动终端安全管理与接入控制产品安全技术要求》《信息安全技术 网站监测产品安全技术要求》《信息安全技术 交换机安全技术要求和测试评价方法》。

三、团体标准受到高度重视

2016年8月，中央网络安全和信息化领导小组办公室、国家质量监督检验检疫总局和国家标准化管理委员会联合发布《关于加强国家网络安全标准化工作的若干意见》（中网办发文〔2016〕5号）提出，“引导社会公益性基金支持网络安全标准化活动”。2018年，各行业组织、联盟等高度重视团体标准研制工作，我国在信息技术领域团体标准建设方面取得新突破。2018年，我国已发布的网络安全领域团体标准数量达到5个，如表2-6所示，包括《智能硬件轻量级操作系统规范 数据安全》《基于公众电信网的联网汽车信息安全技术要求》《就绪可用软件产品（RUSP）安全质量评价标准 第1部分：安全质量模型》《就绪可用软件产品（RUSP）安全质量评价标准 第2部分：安全质量要求和等级划分指南》和《区块链技术安全通用规范》。

第三节 基础工作稳步开展

一、个人隐私保护重视程度不断提高

2018年，我国高度重视公民个人信息保护问题，各行业都颁布制度法规和标准，规范APP运营商、服务提供商等收集、使用个人信息的行为，个人隐私保护成为普通老百姓热议的话题，受到空前的关注。一方面，个人信息保护相关的制度法规和标准不断完善。5月，《信息安全技术 个人信息安全规范》正式实施，对企业收集、使用、共享个人信息等行为、个人信息安全事件处理及组织的管理等提出了较为详细、明确的指引和参考。11月，公安部网络安全保卫局发布《互联网个人信息安全保护指引（征求意见稿）》，旨在健全公民个人信息安全保护管理制度和技术措施，防范侵犯公民个人信息违法行为，保障网络数据安全和公民合法权益。另一方面，个人信息保护专项行动陆续开展。工信部年初约谈了百度、今日头条、蚂蚁金服等互联网企业，就用户协议默认勾选、个人信息收集目的告知不明确等问题进行了通报并要求限期整改。8月，中央网信办启动第二期隐私条款专项工作，对出行旅游、生活服务、影视娱乐、工具资讯和网络支付五大类30款产品进行了隐私条款审查。

二、持续加强关键信息基础设施保护

2018年，我国持续加强对关键信息基础设施的保护力度，出台了多部关键信息基础设施保护相关的法规和标准，为关键信息基础设施保护提供了依据。6月，由公安部牵头，会同中央网信办、国家保密局、国家密码管理局联合制定的《网络安全等级保护条例（征求意见稿）》公开向社会征求意见。等级保护制度是关键信息基础设施保护的基础，关键信息基础设施是等级保护制度的保护重点，关键信息基础设施要按照网络安全等级保护制度要求，开展定级备案、等级测评、安全建设整改、安全检查等强制性、规定性工作。8月，为落实关键信息基础设施防护责任，提高电信和互联网行业网络安全防护水平，工信部开展2018年电信和互联网行业网络安全检查工作，重点对电信和互联网行业网络基础设施、用户信息和网络数据收集、公共云服务平台、公众无线局域网、公众视频监控摄像头等物联网平台、网约车信息服务平台、车联网信息服务平台等进行检查。此外，天津等多地启动2018年关键信息基础设施网络安全检查工作，强化关键信息基础设施网络安全防护能力和水平。

三、互联网网络安全治理力度显著提升

2018年，中央网信办、工信部、公安部等部委陆续开展相关治理行动，打击电信诈骗、网络色情、不良信息、网络攻击等网络违法犯罪行为。2月，中央网信办颁布《微博客信息服务管理规定》，建立健全了用户注册、信息发布审核、跟帖评论管理、应急处置、从业人员教育培训等制度及总编辑制度。2月，针对群众反映强烈的侵犯公民个人信息犯罪，公安部在全国范围深入开展打击整治网络违法犯罪“净网2018”专项行动。5月，工信部印发《关于纵深推进防范打击通讯信息诈骗工作的通知》，并于6月部署推进防范打击通讯信息诈骗工作。此外，国家计算机网络应急技术处理协调中心2018年积极协调处置网络安全事件约10.6万起，包括网页仿冒、安全漏洞、恶意程序、网页篡改、网站后门、DDoS攻击等事件，并在主管部门指导下，联合基础电信企业、云服务商等持续开展DDoS攻击资源专项治理工作，从源头上遏制了DDoS攻击行为，有效降低了来自我国境内的攻击流量。

第四节 产业实力不断提升

一、产业规模保持较高增长

2018年，得益于网络安全政策的密集发布，以及各行业、领域不断加强对网络安全的重视程度，我国网络安全产业发展环境得到了大幅改善，政府部门、互联网企业、快递企业等行业和领域的单位在网络安全方面的投入持续增加，拉动了网络安全产业市场需求。在政策和市场的双重驱动下，我国网络安全产业规模保持了较高速度的发展，尤其是在网络攻防、网络可信身份服务等方面，市场需求迫切，该细分领域的网络安全产业规模增长幅度远远超出预期，保持了高速增长势头。据统计，2018年，包括基础安全产业、IT安全产业、灾难备份产业、网络可信身份服务业在内的中国网络安全市场规模约为2183.5亿元，同比增长12.9%。

二、网络安全产业集聚发展

2018年，伴随国家大力发展网络安全产业的利好政策出台，各地政府频繁开展与网络安全龙头企业的合作，纷纷建设网络安全产业园区，吸引网络安全产业入驻，打造网络安全聚集发展的新局面。360集团与雄安新区在网络安全多个领域开展全方位、深层次的战略合作，推动实现网络安全核心技术研发突破。启明星辰与天津市滨海新区人民政府达成战略合作，共同打造天津市网络安全产业创新基地；与无锡市人民政府在物联网和信息安全产业领域开展全方位战略合作，包括建立启明星辰物联网安全总部基地，打造物联网安全产业生态圈。绿盟科技借助成都市高新区优质的产业环境，建设西南区总部基地，发展云计算安全等信息安全相关产业；与武汉临空港区管委会签署战略合作，共同打造人才培养、技术创新、产业发展的一流网络安全创新园区。

三、企业整体实力明显提升

2018年，我国网络安全企业通过与科研机构、高校等开展战略合作，强强联手、取长补短，促使企业整体实力得到显著提升。腾讯与北京航空航天大学共建网络生态安全联合实验室，在网络攻防、渗透测试、恶意软件检测等方向展开科研合作。启明星辰与国家工业信息安全发展研究中心进行战略合作，开展工控安全技术产业研究。中科曙光与下一代互联网国家工程中心共建国家先进计算产业创新中心，加速推动我国IPv6部署。绿盟科技深化与中国移动在网站安全、抗DDoS攻击能力、漏洞处置等方面的战略合作。北信源与中治研共建“大数据与信息安全实验室”，聚焦金融行业应用、金融级安全应用、大数据安全等多方面技术研发。

第五节 技术能力显著提升

一、新兴技术与网络安全快速融合

2018年，人工智能、大数据、区块链、量子计算等新技术应用于网络安全领域，新兴技术与网络安全融合速度加快。360公司基于EB级网络安全大数据的网络安全态势感知与运营平台，利用大数据存储与智能分析、海量多源异构数据融合与展示、云地结合的网络安全威胁检测等领先技术，实现了针对不同空间、时间、行业和威胁类别的全天候、全方位的网络安全监测、预警和响应，支持10亿级终端和网络安全设备的大规模、自动化应急处置和溯源分析。10月，华为发布了HiSec华为智能安全解决方案，该方案通过云上和云下智能联动，实现集中智能和边缘智能配合；利用开放架构，实现基于软件定义的安全产品间动态配合；最终实现与ICT基础设施的安全配合。与此同时，华为还推出了USG6000E系列AI防火墙，通过引入AI技术，让下一代防火墙再次进化。

二、安全防护能力逐步增强

2018年，我国网络安全产业通过加大投入研发力量，网络安全核心技术取得长足发展，网络安全产品性能不断提高，网络安全公共服务平台的建成与使用，更好地满足了各行业、各领域的网络安全需要。在网络安全领域，中国网安发布了工业网络安全智能监测系统，能采集网络中的工业控制流量和IT流量，深度解析数据，识别网络异常，实时发送警告。中国联通的云盾DDoS防护产品实现了引流路由与骨干网正常路由的隔离、精细化路由控制、分布式的攻击防护模型、基于大数据的用户攻击流量态势感知平台、全网统一的集中业务管理与调度，增强了运营商网络基础设施的安全防护能力。在工业互联网领域，迈普通信发布了自主可控核心网络设备采用国产核心元器件，是国内最高性能的自主可控网络设备，可替代国际主流同档次产品。

三、区块链技术应用发展迅速

2018年，国家及各部委出台的相关区块链政策有10余项，推动区块链技术在应用推广层面取得重大突破，区块链吸引众多资本注入，向各行业领域延伸。在金融领域，蚂蚁金服推出“蚂蚁区块链”双链通，以核心企业的应付账款为依托，以产业链上各参与方的真实贸易为背景，让核心企业的信用可以在区块链上逐级流转，并于10月邀请某汽车制造商为核心企业，联合供应链上各层级的5家企业，开展试点工作。在电子政务领域，深圳市税务局与腾讯公司于8月共同推出“区块链+税务”应用，并在当天开出了基于区块链的电子发票。在司法治理领域，1月区块链存证联盟链“众链”落地，用于为客户提供电子数据多方存证、取证、司法鉴定、公证等服务，解决区块链存证司法落地问题。在物流方面，3月腾讯与中国物流与采购联合会联合发布了首个合作项目——区块供应链联盟链及云单平台，标志着腾讯区块链正式落地物流场景。在工业领域，11月上海万向区块链、中都物流、星辰银行等联合宣布，正式上线基于区块链技术的“运链盟——汽车供应链物流服务平台”。

第六节 国际合作多点开花

一、网络安全双边合作硕果累累

2018年，我国不断加深与泰国、德国、俄罗斯等国家的双边交流与合作，取得丰硕成果。3月，中泰数字经济部级对话机制第一次会议在云南昆明召开，双方围绕“工业互联网”“网络安全”等议题进行深入交流并达成共识，将加强企业间网络安全技术应用和最佳实践的交流合作，共同推进中国—东盟网络安全交流培训机制建设。5月，公安部副部长侍俊与德国联邦内政部国务秘书克林斯在北京共同主持中德高级别安全对话框架下的网络安全磋商，就网络犯罪和网络安全领域相关立法情况等进行了交流，并就加强网络安全执法合作进行了深入探讨。9月，中俄总理定期会晤委员会信息与通信技术分委会第十七次会议在海南召开，工业和信息化部副部长陈肇雄与俄罗斯联邦数字发展、通信与大众传媒部副部长伊万诺夫共同主持会议，双方就通信网络和通信服务、数字经济、信息技术、网络安全、无线电频率协调、邮政合作等议题达成了广泛共识，国家工业信息安全发展研究中心与俄罗斯卡巴斯基实验室战略合作签署协议。

二、积极参与国际和地区多边会议

2018年，我国积极利用联合国、金砖、欧盟、东盟等国际组织和联盟，参与互联网空间治理工作，宣扬我国网络主权观念，推动构建公平、透明的互联网治理体系。3月，联合国网络犯罪政府专家组第四次会议在维也纳举行，中国代表团提出尊重网络主权、推动树立网络空间命运共同体理念等理念和主张被纳入会议最终报告。5月，中欧数字经济和网络安全专家工作组第四次会议举行。7月，金砖国家领导人第十次会晤在约翰内斯堡举行，各国在会议上重申在联合国主导下制定负责任国家行为规则、准则和原则对确保信息和通信技术安全使用的重要性，并认为应建立金砖国家网络安全合作框架，为此金砖国家将继续考虑制定相关政府间合作协议。9月，中国—东盟博览会2018网络安全协同创新论坛在南宁召开，论坛以“建设网络安全协同创新体系，实践网络空间命运共同体”为主题，致力于推动网络空间安全协同创新体系建设，构建协同创新的互联网安全新生态。

三、举办国际会议搭建沟通桥梁

2018年，我国积极举办各类网络安全会议，搭建政府政策宣传平台，为业内专家、学者、企业代表等多方人士的交流搭建舞台，推动网络安全技术交流和经验分享。5月，2018中国国际大数据产业博览会在贵阳召开，围绕“数据安全”主题，从大数据国家治理、数据安全保障等角度，邀请了全球顶级大数据企业和大数据领军人物同台论道。8月，首届中国国际智能产业博览会在重庆举行，有国内外500多家相关领域的知名企业和权威机构参加，9月，2018互联网安全大会（ISC 2018）在北京召开，集聚了全球安全机构和安全专家，围绕全球网络空间安全政策、城市安全、政企安全、网络反恐和犯罪治理、工业互联网安全、金融安全、关键信息基础设施保护、区块链与安全等话题举行了33场分论坛。12月，第五届世界互联网大会在乌镇举行，大会聚焦人工智能、5G、大数据、网络安全、数字丝路等热点议题，邀请了来自76个国家和地区的约1500名嘉宾分享观点。