邮发代号 2-786
征订热线:010-82341063
党中央高度重视网络安全技术创新和产业发展。习近平总书记多次作出重要指示,强调“积极发展网络安全产业”,并对新时期我国网络安全产业发展提出了更高要求。网络安全产品是网络安全产业的基石,是衡量国家网络安全综合实力的重要指标,也是我国关键核心技术自立自强的体现。当前,网络安全成为国家安全的重要保障,网络安全产品的自主性、创新性尤为关键。在推进网络强国建设过程中,宜从产业政策、技术创新和安全监管等方面综合施策,提升网络安全产品核心竞争力,为保障我国网络安全产业高质量发展护航。近年来,在国家政策支持下,各政府部门不断加大在网络安全领域的投入,网络安全市场需求逐渐增大,为扩大网络安全产业规模注入了新的驱动力。当前,我国网络安全产业虽在数字经济中占比较小,但已初步形成“小而全”的产业链。作为网络安全产业的基础要件,网络安全产品质量优劣也成为影响网络安全产业的重要因素。我国网络安全产品主要表现出以下特点。
我国网络安全产品型企业规模稳步提升,产品类型更为精细化。一是品类齐全。我国网络安全产品目前已覆盖基础架构安全、网络边界安全、端点及应用安全、身份安全、移动安全、云安全、物联网安全及安全运维等领域,与美国等西方国家的产品类型接近。二是结构逐步优化。在开发与运维集成(DevOps)等技术理念形成后,产品设置更加强化功能模块之间的联动和集成,逐渐从独立部署、解决单一安全问题,发展为系统建设、统一管理的平台。同时,产品形式正在由软硬件售卖逐渐向整合服务转移,“产品+服务”的整体解决方案渐成趋势。三是规模效应明显。我国网络安全产品既有来自头部企业的精品,也有专精特新企业孕育的新品,呈现出整体多头、局部集中的态势,规模效应愈发凸显。与其他国家相比,我国网络安全产品受政策驱动更为显著,主要体现在以下三个方面。一是数据安全产品不断涌现。《数据安全法》释放了数据安全需求,各类数据安全产品纷纷涌现,成为新的发展风口。二是国产化网络安全产品独树一帜。当前我国自主可控的网络产品生态初步构建,产业结构逐步合理,国产化网络安全产品提质增速。三是新赛道安全产品异军突起。在国家产业政策转型背景下,工业安全、汽车安全、物联网安全芯片等新赛道的企业增多,相关行业的安全产品更为细分。根据中国信息通信研究院的统计数据,我国网络安全市场体量约占全球6.1%,与北美46.8%的占比相比存在较大差距,且产品质量与国外先进水平存在较大差距。一是同质化严重,专用安全产品供给不足。我国多是依靠“政策合规”驱动网络安全建设,导致产品同质化严重。防病毒、防火墙等基础安全产品“扎堆”,而针对抗高级持续性威胁(APT)攻击、追踪溯源等实战需求的专用安全产品供给不足。二是安全风险频现,“安全产品不安全”问题突出。网络安全产品部署位置特殊,掌握核心驱动权限,因此其自身安全问题具有牵一发而动全身的影响。根据国家信息安全漏洞库(CNNVD)统计,我国网络安全产品漏洞数量逐年增加,2023年同比增长111%。作为“站岗者”,网络安全企业产品自身的安全性能不稳定,将带来较大负面影响。三是国际竞争力不足,品牌效应有待提升。我国网络安全产品基本上是满足“内需”为主,产业国际布局未成规模,且在专利申报方面相对滞后,缺乏具有国际品牌效应的产品。当前,部分国家的网络安全防御模式正在从被动向主动转变,并已细化至执行层面。我国网络安全产品在适应网络空间实战需求方面还存在薄弱点,主要体现在以下三个方面。一是系统化动态防御理念尚未形成,产品部署系统性考虑不足。我国网络安全防护事前防御和动态防御能力较弱,特别是基于态势感知的攻防能力有待提升。二是精细化的防护系统尚未普及,产品集成能力有待提升。美国等西方国家网络安全防护范围已从关键基础设施扩大到全产业链,并可对通信数据进行全面深度分析。对比之下,尽管我国网络安全产业在实时检测、情报系统、威胁狩猎等环节有一定基础,但在系统集成方面仍有较大发展空间,需要系统谋划、整体推进,形成体系化的对抗能力。三是协同化产品尚未有效统筹。不同企业的产品之间兼容性差,各级各类威胁情报及态势感知数据缺乏统筹分析,全局性的研判不够充分,未能形成有效的协同联动处置机制。总体上看,我国网络安全产业基础较为完备,正处于技术差距缩小、生态逐渐完善的窗口期,同时也处于关键能力不足、保障能力脆弱的成长期。在这一阶段,产品的自主可控程度较低,创新能力不足的问题十分突出,主要体现在以下三个方面。
自主可控是核心竞争力的着力点和落脚点。目前,我国网络安全产品存在“沙滩建楼”的现象。一是核心技术自主率较低,未形成闭环的网络安全防御体系。我国网络安全产品在处理器芯片、操作系统、存储设备等方面尚难以完全脱离对国外产品的依赖,部分网络安全产品仍然是西方产品的简单复制,存在“贴牌”与代工现象,甚至可能出现在极端情况下被“卡脖子”的风险。二是大量基础软件依赖开源系统,供应链不透明问题突出。目前,我国大量网络安全产品基于开源软件设计和开发,其中开源成分复杂。部分企业甚至直接在开源社区奉行“拿来主义”,基于开源系统生产“伪自主可控”产品。这导致大部分产品自身安全性存在隐患。(二)原始创新能力较弱,理念引领力不够,前瞻性不足我国网络安全产品的原始创新能力与国外先进水平相比仍存在差距,是我国网络安全产业发展面临的最大痛点。这集中体现在以下三个方面。一是理念引领力薄弱。我国大多数网络安全企业采取跟踪性创新,特别是在基础理论、技术方法和系统框架方面较少提出适应我国国情的网络安全原创理念。二是场景创新能力不足。尽管网络安全威胁具有普遍性,但不同场景的威胁又具有特殊性,因此,基于特定场景威胁的提炼和概念化已成为研发新产品的通用路径。我国网络安全产业在概括新威胁、定义新概念、形成新品类的系统性能力上与国外先进水平还有一定差距,特别是对具体威胁进行概念化和理论化的能力仍需提升。三是前瞻布局能力不足。在当前入网设备数量激增、企业云化及网络威胁技术能力增强的大趋势下,美国等西方国家已对云安全、威胁情报、零信任等领域进行了布局,我国网络安全企业仍处于跟跑学习阶段,自主创新能力相对不足。当前,人工智能、5G、量子技术、云计算等新一代信息技术的发展对网络安全产业的创新产生了较大的推动作用。各国纷纷引入新技术、新应用赋能网络安全。我国网络安全产品也在积极吸收和利用前沿技术,但目前仍存在以下问题。一是网络安全产品智能化水平还有待提升。以ChatGPT为代表的生成式人工智能技术的发展使得网络安全产品智能化成为当前各国网络安全产业发展的重要目标。美国和以色列等在自动化安全事件分析和快速响应方面已取得质的突破。我国网络安全企业也相继推出各类型的安全大模型,但部分产品的内核与技术理念仍存在“两张皮”的现象,网络安全产品智能化水平不高。二是产品迭代升级速度较慢。我国网络安全防护理念从提出到落地往往需要数年时间,甚至存在“一个产品用十年”的情况,导致防护体系转型升级慢,产品的与时俱进能力不够。三是“云化”配套机制滞后。目前,国际领先的安全产品线已形成了从流量到端的解决方案能力,并向“云化”“平台化”“服务化”方面转型。我国企业资产数字化进程加速,但网络安全防护工具并未跟上,体系化程度不够,导致攻击者有机可乘。制约我国网络安全产品创新能力发展的原因,既体现在供给侧方面的原因,也包括网络安全市场需求侧的因素,同时还受到第三方标准缺失的影响。
(一)网络安全市场需求未有效释放,企业缺乏提升创新能力的显性动力虽然近几年我国网络安全市场快速发展,但与国际市场相比,我国网络安全市场整体投入不足,“小马拉大车”的弊端凸显。国际数据公司(IDC)2021年的数据显示,我国网络安全支出占IT支出比重仅为1.84%,相比美国的4.78%差距仍然明显。在总体支出不大的情况下,我国政企普遍难以投入大量资源开展网络安全防护。此外,由于国内用户倾向于统一的解决方案而非特定产品,导致网络安全企业更倾向于打造“大而全”的产品线,缺乏在精度上钻研的动力。这也使得中小企业难以专心耕耘“小而精”的产品,差异化突围发展之路漫漫。网络安全技术的快速更新迭代、攻防手段的日益多样性,使网络安全从业人员的水平逐年提升,导致我国适应实际需求的网络安全人才缺口日益扩大。据教育部公布的数据,预计到2027年,我国网络安全人员缺口将达到327万。网络安全人才的供需严重失衡:在量方面,高校和科研院所培养的网络安全人才数量跟不上行业需求;在质方面,既懂业务、又懂技术的复合型人才尤其稀缺,难以满足信息化发展和网络安全实际需求。此外,高校和科研院所基础研究的产业化转化,企业开发研究的产品化转化,特别是中小企业初创成果的产品转化机制还存在不顺畅的情况,需要在促进网络安全产学研协同发展的基础上进一步提质增速。(三)强制性高安全级测评政策缺失,标准引领作用未充分发挥美国等西方国家普遍采用《信息技术安全评估准则》(简称“CC标准“)评价信息技术产品的安全等级。该标准将信息技术产品的安全保障程度分为七个级别。级别越高,其安全保障能力或安全功能准确实现的可信度就越高,产品就能对抗更高级别的安全威胁。目前,国际上获得高级别测评认证的产品数量远高于国内的情况,一方面,离不开国外信息技术发展早、起点高的优势,另一方面,也与国外对高安全级别产品明确的政策要求有关。目前,我国缺乏推行强制性高安全测评标准的政策要求,使国内通过高等级测评的产品数量极少。这也是当前我国网络安全产品政策的一大短板。面对网络空间安全的严峻形势,我们要积极把握网络安全产业发展的重要机遇期,提升网络安全产品的创新性,通过产业政策、技术创新和安全监管等方面的综合施策推动网络安全产品创新发展。
推进网络安全产业发展是提升产品创新性的前提保障,而网络安全产业的健康发展离不开政府的支持和引导。我国政府应加大政策投入:一是发挥党政机关和相关行业主管部门的带头作用,加快先进适用的网络安全产品的部署应用,促进产品推陈出新。二是推动自主可控产品的产业链发展,积极优化产业生态环境,提高企业在自主可控技术产品研发方面的内生动力。三是完善科研成果转化机制,实现科技成果供需高效对接,探索产学研协同创新模式。网络安全产品创新归根到底是要激活企业创新活力,鼓励企业积极探索形成网络安全的新理念、新架构,推动网络安全理论和技术创新。一是鼓励网络安全企业进行基础技术研发,实现更广泛的防护体系协同,并支持建立威胁情报共享机制。二是应培育网络安全新技术应用平台,大力支持人工智能、云计算等新技术在网络安全领域的应用,重点提升安全威胁检测、态势感知、应急处置和追踪溯源能力。三是加大对专精特新企业的支持力度,优化专利保护制度,积极开发专用网络安全技术产品,保护企业的创新积极性。将安全和质量列为网络安全产品的刚性要求,通过检测强化对产品安全性、可靠性和自主性的有效把关,促进产业更加重视技术研发能力的提升和软硬件生态的建设,建立高等级的安全防护能力。为此,一方面,应持续提升测评检测能力,建立国家级重点产品检测实验室,引领国内检测技术的进步;另一方面,针对重要领域和关键基础设施部门,应开展高安全级的检测,通过检测促进质量提升,减少风险隐患。(本文刊登于《中国信息安全》杂志2024年第2期)
文章来源: https://mp.weixin.qq.com/s?__biz=MzA5MzE5MDAzOA==&mid=2664209581&idx=1&sn=739b5b4ec753d9306d2531abdc6bef0f&chksm=8b599e54bc2e174292b905c9711bbf975a64ad06ad5dae093917d23e938decdd9cbbfc6c3f41&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh