了解最新等保资讯及等保政策
文 | 中国电子信息产业发展研究院 刘权 王超 周千荷 孟雪 李东格
网络安全产业是维护网络空间安全的重要基础,是国家网络安全能力的重要支点,产业的质量和水平决定着国家网络安全保障能力的强弱。党的十八大以来,在习近平新时代中国特色社会主义思想特别是习近平总书记关于网络强国的重要思想指引下,我国网络安全创新能力显著增强,产品体系逐步完善,产业规模不断扩大,集聚效应日益凸显。产业发展为维护国家网络安全、护航网络强国建设发挥基石力量、提供有力保障。然而,我国网络安全产业的综合实力与美国、欧洲等发达国家相比依然存在差距。面对制造强国、网络强国、数字中国等战略目标,以及实现高质量发展要求,我国网络安全产业仍需跨越较大的发展鸿沟。因此,加快发展步伐、强化产业实力任重而道远。
一、网络安全产业发展取得历史性成就
党的十八大以来,我国加快推进网络安全领域顶层设计,指导网络安全技术创新和产业发展,推动网络安全产品体系和产业链逐步完善,网络安全产业规模不断扩大,网络安全人才培养效果显著增强,网络安全教育、技术、产业融合发展稳步推进,网络安全产业为国家网络安全提供了有力支撑。
(一)顶层设计不断完善,发展环境持续优化
国家网络安全“四梁八柱”基本构建,有利于产业发展的政策法律环境持续优化。2014 年以来,我国相继颁布《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等一系列法律法规。同时,出台了《关于促进网络安全产业发展的指导意见》《网络产品安全漏洞管理规定》《网络安全审查办法》《云计算服务安全评估办法》等政策文件。这些举措为网络安全产业的健康发展提供了政策支撑和法律基础,并为网络安全技术创新及网络安全企业成长壮大创造了宝贵机遇。
区域性行业性政策集中释放,网络安全产业发展活力不断彰显。在地方层面,湖南、四川、湖北、河南等省份密集出台了加强网络和数据安全保护、关键信息基础设施保护、网络安全人才培养等方面的政策文件,北京、成都、长沙等城市也出台了专门针对网络安全产业发展的指导性政策文件,这些举措推动了网络安全产业的高质量发展,使得多个地区的网络安全产业发展进入“快车道”。在行业层面,电信、互联网、金融、医疗、教育等重点行业领域集中出台了相关的规划、指导意见和管理办法等网络安全政策文件,这加速了网络安全产业需求的释放。
(二)产业规模高速增长,产业实力显著增强
网络安全产业呈现高速发展态势。当前,我国网络安全产业正处于一个快速发展的阶段。根据国家网信办发布的《数字中国发展报告(2022 年)》,2022 年我国网络安全产业规模近 2170 亿元,同比增长 13.9%,近 5 年我国网络安全产业规模平均增速高出全球约 4 到 5 个百分点。
网络安全企业发展规模持续壮大。我国网络安全企业不断发展壮大,企业营收总体上呈现稳定增长态势。根据中国网络安全产业联盟统计,截至 2023 年上半年,我国共有 3984 家企业开展网络安全业务,同比增长 22.4%。2023 年上半年,我国有 26 家上市公司营业收入总和约 200 亿元,较去年同期增长 2.5%。360、深信服、奇安信等 6 家上市企业的半年营收超过 10 亿元。
互联网企业、大型国企深度布局网络安全市场。一方面,阿里巴巴、腾讯等大型互联网企业依托云平台优势,不断强化网络攻击防护、应用安全和病毒防护等网络安全能力,并通过与网络安全企业和通信企业建立战略合作关系及协同联动关系,共同推动网络安全生态建设。另一方面,包括中国移动、中国电子、中国电科、国投集团在内的大型国有企业,正通过增资或入股如启明星辰、奇安信、绿盟科技、南洋股份、美亚柏科等领先的网络安全企业,持续强化在网络安全领域的战略布局,并致力于打造网络安全产业生态链。
(三)创新能力明显提升,产品体系日趋完善
网络安全创新能力快速增强。随着网络安全产业与数字化产业的逐渐融合,网络攻防、5G 安全、工业互联网安全等网络安全创新技术大量涌现,零信任、拟态防御、可信计算、车联网安全等新兴安全技术逐渐成熟,以大数据分析、机器学习、深度学习、大模型为代表的人工智能技术与网络安全融合实践日益增多,赋能网络安全的效益日益显现。
网络安全技术布局相对完整。随着网络安全行业的迅猛发展,现有的网络安全产品和服务基本从传统领域扩展到了云、大数据、物联网、工业控制、5G 和移动互联网等不同的应用场景。我国的网络安全产品和服务已覆盖基础安全、基础技术、安全系统、安全服务等多个方面,网络安全产品体系日益完善,产业活力日益增强。
网络安全产业服务化转型趋势明显。随着我国的网络安全需求从单一的技术产品向集成化的解决方案转变,网络安全软件和服务所占比重不断增加,网络安全规划咨询、检测认证、安全集成、应急响应、安全托管等安全服务迅速发展,态势感知、监测预警、云安全服务等新技术新业态层出不穷,网络安全技术密集化、产品平台化、产业服务化等特征不断显现。根据中国网络安全产业联盟的数据,截至 2023 年上半年,我国有 2855 家服务型网络安全企业,同比增长 32.5%;1469 家产品型网络安全企业,同比增长 6.5%。服务型网络安全企业的数量和增速显著高于产品型网络安全企业,国内网络安全市场过去“重产品,轻服务”的情况得到进一步改善。
(四)产业集聚效应凸显,融合生态逐步形成
国家网络安全产业园区建设取得显著进展。我国诸多省市建立了网络安全基地和产业园区,并通过政策引导和资金支持来促进网络安全产业的集聚发展。在工信部指导下,北京市、湖南省长沙市和成渝地区的国家网络安全产业园区建设正在有序推进,旨在打造国家级网络安全产业园区样板工程。2020 年 11 月,河南省郑州市、北京市顺义区、安徽省合肥市、重庆市合川区、江西省鹰潭市和浙江省杭州市六地的网络安全园区入选工信部“网络安全创新应用先进示范区”,这些园区的专业特色水平和辐射带动作用已逐步显现。
国家网络安全人才与创新基地建设深入推进。在中央网信办的指导和支持下,武汉市和福州市分别于 2016 年和 2023 年获批建设国家网络安全人才与创新基地。截至 2022 年 5 月,国家网络安全人才与创新(武汉)基地已有近 200 家企业入驻,形成了网络安全、大数据和信息技术服务三大产业板块,全国前 50 强网络安全企业全部入驻。
国家网络安全教育技术产业融合发展试验区试点开展。国家网络安全教育技术产业融合发展试验区由中央网信办、教育部、科技部、工信部共同组织实施。2022 年,安徽省合肥高新技术产业开发区、北京市海淀区、陕西省西安市雁塔区、湖南省长沙高新技术产业开发区和山东省济南高新技术产业开发区获批为首批国家网络安全教育技术产业融合发展试验区。这些试验区将重点探索网络安全教育、技术和产业融合发展的新机制、新模式,在全国范围内形成网络安全人才培养、技术创新产业发展的良性生态。
(五)学科建设稳步推进,人才培养效果显著
网络安全学科建设稳步推进。2015 年,国务院学位委员会、教育部决定在“工学”门类下增设“网络空间安全”一级学科。从 2017 年开始,中央网信办、教育部启动一流网络安全学院建设示范项目。截至 2024 年,已有华中科技大学、西安电子科技大学、哈尔滨工业大学等 16 所高校入选,实现了从本科到硕士、博士的网络安全人才一体化培养。截至目前,全国范围内已有 90 余所高校设立了网络安全学院,200 余所高校设置了网络安全相关专业,超过 500 所本科和高职院校开设了网络与信息安全相关专业。
多措并举加强网络安全人才培养。中国互联网发展基金会设立网络安全专项基金,开展了一系列评选活动,如网络安全优秀教材、优秀教师的评选,并奖励了近千名各类网络安全优秀人才。同时,支持高等院校开设网络安全相关专业的“少年班”“特长班”。中央网信办指导并启动了“网络安全万人培训资助计划”,以支持培养非学历教育网络安全人才。此外,奇安信、启迪、开源网安、天融信、网信联盾等十余家企业已入驻国家网安基地并开展了培训工作。
二、新时代我国网络安全产业发展趋势
随着数字经济新模式和新业态的蓬勃发展,网络安全向数字安全不断外延,数据安全领域将迎来发展契机,成为网络安全产业发展核心驱动力。与此同时,网络安全攻防对抗技术的演变升级,将持续推动网络安全技术创新,提升智能化、主动化的安全能力,并加速零信任等安全架构行业落地,“交钥匙”的安全运营也有望成为企业网络安全新解法。
(一)数据安全将成为网络安全产业发展核心驱动力
随着《数据安全法》颁布实施,数据安全审查、数据出境安全评估等制度得到了健全和完善,“数据安全”已逐渐上升至国家战略的高度,其内涵不断丰富,并正向更多领域延伸。从供给侧来看,加密技术、身份认证、数据防泄露、隐私合规检测、数据滥用分析等数据安全技术持续创新发展,数据安全技术产品和服务的供给水平不断提升。从需求侧来看,在数字化转型加速、数据泄露事件激增、远程办公需求上升等多重因素的刺激下,企业对数据安全的重视程度显著增加,迫切需要更加全面和有效的数据安全解决方案。数据安全将成为我国网络安全产业发展的核心驱动力,推动网络安全产业实现爆发式增长。
(二)智能化、主动化将成为网络安全产品竞争关键
以 Web3.0、量子计算、卫星通信、生成式人工智能等为代表的新技术正加速实现从研究探索到商业应用的跨越。这些技术在推动生产和生活方式变革的同时,也进一步放大了隐私泄露、技术滥用和价值渗透等问题,导致全球网络攻击手段升级,攻防对抗愈发激烈。传统的网络安全防护措施越来越难以有效预测和应对潜在威胁,这使得智能主动安全类产品的重要性日益凸显。随着人工智能加速赋能网络安全领域,未来的网络安全不再仅仅依赖被动应对,将实现对安全威胁的快速感知,主动捕获并动态对抗,以及进行关联预测。此外,恶意代码自主检测、异常行为的自主分析以及敏感数据的自主保护等功能将成为智能主动安全产品的关键特性,其规模化应用势在必行。
(三)零信任安全架构将在重点行业加快应用落地
近年来,全球各国纷纷出台零信任相关战略,持续加大对零信任等新兴技术的投资和研发力度,以抢占网络安全技术的制高点。2022 年 11 月,美国公布《国防部零信任战略》,将零信任部署为网络安全最高优先事项,并计划在 2027 财年之前实施零信任战略。2023 年 4 月,美国网络安全和基础设施安全局发布了《零信任成熟度模型 2.0》,更新了政府范围内采用零信任安全架构的关键定义和指标,将其作为联邦机构转向零信任架构的“众多路线图之一”。根据 Gartner 的预测,到 2025 年,至少 70% 的新增远程部署将使用零信任网络访问。全球范围内零信任架构的迭代升级和创新应用,将对我国网络安全产业的创新发展产生客观的推动作用,这将倒逼国内企业和研究机构加快零信任架构的技术创新,并推动行业应用的落地。
(四)“交钥匙”的安全运营将成为企业网络安全新解法
在数字化浪潮中,网络技术的快速变革以及网络攻击手段的不断更新,给网络安全建设带来了更为严峻的挑战。传统的网络安全防御技术逐渐显得力不从心,企业迫切需要更有效的解决方案来重构其企业级的安全防护体系,以增强整体防护能力。“交钥匙”的安全运营服务,作为一种全面托管式的网络安全服务模式,正逐渐成为企业网络安全的新保障。该模式以用户的安全需求为导向,基于成熟且先进的安全模型,并依托标准化的安全运营流程。通过采用体系化、常态化的交钥匙安全运营方式,这种模式将成为解决当前数字安全各自为战局面的一个关键策略。
三、新时代我国网络安全产业发展面临的问题挑战
当前,我国网络安全产业仍面临需求不足、创新不强、人才匮乏等系列问题挑战,这已成为制约网络安全产业高质量发展的重大难题。
(一)网络安全产业发展需求仍待释放
当前,在我国,需求方“重发展、轻安全”的观念仍然根深蒂固。与能够快速见效的信息化投入相比,我国在网络安全方面的投入相对较低。根据 IDC 数据显示,我国网络安全的投入占信息化整体投入的比例一直低于 2%,远低于全球平均水平 3.05%,与美国、日本等发达国家 10% 以上的投入比例相比存在数倍差距。此外,需求方的网络安全意识相对薄弱,除了政府、通信、金融行业对网络安全保障的强制性要求以外,大部分用户未将网络安全视为刚需,对网络安全产品与服务的需求仅是被“合规”所驱使,甚至部分用户将网络安全建设视为一种成本负担,对网络安全的重视程度严重不足,我国网络安全产业发展需求有待进一步激活与释放。
(二)企业核心技术创新能力有待提升
与发达国家相比,我国网络安全企业的创新能力存在明显差距,以企业为主体的创新体系尚未完善。在自主创新的芯片、操作系统方面,总体水平与发达国家有较大差距。安全技术创新在根域名安全、工业控制系统安全、芯片安全、云原生安全等领域进展缓慢,而在大数据汇聚场景下的轻量级加密、传输等数据安全技术亟需突破。尽管人工智能、区块链、5G 等领域的安全技术在国际上位居前列,但依然存在“重场景安全,轻底层技术逻辑”的问题。此外,我国虽然网络安全企业众多,但多数企业整体实力不强、规模普遍较小,产品同质化现象严重,低水平重复研发等问题普遍存在。
(三)网络安全人才匮乏问题亟需解决
高等院校毕业生是我国网络安全人才主要来源。《2023 年网络安全产业人才发展报告》显示,我国对网络安全人才的总需求量达 150 万以上,社会对网络安全人才的需求量每年约 4.5 万人左右,而高校每年培养的网络安全人才不到 3 万人,高校产出人才数量远远不能适应社会发展对网络安全人才的需求,人才总量严重匮乏。同时,高校网络安全课程体系设置比较僵化,普遍存在“重理论,缺实践”的现象,导致毕业学生与工作岗位的实际需求之间存在显著差距。此外,我国在网络安全领域的领军和高端人才,以及在技术研究应用、科技成果转化、攻防能力建设等领域能够取得突出业绩和成果的从业人员也存在严重短缺问题,这在很大程度上制约了我国网络安全产业的发展。
四、促进网络安全产业高质量发展的措施建议
当前,数字经济迅猛发展,网络安全产业迎来创新发展的新阶段。下一个十年,我国必须把握机遇,在强化技术创新、培育优势企业、深化应用推广、壮大人才队伍等方面持续发力,不断增强网络安全产业整体实力,促进网络安全产业高质量发展。
(一)强化网络安全技术创新
深化网络安全与人工智能、量子计算、大模型等前沿技术的融合创新研究,加速推动原生安全、智能编排、内生安全等技术产品研发和推广落地。推动发展主动安全防御技术,推进欺骗防御、威胁狩猎、拟态防御等技术产品落地。面向关键信息基础设施安全防护需求,重点加强主动实时防护、网络信任体系等技术研发应用,提升安全威胁检测、预警、响应和处置能力。
(二)培育网络安全优势企业
建立领军企业、优势企业和种子企业培育库,开展动态化、梯度化、信息化培育,推动企业向精深化、链条化、集群化发展。支持网络安全领军企业通过战略投资方式整合资源,做大做强,提升网络安全生态引领能力。鼓励龙头企业建立开放性网络安全技术研发、标准验证、成果转化平台,整合产业链上下游企业资源,聚焦产业链薄弱环节,开展产学研协同创新研发,补齐短板。引导中小型企业向“专精特新”方向发展,与大企业共同构建合理分工、优势互补的产业生态链体系。
(三)深化网络安全推广应用
深化网络安全技术应用试点示范,围绕人工智能安全、工业互联网安全、区块链安全等领域,遴选优秀安全技术产品、服务及解决方案,推动开展相关应用性能、特定场景支持情况等实验验证,形成产品推荐清单和安全实操指南。充分发挥党政机关和行业主管部门的引领带动作用,优先采购部署纳入清单的网络安全技术产品、服务和解决方案。常态化开展电信网、互联网和工业互联网安全防护检查,加强车联网、物联网的安全管理,督促并指导相关企业采取必要的网络安全技术措施。
(四)壮大网络安全人才队伍
支持高等院校加强网络安全学科建设,强化课程体系研究、教材编制、教师培训以及培养模式创新等工作,同时支持其承担国家重点科研任务。加快发展网络安全人才职业教育和培训机构,研究并制定网络安全职业培训标准,规范职业培训活动,以加速网络安全高技能人才的培养。建立新的网络安全人才职称评定评价机制,实行以能力和业绩为主的评价标准,允许满足特定条件跨级申报职称。
(本文刊登于《中国信息安全》杂志2024年第4期)
上一篇:内网计算机终端安全策略的应用研究