《中華人民共和國國民經濟和社會發(fā)展第十四個五年規(guī)劃和 2035 年遠景目標綱要》對如何發(fā)展網絡安全產業(yè)給出了總體概括性的發(fā)展目標。產業(yè)界需要思考的首要問題之一是如何細化和落實,總體看,應契合國家戰(zhàn)略的引領,確立供需協(xié)同的產業(yè)發(fā)展總體思路。同時,基于國際比較簡析,應提出以網絡安全產業(yè)供給側深化改革為發(fā)展重點,并提出以強化網絡安全服務運營為特征的“智慧安全”理念,以及在該理念引領下打造網絡安全產業(yè)的四種能力體系。
一、以戰(zhàn)略為指引,明確產業(yè)發(fā)展思路
習近平總書記關于“進入新發(fā)展階段、貫徹新發(fā)展理念、構建新發(fā)展格局”的重要論述,為經濟社會發(fā)展提供了強大的理論指引。這一重要論述和發(fā)展邏輯,也同樣為“十四五”時期網絡安全產業(yè)的深入持續(xù)發(fā)展提供強大動力。
“十四五”時期網絡安全產業(yè)高質量發(fā)展,需要適應新發(fā)展階段要求,創(chuàng)新產業(yè)發(fā)展理念,開拓產業(yè)發(fā)展新格局。在目標上應重點關注數字化發(fā)展戰(zhàn)略的牽引作用,突出網絡安全供給側和需求側的協(xié)同發(fā)展,實現網絡安全產業(yè)發(fā)展的供需動態(tài)平衡。具體而言,一方面,在需求側實現對以新基建為引領的工業(yè)制造業(yè)、數字產業(yè)網絡安全保障需求的全面承載;另一方面,在供給側推進持續(xù)創(chuàng)新、實現對多場景、實戰(zhàn)化網絡安全攻防的全面覆蓋,大力提升網絡安全產品技術的智能化,推動網絡安全服務的規(guī)模化,集中化運營發(fā)展。
二、以服務為重點,推進網絡安全產業(yè)供給側深化改革
從國際比較分析來看,我國網絡安全產業(yè)發(fā)展的優(yōu)勢和不足都較為明顯。
一方面,我國網絡安全產業(yè)創(chuàng)新發(fā)展具有顯著的制度優(yōu)勢。網絡安全事關國家安全,是總體國家安全觀不可或缺的重要一環(huán),在“集中力量辦大事”思路指引下,其創(chuàng)新發(fā)展更具有統(tǒng)籌導向性,政策規(guī)劃驅動力強。相比而言,國外網絡安全產業(yè)發(fā)展過程中過于依靠市場驅動的做法,往往不利于創(chuàng)新培育和發(fā)展。例如,在每年的 RSA 大會上,都有創(chuàng)業(yè)公司或者小型安全公司推出特色鮮明、市場差異化明顯的產品與技術,對現有市場進行有益補充,但絕大多數創(chuàng)新最終不會被市場完全接受或被淘汰。
另一方面,從網絡安全產業(yè)結構看,高性能產品不足、服務占比低是我國網絡安全產業(yè)發(fā)展不能回避的問題。其中,高性能網絡安全產品供給上的短板問題,隨著科技創(chuàng)新力度持續(xù)加大,將逐漸得到緩解。而網絡安全服務占比低的問題仍然存在,我國網絡安全服務占比與發(fā)達國家及全球平均水平相比,仍存在較大差距。究其原因,主觀上主要是受傳統(tǒng)的購買產品思維等因素的影響;客觀上,網絡安全服務供給亟待提升,主要是受服務人員缺口大、本地交付方式限制嚴重,導致安全服務在交付上、規(guī)模上發(fā)展遲緩。而歐美等發(fā)達國家和地區(qū)由于安全托管服務(MSS)服務、安全即服務(SECaaS)等的廣泛應用,服務覆蓋不受地域限制,已經形成集中化、規(guī)?;姆漳芰Α?/p>
三、以需求為抓手,打造“智慧安全”理念體系
進入“十四五”時期,數字化戰(zhàn)略全面啟動,日趨嚴峻復雜的網絡安全形勢,對網絡安全供給能力提出了更高需求。
新時期的網絡安全需求主要聚焦在三個方面。一是解決邊界防護新問題,在新基建為引領的新一輪數字化建設實施過程中,以 5G、工業(yè)互聯網、物聯網等為代表的信息基礎設施,使得傳統(tǒng)網絡安全防護關口發(fā)生“前移”甚至出現關口消失的問題。二是解決場景應用新問題,數字化在社會經濟中的廣泛融合,使得應用更加多場景化,給現有網絡安全防護承載力、新技術短板和空白帶來新的沖擊。三是解決網絡攻擊復雜化新問題,網絡攻擊在人工智能、量子計算等技術的加持下,攻擊載體、精準度、隱蔽性、實時危害都有極大提高,如何快速定位并進行實時有效的防控,對原有網絡安全能力提出新的挑戰(zhàn)。
因此,新時期的網絡安全能力應在滿足網絡安全基本需求基礎上,更加注重解決網絡安全新問題,逐步實現由以前偏重依賴硬件設備為特征的傳統(tǒng)防護思路,向“智慧安全”新思路轉變。
從內涵來看,“智慧安全”理念的核心是實現全面防護、智能分析、自動響應,應當包含至少三個關鍵要素,即“全場景”“可信任”和“實戰(zhàn)化”?!叭珗鼍啊笔侵敢嫦蛉繑底只瘧脠鼍埃槍θ堪踩?,提供全方位的安全能力;“可信任”是指要支撐客戶構建可信任的能力,可信任的訪問與可信任的供應鏈;“實戰(zhàn)化”是指以實戰(zhàn)化安全運營為目標,為客戶構建按需調度能力,以及響應高效的安全運營體系。
四、以“智慧安全”理念為導向,構建產業(yè)供給能力體系
“智慧安全”作為網絡安全的一種理念體系,需要轉化為切實的網絡安全供給能力,以適應復雜場景下的數字化安全應用需求,切實構建堅實的數字化網絡安全基石。
“智慧安全”理念引領下的網絡安全供給能力,主要可包括四個方面。一是提升以態(tài)勢監(jiān)測為基礎的網絡安全感知能力。加強對重要領域的持續(xù)化、集中化監(jiān)測平臺和技術手段建設,并加強后端威脅發(fā)現和持續(xù)研究能力。二是提升以數據安全為基礎的網絡安全防護能力。在繼續(xù)夯實傳統(tǒng)邊界、虛擬邊界安全防護的同時,更加注重強化對數據信息的安全保護,涵蓋數據安全生產、傳輸、安全流動、安全應用等環(huán)節(jié)。三是提升以新應用安全研發(fā)為基礎的創(chuàng)新能力。重點圍繞物聯網、工業(yè)互聯網、5G、量子計算、空天一體化等新興應用領域的安全問題,部署創(chuàng)新攻關和產業(yè)化推進體系,實現產品、技術、標準等領域的彎道超車。四是提升以城市安全運營中心和服務平臺為基礎的安全運營能力。通過城市安全運營中心和服務平臺提供集中化網絡安全運營服務,面向關鍵信息基礎設施單位、行業(yè)、城市等用戶輸送專業(yè)化安全能力。
“智慧安全”三要素