文│ 天融信科技集團 陳興躍
當前,我國網絡安全產業正在進入“快速成長期”階段,認真分析“十四五”規劃綱要中對網絡安全產業發展的指導思想,并加以落實,對今后一段時期我國網絡安全產業發展行穩致遠意義重大。
從相對狹義、嚴謹的視角,網絡安全產業主要由網絡安全企業和相關專業服務機構構成,其中,網絡安全企業是向客戶提供網絡安全產品或服務并取得收入的企業法人。網絡安全產業是 IT 產業的組成部分,或者說,是 IT 產業的一個子集。網絡安全產業滿足了絕大部分個人和商業機構信息化應用的安全保障需求,也承擔了眾多政府部門和部分特殊行業的安全保障工作。網絡安全產業也吸納了絕大部分從事網絡安全技術產品研發、服務保障、業務運營的從業者。客觀地說,網絡安全產業是維護國家網絡空間安全、保障信息社會健康發展的基礎和重要力量。我國于 1994 年正式接入國際互聯網。1995 年,首家網絡安全企業天融信公司成立,開啟了中國網絡安全產業的發展紀元。中國網絡安全產業從無到有,由小到大,不斷完善,不斷成長。據中國網絡安全產業聯盟(CCIA)統計,2019 年,我國網絡安全市場規模約為 478 億元。2020 年上半年,我國共有 3589家企業開展網絡安全業務。截至 2020 年底,滬深 A股網絡安全上市公司已達 30 家。參照產業生命周期理論和模型,結合網絡安全企業的特點,可將網絡安全產業生命周期劃分為萌芽期、初步發展期、快速成長期、成熟期、衰退期(或者蛻變發展期)5 個主要階段。從網絡安全產業集中度、創新網絡安全企業整體排名和數量、產業結構、產品競爭力、漏洞挖掘和高級持續性威脅(ATP)研究能力、頭部網絡安全企業規模和經營情況、客戶成熟度、網絡安全投資在信息化總投資中的占比等維度進行中外對比分析研究,與國際網絡安全第一集團美國相比,我國網絡安全產業存在著產業生命周期階段性差距。美國網絡安全產業已處于產業生命周期的“成熟期”階段;中國網絡安全產業已超越“初步發展期”階段,正在進入“快速成長期”階段。(見下圖)黨的十八大以來,黨中央高度重視網絡安全工作,習近平總書記做出了“沒有網絡安全就沒有國家安全”的重要指示,將網絡安全納入國家安全工作予以部署,開啟了網信事業新階段。2016 年以來,《中華人民共和國網絡安全法》《中華人民共和國密碼法》《國家網絡空間安全戰略》《“十三五”國家網絡安全規劃》《網絡空間國際合作戰略》等一系列重大法規、規劃文件相繼發布實施,為網絡安全產業健康發展提供了政策保障和法律依托,為網絡安全技術創新、網絡安全企業做大做強提供了寶貴機遇。我國網絡安全產業進入了發展的黃金期,創新企業、創新技術不斷涌現,產業生態不斷完善,形成了較為完整的技術產業體系,在每一個重要的細分技術領域都活躍著我國自主技術網絡安全企業。這為我國網絡安全產業實現跨越式發展,迎頭趕上美國等發達國家,打造網絡強國,奠定了堅實的產業體系架構基礎。IDC 預測,2021 年,中國網絡安全市場總體支出將達到 102.2 億美元,2020 至 2024 年預測期內的復合年均增長率(CAGR)為 16.8%,增速繼續領跑全球網絡安全市場。
“十四五”時期是我國全面建成小康社會、實現第一個百年奮斗目標之后,乘勢而上開啟全面建設社會主義現代化國家新征程、向第二個百年奮斗目標進軍的第一個五年,做好“十四五”時期經濟社會發展工作,意義重大。當前和今后一個時期,我國仍處于重要戰略機遇期,機遇和挑戰都有新的發展變化。國際環境日趨復雜,不穩定性不確定性明顯增加。學習理解黨的十九屆五中全會審議通過的《中共中央關于制定國民經濟和社會發展第十四個五年規劃和二○三五年遠景目標的建議》(以下簡稱《建議》)和十三屆全國人大四次會議表決通過的《中華人民共和國國民經濟和社會發展第十四個五年規劃和 2035年遠景目標綱要》(以下簡稱《規劃綱要》),對做好“十四五”時期網絡安全工作、加快推進網絡安全產業發展具有重大意義。《建議》和《規劃綱要》中的指導思想、必須遵循的原則、戰略導向、主要目標和相關規劃內容都是網絡安全產業發展規劃的基本遵循和指導要求。由此出發,可以對“十四五”時期網絡安全產業發展規劃進行初步探討。1. 堅持系統思維,大力發展網絡安全產業,強化體系能力建設《建議》和《規劃綱要》把“統籌發展和安全”納入了“十四五”時期我國經濟社會發展的指導思想,并列專章作出戰略部署,突出了國家安全在黨和國家工作大局中的重要地位。《建議》和《規劃綱要》明確提出,“堅定維護國家政權安全、制度安全、意識形態安全,全面加強網絡安全保障體系和能力建設”。網絡空間已經成為與陸地、海洋、天空、太空同等重要的人類活動新領域,國家主權拓展延伸到網絡空間,網絡空間主權成為國家主權的重要組成部分。習近平總書記指出:“沒有網絡安全就沒有國家安全,就沒有經濟社會穩定運行,廣大人民群眾利益也難以得到保障”。“堅持系統觀念”是《規劃綱要》中提出必須遵循的 5 大原則之一。發展網絡安全產業,做好網絡安全工作,要以總體國家安全觀和正確的網絡安全觀為指導,樹立辯證的和整體的思維,積極推進網絡安全保障體系和能力建設。要堅持總體國家安全觀。習近平總書記指出,要構建集政治安全、國土安全、軍事安全、經濟安全、文化安全、社會安全、科技安全、信息安全、生態安全、資源安全、核安全等于一體的國家安全體系。隨著信息技術與社會經濟的深度融合、數字經濟的迅猛發展,網絡安全與國家安全體系中各個方面的對應關系和支撐作用愈加明確和重要。網絡安全產業應當積極響應國家重大需求,針對關鍵領域與重要場景提供技術產品、解決方案和安全服務的有力保障。在“4·19”講話中,習近平總書記指出,要樹立正確的網絡安全觀,需認識到:網絡安全是整體的而不是割裂的、網絡安全是動態的而不是靜態的、網絡安全是開放的而不是封閉的、網絡安全是相對的而不是絕對的、網絡安全是共同的而不是孤立的。這五個方面是對網絡安全基本特點的系統總結,是系統思維在網絡安全工作中的科學體現,充分把握了網絡空間發展和信息技術發展的基本規律,也是推進網絡安全產業發展和安全建設實踐的重要指導和有效抓手。全面加強網絡安全保障體系建設需要政府、企業、社會組織、廣大網民共同參與,共筑網絡安全防線。網絡安全企業,特別是龍頭企業,在做好技術研發、產品與服務保障的同時,還應當積極聯合產業上中下游企事業單位,主動開展客戶和公眾的網絡安全意識與技能的普及和提升,深度參與國家和行業重大項目、基礎平臺的規劃建設,從而構建不斷演進的網絡安全體系化能力和有利于產業發展的良好生態環境。全面加強網絡安全保障能力建設需要把握信息技術發展規律和網絡空間發展特性,網絡安全企業在技術研發、業務開發中要充分體現對抗意識和攻防思維,一方面針對網絡安全的薄弱環節和新場景提升和補齊安全能力,一方面積極發展專項技術優勢,努力培養能力“長板”,持續提升攻防能力,從而努力“做到關口前移,防患于未然”。《中華人民共和國網絡安全法》第三十三條提出的“同步規劃、同步建設、同步使用”三同步要求,既體現了系統思維,又符合《規劃綱要》中統籌發展和安全的指導思想。在信息化建設中,切實落實三同步要求是對全面加強網絡安全保障體系和能力建設的有力保證。網絡安全企業應當積極參與基礎設施、重點行業、重要部門的信息化建設安全規劃,努力避免網絡安全與信息化建設兩層皮的情況,促進網絡安全建設與主體業務的融合與協同,更好地發揮網絡安全投入的效能。2. 堅持創新突破,積極發揮企業創新主體作用,持續鍛造核心能力,滿足新需求、應對新挑戰創新一詞在《規劃綱要》中出現了 161 次,創新是新發展理念的核心之一,也推動高質量發展重要前提?!兑巹澗V要》提出,完善技術創新市場導向機制,強化企業創新主體地位,促進各類創新要素向企業集聚,形成以企業為主體、市場為導向、產學研用深度融合的技術創新體系。核心技術是網絡安全企業競爭力的根本所在,創新是網絡安全產業發展的根本動力。沒有核心技術,就沒有產業引領;沒有創新突破,就沒有高質量發展。中國網絡安全企業只有掌握了核心技術,才具備了與國際網絡安全產業巨頭對等競爭的話語權,才能夠實現從技術跟隨、到逐步替代、再到局部領先直至全面趕超的產業躍遷。學習國際先進技術和經驗,絕不是簡單模仿,沿襲別人的老路,網絡安全產業難以實現差異化競爭優勢,企業也難以做大做強。網絡安全企業應當積極尋求安全技術、安全理念、安全體系方面的創新突破。實現網絡安全產業自主可控是堅持創新突破的重要目標之一。檢驗是否是真正的自主可控,有一條基本的標準——核心技術不受制于人,產業發展不受制于人。一方面,網絡安全企業通過自主研發掌握網絡安全關鍵技術和新安全技術,努力突破核心技術,從而能夠面向網絡攻防實戰要求,為客戶提供契合業務特點和發展需求的技術產品、解決方案和安全服務;另一方面,要客觀面對我國目前在 IT基礎產業鏈上相對弱勢地位,大力發展國產化網絡安全產業生態,鍛造體系完整、性能可靠、供應鏈安全的網絡安全產品和方案;再一方面,網絡安全產業應大力加強對國產基礎軟硬件的安全保障能力,提升國產基礎軟硬件內生安全能力,建立應對針對網絡安全事件的快速響應機制和安全保障體系。《規劃綱要》提出了加快數字化發展、建設數字中國的重要發展目標,與網絡安全產業相關的工作內容包括:培育壯大包括網絡安全產業在內的新興數字產業,在提高數字政府建設水平中確保公共數據安全,營造開良好數字生態。其中,圍繞健全數字要素市場機制,提出相關工作內容,具體包括:加強涉及國家利益、商業秘密、個人隱私的數據保護,加快推進數據安全、個人信息保護等領域基礎性立法,強化數據資源全生命周期安全保護。完善適用于大數據環境下的數據分類分級保護制度。加強數據安全評估,推動數據跨境安全有序流動。《規劃綱要》對推進產業數字化轉型做出了具體規劃,其中,工業互聯網平臺和數字化轉型促進中心建設是重點工作之一。針對工業互聯網安全建設需求,網絡安全產業在核心技術突破、產品方案完善、平臺建設支撐、產業生態建設等方面需大力推進。針對加強網絡安全保護,《規劃綱要》中涉及網絡安全產業的主要內容包括:加強重要領域數據資源、重要網絡和信息系統安全保障。建立健全關鍵信息基礎設施保護體系,提升安全防護和維護政治安全能力。加強網絡安全風險評估和審查。加強網絡安全基礎設施建設,強化跨領域網絡安全信息共享和工作協同,提升網絡安全威脅發現、監測預警、應急指揮、攻擊溯源能力。加強網絡安全關鍵技術研發,加快人工智能安全技術創新,提升網絡安全產業綜合競爭力。加強網絡安全宣傳教育和人才培養。綜上所述,創新主題貫穿了《規劃綱要》中網絡安全產業相關發展目標和工作內容,是產業發展的重中之重。針對 IT 新技術、新應用,網絡安全企業應當積極布局人工智能、5G 及未來網絡、區塊鏈、量子信息、新密碼技術、工業互聯網安全等新技術研發。
今年是“十四五”規劃開局之年,隨著《規劃綱要》的全面實施,網絡安全產業必然迎來大發展,必將為全面建設社會主義現代化國家新征程和實現第二個百年奮斗目標作出重大貢獻。(本文刊登于《中國信息安全》雜志2021年第4期)