党的十八大以来，党和国家高度重视网络安全工作，以习近平同志为核心的党中央把网络安全和信息化工作放在党和国家工作全局及战略高度来谋划部署。各领域各行业正在不断提高对于网络安全的认识，不断推进网络安全工作的开展，逐步提高我国网络安全的保障能力和防护水平。2017年6月1日，《中华人民共和国网络安全法》（以下简称《网络安全法》）正式施行，它作为互联网领域、网络安全的基础性法律，再次表明了国家主抓网络安全的坚定决心。

公安机关网络安全部门作为依法履行网络安全监管的政府职能部门，开展了一系列的工作，例如：每年实施网络安全执法大检查，应对网络安全形势，部署针对性工作；持续推动网络安全等级保护工作的落实，促进“打防管控”一体化网络安全综合防控体系的构建，全面开展信息通报预警工作，建立健全网络安全重大漏洞隐患的监测发现和整改督办机制；履行网络安全保卫工作，牵头实施多项重大活动的网络安全保卫工作等。

2017年5月12日爆发的蠕虫式勒索病毒(WannaCry)在全球较大范围内传播，感染了包括医疗、教育、能源、通信、制造业等以及政府部门在内的多个领域，我国一些行业和政府部门的计算机也受到了感染，造成了一定的经济损失。此次勒索软件较大范围传播是近年来少有的，使我们对网络攻击的严重性有了切身体会。针对本次勒索病毒事件，我们认为存在如下几个亟待解决的问题。

1. 等级保护制度基本要求未有效落实。有些单位没有有效落实网络安全等级保护中对纵深防御、保证一致安全强度等方面的要求，导致隔离网内部的安全制度和安全措施不符合等保要求，从而造成了隔离网遭到勒索病毒攻击。

2. 监测预警缺乏有效的技术手段支撑。在新兴技术产业的强劲增长驱动下，网络安全问题的影响范围不断延展，网络安全监管难度日益加大，基于传统安全防护技术的管理工具无法为政府监管提供有效支撑，导致实际监管效果不理想。

3. 应急响应机制不完善。现有应急响应机制存在信息通报与资源统筹整合不够、响应不及时的问题，网络安全专家和技术支持单位的力量有待挖掘。

4. 缺乏漏洞管控机制。从此次事件中可以看出，网络安全漏洞可以被利用作为网络战的武器，但我国尚没有建立对漏洞挖掘、漏洞信息发布、漏洞情报输出和交换等进行规范和约束的统一管控制度，存在一定的风险隐患。

5. 网络安全自主可控的目标仍未实现。目前国内企业与政府机关的信息系统中大量使用国外的信息技术产品，关键领域信息系统核心部件几乎全部采用国外产品，“命门”掌握在别人手里，存在巨大的系统隐患。

针对上述问题，我们可以从以下若干方面实施改进，以提高应对网络安全威胁的能力。

落实网络安全等级保护制度

网络安全等级保护的核心是保证不同安全保护等级的对象具有相适应的安全保护能力，要求构建纵深的防御体系，采取互补的安全措施，保证一致的安全强度，建立统一的支撑平台，进行集中的安全管理，从而保证保护对象的整体安全保护能力。网络安全等级保护顺应技术发展，由1.0到2.0，从被动防御演进为主动防御。以前的被动防御要求防火墙、杀病毒、入侵监测系统(IDS)，现在上升为主动防护，我们依照等级保护制度可以实现整体防御、分区隔离；积极防护、内外兼防；自身防御、主动免疫；纵深防御、技管并重。为此，深入理解等级保护2.0的规范，遵照规范落实网络安全建设，可以有效解决当前隔离网的安全问题。

为了切实实现网络安全等级保护，需要多部门之间协同联动。目前网络安全工作已经从每个单位自身的、孤立的建设和保障，转变为需要单位与政府、公安部门和其他有关机关、网络安全企业等多方配合，需要不同职能、不同角色之间的有效联动，需要政府从政策和经费上提供保障，公安机关履行监管、保卫与督促职能，网络安全企业提供解决方案、产品与服务支撑，等等。各级政府应充分重视网络安全建设，落实经费和人员保障措施。公安机关作为等级保护的牵头单位，应该以《网络安全法》为契机，加大宣传力度，推动等级保护工作落实，促使适应新形势的网络安全防护系统落地。

党的十八大以来，党和国家高度重视网络安全工作，以习近平同志为核心的党中央把网络安全和信息化工作放在党和国家工作全局及战略高度来谋划部署。各领域各行业正在不断提高对于网络安全的认识，不断推进网络安全工作的开展，逐步提高我国网络安全的保障能力和防护水平。2017年6月1日，《中华人民共和国网络安全法》（以下简称《网络安全法》）正式施行，它作为互联网领域、网络安全的基础性法律，再次表明了国家主抓网络安全的坚定决心。

公安机关网络安全部门作为依法履行网络安全监管的政府职能部门，开展了一系列的工作，例如：每年实施网络安全执法大检查，应对网络安全形势，部署针对性工作；持续推动网络安全等级保护工作的落实，促进“打防管控”一体化网络安全综合防控体系的构建，全面开展信息通报预警工作，建立健全网络安全重大漏洞隐患的监测发现和整改督办机制；履行网络安全保卫工作，牵头实施多项重大活动的网络安全保卫工作等。

2017年5月12日爆发的蠕虫式勒索病毒(WannaCry)在全球较大范围内传播，感染了包括医疗、教育、能源、通信、制造业等以及政府部门在内的多个领域，我国一些行业和政府部门的计算机也受到了感染，造成了一定的经济损失。此次勒索软件较大范围传播是近年来少有的，使我们对网络攻击的严重性有了切身体会。针对本次勒索病毒事件，我们认为存在如下几个亟待解决的问题。

1. 等级保护制度基本要求未有效落实。有些单位没有有效落实网络安全等级保护中对纵深防御、保证一致安全强度等方面的要求，导致隔离网内部的安全制度和安全措施不符合等保要求，从而造成了隔离网遭到勒索病毒攻击。

2. 监测预警缺乏有效的技术手段支撑。在新兴技术产业的强劲增长驱动下，网络安全问题的影响范围不断延展，网络安全监管难度日益加大，基于传统安全防护技术的管理工具无法为政府监管提供有效支撑，导致实际监管效果不理想。

3. 应急响应机制不完善。现有应急响应机制存在信息通报与资源统筹整合不够、响应不及时的问题，网络安全专家和技术支持单位的力量有待挖掘。

4. 缺乏漏洞管控机制。从此次事件中可以看出，网络安全漏洞可以被利用作为网络战的武器，但我国尚没有建立对漏洞挖掘、漏洞信息发布、漏洞情报输出和交换等进行规范和约束的统一管控制度，存在一定的风险隐患。

5. 网络安全自主可控的目标仍未实现。目前国内企业与政府机关的信息系统中大量使用国外的信息技术产品，关键领域信息系统核心部件几乎全部采用国外产品，“命门”掌握在别人手里，存在巨大的系统隐患。

针对上述问题，我们可以从以下若干方面实施改进，以提高应对网络安全威胁的能力。

落实网络安全等级保护制度

网络安全等级保护的核心是保证不同安全保护等级的对象具有相适应的安全保护能力，要求构建纵深的防御体系，采取互补的安全措施，保证一致的安全强度，建立统一的支撑平台，进行集中的安全管理，从而保证保护对象的整体安全保护能力。网络安全等级保护顺应技术发展，由1.0到2.0，从被动防御演进为主动防御。以前的被动防御要求防火墙、杀病毒、入侵监测系统(IDS)，现在上升为主动防护，我们依照等级保护制度可以实现整体防御、分区隔离；积极防护、内外兼防；自身防御、主动免疫；纵深防御、技管并重。为此，深入理解等级保护2.0的规范，遵照规范落实网络安全建设，可以有效解决当前隔离网的安全问题。

为了切实实现网络安全等级保护，需要多部门之间协同联动。目前网络安全工作已经从每个单位自身的、孤立的建设和保障，转变为需要单位与政府、公安部门和其他有关机关、网络安全企业等多方配合，需要不同职能、不同角色之间的有效联动，需要政府从政策和经费上提供保障，公安机关履行监管、保卫与督促职能，网络安全企业提供解决方案、产品与服务支撑，等等。各级政府应充分重视网络安全建设，落实经费和人员保障措施。公安机关作为等级保护的牵头单位，应该以《网络安全法》为契机，加大宣传力度，推动等级保护工作落实，促使适应新形势的网络安全防护系统落地。

增强监测预警技术手段

《网络安全法》将监测预警与应急处置工作制度化、法制化，明确国家建立网络安全监测预警和信息通报制度。为了解决行业自身力量不足的问题，国家有必要依法采取措施，监测、防御、处置来源于我国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏。依据《网络安全法》中的相关规定，应建立国家级和各行业各领域的监测预警、信息通报和应急处置制度和体系。

一方面，借助大数据等技术手段可大大提高监测预警效果。在本次事件的应急处置工作过程中，我们充分体会到借助国内网络安全企业自主开发的网络安全态势感知系统，能够从全局视角显著提升对安全威胁的发现识别、理解分析、响应处置能力，从而全面掌握情况，在应对突发安全事件时帮助进行快速决策与行动，将安全风险控制在尽可能小的范围内。

另一方面，参照国外经验。美国作为当今世界第一的网络安全强国，已建设有技术先进的网络安全态势感知系统，并在政府部门中大力推行网络安全态势感知的协同合作，包括共享威胁情报、共建安全事件处理知识库，等等。网络攻击的信息和数据积累越多，越能帮助这些机关单位及时发现和修补漏洞，同时有助于网络攻击的分析溯源，提供国家间网络空间博弈的证据，进而提升国家整体的网络安全能力。

因此，为了提升网络安全威胁的监测发现速度和响应处置能力，我们应当尽可能多地收集和分析网络安全大数据，结合威胁情报，感知快速变化中的网络安全态势。态势感知系统一方面尽可能具备全要素数据收集能力，除了资产信息、系统日志、安全设备日志之外，还要收集终端数据和网络流量数据等；另一方面大量使用威胁情报对于降低垃圾数据产生的噪音、提升威胁检测的效率也极为关键。保证态势感知能力落地，数据是基础、处置是关键、人员是保障。

建立完善的应急处置联动机制

从应急响应工作实施角度出发，网络管理者应考虑如何利用管理和技术手段提升应急处置的效率和准确性，落实网络安全应急工作责任制，建立各级单位应急保障工作组织体系，把责任落实到具体部门、具体岗位和个人，建立健全应急工作机制。同时，还需要建立由业务管理和网络安全的资深人员构成的应急专家队伍，为网络安全事件应急响应过程中的事件研判、全程咨询、资源调度提供有力保障。发生网络安全事件后，网络安全应急处置中心应根据事件发生的起因、性质、影响、责任等，向信息系统关联单位通报事件有关情况，协调事件的应急处置。发生重大及以上网络安全事件后，应向本地区网络安全主管部门通报相关情况。各单位应建立及落实应急专项资金预算管理与审批制度，确保应急保障物资的及时采购和必要储备，为网络安全应急技术支撑队伍建设、专家队伍建设、基础平台建设、预案演练等工作的开展提供必要经费保障。

近年来，各地公安机关陆续成立了网络与信息安全信息通报中心，目的是推动形成以公安机关为核心，政府各职能部门及重要行业主管部门为成员，专家组和技术支持单位参加的网络安全通报预警和应急处置体系，以丰富完善国家网络与信息安全信息通报预警体系，弥补网络安全工作存在的各部门信息通报、资源统筹整合不够等问题。通报中心将建立“通报成员单位、网络安全专家、技术支持单位”三支队伍，通过通报、会议、报告等工作机制，实现网络安全监测、网络安全通报预警、应急处置和事件调查等功能。各地公安机关通报中心的成立便于网络监管部门跟踪了解国际国内信息网络安全动态；对涉及网络与信息安全信息的性质、危害程度和可能影响范围进行分析评估，接收、汇总、研判各单位报送的网络安全情况信息；组织、协调有关安全专家和技术支持单位，对市内重大网络安全事件和威胁隐患等进行技术咨询、研判，开展应急处置；分析、汇总和研判结果及时向政府相关部门及全社会发布预警信息。

随着此次勒索病毒事件的爆发，公安部门与国内技术支持单位的实时联动通报机制更显得尤为重要。这也促成了各地公安机关和各技术支撑单位形成有效的联动机制。

1.通报机制：技术支持单位在发现漏洞或者安全事件后，需第一时间将漏洞、事件的重要级别和影响范围通报给公安机关，公安机关立即组织专家组进行研判后，通报给其各成员单位。同时，公安机关根据漏洞、事件情况向各技术支持单位提出处置需求。

2.应急处置机制：技术支持单位在收到处置需求后，立即通过邮件、电话、现场处置等方式，协同公安机关对需求单位进行应急处置。同时，技术支持单位在发布应急指导手册、专杀工具、相关解决方案时应同时通报给公安机关。

3.追踪溯源：在展开应急处置的同时，公安机关协同各技术支持单位通过同源样本/漏洞分析、受害者分析、攻击组织分析、攻击者基础设施分析对攻击者身份和目的进行追踪溯源。

建立漏洞管控机制

本次事件中，攻击者所使用的核心技术是一组针对Windows操作系统Samba协议漏洞的攻击程序，仅仅是 “影子经纪人”(The Shadow Brokers)组织公开拍卖的美国国家安全局(NSA)网络武器库中众多网络武器之一，而且攻击者使用该武器的手段并不高明，就已经造成如此巨大的影响，横扫全球Windows系统的电脑。据美国有线电视新闻网(CNN)报道，“影子经纪人”至少泄露了15个针对微软系统漏洞的网络武器，由此可见，美国国家安全局所拥有的网络武器库的规模和杀伤力是多么庞大。漏洞可以被利用作为网络战中的武器，对此我们必须给予充分重视。

从“巴统组织”到“瓦森纳协定”，在美国的操纵下，西方多国加入了《瓦森纳协定》1。并进一步修订相关条款，禁止出口“特殊设计”的或是经过修改以逃避“监视工具”检测的软件，以及令“保护措施”无效的软件，包括从计算机或网络设备提取数据或信息，对系统或用户数据进行修改，对程序的标准执行路径或进程进行修改等。这也意味着这些国家正通过协定来约束本国安全研究人员，将各类黑客工具和漏洞利用程序封锁在本国之内，从而保证这些国家自己的“网络军火”优势。而在我国，国家互联网应急中心(CNCERT)、中国信息安全测评中心等机构已成立了官方的国家漏洞库，目前是从漏洞信息收集和通报的角度开展工作，尚没有建立对漏洞挖掘、漏洞信息发布、漏洞情报输出和交换（尤其是漏洞情报的跨境流动）等进行规范和约束的统一管控制度。

因此，国家有关部门有必要研究制定网络安全漏洞管控专项法规，规范网络安全漏洞披露与交易行为，并在相关法律法规指导下，制定切实可行的漏洞管控措施并推进落实，其中应包括建立漏洞价值评估与交易审查机制，对重大漏洞实施国家层面的漏洞管控。

推进网络信息技术自主创新

我国《国家安全法》提出，要“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”，“支持网络安全技术的研究开发和应用，推广安全可信的网络产品和服务”和“支持研究开发安全、方便的电子身份认证技术”等。为解决网络安全可控性不足的问题，习近平主席在2016年10月就做出“加快推进国产自主可控替代计划”的重要指示。为此，国家各级政府应统筹规划，加大投入，支持网络信息技术自主创新，扶持重点网络安全技术产业和项目。

核心技术受制于人是我们最大的隐患，面对勒索病毒来袭，我们首先必须牢牢掌握自己的核心技术。应加快推进国产自主可控替代计划、构建安全可控的信息技术体系。在加强我们网络安全应对能力的同时，只有加快推进我国自主可信软硬件产品研制应用和推广，将网络的主动权掌握在我们自己手中，才能真正变“被动”为“主动”。

网络安全拼的更是人才和技术，为了推进技术储备和技术创新，政府应大力鼓励和支持国内能力型网络安全公司持续进行漏洞研究，提高网络安全技术水平，以应对不断变化的网络安全威胁。

贯彻落实相关法律法规

各级部门应充分重视《网络安全法》的解读和落实工作，依照《网络安全法》及有关法律、行政法规的规定，落实各项配套措施，积极应对网络空间快速演变的各种安全威胁，有效治理网络空间。

从社会层面看，应高度重视《网络安全法》的宣传教育工作，全民认真学习《网络安全法》及相关法律法规，增强全民网络安全法治观念；开展专题宣传和教育培训，动员全民共同参与，普及网络安全常识、增进网络安全知识、提高网络安全意识。

从国家层面看，应采取技术措施，监测、防御、处置来源于境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序。

网络运营者应当按照网络安全等级保护制度的要求，建立安全管理制度和操作规程，明确网络安全负责人，落实网络安全保护责任；采取技术措施防范网络攻击、网络侵入等危害行为；采取数据分类、重要数据备份和加密等措施；健全安全运营体系，开展日常安全运维、等级测评、风险评估，渗透测试等工作，保障系统安全可用性。

国家网信部门、公安机关和有关部门应依法履行网络信息安全监督管理职责，加大网络安全的执法力度，严格按照网络安全法开展监督、检查、指导工作，对关键信息基础设施加强对技术防护和安全管理制度落实情况的抽查检测，运营者采购网络产品和服务，可能影响国家安全的，应当组织国家安全审查。 ■

脚注：¹   《瓦森纳协定》又称瓦森纳安排机制，全称为《关于常规武器和两用物品及技术出口控制的瓦森纳安排》 (The Wassenaar Arrangement on Export Controls for Conventional Arms and Dual-Use Good and Technologies)，目前共有包括美国、日本、英国、俄罗斯等在内的40个成员国。尽管“瓦森纳安排”规定成员国自行决定是否发放敏感产品和技术的出口许可证，并在自愿基础上向“安排”其他成员国通报有关信息，但“安排”实际上完全受美国控制。当“瓦森纳安排” 某一国家拟向中国出口某项高技术时，美国甚至会直接出面干涉，如捷克拟向中国出口“无源雷达设备”时，美便向捷克施加压力，迫使捷克停止这项交易。