日前，由中国计算机学会主办、中国计算机学会计算机安全专业委员会承办的2020年中国网络安全大事在京发布。来自中国工程院、中国科学院、公安部的专家学者，以及来自多家安全厂商的业内人士纷纷表示，网络安全牵一发而动全身，没有网络安全就没有国家安全，2020年我国网络安全政策制度不断完善，为网络安全发展筑就了坚实防线。下一步，需要继续夯实法律和政策制度保障；政府监管部门、企业、社会多方要强化风险意识和责任担当，切实保障关键信息基础设施、重要数据和个人信息安全；同时，大力推动网络安全教育、技术、产业融合发展，共同打造人才培养、技术创新、产业发展的良性生态，打造网络安全新格局。

公安机关网安部门疫情期间消除网络安全风险隐患

2020年，面对突如其来的新冠肺炎疫情，全国公安网安部门、全体网安民警在党中央和公安部党委的坚强领导下，经过公安部十一局的统筹指挥、强化组织部署，再次展现出了新时代高科技警种的风采，为全国抗疫斗争作出了重要贡献。

一是打谣止谣，稳定人心。以涉疫情谣言等不实信息为重点，强化网上巡查管控，推动落实主体责任，及时处置了一大批涉疫违法有害信息，有效制止了不实信息的传播扩散，特别是在疫情最严重的时期，稳定了民众的恐慌情绪。

二是打击涉疫犯罪，维护抗疫秩序。依法严打涉疫网络违法犯罪活动，治安处罚泄露、传播涉疫公民个人信息的违法犯罪人员，会同有关部门及时查获网上涉疫诈骗，以及制售假冒伪劣口罩、防护服、耳温枪等涉疫案件，有力保护了人民群众生命财产安全，维护了抗疫秩序。

三是发挥大数据作用，服务精准防控。核查重点地区流出人员、确诊病例密切接触人员、境外输入人员等，勾勒流调图谱，及时消除了疫情扩散蔓延隐患。

四是强化网络防护，保障重要信息系统安全。加强涉疫情防控重要信息系统安全保护工作，组织开展网络安全专项执法检查，及时发现整改信息系统和数据安全隐患，有力支撑疫情防控工作。

奇安信科技集团股份有限公司高级副总裁曲晓东：

新型信息安全风险迎来强监管

随着网上银行业务的大规模开展，大量金融数据被逐渐积累，金融数据的应用存在滥用和用户隐私保护的担忧。2020年，中国人民银行相继正式发布新修订的金融行业标准《网上银行系统信息安全通用规范》和金融行业标准《个人金融信息保护技术规范》，针对互联网时代出现的新型信息安全风险进行规范和监管。

其中，2020版《网上银行系统信息安全通用规范》为网上银行系统的建设和运营提供了依据，为开展内部安全检测和合规性审计提供了依据，为行业主管部门、评估测试机构进行检查、检测提供了依据。《个人金融信息保护技术规范》系首次制定，规范个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求，从安全技术和安全管理两个方面，对个人金融信息保护提出规范性要求；同时，加强个人金融信息安全管理，指导各相关机构规范处理个人金融信息。

2020版《网上银行系统信息安全通用规范》提升了网上银行系统的安全防护能力，在2020国家级实战攻防演练中得到验证。相比之下，《个人金融信息保护技术规范》的推广落地尚有不足，虽然银行在个人金融信息的应用上日趋规范，但是数据安全和合规应用仍是一项长期的系统工程。

公安部第三研究所所长助理、首席科学家金波：

《信息安全技术 个人信息安全规范》新版本 将促进数据依法合规有效利用

2020年3月6日，中国电子技术标准化研究院组织修订的《信息安全技术 个人信息安全规范》正式发布。

从2017年到2020年，国内外对个人信息和数据安全保护从立法、执法、司法等方面深入推进。国外以 GDPR 为主的个人信息保护及数据安全立法效应持续蔓延；各国监管机构对个人信息保护与数据安全呈现出强监管、抓重点的态势。我国国内在国家层面的顶层制度设计方面加紧推进，数据作为一种新型生产要素被写入中央文件中，《民法典》明晰了个人信息处理的内涵、原则和条件。《中华人民共和国数据安全法（草案）》《个人信息保护法（草案）》分别在2020年7月和10月公布；围绕APP个人信息收集、个人信息非法获取与非法出售、数据流量劫持等问题加强监管。

《信息安全技术 个人信息安全规范》2020年的修订立足问题导向，结合产业发展，回应了国内外个人信息保护的法律与合规实践，契合我国相关法律法规要求，增强了指导性和适用性，着力解决近年来出现的个人信息安全新问题。《信息安全技术 个人信息安全规范》新版本的实施，将推进企业、机构落实个人信息处理者的义务和责任，保护个人信息安全，促进数据依法合规有效利用，维护网络空间良好生态。

中国科学院计算技术研究所研究员刘欣然：

《网络信息内容生态治理规定》营造良好网络生态

《网络信息内容生态治理规定》的出台，是落实党的十九届四中全会提出的“建立健全网络综合治理体系，加强和创新互联网内容建设”的要求，同时维护广大网民切身利益，营造良好网络生态。

首先，治理规定明确了四大主体在生态治理中的功能和作用，以及彼此的协作配合关系，摆脱了传统的管理与被管理、支配与被支配的关系。做好网络信息内容管理的顶层设计，充分利用各种社会力量，努力打造起网络信息内容生态的利益共同体，逐步建设起网络空间的良好生态。

其次，治理规定提出了对网络信息内容生态中各主体的要求，明确了信息内容管理的红线和底线，细化了治理手段和标准，为生态治理提供了综合性解决方案。

再次，治理规定明确了各参与主体的法律责任，完善了民事、行政和刑事法律责任相衔接的体系化规定。特别着重指出不得利用深度学习、虚拟现实等新技术新应用从事法律、行政法规禁止的活动。

治理规定的正式实施，是我国网络信息内容的生态治理正式纳入法治轨道的重要标志。网信等主管部门在履行好自身职责基础上，应充分利用社会各方力量，逐步建立完善监督机制，群策群力，形成网络空间综合治理体系。

中国人民公安大学原书记、校长程琳：

“净网2020”专项行动重拳打击网络违法犯罪产业链

网络违法犯罪已占全社会犯罪总量的1/3以上。电信网络诈骗、网络赌博、网络水军等突出违法犯罪行为，严重影响了网络公信力，破坏了网络安全。公安部决定在“净网2019”的基础上在全国公安机关网安部门发起“净网2020”打击网络黑产犯罪集群战役，重拳打击电信网络诈骗、网络赌博、网络水军等突出违法犯罪活动。

“净网2020”专项行动取得了以下成果：一是不断强化打击网络违法犯罪势头。2020年，进一步深入和强化对网络违法犯罪的打击，以及整治网络社会和网络空间安全秩序的力度，形成持续打击、决不允许网络犯罪蔓延上升的态势；二是突出坚决打击网络违法犯罪黑色产业链。比如，打断网络违法犯罪产业链的链条，打掉为网络违法犯罪活动提供销售网络网卡、猫池设备、非法QQ号销售网站、接码服务、网号恶意注册、技术支撑、支付结算、推广引流等的违法犯罪黑色产业链；三是“净网2020”专项行动遏制了网络违法犯罪高发的势头，进一步打击了网络违法犯罪活动，进一步净化了网络环境，有力维护了网络安全秩序；四是通过“净网2020”专项行动，提高了人民群众防范电信网络诈骗等违法犯罪活动的意识，减少了个人钱财等经济损失，维护了社会安全稳定。

杭州安恒信息技术股份有限公司高级副总裁刘志乐：

企业应加速建立完整的 数据安全管理体系和数据安全治理体系

2020年4月，中共中央国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》，明确提出加快培育数据要素市场，推进政府数据开放共享、提升社会数据资源价值、加强数据资源整合和安全保护。

数据作为生产要素进入市场，需要解决数据确权、隐私保护、数据流动自主可控等关键数据安全保障难题，在此过程中数据分类分级将是所有工作中的首要任务，发挥重要支撑推动作用。下一步，建议企业从制度流程、人员能力、组织建设、技术工具四个维度构建数据分类分级能力。

在制度流程上，数据安全具体管理制度体系的建设和执行，包括数据安全方针和总纲、数据安全管理规范、数据安全操作指南和作业指导，以及相关模板和表单等。在人员能力上，核心能力包括数据安全管理能力、数据安全运营能力、数据安全技术能力、数据安全合规能力。在组织建设上，建立数据安全组织架构、职责分配和沟通协作机制，包括决策层、管理层和执行层等三层结构。在技术工具上，与制度流程相配套并保证有效执行的技术和工具，可以是独立的系统平台、工具、功能或算法技术等。

中国科学院大学教授荆继武：

《网络安全审查办法》筑起风险管理前移的安全防线

2020年4月，国家互联网信息办公室、国家发改委等12个部门联合发布了《网络安全审查办法》。通过开展网络安全审查，预判和检查产品及服务投入使用后可能带来的网络安全风险，防范因产品安全漏洞引发的安全事件。

伴随数字基础设施规模化建设和应用，网络系统将承载与国家安全和经济发展密切相关的重要业务和关键信息。然而，部分知名厂商提供的设备中仍存在较多安全漏洞，一旦被攻击入侵，将可能造成生产停滞、断水断电、重大经济损失等后果。面对日益严峻的网络安全形势，开展严格的安全审查是现阶段防范安全风险的适时之举。

《网络安全审查办法》明确和细化了我国网络安全审查的具体要求，为关键信息基础设施运营者申报审查提供了指引；构建起了多部门协同配合的组织体系，为关键系统设备上线运行及服务采购设立了安全门槛；建立了网络安全产品和服务安全风险预判机制，从识别威胁、化解风险的角度，推动安全关口前移，强化供应链安全风险管控，提升网络安全保障水平。可以说，《网络安全审查办法》的发布实施，将为我国关键信息基础设施的持续稳定运行筑起一道风险管理前移的安全防线，在维护国家安全、经济发展和社会稳定方面将持续发挥关键作用。

公安部第一研究所原所长严明：

《中华人民共和国数据安全法（草案）》 让数据安全有法可依

数据安全和信息安全一脉相承，没有数据安全就没有网络安全，而没有网络安全就没有国家安全。《中华人民共和国数据安全法（草案）》从数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放以及法律责任等方面进行了规制。

《中华人民共和国数据安全法（草案）》呈现诸多亮点，例如，确定了数据作为生产要素，明确其为促进数字经济发展的关键因素；强调了数据安全制度的建设并提出了要点；规范了安全和发展、保护和交流之间的关系，等等。

值得关注的是，保障数据安全需要全面的安全管控支持，但是没有安全可控的核心技术和关键信息基础设施的支撑，保障数据安全可能只是个难以实现的愿望。下一步，需要进一步攻克核心技术“卡脖子”难题，加快关键信息基础设施建设，为数据安全保护提供坚实保障。

中国工程院院士沈昌祥：

关键性基础设施的保护迎来系统性指引

2020年7月，公安部下发《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》，这是落实等级保护2.0制度的重要标志。首次系统地明确对关键信息基础设施的保护提出了要求，具有很强的实际操作性。有力指导构建以密码为信任根，以可信计算3.0为核心技术，以大数据人工智能为机理的主动防御保障体系，是我国网络安全行业发展具有顶层设计意义的指导性文件。

指导意见内容全面，针对性强。总结了现有法规及实践中的网络安全等级保护的要求，强调应深入推进网络安全等级保护定级备案、等级测评、安全建设和检查等基础工作。同时，实施关键信息基础设施安全保护制度，要求在落实网络安全等级保护制度基础上突出保护重点，明确了关键信息基础设施的认定方法、职能分工等，对关键信息基础设施保护工作的实践提供了重要指引。

指导意见具有很强的创新性。提出了“构建国家网络安全综合防控体系”的新目标，“实战化、体系化、常态化”的新理念，“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的新举措，将国家网络安全综合防御能力和水平上升了一个新高度。

三六零科技集团有限公司教授级高工潘柱廷：

APT攻击持续带来重大威胁 我国检测发现能力持续加强

APT和网络黑产犯罪已经成为了当前网络空间现实发生的最主要攻击类型，也是危害最大的两类网络攻击。其中，APT攻击活动更是背靠国家级、高能力的组织资源和技术资源，持续地进行渗透和潜伏，给我国重要机构和关键基础设施带来巨大威胁。

从今年发现的APT攻击的数量和类型上看，我国安全厂商的检测能力持续提升。例如，奇安信公司报告跟踪了国外的超过40个APT组织；360公司今年共披露了23个APT组织涉及全球范围的攻击活动，针对中国地区发起攻击的境外组织13个，其中，首次披露魔鼠、蓝色魔眼和旺刺等组织；启明星辰公司首次发现并披露了新型黑客组织“海毒蛇”。

在APT的分析研究方面，中国企业的分析研究更加深入，大量高价值报告发布，产生了重大影响。下一步，APT对抗仍将持续，因此需要重点关注：云平台、基础设施管理平台或将成为APT的新战场；针对工具软件等供应链环节的APT威胁不容忽视；安全基建、安全运营等基本措施是防御APT的基座等。

目前，我国各安全厂商纷纷将最尖端技术研究资源、安全分析资源持续地投入在APT对抗领域，安全厂商正在全面担当起国家网络安全保障和能力支撑的责任。