郭启全 ——着力发挥公安带头作用，实现政府网站综合防护

人物简介

郭启全，公安部网络安全保卫局总工程师，二级警监，研究员。担任国家物联网专家咨询委委员，军委某部特聘专家，国资委、国家卫计委、商务部、安监总局、食药监总局特聘专家。参加制定《网络安全法》、《治安管理处罚法》、《国家网络安全战略》等国家有关法律政策，主持制定了国家信息安全等级保护和网络安全信息通报一系列政策文件及国家标准。主持完成了多项国家和公安部科研项目，荣立个人一等功，并获得国家科技进步二等奖和多项公安部科技进步奖，出版了30多部计算机应用和网络安全学术编著及大学教材，发表了30多篇学术论文。

近年来，随着政务服务的不断推进，政府网站的功能在不断增加，应用范围也在不断拓展，一些黑客组织和不法分子频频对我国重要网站发动攻击，对我国网络安全造成重大威胁，政府网站的安全问题显得日益重要。为此，公安部网络安全保卫局指导公安部第一研究所计算机病毒防治技术国家工程实验室（北京）研发了“政府网站综合防护系统（以下简称网防G01）”，以维护政府网站的信息安全。截止目前，“网防G01”在全国范围内得到了广泛的应用，其中23个省份建立了当地服务机构，防护用户3000余家，在维护政府网站信息安全上发挥了重要的作用。本期专题人物，我们邀请了公安部网络安全保卫局总工程师郭启全，为我们介绍国家政府网站信息安全防护现状及政府网站防护的未来发展。

记者：随着互联网+和国家大数据工程的实施，网络安全问题越来越突出，尤其是政府网络安全防护问题更成为当前网络安全工作的突出重点，能否请您为我们介绍一下公安部对于政府网站防护的总体部署与规划？

郭启全：公安机关作为我国网络安全保卫部门，对政府网站、企事业单位网站的安全负有保卫、监管职责。首先，公安机关要按照《中华人民共和国网络安全法》要求，监督检查有关部门落实相关管理措施和安全责任，做到“有人建、有人用、有人管”，落实责任，按照“谁主管、谁负责、谁运营、谁负责”的原则，明确网站安全保护责任。通过指导政府网站运营、使用单位，落实国家信息安全等级保护制度，对网站实行分等级保护和监管。政府网站也要按照等级保护政策和标准的要求，开展定级、备案、安全测评、安全建设整改。在这个过程中，公安机关要监督检查，严格把握每一环节，对于安全保护等级不同的网站，要按照相关标准要求，开展不同强度的技术保护和管理措施的落实；对政府网站的安全开展监督检查，检查网站是否落实了国家网络安全法、国家网络安全等级保护制度的要求，是否落实了网络安全责任这是进行政府网站防护的基础。

第二，督促、指导政府网站开展网站群建设，将分散的小网站归并为网站群，减少互联网出口，对网站群进行统一管理、统一防护、统一监控，从根本上解决“有人建，没人管，有人用，没人防”的被动局面，无论是重要行业部门还是地方部门，都要将网站群建设作为保护网络安全的重要方法和手段。同时，组织技术力量，主动对政府网站开展远程技术检测、渗透攻击测试，以便及时发现问题，督促政府网站运营单位进行整改，加强公安机关对政府网站的安全监管、安全检查、技术检测、督促整改。

第三，要利用新技术，如大数据分析、人工智能、云计算、可信数据计算等来保护政府网站安全，提升网站安全防护的能力和水平。公安机关要指导政府网站运营使用单位对于网站开展安全监测、通报预警、应急处置、制定应急预案、开展应急演练，落实网站防攻击、防篡改、防挂马等关键技术防范措施，提高应对突发事件和遭受大规模攻击的能力。同时，针对政府网站攻击等违法犯罪行为开展侦查打击，要深挖背后的攻击者，对窃取大数据、窃取公民信息的行为加大打击力度。

总的来看，要真正保护好政府网站，就需要按照“打、防、管、控”一体化策略，建立网站综合防护体系，只有这样才能全面防护政府网站，减少甚至杜绝攻击行为，确保我国政府网站的安全性。

记者：作为国内目前重要的政府网站综合防护系统，能否请您为我们简要介绍一下“网防G01”的研发背景？

郭启全：我国网络安全事业持续深入发展，各项工作扎实有效推进，但我国网络安全威胁态势依然严峻：总体而言，我国网站安全漏洞大量存在，导致大量敏感信息泄露，地下黑产活动猖獗，通过对我国网站监测发现，存在漏洞的网站共91.7万个，占比为46.3%，存在高危漏洞的网站14.0万个，占检测网站总数的7.1%。而我国政府网站遭网络攻击也呈上升趋势，一方面网站存在大量漏洞且修复率低，另一方面网站存储大量数据，数据遭攻击窃取事件频发，例如“山东徐玉玉事件”等。2016年，公安部共下发被黑客攻击通报122条，政府、教育机构网站、事业单位网站仍占大多数，共有83个，约占被攻击网站总数的68.03%，而且地域较分散，涉及全国24个地区。仅2016全年，监测发现的暗链站点就有2809个，其中多数为县级政府网站。

可以说，政府网站是重要信息系统的入口，既是攻击的渠道，又是攻击的入口，面临着威胁大，风险高，自身防护能力差的问题，为此中央高度重视政府网站的安全问题，下发了相关文件。在这样的背景下，部十一局指导部一所进行了政府网站综合防护系统的研发。“网防G01”采用C/S架构，通过PC端即可实现对服务器端的安全管理与监控，支持Windows、Linux等操作系统，同时，搭建云管理中心，进行攻击监测与预警，通过“云管端”，实现策略的实时更新，提高防护能力，可做到事前预防、日常防护、事后追踪，保障主机系统安全，全方位监测和保护政府网站安全。

记者：“网防G01”的成功研发已有一年半的时间，目前应用部署情况如何？大规模部署后对于政府网站的防护起到了什么作用？

郭启全：“网防G01”经过多次测试与论证，2015年，在公安部一所召开的“政府网站综合防护系统技术论证会”上，以倪光南院士为首的专家组对“网防G01”非常认可，一致认为“此系统成本低，效果好，可有效的监测和防护针对网站的入侵，建议主管部门将“网防G01”作为我国网站安全防护的基础设施大规模推广应用”。大规模部署后，“网防G01”不仅提供通报预警，在支撑打击犯罪发挥了重要作用，同时还通过挖掘分析、数据融合为开展网络安全态势评估提供重要数据支撑。

“网防G01”首先在部委、央企等重要部门进行试点，安装在其官方网站、Web业务信息系统中，相关技术人员在全国等级保护会议、网络安全会议、行业安全部门进行宣讲和介绍，一所提供免费版本，各单位自愿选择安装使用。在九·三阅兵期间拦截攻击572万余次，同比增长217%，发现并拦截了一批重要网络攻击。随后，在郑州上合峰会期间，一所与河南省公安厅进行协商，作为会议期间主要安保手段，防护当地200余家3000余个网站，安保期间出具各类报告约60余份，拦截攻击100余万次。G20峰会网络安保期间，在公安机关的指导下，重要行业、部门通过安装“网防G01”，对网站和Web系统进行攻击监测与防护，期间共拦截各类网络攻击870余万次，其中SQL注入攻击320余万次，文件下载类攻击200余万次，各类程序漏洞攻击140余万次，监测到网络木马活动1万余次。通过提取攻击证据，协助破获多起网络攻击案件，并抓获犯罪嫌疑人。

在取得初步成果之后，部一所组织相关团队分别与各省网络安全技术支撑单位进行合作，立足本地化服务，为各省政府机关、企事业单提供服务。截止目前为止，在全国范围内均得到了良好的应用，其中23个省份建立了当地服务机构，防护用户达3000余家，安装服务器近万台，防护网站10万余个。

记者：听了您的介绍，我们对“网防G01”有了非常清晰的认识，能否请您谈谈下一步对于“网防G01”有何工作部署和计划？

郭启全：“网防G01”前期应用效果非常好，预计2017年3月初要推出新一代版本。在防护对象上，目前的防护对象还是以政府网站为主，后续在云平台、大数据系统也要进行试点和应用，评估防护效果。作为一款成熟的主机防护软件，应该在更大范围内应用，在取得一些成绩的基础上，不断扩展。除了政府网站，当前教育行业、卫生行业网站存在严峻的问题，部分政府和教育网站被插入黑页、暗链从事违法活动的现象较严重，尤其是县级政府网站由于技术能力的先天不足，很容易成为被攻击的对象。同样，由于大学网站、Web系统主要由学生来维护，安全防护意识和能力普遍偏弱，是监管和防护的薄弱点，下一步要加大防护力度。因此，“网防G01”的应用范围还要继续扩大，不断培养与培训相关技术人员，力争能够支撑起更多行业、更多地区网站安全的防护工作。

在防护技术上，随着网络攻防对抗技术的不断发展，“网防G01”也要做好与时俱进的工作，增进新技术的研究，弥补自身弱点。网络安全法在关键信息基础设施运行安全、建立网络安全监测预警与应急处置制度方面做出了明确规定，提出了关键信息基础设施保护的具体要求，要全面贯彻中央有关“全天候、全方位感知网络安全态势，增强网络安全防御能力和威慑能力”的精神，面对新的任务、新的要求，“网防G01”也要与网络安全态势感知相结合起来，通过大规模安装，抓取网络实时攻防数据信息、获取木马样本信息进行深度挖掘与分析，发现有组织、有预谋的网络攻击入侵行为。在此基础上，“网防G01”研发团队要不断探索新的手段，加强技术交流，进行技术储备与预研，有效利用人工智能、数据挖掘技术，实现智能化风险识别，有效应对新型网络攻击。

记者：您提到的公安部对于政府网站防护的总体部署中，明确提出了落实国家网络信息安全等级保护制度，随着网络环境的变化，等级保护制度也有了新的变化，您对网络空间安全与等级保护制度下一步的发展有什么看法？

郭启全：国家实施等级保护制度的重点是要保卫国家的关键信息基础设施，这是实施等级保护制度的重中之重，在新的历史时期，可以说等级保护制度已经进入了2.0时代：一是，国家信息安全等级保护制度的法律地位和配套标准发生了变化。新出台的《中华人民共和国网络安全法》对国家等级保护制度有了明确要求之后，正式确立了其法律地位，标志着该项制度有了法律依据，相关部门需要出台新的等级保护的法规、政策以及一系列标准，例如等级保护定级指南。以往信息系统等级保护安全基本要求是对系统进行要求，现在有了云计算、大数据、工控系统等，这些保护对象用传统的保护系统的办法显然已经不再适用，因此，技术标准也要进行相应的调整，要针对保护对象研究保护办法，为此国家也在积极筹备、制定、出台新的测评标准，为全国实施深化落实等级保护制度提供法律、政策、标准的保障。

二是，国家信息安全等级保护制度的内涵变得更加丰富，大数据、云计算、物联网的发展，使得网络保护对象由十年前的网络系统、网络信息变得更加多样化，出现了众多新的保护对象，保护策略与方法也在不断完善。另外，互联网企业也在不断发展，这些企业的网络基础设施和大数据安全也极端重要，等级保护制度由“信息安全等级保护制度”更名为“网络安全等级保护制度”，因此等级保护制度的内涵已经发生变化，相关标准也正在进一步的完善和细化，未来风险评估、灾备、应急、综治考核等重要工作将纳入到制度的实施中去，云计算、大数据、物联网、公共系统、移动互联网这些新的保护对象也将纳入等级保护制度，进行重点保护。

三是，等级保护相关技术措施与手段发生了变化。等级保护制度由最初的被动防护变为主动防御，公安部组织相关技术队伍采用攻防技术，对我国重要信息系统、政府网站、工控系统等进行风险评估、渗透性测试，以此“摸清家底”，主动发现关键信息基础设施中存在的安全风险和漏洞，使得通报预警和安全整改工作更有针对性，提高工作效率，有的放矢。例如，利用资产探测技术有效监控我国关键信息基础设施资产信息，通过公开漏洞平台，快速定位和发现漏洞影响面，做到“心中有丘壑”。可以说技术的发展和积极利用是新时期等级保护制度实施的重要保障。

总而言之，等级保护制度从国家大法角度予以了明确和规定，这就为制度的实施提供了强大的法律保障，国家网络信息安全等级保护制度一定会在重要行业部门得到进一步深化和落实，通过实施等级保护制度提高整个国家网络空间的安全保护能力和水平。

记者：除了等级保护制度，我们知道公安机关正在持续推进网络与信息安全通报机制的建立，目前有无相关工作成果和计划？通报机制的建立对于网络安全保卫有什么样的指导和支撑作用？

郭启全：公安机关按照中央的要求和网络安全法的要求正在建立完善全国网络与信息安全通报机制、建立通报体系、建立支撑队伍和专门机构、扩大通报机制成员单位。目前，国家网络与信息安全通报机制成员单位由原来的29家扩展到201家，技术支援单位由原来的30家扩展到73家。在此期间，成立了两个专家组，调动了全社会的力量，形成中央、省、市三个层级，200个重要行业的纵横联通的立体化国家网络安全通报体系，对国家网络安全、情报信息开展收集汇总、分析研判、上报反馈、安全监测、应急处置、态势感知、通报预警、追踪溯源、侦查打击。可以说，通过通报机制、通报体系的建设，形成了覆盖全国的维护国家网络安全的生态链。因此，国家网络与信息安全通报机制对维护国家网络空间安全发挥了至关重要的作用，并且将在今后发挥更大的作用。

在这个过程中，公安机关担负重要职责，发挥主力军的作用，通过牵头落实国家等级保护制度、建立完善国家网络与信息安全通报机制、进行情报侦察、侦查打击的重要职责任务，为维护国家网络信息安全做出了重要的贡献。下一步公安机关将继续按照中央的要求全力开展好网络安全保卫工作，与各部门紧密配合，形成密切合作、互相支持的态势，共同维护国家网络安全。部一所也要加强与各省网安开展密切合作，结合网络安全通报业务，发挥防控作用，提供稳定的技术支撑，贡献自己的力量。