互联网、大数据、人工智能等现代信息技术的不断突破,推动数字经济蓬勃发展,带来更大范围、更深层次的科技革命和产业变革。与此同时,网络攻击和黑客入侵手段日益多样化,网络底层安全漏洞和恶意代码持续暴露,对个人信息安全、企业数据安全和关键信息基础设施安全构成严重威胁。习近平总书记指出,没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。当前阶段,我国亟需加强网络安全建设,促进网络安全产业健康发展,全面提升国家网络安全防护水平。
一、网络安全产业发展状况
(一)网络安全市场进入快速增长期
中国网络安全市场起步晚,产业整体规模及增长幅度有限。近年来,在国家政策法规支持下,政府部门和机构加大在网络安全上的投入,数字经济蓬勃发展带动市场需求逐渐增强,为网络安全产业规模提升注入新的驱动力。IDC数据显示,2019年,全球网络安全相关硬件、软件、服务投资约为1066.3亿美元;2019年至2023年,全球网络安全相关支出复合年均增长率约9.44%;2023年,将达到1512.3亿美元。2019年,中国网络安全市场总体支出约为73.5亿美元,政府、通信、金融仍是中国网络安全市场前三大支出行业,占中国总体网络安全市场份额的60%左右。2019年至2023年,中国网络安全相关支出的复合年均增长率为25.1%,增速领跑全球,2023年,支出将达到179亿美元。
(二)行业集中度低,国内厂商难以与全球巨头竞争
虽然我国网络安全产业近年来快速发展,但是,产业总体规模仍然较小,在全球市场份额中占比不到10%。在市场规模有限的情况下,我国约有两千余家网络安全从业公司,产业竞争十分激烈。激烈的竞争并没有造就强大的头部企业,我国启明星辰、天融信、绿盟科技等前五名网络安全厂商的市场占有率合计为25%左右,低于全球市场的平均值44%,行业集中度低。从全球网络安全市场看,美国占据网络安全领域的主导地位,诞生了一批如思科、赛门铁克、迈克菲和火眼等在内的网络安全产品和服务提供商,其从业公司在市场规模、技术实力、产品性能和服务水平上远远领先国内企业,拥有强大的国际竞争力。
(三)网络安全投入比及服务水平有待提升
我国网络安全产业发展阶段略为滞后,在整体网络安全支出中,产品占比较大。2019年数据显示,安全硬件在我国整体网络安全支出中占比高达62.8%,安全软件支出比例为16.7%,安全服务支出比例为20.5%,软硬件产品占比约八成,而全球市场安全产品与安全服务占比几乎对等。另外,我国网络安全支出虽然一直在提升,但是,网络安全与信息化发展还存在一定的不平衡,网络安全投入占信息化的比例依然偏低,不仅低于美国,也低于世界平均水平。据IDC 2017年统计数据显示,中国安全市场占信息市场的比重为1.87%,美国为4.78%,全球平均占比为3.74%。
二、网络安全产业发展趋势
(一)网络安全与人工智能等前沿技术加速融合
近年来,芯片底层漏洞暴露、病毒软件大范围爆发和社交媒体平台亿级用户信息泄露等事件频发,使得网络安全在硬件、软件和数据方面面临的挑战愈加严峻。为解决不断更新迭代的网络安全问题,安全从业人员更加关注人工智能、云计算、边缘计算等新技术的应用,希望通过网络防护手段与新兴技术的深度融合,实现对网络威胁的预先研判、全面防护和自动抵御。例如,火眼公司和俄亥俄州立大学研究人员开发出一项利用人工智能预测安全漏洞的技术,先通过读取数百万条推文中所提及的软件安全漏洞,再利用机器学习训练算法对漏洞代表的威胁状态进行评估,从而实现对高危漏洞的预测,预测准确率超过80%。
(二)新技术应用带来新的网络安全市场
5G、人工智能、物联网、工业互联网、云计算、大数据等新一代信息技术的逐步应用,在催生网络攻防手段由人工主导向智能化、自动化转变的同时,技术本身的应用也产生了诸多网络安全问题,带来新的网络安全市场。例如,人工智能技术应用过程中的数据污染、软件漏洞等问题越发突出,人工智能与教育、医疗等社会经济领域的融合也会引发前所未见的安全风险,需要对安全威胁进行防范。随着5G逐步商用化,其网络功能虚拟化的全新架构、新增5G基站和通信设备、5G高速传输引发的数据安全风险等问题,都成为运营商、设备厂商的关注重点。
(三)关键基础设施遭遇的安全威胁逐渐加剧
电力、交通、医疗、金融等关键基础设施是国家经济发展、社会稳定运行的基本保障。近年来,针对政府、教育、电力等基础设施的网络攻击增多,攻击手段呈现多样化的趋势,给国家安全造成巨大的潜在威胁。仅在2019年,就有美国、西班牙、委内瑞拉和格鲁吉亚等多国关键基础设施遭到攻击。美国路易斯安那州教育系统遭受严重恶意软件攻击后,宣布进入紧急状态;西班牙巴斯克自治区、赫雷斯市等多个市政厅办公系统遭遇勒索病毒攻击;委内瑞拉电力系统遭到攻击,导致全国大范围停电;格鲁吉亚网络供应商遭遇攻击,包括其总统府、法院和报社网站在内的15000余网站受影响。针对关键基础设施的网络攻击有愈演愈烈之势,全面提升相关设施的安全防护水平刻不容缓。
三、网络安全产业需要解决的问题
(一)网络安全核心技术的自主可控
网络核心技术的自主可控程度,往往决定着网络生态系统的整体安全水平。全面掌握核心技术,才能彻底排除硬件底层漏洞、避免软件代码缺陷,从产品的构建逻辑出发,打造出闭环的网络安全防御体系。现阶段,我国包括网络安全技术在内的整个信息产业核心技术与美欧等发达国家存在差距,信息系统设备长期依赖国外供应,限制了网络安全技术的发展。与网络安全息息相关的设备,从处理器芯片、内存设备、存储硬盘、防火墙产品到操作系统,我国严重依赖英特尔、三星、希捷、思科和微软等国外企业,给信息安全闭环体系带来极大隐患。自2018年中美贸易摩擦以来,我国甚至面临产品和技术的断供危机,直接威胁网络安全产业的正常运转。因此,只有构建网络信息技术产品的自主可控生态,才能真正实现全面的网络安全防护体系建设。
(二)网络安全人才储备不足
网络安全技术的快速更新迭代、攻防手段的日趋多样性使网络安全的从业水准逐年提升,网络安全人才的培养愈加困难。网络安全人才缺失已经成为一个全球性问题,我国的网络安全人才储备更是严重不足。数据显示,我国2020年网络空间安全人才数量缺口将超过140万。目前,我国每年网络安全学历人才培养数量不足1.5万,远远满足不了社会需求。另一方面,网络安全对于人才的技术水平和实践能力都有较高要求,当前基于高等院校培养模式的人才对网络安全的设备、软件、业务和流程了解有限,无法完全满足网络安全需求,从业后需要进行再培训。如何解决网络安全巨大人才缺口与当前人才培养模式的不协调,进一步提升高端网络安全人才水准,成为急需解决的问题。
(三)网络安全标准体系建设
我国自2019年12月1日开始实施网络安全等级保护2.0制度,完成对传统信息系统、云计算、物联网和工业控制信息系统等级保护对象的全覆盖,大大提升网络安全体系的标准化。在实际应用中,存在网络系统工程和网络安全项目由不同主体负责实施的状况,导致安全系统架构和实施方式存在差异,数据难以在系统中进行高效流动,不仅阻碍安全指令的顺利执行,更有甚者会造成安全功能宕机,影响整个系统的稳定运作。因此,需要将网络安全系统的关键技术标准化,通过标准的规范、引领作用,推动安全系统建设的多方合作,发挥全产业协同效应。
四、多管齐下,促进网络安全产业发展
(一)加大政府推动,政企合力提升网络安全水平
网络安全是国家安全的基础,健全的网络安全产业才能更好地提升国家网络安全防护水平,而网络安全产业的健康发展离不开政府鼎力支持。以全球网络安全市场最成熟的美国为例,其网络安全产业最大需求方为美国政府,联邦政府在2019财年的网络安全投入超过150亿美元。我国应借鉴经验,加大政府推动和投入,从国家层面建立我国网络安全产业发展战略。一方面,要充分发挥党政机关和相关行业主管部门带头作用,加快先进适用网络安全产品和服务在政务、教育、能源、交通等领域的部署应用。另一方面,要探索更加透明、易行的网络安全问题汇总机制,统筹工业企业网络漏洞和网络攻击,推进工业企业网络安全底线的划定,强化工业企业网络安全防护能力。
(二)扩大安全教育,建设多层次网络安全人才队伍
积极推进网络安全教育,一方面要开展全民网络安全教育活动,深化大众网络安全意识;另一方面,加快网络安全从业人员培养,提供大量优质的网络安全产业人才。网络安全人才建设可以从三个层次着手。一是高端人才,对高等院校网络安全专业人才,将知识学习与技能实践结合,通过深入一线安防企业进行磨炼、组织网络攻防竞赛等形式,强化实战技能;或推动政府机构举办“漏洞赏金计划”,挖掘民间网络安全高手。二是应用人才,以网络安全从业为目标,通过扩大高等职业教育网络安全人才培养范围,训练更多实用技能型人才,优先满足工业企业等的网络安全人才需求。三是引进人才,加强网络安全技术和产业的对外合作交流,鼓励工业企业设立海外研发中心,引进海外人才。
(三)激励企业创新,打造网络安全防护硬实力
网络安全能力建设,是网络安全防护体系构造的根本。激发企业创新活力,积极探索网络安全新理念、新架构,推动网络安全理论和技术创新。一是鼓励网络安全企业进行技术研发,为企业解决技术创新应用的后顾之忧。改革专利保护制度,从取证、维权成本和侵权赔偿等方面入手,帮助企业简化专利维权流程,加大对技术创新侵权的惩罚力度,保护企业创新积极性,让企业切实享受创新红利。二是大力支持云计算、人工智能等新技术在网络安全领域的应用,寻找将新技术直接转化为产业发展动力的路径。培育网络安全新技术应用平台,建立产业共性问题合作研发机制,促进网络安全产品和服务的协同创新应用,提升安全威胁检测、态势感知、应急处置和追踪溯源能力,构建网络安全防护体系的技术壁垒。
作者│国务院发展研究中心国际技术经济研究所 曲双石副所长 李鹏飞研究助理
