隨著網(wǎng)絡(luò)空間安全上升為國家戰(zhàn)略，安全需求已由單一的軟硬件產(chǎn)品提供轉(zhuǎn)向全面專業(yè)的安全運營服務(wù)模式，各安全廠商爭先提出安全運營整體解決方案，安全即服務(wù)成為網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展重點。通過對網(wǎng)絡(luò)安全服務(wù)的國內(nèi)外產(chǎn)業(yè)發(fā)展現(xiàn)狀進行分析，結(jié)合工程實踐提出針對網(wǎng)絡(luò)安全全生命周期的服務(wù)體系，并從技術(shù)創(chuàng)新和商業(yè)模式創(chuàng)新兩個方面對網(wǎng)絡(luò)安全服務(wù)產(chǎn)業(yè)發(fā)展提出建議。全面的分析和研究網(wǎng)絡(luò)安全服務(wù)的產(chǎn)業(yè)現(xiàn)狀、體系和發(fā)展建議，對完善優(yōu)化網(wǎng)絡(luò)安全服務(wù)產(chǎn)業(yè)鏈有重要參考意義。

　　0　引　言

　　習近平總書記在2018年4月20日全國網(wǎng)信工作會上指出，沒有網(wǎng)絡(luò)安全就沒有國家安全，就沒有經(jīng)濟社會穩(wěn)定運行，廣大人民群眾利益也難以得到保障；要加強信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護，加強網(wǎng)絡(luò)安全信息統(tǒng)籌機制、手段、平臺建設(shè)，加強網(wǎng)絡(luò)安全事件應(yīng)急指揮能力建設(shè)，積極發(fā)展網(wǎng)絡(luò)安全產(chǎn)業(yè)，做到關(guān)口前移，防患于未然。

　　網(wǎng)絡(luò)空間由互聯(lián)網(wǎng)、通信網(wǎng)、計算機系統(tǒng)、自動化控制系統(tǒng)、數(shù)字設(shè)備及其承載的應(yīng)用、服務(wù)和數(shù)據(jù)等組成。網(wǎng)絡(luò)安全是指通過采用必要措施，防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。根據(jù)安全法的定義，現(xiàn)在的網(wǎng)絡(luò)安全涵蓋了數(shù)據(jù)、系統(tǒng)、網(wǎng)絡(luò)空間，成為一個國家的立國之本，是與國家海、陸、空、天等疆域同等重要的國家主權(quán)領(lǐng)域?？梢钥吹?，網(wǎng)絡(luò)安全的內(nèi)涵，從最初的數(shù)據(jù)信息安全，過渡到信息系統(tǒng)安全，進而到目前的網(wǎng)絡(luò)空間安全。網(wǎng)絡(luò)安全產(chǎn)業(yè)已經(jīng)發(fā)展為以滿足網(wǎng)絡(luò)空間的可用性、可靠性和安全性為目標，融合技術(shù)開發(fā)、產(chǎn)品經(jīng)營和提供安全服務(wù)的網(wǎng)絡(luò)安全生態(tài)鏈。

　　網(wǎng)絡(luò)安全產(chǎn)業(yè)從“產(chǎn)品模式”向“服務(wù)模式”“運營模式”轉(zhuǎn)變是大勢所趨，即安全服務(wù)化的內(nèi)涵。網(wǎng)絡(luò)安全服務(wù)是由供應(yīng)商、組織機構(gòu)和人員所執(zhí)行的一個安全過程和任務(wù)，安全服務(wù)也指適應(yīng)整個安全管理的需求，為企業(yè)、政府提供全面或部分信息安全解決方案的服務(wù)。安全服務(wù)是安全控制的綜合，可以劃分為三大類：關(guān)注程序與風險管理的安全管理類服務(wù)， 如風險評估、應(yīng)急處置、標準化安全服務(wù)等；關(guān)注由人員來實施并實現(xiàn)安全控制措施的安全運行類服務(wù)，如安全運維、技術(shù)培訓等；關(guān)注具體安全控制措施的安全技術(shù)類服務(wù)，如合規(guī)性檢查、安全加固等。

　　1　國內(nèi)外產(chǎn)業(yè)發(fā)展現(xiàn)狀

　　1.1　國外市場發(fā)展

　　2018年全球網(wǎng)絡(luò)信息安全產(chǎn)品市場總體規(guī)模為1259.8億美元，其中硬件為118.4億美元，軟件為330.1億美元，服務(wù)的規(guī)模最大，為811.3億美元，全球網(wǎng)絡(luò)安全市場以安全服務(wù)為主，市場份額占網(wǎng)絡(luò)信息安全市場的64.4%，如圖1所示。

　　圖1  全球網(wǎng)絡(luò)信息安全市場結(jié)構(gòu)

　　隨著網(wǎng)絡(luò)攻擊行為日趨復雜，防火墻、IDS等傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備已不能阻擋惡意網(wǎng)絡(luò)攻擊， 采用安全服務(wù)的商業(yè)模式越來越受到全球用戶重視。2018年，安全服務(wù)市場中安全咨詢、安全運維、安全集成三個細分市場份額，分別為21.8%、20.4%、17.6%，如圖2所示。從全球范圍來看，安全運維服務(wù)發(fā)展迅速，全球已有超過2萬家行業(yè)領(lǐng)軍企業(yè)和政府機構(gòu)正在使用安全運維服務(wù)，尤其是北美、歐洲等發(fā)達地區(qū)，安全運維服務(wù)市場已較為成熟。

　　圖2  全球安全服務(wù)細分市場格局

　　1.2　國內(nèi)服務(wù)發(fā)展

　　從產(chǎn)業(yè)發(fā)展規(guī)律來看，從“產(chǎn)品模式”向“服務(wù)模式”“運營模式”轉(zhuǎn)變是必然規(guī)律。目前我國網(wǎng)絡(luò)安全產(chǎn)業(yè)已經(jīng)歷了“安全產(chǎn)品”階段，目前正在向“安全服務(wù)”“安全運營”階段演進，國內(nèi)安全運營市場爭奪已拉開帷幕。2018年，國內(nèi)網(wǎng)絡(luò)安全市場容量464.51億元人民幣，預計2021年達到668億元人民幣。在全球網(wǎng)絡(luò)安全市場，2018年服務(wù)市場份額占市場比例達64.40%（圖1），但在國內(nèi)安全服務(wù)市場份額占比僅約13.8%，如圖3所示，預計到 2021 年，占比將達到 40%~50%（歐美發(fā)達國家水平），安全正在從傳統(tǒng)硬件“堆砌盒子”走向“能力交付”，安全服務(wù)市場將快速成長。

　　圖3  中國網(wǎng)絡(luò)安全市場結(jié)構(gòu)

　　2019年4月，國家電投在國資委指導下，牽頭中核集團、中國華電等15國有企業(yè)，以資本為紐帶，共同組建中能融合智慧科技有限公司，建設(shè)全國上千個發(fā)電站網(wǎng)絡(luò)安全態(tài)勢感知運營平臺，打造“國家能源大腦”；360企業(yè)安全與綿陽市政府共同建設(shè)網(wǎng)絡(luò)安全運營服務(wù)基地，在上海、南京、濟南、廣州、貴陽等5個地市建設(shè)安全運營中心，為智慧城市提供安全服務(wù)；啟明星辰在成都建有國內(nèi)最大的安全服務(wù)運營中心，在杭州、濟南、昆明、鄭州、攀枝花、眉山等20個地市繼續(xù)建設(shè)安全運營中心。

　　網(wǎng)絡(luò)安全工作本身是一個過程，它的本質(zhì)是風險的管理，安全產(chǎn)品不能解決所有的問題，所以安全服務(wù)已經(jīng)成為網(wǎng)絡(luò)安全工作的核心內(nèi)容。在關(guān)注業(yè)務(wù)安全的大背景下，從立體層面針對用戶業(yè)務(wù)系統(tǒng)進行管理、技術(shù)、應(yīng)用系統(tǒng)方面的評估、咨詢，可以幫助用戶全面認知自身安全風險，為用戶提供更完善，更有針對性的安全解決方案。

　　2　網(wǎng)絡(luò)安全服務(wù)體系

　　網(wǎng)絡(luò)安全服務(wù)體系是指適應(yīng)整個安全管理戰(zhàn)略的需要，為用戶提供覆蓋網(wǎng)絡(luò)安全全生命周期中各個環(huán)節(jié)解決方案并實施的服務(wù)，提供包含從高端的全面安全體系到細節(jié)的技術(shù)解決措施，涵蓋不同專業(yè)和層級的服務(wù)團隊，并受各類標準規(guī)范指導，如圖4所示。

　　圖4  網(wǎng)絡(luò)安全服務(wù)體系

　　（1）安全咨詢。主要針對用戶提出的安全相關(guān)問題，幫助用戶分析問題性質(zhì)和內(nèi)容，精煉明確的需求，并最終提出有針對性的解決方案。

　　（2）風險評估。為企業(yè)提供必要的信息，確定并評估企業(yè)安全風險、鑒定目前實施的安全方案有效性、證明增加安全措施所需要的資源。

　?。?）安全規(guī)劃。幫助企業(yè)設(shè)計經(jīng)過優(yōu)先排序的安全規(guī)劃，從系統(tǒng)安全的角度支持其業(yè)務(wù)安全。全面完善安全規(guī)劃能夠幫助企業(yè)合理、有組織地保護信息系統(tǒng)和信息資產(chǎn)安全，讓用戶邁上有效的企業(yè)安全之路。

　?。?）信息安全解決方案和建設(shè)集成。在技術(shù)層面為企業(yè)提供直接支持的服務(wù)，包括：根據(jù)企業(yè)的具體安全需求，參照行業(yè)最佳實踐，設(shè)計信息安全相關(guān)的項目、需求、技術(shù)或者產(chǎn)品的解決方案；根據(jù)企業(yè)實際需求，研發(fā)安全相關(guān)的技術(shù)產(chǎn)品；根據(jù)企業(yè)實際環(huán)境，選擇合適的軟硬件提供商，完成安全新系統(tǒng)的建設(shè)集成。

　?。?）培訓教育。針對不同的受眾，如企業(yè)高管、普通 IT 部門員工、信息安全從業(yè)人員和其他工作人員，提供不同層面的培訓課程。培訓形式可包括課堂式集中理論知識講解和網(wǎng)絡(luò)授課等多種形式，還可根據(jù)企業(yè)實際業(yè)務(wù)情況，輔助企業(yè)建立培訓體系、編寫培訓教材和制作培訓課件等。

　?。?）運維服務(wù)。面向業(yè)務(wù)系統(tǒng)，針對關(guān)鍵業(yè)務(wù)點的可用性和不間斷性進行合理布控和監(jiān)測，以關(guān)鍵績效指標指導，考核信息系統(tǒng)運行質(zhì)量和運維管理工作的實施和執(zhí)行，幫助企業(yè)建立全面覆蓋信息系統(tǒng)的監(jiān)測中心，并對各類安全事件做出快速、準確的定位和展現(xiàn)。

　?。?）應(yīng)急響應(yīng)。安全事件響應(yīng)和恢復方案可確保企業(yè)能夠?qū)Π踩录蜃匀粸暮M行響應(yīng)和恢復，并保障企業(yè)信息系統(tǒng)和網(wǎng)絡(luò)的持續(xù)有效可靠。

　?。?）服務(wù)團隊。專業(yè)的服務(wù)團隊是保證執(zhí)行好服務(wù)體系的核心，通過組建一支業(yè)務(wù)精湛、梯次合理的安全服務(wù)團隊，為企業(yè)或用戶的重要信息系統(tǒng)提供全面的安全保障服務(wù)，同時加強對內(nèi)部人員的安全培訓，提高企業(yè)或用戶的整體安全保障能力。

　　3　產(chǎn)業(yè)發(fā)展建議

　　3.1　需要重點關(guān)注的技術(shù)

　?。?）數(shù)據(jù)防泄漏

　　2019年前企業(yè)面臨的主要問題可能是惡意軟件，但在2020年之后，網(wǎng)絡(luò)釣魚攻擊將成為最大威脅。根據(jù)Verizon 2019 DBIR 數(shù)據(jù)泄露報道，網(wǎng)絡(luò)釣魚攻擊是造成數(shù)據(jù)泄露的第一大因素，數(shù)據(jù)泄露、財務(wù)欺詐等可能對企業(yè)造成可怕的后果。聯(lián)邦調(diào)查局發(fā)布的《互聯(lián)網(wǎng)犯罪報告》指出，2018 年期間，商業(yè)電子郵件攻擊共計造成了13億美元的損失；同時，約35%的CEO或CFO曾受過網(wǎng)絡(luò)釣魚攻擊。因此，檢測并阻止釣魚攻擊，特別是通過電子郵件發(fā)起的釣魚攻擊，將成為未來企業(yè)安全的最大剛需之一。

　　（2）威脅感知

　　數(shù)據(jù)信息驅(qū)動的安全解決方案需要數(shù)小時才能檢測到網(wǎng)絡(luò)安全威脅，企業(yè)對威脅感知時間的容忍度將越來越低。從惡意攻擊發(fā)起至被檢測到的這段時間，是攻擊造成最大破壞性的窗口時段。目前即使是最復雜的安全解決方案，同樣需要幾個小時甚至更長時間才能檢測到攻擊。因此，如何大幅縮短企業(yè)安全系統(tǒng)的威脅感知反射弧，提高對未知威脅的感知速度，將是未來企業(yè)和安全產(chǎn)業(yè)面臨的重要挑戰(zhàn)。

　?。?）威脅情報

　　威脅情報在企業(yè)安全市場的崛起，主要來自以下三個方面：

　　①威脅情報的應(yīng)用場景和服務(wù)對象無處不在，是真正的“國民”安全服務(wù)，所有人都能從中受益，因而也是安全與IT融合的催化劑和黏合劑。

　　②根據(jù)研究公司IDC的調(diào)研，威脅情報可以顯著降低風險，同時推動安全和運營效率的提高。威脅情報可以將企業(yè)發(fā)現(xiàn)威脅的速度提高10倍，響應(yīng)和解決威脅的速度提高63％，并在受到攻擊之前主動識別出22％的安全威脅。通過用自動化取代手動任務(wù)和研究，威脅情報可以將整個IT安全團隊的生產(chǎn)率提高32％。

　　③面向中型企業(yè)的威脅情報市場剛起步，但增速確實驚人，根據(jù)Gartner報告，2018年只有不到1%的中型企業(yè)購買商業(yè)威脅情報服務(wù)/工具，到2021年，購買比例將增長至5%，三年內(nèi)增長五倍。

　?。?）安全評級服務(wù)

　　安全評級服務(wù)是以大數(shù)據(jù)分析和威脅情報為基礎(chǔ)，對企業(yè)的信息資產(chǎn)進行量化的快速安全風險評估技術(shù)。這種評估通過主動或被動等形式，從各公開或私有資源中收集數(shù)據(jù)信息，并使用特定的分析方法分析數(shù)據(jù)，同時使用某種標準評級方法打分，可用做企業(yè)內(nèi)部的安全報告以及對第三方合作伙伴的風險管理。目前，安全評級服務(wù)的市場認可度和成熟度還處于非常早期的階段，國外主要的提供商有BitSight、FICO等，國內(nèi)目前僅有一家正式推出安全評級服務(wù)，并取得了多個成功案例。

　?。?）人工智能

　　高效的安全服務(wù)機制能夠驅(qū)動安全體系中各個環(huán)節(jié)運轉(zhuǎn)更加高效協(xié)同、功能更加有力、產(chǎn)業(yè)更加清晰。人工智能有助于改變以往分散安全領(lǐng)域的分領(lǐng)域獨立服務(wù)管理的模式，強化面向任務(wù)和安全目標的一體化集成管控能力、協(xié)同保障能力和全局綜合態(tài)勢認知能力，為服務(wù)需求方信息系統(tǒng)和安全系統(tǒng)的運行提供全面有效的基礎(chǔ)支撐和保障。

　　3.2　創(chuàng)新商業(yè)模式

　　隨著網(wǎng)絡(luò)安全威脅不斷升級，對企業(yè)決策者來說，最大的兩個挑戰(zhàn)是如何以最低的成本控制風險和把握機遇，因此，針對企業(yè)不同需求的網(wǎng)絡(luò)安全服務(wù)商業(yè)模式已逐步成為趨勢。

　?。?）中小企業(yè)

　　以高質(zhì)低價和云端交付為主要特點的安全外包服務(wù)，是幫助中小企業(yè)快速補強安全短板、抵御網(wǎng)絡(luò)威脅的最佳方式。2019年 MSP、MDR 等托管安全服務(wù)的熱度上升，一些過去以大型企業(yè)為主要目標客戶的廠商，如 42Cruch（API 安全）、Devolution（PAM、 密碼服務(wù)器）、eSentire（托管檢測和響應(yīng) MDR）都推出了面向中小企業(yè)和創(chuàng)業(yè)公司的自助式低價服務(wù)。國內(nèi)不少安全業(yè)界人士也看好托管安全服務(wù)的發(fā)展。

　?。?）政府及中央企業(yè)

　　2018 年 9 月，中共中央政治局委員黃坤明在國家網(wǎng)絡(luò)安全周參觀時強調(diào)，推進中央企業(yè)網(wǎng)絡(luò)安全整體保障是一件事關(guān)國家經(jīng)濟命脈的大事。根據(jù)政府及央企需求的差異化現(xiàn)狀，不同用戶對于整體保障服務(wù)的需求項目不同，結(jié)合國內(nèi)外成功案例和整體保障實踐經(jīng)驗，將整體保障服務(wù)模式分為四類。

　?、俟芗夷Ｊ?，即用戶將信息系統(tǒng)托管于后臺，服務(wù)提供商負責系統(tǒng)整體安全，典型案例廠商為洛克希德·馬?。℅IG 運營業(yè)務(wù)）。

　?、诒０材Ｊ?，是指在用戶指定地方建設(shè)中臺和前臺，服務(wù)提供商采用線上線下結(jié)合的方式，與用戶、安全廠商共同完成整體保障，典型案例廠商為 IBM（SOC 業(yè)務(wù)）。

　?、劢叹毮Ｊ剑匆劳羞\營公司自身平臺和頂尖安全團隊優(yōu)勢為用戶培訓高級運營人才，典型案例廠商為賽門鐵克和卡巴斯基。

　?、芏ㄖ颇Ｊ?，即通過為用戶定制高價值、超融合的安全服務(wù)組件來提供安全服務(wù)，典型案例廠商FireEye（APT）、Plantir（大數(shù)據(jù)分析）、天際友盟（威脅情報盒子）。

　?、萘闶勰Ｊ?，即以零售方式為用戶交付標準安全服務(wù)內(nèi)容，典型案例廠商為華為云安全、騰訊云安全、阿里云安全。

　　政府及央企可根據(jù)自身不同的需求選擇不同的整體保障服務(wù)模式。

　　4　結(jié)　語

　　隨著企業(yè)面臨的網(wǎng)絡(luò)安全挑戰(zhàn)逐步升級，“安全即服務(wù)”的市場需求也在急增。本文結(jié)合工程實踐，提出網(wǎng)絡(luò)安全服務(wù)體系，并對未來網(wǎng)絡(luò)安全服務(wù)產(chǎn)業(yè)需重點關(guān)注的技術(shù)方向進行分析，可對優(yōu)化網(wǎng)絡(luò)安全服務(wù)產(chǎn)業(yè)鏈提供借鑒。未來，我們將持續(xù)關(guān)注網(wǎng)絡(luò)安全服務(wù)產(chǎn)業(yè)發(fā)展，同時，針對支撐網(wǎng)絡(luò)安全服務(wù)技術(shù)開展進一步研究，并實現(xiàn)工程化應(yīng)用。