第三章 2018年我国网络安全发展主要特点

2018年，我国网络安全领域呈现出四大特点。一是个人信息保护成为各方关注的焦点。国家加紧推进个人信息保护制度和法规的制定和出台，开展专项治理行动，规范运营者收集使用个人信息的行为，并不断完善个人信息保护相关标准。二是网络空间环境治理成果显著。通过一系列政策法规的出台不断明确治理思路，针对涉及老百姓切身利益的电信诈骗等网络犯罪行为打击力度不断增强，并配合建设公共服务平台收集举报信息。三是网络可信体系建设日趋完善。网络可信技术快速更新以适应新业务、新应用需要，网络可信的服务范围不断扩大，服务模式不断丰富，多因素身份识别模式广泛应用。四是网络安全力量逐渐“走出去”。国家在高度重视网络安全力量培养的同时，积极发挥“一带一路”作用，鼓励和支持网络安全企业走出去，联合开展网络安全人才培训等交流合作项目。

第一节 个人信息保护成为关注焦点

一、个人信息保护法规加紧制定和出台

为加强个人信息保护，规范网络经营者收集使用个人信息的行为，营造良好的个人信息保护环境，2018年，我国出台了一系列个人信息保护相关制度和法规，共同推动全社会形成个人信息保护的良好氛围。6月，市场监督管理总局等部门印发2018年网络市场监管专项行动（网剑行动）方案的通知，提出要加大对未经同意而收集、使用、泄露、出售或者非法向他人提供消费者个人信息行为的处罚力度，依法打击惩处窃取或者以其他非法方式获取、出售或者向他人提供个人信息的犯罪行为。11月，为指导互联网企业建立健全公民个人信息安全保护管理制度和技术措施，有效防范侵犯公民个人信息的违法行为，保障网络数据安全和公民合法权益，公安部网络安全保卫局发布《互联网个人信息安全保护指引（征求意见稿）》向全社会征求意见。

二、系列行动推动运营者规范收集使用行为

为规范运营者收集使用个人信息行为，2018年，中央网信办、工信部、公安部等部委开展了众多个人信息保护的相关行动。2018年年初，工信部约谈了百度、今日头条、蚂蚁金服等互联网企业，就用户协议默认勾选、个人信息收集目的告知不明确等问题进行了通报并要求限期整改，维护用户的合法权益。7月，公安部网络安全保卫局集中约谈境内WiFi分享类网络应用服务企业，要求相关企业采取措施，切实加强公民个人信息保护。8月，中央网信办启动第二期隐私条款专项工作，对出行旅游、生活服务、影视娱乐、工具资讯和网络支付五大类30款产品进行了隐私条款审查。8月，工信部依据《电信和互联网用户个人信息保护规定》等法规，组织开展了2018年电信和互联网行业网络安全检查工作。9月，2018年国家网络安全宣传周“个人信息保护日”活动在成都举行，大力普及网络安全知识，树立良好的网络安全意识和提升网络安全防范技巧，教育引导广大网民。

三、个人信息保护标准体系逐渐完善

为配合推进个人信息保护工作，全国信息安全标准化委员会等标准机构也加紧制定和出台个人信息保护相关标准，标准制定工作稳步推进。5月，《信息安全技术 个人信息安全规范》正式实施，该标准对企业收集、使用、共享个人信息等行为、个人信息安全事件处理及组织的管理等提出了较为详细、明确的指引和参考，其附录也对企业在保障个人信息主体选择权及制定隐私政策等方面提供了相应的模板，对企业的合规工作具有较高的参考价值。同月，《信息安全技术 移动智能终端个人信息保护技术要求》也正式实施，该标准规范了全部或部分通过移动智能终端进行个人信息处理的过程，根据移动智能终端个人信息的分类和不同的处理阶段，对相应的个人信息保护提出了技术要求，适用于指导公共及商业用途的移动智能终端进行个人信息的处理。

第二节 网络空间环境治理成果显著

一、网络空间环境治理法规陆续出台

为了净化网络空间，中央网信办、工信部、公安部等部委制定出台了多部网络空间环境治理法规，建立网络综合治理体系，营造清朗的网络空间。2月，中央网信办颁布了《微博客信息服务管理规定》，要求微博客服务提供者应当落实信息内容安全管理主体责任，建立健全用户注册、信息发布审核、跟帖评论管理、应急处置、从业人员教育培训等制度及总编辑制度，具有安全可控的技术保障和防范措施，配备与服务规模相适应的管理人员。5月，工信部印发《关于纵深推进防范打击通讯信息诈骗工作的通知》，明确了包括加强实人认证工作、规范重点电信业务、加强钓鱼网站和恶意程序整治、开展网上诈骗信息治理、强化数据共享和协同联动、严控新兴领域通讯信息诈骗风险、完善举报通报机制、强化企业责任落实、加强宣传教育九项重点任务。

二、电信诈骗等网络犯罪打击力度不减

通过开展专项治理行动，工信部、公安部等部委开展了一系列打击电信诈骗等网络犯罪行为，取得了良好效果。1月，由国务院打击治理电信网络新型违法犯罪部际联席会议办公室指导、腾讯公司主办的主题为“开放共享，携手共治”的2018年守护者计划大会在北京召开，工信部、公安部、最高人民法院、最高人民检察院等部门共同参与。2月，公安部在全国范围内召开了会议，部署全国公安机关深入开展打击整治网络违法犯罪“净网2018”专项行动，重点针对群众反映强烈的侵犯公民个人信息犯罪，坚决捣毁窃取、贩卖公民个人信息的公司、平台，坚决打击窃取、贩卖公民个人信息的企事业单位内部人员，摧毁利用公民个人信息实施诈骗、盗窃、敲诈勒索等犯罪团伙组织体系。6月，工信部部署推进防范打击通讯信息诈骗工作，以“400”为代表的重点电信业务整治成效明显，涉案“400”号码数量大幅下降，依法配合关停涉案号码超10万个，配合查处案件近万起。

三、各类公共服务平台发挥重要作用

在网络空间环境治理过程中，各类公共服务平台发挥了重要作用，公民可以在12381等服务平台进行举报，充分调动和发挥了群众的积极性，参与共同打击网络犯罪行为，形成全民共同营造清朗的网络空间的良好局面。9月，工信部12381公共服务电话平台（简称“12381”）正式开通运行，主要负责受理并办理公众就工信部相关工作提出的咨询、建议和投诉。公安部网络违法犯罪举报网站2018年累计受理网民举报48.3万条，举报网站新增注册用户261218个、发送注册激活邮件350310条。经逐条核实，梳理有效举报11.7万条。其中，网络赌博类有效举报48777条，占41.4%；淫秽色情类有效举报39548条，占33.6%；网络诈骗类有效举报20593条，占17.5%。

第三节 网络可信体系建设日趋完善

一、网络可信服务技术快速发展

随着密码、身份认证等技术的快速发展，我国网络可信技术也取得了长足的进步，以生物识别、大数据行为分析、量子加密等技术为代表的第三代网络可信技术获得广泛的研究和应用。在指纹识别技术方面，北大高科等对指纹识别技术的研究开发处于国际先进水平，已推出多款产品；汉王科技公司在一对多指纹识别算法上取得重大进展，达到的性能指标中拒识率小于0.1%，误识率小于0.0001%，居国际先进水平。在用户行为分析方面，阿里巴巴和腾讯通过淘宝、天猫、QQ、微信等应用积累了大量用户行为数据，并提取了上万个行为维度，通过建立自学习的风险控制引擎（Risk Engine）实现对用户异常行为（可疑登录、转账）的质疑和阻止。

二、网络可信服务范围不断扩大

2018年，我国网络可信服务产业快速成长，服务范围进一步扩大，尤其是电子政务领域和公共服务领域。在电子政务领域，截至2018年年底，应用在电子政务领域的有效数字证书已超过1300万张，分布非常广泛，包括税务、工商、质监、组织机构代码、社保、公积金、政务内网、采购招投标、行政审批、海关、房地产、民政、财政、计生系统、公安、工程建设、药品监管等领域。在公共服务领域，据统计，有超过10万个第三方应用已经接入或已提交接入腾讯开放平台的申请，有3万家网站已经使用了QQ互联的登录系统；接入新浪微博开放平台的连接网站已超过18万家；接入支付宝和淘宝开放平台的第三方应用已超过20万个，网站超过5万个。

三、网络可信服务模式不断丰富

2018年，网络可信服务模式也在与时俱进、不断更新，以适应新技术、新应用、新业务的发展需要，尤其是电子商务和公共服务领域。在电子商务领域，多维度融合的身份认证方式得到广泛应用，据统计，有78.3%网购用户在进行网络支付中使用两种以上身份认证方式，其中又有80%以上的用户经常使用“指纹识别+手机验证码”的组合认证方式。在公共服务领域，以社交应用为代表的公共服务应用形成了以第三方账号授权登录为主的身份认证方式。主流的第三方授权登录服务平台有腾讯的QQ互联、新浪微博的微连接、淘宝/支付宝账号登录和人人账号登录等，普遍使用OAuth和OpenID技术，据公开资料显示，85%以上的网民使用过第三方授权登录服务，50%的网民经常使用该服务。

第四节 网络安全力量逐渐“走出去”

一、积极参与网络安全国际交流与合作

随着我国网络安全产业的快速发展，网络安全也跟随国家“一带一路”倡议走出国门，与俄罗斯、泰国、东盟等国家和地区，在技术交流、产品研发、威胁信息共享等方面开展了务实合作。国家计算机网络应急技术处理协调中心（以下简称“中心”）积极与日本、韩国、德国、欧盟、东盟等在威胁信息共享、网络安全应急演练方面开展交流合作，3月，中心参加了亚太地区计算机应急响应组织（APCERT）发起举办的2018年亚太地区网络安全应急演练；8月，中心与日本计算机应急响应协调中心（JPCERT/CC）和韩国计算机应急响应协调中心（KrCERT/CC）共同召开了第六届中日韩互联网应急年会，并同意在削减DDoS攻击方面加强合作；10月，中心在上海举办中国—东盟网络安全应急响应能力建设研讨会，东盟国家信息通信主管部门和国家级CERT组织的21名代表参会。

二、推动网络安全人才联合培养和交流

网络安全产业发展离不开人才队伍建设，依托与俄罗斯、欧盟等国家和地区的网络安全交流合作，我国积极推动网络安全人才联合培养和交流活动，以提升我国网络安全人才的专业能力和水平。9月，中俄工科大学联盟在中俄信息与通信技术分委会会议上，从人才培养、科学研究和未来工作计划三个方面，就中俄高校在IT和通信领域合作提出建议，并与卡巴斯基实验室等企业代表探讨建立知名校企联合培养模式，建立学生实习实训基地，举办中俄大学生创新创业大赛等多种合作模式。11月，“人才引领·智创未来——‘一带一路’中俄信息技术交流与人才培养论坛”在北京召开，论坛以“一带一路”全球经济新格局的发展趋势为指引，加强中俄信息技术交流和人才培养。此外，武汉大学、北京邮电大学等高校也积极探索与国外高校联合培养网络空间安全人才。

三、鼓励网络安全企业“走出去”

在“一带一路”倡议的推动下，我国与东盟、中亚等“一带一路”沿线国家和地区在网络安全领域的合作交流变得更为频繁，网络安全合作进一步加深。依托中俄总理定期会晤机制信息与通信技术分委会会议，9月，国家工业信息安全发展研究中心与卡巴斯基签署战略合作协议，在工控安全技术支持、产业发展等方面开展合作。双方将建立工控安全联合实验室，共同提升工控安全技术研究水平，在工控安全培训、漏洞研究、威胁情报、安全竞赛等多个领域建立战略合作伙伴关系，共同推进工业信息安全产业持续发展。11月，中国网安与俄罗斯卡巴斯基实验室在乌镇共同签署战略合作备忘录，深化工控安全、威胁情报、安全培训等方面合作。此外，绿盟科技等网络安全公司也积极拓展海外市场，陆续在美国、日本、新加坡、英国设立海外分公司，深入开展全球业务。