■ 中国信息通信研究院安全研究所 魏亮 赵爽 方溢超
坚实的网络安全产业实力,是网络空间繁荣稳定、保障有力的前提和基础。习近平总书记在全国网络安全和信息化工作会议上强调,积极发展网络安全产业,做到关口前移,防患于未然,对新时代我国网络安全产业发展提出更高要求。近五年来,我国网络安全产业砥砺前行,在产业规模、企业发展、技术创新、生态协同、人才培养等方面取得了长足进步,为保障国家网络空间安全发挥基石力量、做出重要贡献,但同时,内外部压力挑战不断加深,产业发展亟待变革突破。
一、发展新成就 1.我国网络安全产业体系逐步建立根据中国信息通信研究院测算数据,2018年我国网络安全产业规模将达到545.49亿元,较2014年237.21亿元增长130%,年度复合增长率超过23%。网络安全产品体系日益完备,网络安全服务市场逐步升温,新兴技术与网络安全融合应用明显提速,涌现出一批新模式和新业态。龙头企业引领,专业厂商深耕,IT和运营商紧密互动的产业格局初步形成。网络安全领域创新创业持续活跃,未知威胁监测、云安全、安全服务等领域成为社会资本投入布局的热点。
2.网络安全企业综合实力显著提升一是企业数量和规模有了较大提高,从事网络安全相关业务的企业数量达到2681家,年度新设企业数量超过百家。二是企业营收水平和盈利能力逐步增强。2017年,国内网络安全业务收入超过10亿的企业数量超过10家,启明星辰、深信服、蓝度股份等企业净利润超过4亿元,与2013年无一家营收突破10亿、仅2家利润超过1亿相比,成绩斐然。三是我国安全企业的国际影响力日渐加深。安天、奇虎360、安恒信息等8家企业入围2018年国际网络安全创新500强榜单 ,较2015年增加100%。在漏洞挖掘、攻防竞赛、技术认证、标准制定等领域,我国安全企业的参与度、认可度逐步提升。
3.重点领域技术优势逐渐成型在防火墙、漏洞挖掘、威胁监测、病毒查杀、身份认证等基础安全领域,国内骨干企业通过持续性迭代研发,积累汇聚了漏洞信息、恶意代码、攻击规则、协议行为特征等丰富资源,沉淀夯实了技术能力和攻防经验,打磨出了一批成熟的产品应用。在云计算、大数据、智慧城市等新兴领域,IT企业与安全企业携手构建平台型安全生态,安全能力体系和解决方案日益健全完善,为数字经济发展提供了有力的安全保障支撑。在生物认证、智能引擎、动态防御等前沿技术方向上,部分企业积极开展布局,抢占技术制高点。
4.网络安全产业生态日益完善在创新孵化方面,超过100家创投机构在网络安全领域开展活跃布局,覆盖攻击预测、风险分析、系统加固、攻击欺骗、修复实施、取证溯源等创新方向。在公开融资方面,16家安全企业实现上市,其中9家上市时间在2013年之后,占比达到52.9%;69家企业成功在新三板挂牌,其中仅2016年就有36家企业挂牌,呈现高度密集态势。在税收优惠方面,一批安全创新企业享受到高新技术企业、双软企业的优惠税率,同时研发费用加计扣除范围进一步扩大,形成对研发投入的正向激励。此外,《网络安全法》《国家网络空间安全战略》等发布,网络空间安全重点专项等的实施,为产业营造出更为优越的法律、制度和发展环境。
5.人才梯队建设取得重要进展网络安全人才培养稳步推进,网络空间安全一级学科设立,相关企业、科研院所、高校等开展多种类型的网络安全培训,举办网络安全知识技能竞赛、网络安全技术对抗赛,培养了一大批实用型、复合型网络安全人才。网络安全人才激励机制取得新突破,中国互联网发展基金会网络安全专项基金设立“网络安全人才奖”“网络安全优秀教师奖”等,以奖励为国家网络安全事业作出突出贡献的人员。2017年,20名网络安全优秀人才及优秀教授获得总额700万元奖金,激发人才积极性。
二、形势与挑战 1.从外部看,网络安全形势复杂严峻,产业发展任务紧迫一方面,美国引领国际网络空间竞争博弈进入新阶段,局势更为紧张。近期,美国网络空间政策动作频繁,展示出强硬的治网作风。8月,“2019财年国防授权法案”明确了网络威慑的路径和战略对手,给予美国防部发起军事网络行动授权。9月以来,美国白宫、国防部相继发布《国家网络战略》《国防部网络战略(2018)》,系统阐述了塑造美国在网络空间主导地位、防御推进等思路和举措。预计新一轮以美国为标杆的网络空间战略研究和布局已然启动。值得注意的是,为保持安全技术和保障能力领先,美国战略政策中涉及多项网络安全产业支持措施,包括政府采购引导、鼓励安全投入、支持技术创新、破除市场障碍、激发安全需求、拓宽人才库等。例如,积极利用政府购买力,强化政府在最佳实践和创新应用的带头作用;鼓励加大网络安全投入,指导企业做好风险管理决策;优先开展国家研究和发展投资,支持网络安全新方法、新技术的创新应用;营造适应性强、安全的技术市场,加大对创新奖励和支持;强化与私营部门、组织间合作,克服采用安全技术的市场障碍;通过贸易相关举措在全球推进美国的网络安全创新;提高网络安全实践的意识和透明度,以提高对更安全产品和服务的市场需求;加强人才渠道和技能教育等。
另一方面,网络攻防不对等局势更为凸出,安全防御能力亟待提升。一是攻防资源不对等。据悉,仅国内的互联网黑产规模就达千亿,有超过150万从业者,组织紧密、运作高效,远超安全产业的规模和能力。二是攻防手段不对等。网络攻击技术越发自动化、智能化,长期潜伏、定向跃进、自发蔓延等能力不断提升,网络武器的融合利用更拓展了攻击渠道、增强了攻击性能,而传统网络隔离、边界防护等防御手段逐渐失效,威胁情报、智能阻断、拟态防御等新兴手段尚未成熟应用,攻防差距逐步拉大。三是攻防效率不对等。网络攻击者可以“广撒网”遴选目标,利用漏洞曝光到修补的时间差实施入侵,借助联网设备开展大规模、高强度对抗,效率极高;防御侧面临层出不穷的漏洞、告警、事件,不仅难以兼顾全局,响应处置也严重滞后。四是攻防成本不对等。网络攻击者依靠层层伪装,实施幕后操纵,极易逃避追踪,攻击成本甚至可忽略不计;防御侧则需要投入大量人力、物力、精力,一旦发生安全事件,可能面临系列惩处惩罚。在这样的攻防形势下,我们看到安全能力最为领先的美国也遭遇到针对国家机器、金融机构、能源组织、大型企业等的攻击并损失惨重。我国网络安全风险感知、攻击应对处置能力亟需提升,网络安全技术产业发展步伐亟需提速。
2.从内部看,网络安全产业仍处于发展起步阶段,发展壮大面临诸多瓶颈制约与发达国家相比,我国网络安全产业仍处于发展起步阶段,网络安全核心技术还需要加快突破,产业发展政策环境还有待进一步完善,安全市场需求有待进一步释放,需要高度重视、切实解决。
一是网络安全认识不深、重视不足,投入意愿不强。2017年,我国信息产业规模达18.5万亿元 ,网络安全投入占信息化投入的比重仅为0.24%,远低于美国4.78% 的比例,网络安全与信息化发展极其不充分不平衡。具体来看:针对政府、关键信息基础设施领域,美、英、德等主要国家均采取了严格的安全能力建设规定或投入要求,同时提供技术指南,保障了安全与发展同步建设;针对私营领域,出台了严惩数据泄露的法律法规,驱动私营企业加强安全保障能力,合规和内生安全双向驱动,互为助益,释放出强大的市场需求。反观我国,《网络安全法》出台以来,合规需求有了一定增长,但仅停留在一般性的保护层面,针对关键信息基础设施的更高的安全保障要求尚未明确。安全事件的惩治力度也和国际存在巨大差距,安全事件的发酵对企业声誉、股价影响甚微,不仅未能形成对于网络安全投入的正向激励,甚至一定程度上鼓励了在网络安全上的无所谓、不作为。
二是网络安全市场散乱无序,生态环境亟待改善。一方面,重复认证、准入壁垒问题尚未得到有效解决,挤占耗费企业大量资源,阻碍企业市场拓展。另一方面,同质、低价等恶性竞争激烈,导致恶性循环。以上问题从根源看,首先是网络安全领域进入门槛较低,产品服务同质化严重,难以拉开档次,高度竞争之下市场价格趋向价值、甚至低于价值。其次是用户对于安全技术能力缺乏深刻的认知和有效的评判。国际上,技术能力是采购决策的核心指标之一,Gartner、NSS Labs等专业技术咨询、测试认证为用户提供了一定的选型依据,用户也会在招标前委托承包商或第三方开展技术对比测试。反观我国,大量相似的认证许可在加剧企业负担的同时,并未形成技术能力评价导向作用;招标前技术选型测试仅在电信、金融等领域少量存在,例如中国移动曾委托第三方开展数据防泄漏产品的选型测试,国内20余主流厂商参与。
三是技术创新能力不足、研发定力不够,创新应用困难。随着网络安全持续走热,国际网络安全热点概念、热门技术也在国内受到追捧,企业跟进十分迅速。盲目追热求新,将对产业长期可持续发展带来严重危害。一方面,在研发资源有限的情况下,布局越广、跟进越快,力量就越分散,也就越难颠覆性创新、根本性突破。另一方面,人工智能等新兴技术在安全的应用并不能一劳永逸解决所有安全问题。与此同时,中小企业创新技术应用和市场推广较为困难。中小安全企业技术理念方向虽新,但由于成立年限短、团队规模小、资质不全、项目经验缺乏等因素难以拓展市场。国际上,美国、英国等政府针对网络安全创新创业企业,推出了一揽子扶持措施,特别是政府奖励扶持、先试先用,起到示范效应,为企业发展提供助力。我国对技术创新的引导、激励和扶持亟待进一步提升。
三、产业发展的思考建议 1.强化产业发展的统筹指导,充分发挥产业集聚效应一是制定促进我国网络安全产业发展的指导性文件。立足国家战略高度,明确产业层次结构、功能定位、发展重点。发挥政策导向作用,细化安全保障要求,引导加大安全投入;针对企业发展不同环节,提出一揽子扶持措施,以政府先用先试、行业试点示范、政企深度协作等创新模式支持产业健康可持续发展。加大对网络黑产的打击防范力度,持续开展专项治理活动,形成有力震慑。二是加快培育打造层次鲜明、保障有力的产业梯队。重点培育具有产业整合能力的安全巨头,发挥产业带动引领作用;着力打造一批面向重点行业领域的解决方案提供商,形成对重点领域、新兴领域安全能力覆盖;大力发展一批“专精特新”的独立厂商,围绕热点技术、创新理念、前沿概念,加快创新攻关,满足新时代网络安全保障工作需要。三是打造高质量网络安全产业园区,形成1+1>2的聚合效用。坚持统筹布局、科学规划、持续管理,抓住多元主体汇聚、分类施策、环境建设等关键点,加强政产学研用纽带建设,释放产业集群发展效应。
2.系统提升用户侧安全能力,激发网络安全市场新动力一是全面提升对网络安全重视程度。通过宣贯、督查、考核等多种方式,深化对网络安全工作重要性的认识,确保网络安全责任落到实处。二是加快提升网络安全从业人员的职业技能。网络安全的规划者、组织者、建设者、运维实施者必须要掌握必要的网络安全知识体系和技能,才能有效把握网络安全工作的方向和重点,保证安全制度标准、产品服务发挥效用。建议进一步加强网络安全从业人员能力建设,通过设置首席网络安全官、开展培训竞赛等多种方式以及将安全技能与岗位升迁挂钩、工作成效纳入考核等激励手段,提升从业人员综合能力。同时,鼓励开展技术选型测试,将技术能力、服务质量作为采购选择的核心指标。三是激发企业内生安全需求。借鉴美国“黑入五角大楼”等机制,引导企业加大对网络安全风险的排查处置力度,认清网络安全攻防不对等态势,强化网络安全能力建设。推动将网络安全纳入绩效考核、企业上市要求,加强网络安全事件通报和执法惩处力度,引导合规需求向内生需求转变。
3.推动产品交付向价值交付转变,积极构建网络安全协作体系一是加快转变“重产品轻服务”的思维观念。发挥政府引领示范作用,加快推动对服务价值的认知认可,鼓励安全服务采购与产品采购保持独立、适当剥离,促进安全服务投入比例与需求的匹配。将服务能力作为衡量厂商综合能力的重要指标,引导厂商由产品交付向价值交付转变。二是鼓励创新与管理规范并举。一方面,调整监管合规要求,支持可管理安全服务、态势感知等安全运维服务落地和创新。另一方面,发挥行业协会、联盟作用,规范网络安全服务市场行为,维护良好生态。三是深化政企协同合作,发挥产业支撑作用。鼓励企业发挥技术优势,加强网络安全技术、最佳实践和威胁应对等方面的协同联动和信息共享,通过技术合作、开放平台等方式,将企业能力纳入国家安全能力体系,强化网络安全支撑保障。
4.完善网络安全创新生态,加快推动网络安全技术能力突破一是打造网络安全创新的枢纽和平台。鼓励科研机构、平台级厂商搭建网络安全创新平台,加强协同攻关。支持国家智库、行业组织、联盟等发挥优势,搭建服务技术研发、产业协同、企业汇聚、交流展示的平台,优化完善产业环境,形成良好的创新创业生态系统。二是强化网络安全创新引导。支持科研院所、相关企业加深安全新理念新架构研究储备,积极探索新型网络安全架构理念。鼓励在专业领域具有较强技术积累的企业,开展持续性微创新,加速能力迭代升级。支持企业开展大数据分析、人工智能技术与安全融合应用研发布局,构建新技术新业态安全技术防护体系。
5.加快网络安全职位体系建设,加强安全人才职业发展支持和引导一是建立网络安全职位体系,引导形成对岗位职责、发展路径的清晰认知,为人才考核选拔、奖励提升等提供参考。规范网络安全职业资格认证、资质认定的评价标准和管理制度。二是针对网络安全特定专业的特殊人才,开辟人才引进绿色通道,在引进条件、引进程序等方面予以特殊安排。三是大力推进网络安全职业教育,聚焦网络安全基础运维、监管审计、应急处置等亟需技能领域,开展定向培训,加快补齐关键信息基础设施等领域网络安全人才缺口。
(本文刊登于《中国信息安全》杂志2018年第10期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。
