隨著網絡空間安全上升為國家戰(zhàn)略，安全需求已由單一的軟硬件產品提供轉向全面專業(yè)的安全運營服務模式，各安全廠商爭先提出安全運營整體解決方案，安全即服務成為網絡安全產業(yè)發(fā)展重點。通過對網絡安全服務的國內外產業(yè)發(fā)展現狀進行分析，結合工程實踐提出針對網絡安全全生命周期的服務體系，并從技術創(chuàng)新和商業(yè)模式創(chuàng)新兩個方面對網絡安全服務產業(yè)發(fā)展提出建議。全面的分析和研究網絡安全服務的產業(yè)現狀、體系和發(fā)展建議，對完善優(yōu)化網絡安全服務產業(yè)鏈有重要參考意義。

　　0　引　言

　　習近平總書記在2018年4月20日全國網信工作會上指出，沒有網絡安全就沒有國家安全，就沒有經濟社會穩(wěn)定運行，廣大人民群眾利益也難以得到保障；要加強信息基礎設施網絡安全防護，加強網絡安全信息統(tǒng)籌機制、手段、平臺建設，加強網絡安全事件應急指揮能力建設，積極發(fā)展網絡安全產業(yè)，做到關口前移，防患于未然。

　　網絡空間由互聯(lián)網、通信網、計算機系統(tǒng)、自動化控制系統(tǒng)、數字設備及其承載的應用、服務和數據等組成。網絡安全是指通過采用必要措施，防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網絡處于穩(wěn)定可靠運行的狀態(tài)，以及保障網絡數據的完整性、保密性、可用性的能力。根據安全法的定義，現在的網絡安全涵蓋了數據、系統(tǒng)、網絡空間，成為一個國家的立國之本，是與國家海、陸、空、天等疆域同等重要的國家主權領域?？梢钥吹?，網絡安全的內涵，從最初的數據信息安全，過渡到信息系統(tǒng)安全，進而到目前的網絡空間安全。網絡安全產業(yè)已經發(fā)展為以滿足網絡空間的可用性、可靠性和安全性為目標，融合技術開發(fā)、產品經營和提供安全服務的網絡安全生態(tài)鏈。

　　網絡安全產業(yè)從“產品模式”向“服務模式”“運營模式”轉變是大勢所趨，即安全服務化的內涵。網絡安全服務是由供應商、組織機構和人員所執(zhí)行的一個安全過程和任務，安全服務也指適應整個安全管理的需求，為企業(yè)、政府提供全面或部分信息安全解決方案的服務。安全服務是安全控制的綜合，可以劃分為三大類：關注程序與風險管理的安全管理類服務， 如風險評估、應急處置、標準化安全服務等；關注由人員來實施并實現安全控制措施的安全運行類服務，如安全運維、技術培訓等；關注具體安全控制措施的安全技術類服務，如合規(guī)性檢查、安全加固等。

　　1　國內外產業(yè)發(fā)展現狀

　　1.1　國外市場發(fā)展

　　2018年全球網絡信息安全產品市場總體規(guī)模為1259.8億美元，其中硬件為118.4億美元，軟件為330.1億美元，服務的規(guī)模最大，為811.3億美元，全球網絡安全市場以安全服務為主，市場份額占網絡信息安全市場的64.4%，如圖1所示。

　　圖1  全球網絡信息安全市場結構

　　隨著網絡攻擊行為日趨復雜，防火墻、IDS等傳統(tǒng)網絡安全設備已不能阻擋惡意網絡攻擊， 采用安全服務的商業(yè)模式越來越受到全球用戶重視。2018年，安全服務市場中安全咨詢、安全運維、安全集成三個細分市場份額，分別為21.8%、20.4%、17.6%，如圖2所示。從全球范圍來看，安全運維服務發(fā)展迅速，全球已有超過2萬家行業(yè)領軍企業(yè)和政府機構正在使用安全運維服務，尤其是北美、歐洲等發(fā)達地區(qū)，安全運維服務市場已較為成熟。

　　圖2  全球安全服務細分市場格局

　　1.2　國內服務發(fā)展

　　從產業(yè)發(fā)展規(guī)律來看，從“產品模式”向“服務模式”“運營模式”轉變是必然規(guī)律。目前我國網絡安全產業(yè)已經歷了“安全產品”階段，目前正在向“安全服務”“安全運營”階段演進，國內安全運營市場爭奪已拉開帷幕。2018年，國內網絡安全市場容量464.51億元人民幣，預計2021年達到668億元人民幣。在全球網絡安全市場，2018年服務市場份額占市場比例達64.40%（圖1），但在國內安全服務市場份額占比僅約13.8%，如圖3所示，預計到 2021 年，占比將達到 40%~50%（歐美發(fā)達國家水平），安全正在從傳統(tǒng)硬件“堆砌盒子”走向“能力交付”，安全服務市場將快速成長。

　　圖3  中國網絡安全市場結構

　　2019年4月，國家電投在國資委指導下，牽頭中核集團、中國華電等15國有企業(yè)，以資本為紐帶，共同組建中能融合智慧科技有限公司，建設全國上千個發(fā)電站網絡安全態(tài)勢感知運營平臺，打造“國家能源大腦”；360企業(yè)安全與綿陽市政府共同建設網絡安全運營服務基地，在上海、南京、濟南、廣州、貴陽等5個地市建設安全運營中心，為智慧城市提供安全服務；啟明星辰在成都建有國內最大的安全服務運營中心，在杭州、濟南、昆明、鄭州、攀枝花、眉山等20個地市繼續(xù)建設安全運營中心。

　　網絡安全工作本身是一個過程，它的本質是風險的管理，安全產品不能解決所有的問題，所以安全服務已經成為網絡安全工作的核心內容。在關注業(yè)務安全的大背景下，從立體層面針對用戶業(yè)務系統(tǒng)進行管理、技術、應用系統(tǒng)方面的評估、咨詢，可以幫助用戶全面認知自身安全風險，為用戶提供更完善，更有針對性的安全解決方案。

　　2　網絡安全服務體系

　　網絡安全服務體系是指適應整個安全管理戰(zhàn)略的需要，為用戶提供覆蓋網絡安全全生命周期中各個環(huán)節(jié)解決方案并實施的服務，提供包含從高端的全面安全體系到細節(jié)的技術解決措施，涵蓋不同專業(yè)和層級的服務團隊，并受各類標準規(guī)范指導，如圖4所示。

　　圖4  網絡安全服務體系

　?。?）安全咨詢。主要針對用戶提出的安全相關問題，幫助用戶分析問題性質和內容，精煉明確的需求，并最終提出有針對性的解決方案。

　?。?）風險評估。為企業(yè)提供必要的信息，確定并評估企業(yè)安全風險、鑒定目前實施的安全方案有效性、證明增加安全措施所需要的資源。

　?。?）安全規(guī)劃。幫助企業(yè)設計經過優(yōu)先排序的安全規(guī)劃，從系統(tǒng)安全的角度支持其業(yè)務安全。全面完善安全規(guī)劃能夠幫助企業(yè)合理、有組織地保護信息系統(tǒng)和信息資產安全，讓用戶邁上有效的企業(yè)安全之路。

　　（4）信息安全解決方案和建設集成。在技術層面為企業(yè)提供直接支持的服務，包括：根據企業(yè)的具體安全需求，參照行業(yè)最佳實踐，設計信息安全相關的項目、需求、技術或者產品的解決方案；根據企業(yè)實際需求，研發(fā)安全相關的技術產品；根據企業(yè)實際環(huán)境，選擇合適的軟硬件提供商，完成安全新系統(tǒng)的建設集成。

　　（5）培訓教育。針對不同的受眾，如企業(yè)高管、普通 IT 部門員工、信息安全從業(yè)人員和其他工作人員，提供不同層面的培訓課程。培訓形式可包括課堂式集中理論知識講解和網絡授課等多種形式，還可根據企業(yè)實際業(yè)務情況，輔助企業(yè)建立培訓體系、編寫培訓教材和制作培訓課件等。

　?。?）運維服務。面向業(yè)務系統(tǒng)，針對關鍵業(yè)務點的可用性和不間斷性進行合理布控和監(jiān)測，以關鍵績效指標指導，考核信息系統(tǒng)運行質量和運維管理工作的實施和執(zhí)行，幫助企業(yè)建立全面覆蓋信息系統(tǒng)的監(jiān)測中心，并對各類安全事件做出快速、準確的定位和展現。

　　（7）應急響應。安全事件響應和恢復方案可確保企業(yè)能夠對安全事件或自然災害進行響應和恢復，并保障企業(yè)信息系統(tǒng)和網絡的持續(xù)有效可靠。

　?。?）服務團隊。專業(yè)的服務團隊是保證執(zhí)行好服務體系的核心，通過組建一支業(yè)務精湛、梯次合理的安全服務團隊，為企業(yè)或用戶的重要信息系統(tǒng)提供全面的安全保障服務，同時加強對內部人員的安全培訓，提高企業(yè)或用戶的整體安全保障能力。

　　3　產業(yè)發(fā)展建議

　　3.1　需要重點關注的技術

　?。?）數據防泄漏

　　2019年前企業(yè)面臨的主要問題可能是惡意軟件，但在2020年之后，網絡釣魚攻擊將成為最大威脅。根據Verizon 2019 DBIR 數據泄露報道，網絡釣魚攻擊是造成數據泄露的第一大因素，數據泄露、財務欺詐等可能對企業(yè)造成可怕的后果。聯(lián)邦調查局發(fā)布的《互聯(lián)網犯罪報告》指出，2018 年期間，商業(yè)電子郵件攻擊共計造成了13億美元的損失；同時，約35%的CEO或CFO曾受過網絡釣魚攻擊。因此，檢測并阻止釣魚攻擊，特別是通過電子郵件發(fā)起的釣魚攻擊，將成為未來企業(yè)安全的最大剛需之一。

　?。?）威脅感知

　　數據信息驅動的安全解決方案需要數小時才能檢測到網絡安全威脅，企業(yè)對威脅感知時間的容忍度將越來越低。從惡意攻擊發(fā)起至被檢測到的這段時間，是攻擊造成最大破壞性的窗口時段。目前即使是最復雜的安全解決方案，同樣需要幾個小時甚至更長時間才能檢測到攻擊。因此，如何大幅縮短企業(yè)安全系統(tǒng)的威脅感知反射弧，提高對未知威脅的感知速度，將是未來企業(yè)和安全產業(yè)面臨的重要挑戰(zhàn)。

　　（3）威脅情報

　　威脅情報在企業(yè)安全市場的崛起，主要來自以下三個方面：

　?、偻{情報的應用場景和服務對象無處不在，是真正的“國民”安全服務，所有人都能從中受益，因而也是安全與IT融合的催化劑和黏合劑。

　?、诟鶕芯抗綢DC的調研，威脅情報可以顯著降低風險，同時推動安全和運營效率的提高。威脅情報可以將企業(yè)發(fā)現威脅的速度提高10倍，響應和解決威脅的速度提高63％，并在受到攻擊之前主動識別出22％的安全威脅。通過用自動化取代手動任務和研究，威脅情報可以將整個IT安全團隊的生產率提高32％。

　?、勖嫦蛑行推髽I(yè)的威脅情報市場剛起步，但增速確實驚人，根據Gartner報告，2018年只有不到1%的中型企業(yè)購買商業(yè)威脅情報服務/工具，到2021年，購買比例將增長至5%，三年內增長五倍。

　　（4）安全評級服務

　　安全評級服務是以大數據分析和威脅情報為基礎，對企業(yè)的信息資產進行量化的快速安全風險評估技術。這種評估通過主動或被動等形式，從各公開或私有資源中收集數據信息，并使用特定的分析方法分析數據，同時使用某種標準評級方法打分，可用做企業(yè)內部的安全報告以及對第三方合作伙伴的風險管理。目前，安全評級服務的市場認可度和成熟度還處于非常早期的階段，國外主要的提供商有BitSight、FICO等，國內目前僅有一家正式推出安全評級服務，并取得了多個成功案例。

　　（5）人工智能

　　高效的安全服務機制能夠驅動安全體系中各個環(huán)節(jié)運轉更加高效協(xié)同、功能更加有力、產業(yè)更加清晰。人工智能有助于改變以往分散安全領域的分領域獨立服務管理的模式，強化面向任務和安全目標的一體化集成管控能力、協(xié)同保障能力和全局綜合態(tài)勢認知能力，為服務需求方信息系統(tǒng)和安全系統(tǒng)的運行提供全面有效的基礎支撐和保障。

　　3.2　創(chuàng)新商業(yè)模式

　　隨著網絡安全威脅不斷升級，對企業(yè)決策者來說，最大的兩個挑戰(zhàn)是如何以最低的成本控制風險和把握機遇，因此，針對企業(yè)不同需求的網絡安全服務商業(yè)模式已逐步成為趨勢。

　　（1）中小企業(yè)

　　以高質低價和云端交付為主要特點的安全外包服務，是幫助中小企業(yè)快速補強安全短板、抵御網絡威脅的最佳方式。2019年 MSP、MDR 等托管安全服務的熱度上升，一些過去以大型企業(yè)為主要目標客戶的廠商，如 42Cruch（API 安全）、Devolution（PAM、 密碼服務器）、eSentire（托管檢測和響應 MDR）都推出了面向中小企業(yè)和創(chuàng)業(yè)公司的自助式低價服務。國內不少安全業(yè)界人士也看好托管安全服務的發(fā)展。

　?。?）政府及中央企業(yè)

　　2018 年 9 月，中共中央政治局委員黃坤明在國家網絡安全周參觀時強調，推進中央企業(yè)網絡安全整體保障是一件事關國家經濟命脈的大事。根據政府及央企需求的差異化現狀，不同用戶對于整體保障服務的需求項目不同，結合國內外成功案例和整體保障實踐經驗，將整體保障服務模式分為四類。

　?、俟芗夷Ｊ?，即用戶將信息系統(tǒng)托管于后臺，服務提供商負責系統(tǒng)整體安全，典型案例廠商為洛克希德·馬?。℅IG 運營業(yè)務）。

　　②保安模式，是指在用戶指定地方建設中臺和前臺，服務提供商采用線上線下結合的方式，與用戶、安全廠商共同完成整體保障，典型案例廠商為 IBM（SOC 業(yè)務）。

　　③教練模式，即依托運營公司自身平臺和頂尖安全團隊優(yōu)勢為用戶培訓高級運營人才，典型案例廠商為賽門鐵克和卡巴斯基。

　?、芏ㄖ颇Ｊ?，即通過為用戶定制高價值、超融合的安全服務組件來提供安全服務，典型案例廠商FireEye（APT）、Plantir（大數據分析）、天際友盟（威脅情報盒子）。

　?、萘闶勰Ｊ?，即以零售方式為用戶交付標準安全服務內容，典型案例廠商為華為云安全、騰訊云安全、阿里云安全。

　　政府及央企可根據自身不同的需求選擇不同的整體保障服務模式。

　　4　結　語

　　隨著企業(yè)面臨的網絡安全挑戰(zhàn)逐步升級，“安全即服務”的市場需求也在急增。本文結合工程實踐，提出網絡安全服務體系，并對未來網絡安全服務產業(yè)需重點關注的技術方向進行分析，可對優(yōu)化網絡安全服務產業(yè)鏈提供借鑒。未來，我們將持續(xù)關注網絡安全服務產業(yè)發(fā)展，同時，針對支撐網絡安全服務技術開展進一步研究，并實現工程化應用。