信通院魏亮:網路安全產業發展的成就、挑戰與變革
■ 中國資訊通訊研究院安全研究所 魏亮 趙爽 方溢超
堅實的網路安全產業實力,是網路空間繁榮穩定、保障有力的前提和基礎。習近平總書記在全國網路安全和資訊化工作會議上強調,積極發展網路安全產業,做到關口前移,防患於未然,對新時代我國網路安全產業發展提出更高要求。近五年來,我國網路安全產業砥礪前行,在產業規模、企業發展、技術創新、生態協同、人才培養等方面取得了長足進步,為保障國家網路空間安全發揮基石力量、做出重要貢獻,但同時,內外部壓力挑戰不斷加深,產業發展亟待變革突破。
一、發展新成就
1.我國網路安全產業體系逐步建立
根據中國資訊通訊研究院測算資料,2018年我國網路安全產業規模將達到545.49億元,較2014年237.21億元增長130%,年度複合增長率超過23%。網路安全產品體系日益完備,網路安全服務市場逐步升溫,新興技術與網路安全融合應用明顯提速,湧現出一批新模式和新業態。龍頭企業引領,專業廠商深耕,IT和運營商緊密互動的產業格局初步形成。網路安全領域創新創業持續活躍,未知威脅監測、雲安全、安全服務等領域成為社會資本投入佈局的熱點。
2.網路安全企業綜合實力顯著提升
一是企業數量和規模有了較大提高,從事網路安全相關業務的企業數量達到2681家,年度新設企業數量超過百家。二是企業營收水平和盈利能力逐步增強。2017年,國內網路安全業務收入超過10億的企業數量超過10家,啟明星辰、深信服、藍度股份等企業淨利潤超過4億元,與2013年無一家營收突破10億、僅2家利潤超過1億相比,成績斐然。三是我國安全企業的國際影響力日漸加深。安天、奇虎360、安恆資訊等8家企業入圍2018年國際網路安全創新500強榜單 ,較2015年增加100%。在漏洞挖掘、攻防競賽、技術認證、標準制定等領域,我國安全企業的參與度、認可度逐步提升。
3.重點領域技術優勢逐漸成型
在防火牆、漏洞挖掘、威脅監測、病毒查殺、身份認證等基礎安全領域,國內骨幹企業通過持續性迭代研發,積累匯聚了漏洞資訊、惡意程式碼、攻擊規則、協議行為特徵等豐富資源,沉澱夯實了技術能力和攻防經驗,打磨出了一批成熟的產品應用。在雲端計算、大資料、智慧城市等新興領域,IT企業與安全企業攜手構建平臺型安全生態,安全能力體系和解決方案日益健全完善,為數字經濟發展提供了有力的安全保障支撐。在生物認證、智慧引擎、動態防禦等前沿技術方向上,部分企業積極開展布局,搶佔技術制高點。
4.網路安全產業生態日益完善
在創新孵化方面,超過100家創投機構在網路安全領域開展活躍佈局,覆蓋攻擊預測、風險分析、系統加固、攻擊欺騙、修復實施、取證溯源等創新方向。在公開融資方面,16家安全企業實現上市,其中9家上市時間在2013年之後,佔比達到52.9%;69家企業成功在新三板掛牌,其中僅2016年就有36家企業掛牌,呈現高度密集態勢。在稅收優惠方面,一批安全創新企業享受到高新技術企業、雙軟企業的優惠稅率,同時研發費用加計扣除範圍進一步擴大,形成對研發投入的正向激勵。此外,《網路安全法》《國家網路空間安全戰略》等釋出,網路空間安全重點專項等的實施,為產業營造出更為優越的法律、制度和發展環境。
5.人才梯隊建設取得重要進展
網路安全人才培養穩步推進,網路空間安全一級學科設立,相關企業、科研院所、高校等開展多種型別的網路安全培訓,舉辦網路安全知識技能競賽、網路安全技術對抗賽,培養了一大批實用型、複合型網路安全人才。網路安全人才激勵機制取得新突破,中國網際網路發展基金會網路安全專項基金設立“網路安全人才獎”“網路安全優秀教師獎”等,以獎勵為國家網路安全事業作出突出貢獻的人員。2017年,20名網路安全優秀人才及優秀教授獲得總額700萬元獎金,激發人才積極性。
二、形勢與挑戰
1.從外部看,網路安全形勢複雜嚴峻,產業發展任務緊迫
一方面,美國引領國際網路空間競爭博弈進入新階段,局勢更為緊張。近期,美國網路空間政策動作頻繁,展示出強硬的治網作風。8月,“2019財年國防授權法案”明確了網路威懾的路徑和戰略對手,給予美國防部發起軍事網路行動授權。9月以來,美國白宮、國防部相繼釋出《國家網路戰略》《國防部網路戰略(2018)》,系統闡述了塑造美國在網路空間主導地位、防禦推進等思路和舉措。預計新一輪以美國為標杆的網路空間戰略研究和佈局已然啟動。值得注意的是,為保持安全技術和保障能力領先,美國戰略政策中涉及多項網路安全產業支援措施,包括政府採購引導、鼓勵安全投入、支援技術創新、破除市場障礙、激發安全需求、拓寬人才庫等。例如,積極利用政府購買力,強化政府在最佳實踐和創新應用的帶頭作用;鼓勵加大網路安全投入,指導企業做好風險管理決策;優先開展國家研究和發展投資,支援網路安全新方法、新技術的創新應用;營造適應性強、安全的技術市場,加大對創新獎勵和支援;強化與私營部門、組織間合作,克服採用安全技術的市場障礙;通過貿易相關舉措在全球推進美國的網路安全創新;提高網路安全實踐的意識和透明度,以提高對更安全產品和服務的市場需求;加強人才渠道和技能教育等。
另一方面,網路攻防不對等局勢更為凸出,安全防禦能力亟待提升。一是攻防資源不對等。據悉,僅國內的網際網路黑產規模就達千億,有超過150萬從業者,組織緊密、運作高效,遠超安全產業的規模和能力。二是攻防手段不對等。網路攻擊技術越發自動化、智慧化,長期潛伏、定向躍進、自發蔓延等能力不斷提升,網路武器的融合利用更拓展了攻擊渠道、增強了攻擊效能,而傳統網路隔離、邊界防護等防禦手段逐漸失效,威脅情報、智慧阻斷、擬態防禦等新興手段尚未成熟應用,攻防差距逐步拉大。三是攻防效率不對等。網路攻擊者可以“廣撒網”遴選目標,利用漏洞曝光到修補的時間差實施入侵,藉助聯網裝置開展大規模、高強度對抗,效率極高;防禦側面臨層出不窮的漏洞、告警、事件,不僅難以兼顧全域性,響應處置也嚴重滯後。四是攻防成本不對等。網路攻擊者依靠層層偽裝,實施幕後操縱,極易逃避追蹤,攻擊成本甚至可忽略不計;防禦側則需要投入大量人力、物力、精力,一旦發生安全事件,可能面臨系列懲處懲罰。在這樣的攻防形勢下,我們看到安全能力最為領先的美國也遭遇到針對國家機器、金融機構、能源組織、大型企業等的攻擊並損失慘重。我國網路安全風險感知、攻擊應對處置能力亟需提升,網路安全技術產業發展步伐亟需提速。
2.從內部看,網路安全產業仍處於發展起步階段,發展壯大面臨諸多瓶頸制約
與發達國家相比,我國網路安全產業仍處於發展起步階段,網路安全核心技術還需要加快突破,產業發展政策環境還有待進一步完善,安全市場需求有待進一步釋放,需要高度重視、切實解決。
一是網路安全認識不深、重視不足,投入意願不強。2017年,我國資訊產業規模達18.5萬億元 ,網路安全投入佔資訊化投入的比重僅為0.24%,遠低於美國4.78% 的比例,網路安全與資訊化發展極其不充分不平衡。具體來看:針對政府、關鍵資訊基礎設施領域,美、英、德等主要國家均採取了嚴格的安全能力建設規定或投入要求,同時提供技術指南,保障了安全與發展同步建設;針對私營領域,出臺了嚴懲資料洩露的法律法規,驅動私營企業加強安全保障能力,合規和內生安全雙向驅動,互為助益,釋放出強大的市場需求。反觀我國,《網路安全法》出臺以來,合規需求有了一定增長,但僅停留在一般性的保護層面,針對關鍵資訊基礎設施的更高的安全保障要求尚未明確。安全事件的懲治力度也和國際存在巨大差距,安全事件的發酵對企業聲譽、股價影響甚微,不僅未能形成對於網路安全投入的正向激勵,甚至一定程度上鼓勵了在網路安全上的無所謂、不作為。
二是網路安全市場散亂無序,生態環境亟待改善。一方面,重複認證、准入壁壘問題尚未得到有效解決,擠佔耗費企業大量資源,阻礙企業市場拓展。另一方面,同質、低價等惡性競爭激烈,導致惡性迴圈。以上問題從根源看,首先是網路安全領域進入門檻較低,產品服務同質化嚴重,難以拉開檔次,高度競爭之下市場價格趨向價值、甚至低於價值。其次是使用者對於安全技術能力缺乏深刻的認知和有效的評判。國際上,技術能力是採購決策的核心指標之一,Gartner、NSS Labs等專業技術諮詢、測試認證為使用者提供了一定的選型依據,使用者也會在招標前委託承包商或第三方開展技術對比測試。反觀我國,大量相似的認證許可在加劇企業負擔的同時,並未形成技術能力評價導向作用;招標前技術選型測試僅在電信、金融等領域少量存在,例如中國移動曾委託第三方開展資料防洩漏產品的選型測試,國內20餘主流廠商參與。
三是技術創新能力不足、研發定力不夠,創新應用困難。隨著網路安全持續走熱,國際網路安全熱點概念、熱門技術也在國內受到追捧,企業跟進十分迅速。盲目追熱求新,將對產業長期可持續發展帶來嚴重危害。一方面,在研發資源有限的情況下,佈局越廣、跟進越快,力量就越分散,也就越難顛覆性創新、根本性突破。另一方面,人工智慧等新興技術在安全的應用並不能一勞永逸解決所有安全問題。與此同時,中小企業創新技術應用和市場推廣較為困難。中小安全企業技術理念方向雖新,但由於成立年限短、團隊規模小、資質不全、專案經驗缺乏等因素難以拓展市場。國際上,美國、英國等政府針對網路安全創新創業企業,推出了一攬子扶持措施,特別是政府獎勵扶持、先試先用,起到示範效應,為企業發展提供助力。我國對技術創新的引導、激勵和扶持亟待進一步提升。
三、產業發展的思考建議
1.強化產業發展的統籌指導,充分發揮產業集聚效應
一是制定促進我國網路安全產業發展的指導性檔案。立足國家戰略高度,明確產業層次結構、功能定位、發展重點。發揮政策導向作用,細化安全保障要求,引導加大安全投入;針對企業發展不同環節,提出一攬子扶持措施,以政府先用先試、行業試點示範、政企深度協作等創新模式支援產業健康可持續發展。加大對網路黑產的打擊防範力度,持續開展專項治理活動,形成有力震懾。二是加快培育打造層次鮮明、保障有力的產業梯隊。重點培育具有產業整合能力的安全巨頭,發揮產業帶動引領作用;著力打造一批面向重點行業領域的解決方案提供商,形成對重點領域、新興領域安全能力覆蓋;大力發展一批“專精特新”的獨立廠商,圍繞熱點技術、創新理念、前沿概念,加快創新攻關,滿足新時代網路安全保障工作需要。三是打造高質量網路安全產業園區,形成1+1>2的聚合效用。堅持統籌佈局、科學規劃、持續管理,抓住多元主體匯聚、分類施策、環境建設等關鍵點,加強政產學研用紐帶建設,釋放產業叢集發展效應。
2.系統提升使用者側安全能力,激發網路安全市場新動力
一是全面提升對網路安全重視程度。通過宣貫、督查、考核等多種方式,深化對網路安全工作重要性的認識,確保網路安全責任落到實處。二是加快提升網路安全從業人員的職業技能。網路安全的規劃者、組織者、建設者、運維實施者必須要掌握必要的網路安全知識體系和技能,才能有效把握網路安全工作的方向和重點,保證安全制度標準、產品服務發揮效用。建議進一步加強網路安全從業人員能力建設,通過設定首席網路安全官、開展培訓競賽等多種方式以及將安全技能與崗位升遷掛鉤、工作成效納入考核等激勵手段,提升從業人員綜合能力。同時,鼓勵開展技術選型測試,將技術能力、服務質量作為採購選擇的核心指標。三是激發企業內生安全需求。借鑑美國“黑入五角大樓”等機制,引導企業加大對網路安全風險的排查處置力度,認清網路安全攻防不對等態勢,強化網路安全能力建設。推動將網路安全納入績效考核、企業上市要求,加強網路安全事件通報和執法懲處力度,引導合規需求向內生需求轉變。
3.推動產品交付向價值交付轉變,積極構建網路安全協作體系
一是加快轉變“重產品輕服務”的思維觀念。發揮政府引領示範作用,加快推動對服務價值的認知認可,鼓勵安全服務採購與產品採購保持獨立、適當剝離,促進安全服務投入比例與需求的匹配。將服務能力作為衡量廠商綜合能力的重要指標,引導廠商由產品交付向價值交付轉變。二是鼓勵創新與管理規範並舉。一方面,調整監管合規要求,支援可管理安全服務、態勢感知等安全運維服務落地和創新。另一方面,發揮行業協會、聯盟作用,規範網路安全服務市場行為,維護良好生態。三是深化政企協同合作,發揮產業支撐作用。鼓勵企業發揮技術優勢,加強網路安全技術、最佳實踐和威脅應對等方面的協同聯動和資訊共享,通過技術合作、開放平臺等方式,將企業能力納入國家安全能力體系,強化網路安全支撐保障。
4.完善網路安全創新生態,加快推動網路安全技術能力突破
一是打造網路安全創新的樞紐和平臺。鼓勵科研機構、平臺級廠商搭建網路安全創新平臺,加強協同攻關。支援國家智庫、行業組織、聯盟等發揮優勢,搭建服務技術研發、產業協同、企業匯聚、交流展示的平臺,優化完善產業環境,形成良好的創新創業生態系統。二是強化網路安全創新引導。支援科研院所、相關企業加深安全新理念新架構研究儲備,積極探索新型網路安全架構理念。鼓勵在專業領域具有較強技術積累的企業,開展持續性微創新,加速能力迭代升級。支援企業開展大資料分析、人工智慧技術與安全融合應用研發佈局,構建新技術新業態安全技術防護體系。
5.加快網路安全職位體系建設,加強安全人才職業發展支援和引導
一是建立網路安全職位體系,引導形成對崗位職責、發展路徑的清晰認知,為人才考核選拔、獎勵提升等提供參考。規範網路安全職業資格認證、資質認定的評價標準和管理制度。二是針對網路安全特定專業的特殊人才,開闢人才引進綠色通道,在引進條件、引進程式等方面予以特殊安排。三是大力推進網路安全職業教育,聚焦網路安全基礎運維、監管審計、應急處置等亟需技能領域,開展定向培訓,加快補齊關鍵資訊基礎設施等領域網路安全人才缺口。
(本文刊登於《中國資訊保安》雜誌2018年第10期)
宣告:本文來自中國資訊保安,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。