“凈網(wǎng)2020”是公安部為了打擊整治網(wǎng)絡違法犯罪活動，深入整頓網(wǎng)上秩序，進一步營造安全、清朗、有序的網(wǎng)絡環(huán)境而開展的專項行動。

“凈網(wǎng)2020”專項行動中，認真貫徹落實了習近平總書記重要批示指示精神，進一步強化對網(wǎng)絡違法犯罪打擊和網(wǎng)絡空間秩序整治力度，堅決打掉網(wǎng)絡黑灰產(chǎn)業(yè)鏈，整治網(wǎng)絡違法犯罪生態(tài)，遏制了網(wǎng)絡犯罪高發(fā)勢頭。?

發(fā)起背景

?

2019年，全國公安機關網(wǎng)安部門主要針對嚴重影響公共秩序、網(wǎng)絡安全的違法犯罪，頻繁為網(wǎng)絡詐騙、賭博等突出犯罪“輸血供糧”的黑灰產(chǎn)犯罪，活動猖獗、手段隱蔽、追蹤困難的暗網(wǎng)違法犯罪，作案迅速、危害嚴重的網(wǎng)絡相約犯罪，網(wǎng)絡犯罪團伙及窩點大面積向境外轉移等違法犯罪活動，展開了強有力的專項打擊，全年共偵破網(wǎng)絡犯罪案件5.9萬起，抓獲犯罪嫌疑人8.8萬名。?

?

行動目的

?

開展“凈網(wǎng)2020”專項行動，嚴厲打擊淫穢色情信息，堅決清除文化垃圾，目標是著力維護青少年身心健康，切實維護人民群眾文化權益，有力構建良好網(wǎng)絡秩序、清朗網(wǎng)絡空間。

下一步，將毫不懈怠，下更大氣力推進行動，堅決營造和守護風清氣正的網(wǎng)絡空間。?[2]?

?

嚴打內(nèi)容

?

警方將嚴打黑客攻擊破壞、侵犯公民個人信息、電信網(wǎng)絡詐騙、套路貸等新型網(wǎng)上違法犯罪，以及網(wǎng)上販槍、涉毒、色情、賭博、傳銷等傳統(tǒng)違法犯罪。同時，依法打擊為各類網(wǎng)絡犯罪提供推廣營銷、技術支持、網(wǎng)絡賬號買賣、支付結算等非法利用信息網(wǎng)絡、幫助信息網(wǎng)絡犯罪活動的行為。?

?

戰(zhàn)果總結

?

2020年上半年全國共查處網(wǎng)絡“掃黃打非”案件1800余起，取締非法不良網(wǎng)站1.2萬余個，處置淫穢色情等有害信息840余萬條。

針對群眾反映強烈的網(wǎng)上“軟色情”現(xiàn)象，全國“掃黃打非”辦公室協(xié)調(diào)公安、網(wǎng)信、工信、文旅、市場監(jiān)管、廣電、新聞出版等有關部門，研究治理對策，密切協(xié)作配合，形成監(jiān)管合力，部署開展專項清理整治工作。

除了快速整治網(wǎng)絡“軟色情”問題，“掃黃打非”部門還積極回應網(wǎng)民和輿論關切，快速處置了網(wǎng)傳所謂“國內(nèi)版N號房網(wǎng)站”“滴滴司機直播性侵女乘客”“五一宜家門”等多起網(wǎng)上突發(fā)傳播案事件。通過查辦多起案件，對不法分子形成震懾。?

?

典型案例

?

?

案例一

浙江蘭溪“麻克文學”微信公眾號傳播淫穢物品牟利案

2020年5月，根據(jù)群眾報警線索，蘭溪市公安局偵查破獲一起通過微信公眾號傳播淫穢物品牟利案件，犯罪嫌疑人開設淫穢小說網(wǎng)站并通過微信公眾號進行引流，非法獲利達1000余萬元。公安機關已抓獲網(wǎng)站負責人員、技術維護人員、推廣代理人員等犯罪嫌疑人15名。?

?

案例二

廣西柳州審結孫某某傳播淫穢物品牟利案

經(jīng)查，被告人孫某某通過租用境外服務器架設網(wǎng)站，以盜鏈方式獲取大量淫穢色情視頻、圖片、文字，其中淫穢圖片2萬余張，通過在其網(wǎng)站的廣告招租方式收取廣告費用牟取非法利益。柳州市中級人民法院二審判處其有期徒刑12年。?

?

案例三

遼寧盤錦“11·22”制作、販賣、傳播淫穢物品牟利案

盤錦警方網(wǎng)絡巡查發(fā)現(xiàn)一個淫穢視頻由某攝影工作室拍攝傳播，經(jīng)周密偵查、順藤摸瓜，一舉破獲一個在境內(nèi)通過攝影工作室組織客戶定制拍攝、傳播淫穢視頻的犯罪團伙。該團伙制作淫穢視頻達800部，非法獲利55萬余元。該案已有16人以涉嫌制作、販賣、傳播淫穢物品罪移送檢察機關提起公訴，其他涉案人員在進一步核查中。?

?

案例四

安徽滁州“6·07”利用網(wǎng)絡傳播淫穢物品案

2020年6月，安徽滁州鳳陽縣文化部門網(wǎng)絡巡查發(fā)現(xiàn)某網(wǎng)站存在大量涉黃內(nèi)容的線索，經(jīng)多部門密切配合，成功搗毀一個工作室，抓獲犯罪嫌疑人5名。經(jīng)查，嫌疑人通過抖音、微信等平臺散布低俗信息推廣微信號和黃色網(wǎng)站，利用微信兜售淫穢視頻或吸引用戶進入黃色網(wǎng)站付費觀看淫穢視頻。該案查明涉案淫穢視頻2.5萬部，涉案金額2000余萬元。?

?

凈網(wǎng)2020 網(wǎng)絡安全等級保護2.0標準解讀

等級保護標準體系

No.1

等級保護1.0標準體系

2007年，《信息安全等級保護管理辦法》（公通字[2007]43號）文件的正式發(fā)布，標志著等級保護1.0的正式啟動。等級保護1.0規(guī)定了等級保護需要完成的“規(guī)定動作”，即定級備案、建設整改、等級測評和監(jiān)督檢查，為了指導用戶完成等級保護的“規(guī)定動作”，在2008年至2012年期間陸續(xù)發(fā)布了等級保護的一些主要標準，構成等級保護1.0的標準體系。>>>等級保護1.0時期的主要標準如下：

信息安全等級保護管理辦法（43號文件）（上位文件）

計算機信息系統(tǒng)安全保護等級劃分準則 GB17859-1999（上位標準）

信息系統(tǒng)安全等級保護實施指南 GB/T25058-2008

信息系統(tǒng)安全保護等級定級指南 GB/T22240-2008

信息系統(tǒng)安全等級保護基本要求 GB/T22239-2008

信息系統(tǒng)等級保護安全設計要求 GB/T25070-2010

信息系統(tǒng)安全等級保護測評要求 GB/T28448-2012

信息系統(tǒng)安全等級保護測評過程指南 GB/T28449-2012

No.2

等級保護2.0標準體系

2017年，《中華人民共和國網(wǎng)絡安全法》的正式實施，標志著等級保護2.0的正式啟動。網(wǎng)絡安全法明確“國家實行網(wǎng)絡安全等級保護制度?！保ǖ?1條）、“國家對一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網(wǎng)絡安全等級保護制度的基礎上，實行重點保護?！保ǖ?1條）。上述要求為網(wǎng)絡安全等級保護賦予了新的含義，重新調(diào)整和修訂等級保護1.0標準體系，配合網(wǎng)絡安全法的實施和落地，指導用戶按照網(wǎng)絡安全等級保護制度的新要求，履行網(wǎng)絡安全保護義務的意義重大。

隨著信息技術的發(fā)展，等級保護對象已經(jīng)從狹義的信息系統(tǒng)，擴展到網(wǎng)絡基礎設施、云計算平臺/系統(tǒng)、大數(shù)據(jù)平臺/系統(tǒng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、采用移動互聯(lián)技術的系統(tǒng)等，基于新技術和新手段提出新的分等級的技術防護機制和完善的管理手段是等級保護2.0標準必須考慮的內(nèi)容。關鍵信息基礎設施在網(wǎng)絡安全等級保護制度的基礎上，實行重點保護，基于等級保護提出的分等級的防護機制和管理手段提出關鍵信息基礎設施的加強保護措施，確保等級保護標準和關鍵信息基礎設施保護標準的順利銜接也是等級保護2.0標準體系需要考慮的內(nèi)容。等級保護2.0標準體系主要標準如下：

網(wǎng)絡安全等級保護條例（總要求/上位文件）

計算機信息系統(tǒng)安全保護等級劃分準則（GB 17859-1999）（上位標準）

網(wǎng)絡安全等級保護實施指南（GB/T25058-2020）

網(wǎng)絡安全等級保護定級指南（GB/T22240-2020）

網(wǎng)絡安全等級保護基本要求（GB/T22239-2019）

網(wǎng)絡安全等級保護設計技術要求（GB/T25070-2019）

網(wǎng)絡安全等級保護測評要求（GB/T28448-2019）

網(wǎng)絡安全等級保護測評過程指南（GB/T28449-2018）

關鍵信息基礎設施標準體系框架如下：

關鍵信息基礎設施保護條例（征求意見稿)（總要求/上位文件）

關鍵信息基礎設施安全保護要求（征求意見稿）

關鍵信息基礎設施安全控制要求（征求意見稿）

關鍵信息基礎設施安全控制評估方法（征求意見稿）

主要標準的特點和變化

No.1

標準的主要特點

01

將對象范圍由原來的信息系統(tǒng)改為等級保護對象（信息系統(tǒng)、通信網(wǎng)絡設施和數(shù)據(jù)資源等），對象包括網(wǎng)絡基礎設施（廣電網(wǎng)、電信網(wǎng)、專用通信網(wǎng)絡 等）、云計算平臺/系統(tǒng)、大數(shù)據(jù)平臺/系統(tǒng)、物聯(lián)網(wǎng)、工業(yè)控制 系統(tǒng)、采用移動互聯(lián)技術的系統(tǒng)等。

02

在1.0標準的基礎上進行了優(yōu)化，同時針對云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)及大數(shù)據(jù)等新技術和新應用領域提出新要求，形成了安全通用要求+新應用安全擴展要求構成的標準要求內(nèi)容。

03

采用了“一個中心，三重防護”的防護理念和分類結構，強化了建立縱深防御和精細防御體系的思想。

04

強化了密碼技術和可信計算技術的使用，把可信驗證列入各個級別并逐級提出各個環(huán)節(jié)的主要可信驗證要求，強調(diào)通過密碼技術、可信驗證、安全審計和態(tài)勢感知等建立主動防御體系的期望。

No.2

標準的主要變化

01

名稱由原來的《信息系統(tǒng)安全等級保護基本要求》改為《網(wǎng)絡安全等級保護基本要求》。等級保護對象由原來的信息系統(tǒng)調(diào)整為基礎信息網(wǎng)絡、信息系統(tǒng)（含采用移動互聯(lián)技術的系統(tǒng)）、云計算平臺/系統(tǒng)、大數(shù)據(jù)應用/平臺/資源、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等。

02

將原來各個級別的安全要求分為安全通用要求和安全擴展要求，其中安全擴展要求包括安全擴展要求云計算安全擴展要求、移動互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求以及工業(yè)控制系統(tǒng)安全擴展要求。安全通用要求是不管等級保護對象形態(tài)如何必須滿足的要求。

03

基本要求中各級技術要求修訂為“安全物理環(huán)境”、“安全通信網(wǎng)絡”、“安全區(qū)域邊界”、“安全計算環(huán)境”和“安全管理中心”；各級管理要求修訂為“安全管理制度”、“安全管理機構”、“安全管理人員”、“安全建設管理”和“安全運維管理”。

04

取消了原來安全控制點的S、A、G標注，增加一個附錄A“關于安全通用要求和安全擴展要求的選擇和使用”，描述等級保護對象的定級結果和安全要求之間的關系，說明如何根據(jù)定級的S、A結果選擇安全要求的相關條款，簡化了標準正文部分的內(nèi)容。增加附錄C描述等級保護安全框架和關鍵技術、增加附錄D描述云計算應用場景、附錄E描述移動互聯(lián)應用場景、附錄F描述物聯(lián)網(wǎng)應用場景、附錄G描述工業(yè)控制系統(tǒng)應用場景、附錄H描述大數(shù)據(jù)應用場景。

主要標準的框架和內(nèi)容

No.1

標準的框架結構

《GB/T 22239-2019》、《GB/T 25070-2019》和《GB/T28448-2019》三個標準采取了統(tǒng)一的框架結構。

例如，《GB/T 22239-2019》采用的框架結構如圖1所示。

圖1 安全通用要求框架結構

安全通用要求細分為技術要求和管理要求。其中技術要求包括“安全物理環(huán)境”、“安全通信網(wǎng)絡”、“安全區(qū)域邊界”、“安全計算環(huán)境”和“安全管理中心”；管理要求包括“安全管理制度”、“安全管理機構”、“安全管理人員”、“安全建設管理”和“安全運維管理”。

No.2

安全通用要求

安全通用要求針對共性化保護需求提出，無論等級保護對象以何種形式出現(xiàn)，需要根據(jù)安全保護等級實現(xiàn)相應級別的安全通用要求。安全擴展要求針對個性化保護需求提出，等級保護對象需要根據(jù)安全保護等級、使用的特定技術或特定的應用場景實現(xiàn)安全擴展要求。等級保護對象的安全保護需要同時落實安全通用要求和安全擴展要求提出的措施。

1、安全物理環(huán)境

針對物理機房提出的安全控制要求。主要對象為物理環(huán)境、物理設備和物理設施等；涉及的安全控制點包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應和電磁防護。

2、安全通信網(wǎng)絡

針對通信網(wǎng)絡提出的安全控制要求。主要對象為廣域網(wǎng)、城域網(wǎng)和局域網(wǎng)等；涉及的安全控制點包括網(wǎng)絡架構、通信傳輸和可信驗證。

3、安全區(qū)域邊界

針對網(wǎng)絡邊界提出的安全控制要求。主要對象為系統(tǒng)邊界和區(qū)域邊界等；涉及的安全控制點包括邊界防護、訪問控制、入侵防范、惡意代碼防范、安全審計和可信驗證。

4、安全計算環(huán)境

針對邊界內(nèi)部提出的安全控制要求。主要對象為邊界內(nèi)部的所有對象，包括網(wǎng)絡設備、安全設備、服務器設備、終端設備、應用系統(tǒng)、數(shù)據(jù)對象和其他設備等；涉及的安全控制點包括身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份與恢復、剩余信息保護和個人信息保護。

5、安全管理中心

針對整個系統(tǒng)提出的安全管理方面的技術控制要求，通過技術手段實現(xiàn)集中管理；涉及的安全控制點包括系統(tǒng)管理、審計管理、安全管理和集中管控。

6、安全管理制度

針對整個管理制度體系提出的安全控制要求，涉及的安全控制點包括安全策略、管理制度、制定和發(fā)布以及評審和修訂。

7、安全管理機構

針對整個管理組織架構提出的安全控制要求，涉及的安全控制點包括崗位設置、人員配備、授權和審批、溝通和合作以及審核和檢查。

8、安全管理人員

針對人員管理提出的安全控制要求，涉及的安全控制點包括人員錄用、人員離崗、安全意識教育和培訓以及外部人員訪問管理。

9、安全建設管理

針對安全建設過程提出的安全控制要求，涉及的安全控制點包括定級和備案、安全方案設計、安全產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付、等級測評和服務供應商管理。

10、安全運維管理

針對安全運維過程提出的安全控制要求，涉及的安全控制點包括環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設備維護管理、漏洞和風險管理、網(wǎng)絡和系統(tǒng)安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理和外包運維管理。

No.3

安全擴展要求

安全擴展要求是采用特定技術或特定應用場景下的等級保護對象需要增加實現(xiàn)的安全要求。包括以下四方面：

1.云計算安全擴展要求是針對云計算平臺提出的安全通用要求之外額外需要實現(xiàn)的安全要求。主要內(nèi)容包括“基礎設施的位置”、“虛擬化安全保護”、“鏡像和快照保護”、“云計算環(huán)境管理”和“云服務商選擇”等。

2.移動互聯(lián)安全擴展要求是針對移動終端、移動應用和無線網(wǎng)絡提出的安全要求，與安全通用要求一起構成針對采用移動互聯(lián)技術的等級保護對象的完整安全要求。主要內(nèi)容包括“無線接入點的物理位置”、“移動終端管控”、“移動應用管控”、“移動應用軟件采購”和“移動應用軟件開發(fā)”等。

3.物聯(lián)網(wǎng)安全擴展要求是針對感知層提出的特殊安全要求，與安全通用要求一起構成針對物聯(lián)網(wǎng)的完整安全要求。主要內(nèi)容包括“感知節(jié)點的物理防護”、“感知節(jié)點設備安全”、“網(wǎng)關節(jié)點設備安全”、“感知節(jié)點的管理”和“數(shù)據(jù)融合處理”等。

4.工業(yè)控制系統(tǒng)安全擴展要求主要是針對現(xiàn)場控制層和現(xiàn)場設備層提出的特殊安全要求，它們與安全通用要求一起構成針對工業(yè)控制系統(tǒng)的完整安全要求。主要內(nèi)容包括“室外控制設備防護”、“工業(yè)控制系統(tǒng)網(wǎng)絡架構安全”、“撥號使用控制”、“無線使用控制”和“控制設備安全”等。