推进网络安全生态的协同发展
- 来源:网络空间安全 smarty:if $article.tag?>
- 关键字:网络安全生态,协同发展,网络安全生态数脑 smarty:/if?>
- 发布时间:2020-07-26 09:08
摘 要:网络安全生态是一个复杂系统,需要统筹多层次与多要素的协同发展。中国网络安全生态发展是由网络强国战略驱动的,需要统筹推进网络安全与信息化的一体化发展,推进“本质安全”与“过程安全”的协同发展,推进政产学研用融等生态要素的融合发展。中国网络安全生态发展迅速,但仍需加大网络安全投入占比,加速培育网络安全产业竞争力,建设网络安全生态数脑等新型治理设施与提升协同治理能力。
关键词:网络安全生态;协同发展;网络安全生态数脑
中图分类号: TP393 文献标识码:A
1 引言
网络安全生态的理念与实践在不断深化。在中央网信办、工信部和公安部等相关部门的指导支持下,中国互联网协会和中国网络空间安全协会等单位已经连续三年(2017-2019年)组织举办“网络安全生态峰会”,主题分别为“新安全,共担当”“共建安全防线、共治安全环境、共享安全生態”“智慧共享,互信共治”,强调网络安全生态的多元共治。2019年中国网络安全产业高峰论坛的主题“共建网络安全生态 保障网络强国建设”,网络安全生态发展理念深入人心,网络安全生态发展的政策需求高涨。
网络安全生态的系统认识、量化评价与优化发展的相关研究薄弱。网络安全生态是一个复杂的系统生态,宏观上涉及国家总体安全观、网络强国、数字中国等国家战略生态;中观上涉及安全可控与开放创新的国家产业生态;微观上涉及政府、产业、教育、技术、应用与金融等多要素多主体的国家治理生态。如何全面认识和评价中国网络安全生态的发展态势与薄弱环节,推进中国网络安全生态的协同发展,成为本文的主题。
2 立足网络强国战略全面认识网络安全生态
2.1 中国网络安全生态发展的原动力
中国网络安全生态发展的原动力是国家安全与现代化强国。受2013年“斯诺登事件”等影响冲击,2014年上半年中共中央网络安全和信息化领导小组成立,国家对网络安全重视程度显著提升,网络安全政策环境逐步改善,网络设备国产化呼声高涨,网络安全审查制度出台等带动网络安全相关企业股票大涨,网络安全产业迎来发展机遇期[1]。2015年十八届五中全会通过了《中共中央关于制定国民经济和社会发展第十三个五年规划的建议》,其中首次提出实施国家大数据战略和网络强国战略。2016年中共中央政治局就实施网络强国战略进行第三十六次集体学习,提出加快推进国产自主可控替代计划,构建安全可控的信息技术体系。2018年中央网络安全和信息化领导小组改为中央网络安全和信息化委员会,全面统筹推进网络强国战略实施。
2.2 网络安全生态的内涵解析
在网络强国战略的指引下,网络安全生态的内涵在不断拓展深化。从广义角度讲,网络安全是指网络空间的安全,涵盖了网络系统的运行安全性、网络信息的内容安全性、网络数据的传输安全性、网络主体的资产安全性等。网络安全产业划分为三个部分:基础安全产业,主要指安全可控的信息技术软硬件产品;IT安全产业,主要指通常的网络安全技术、产品和服务;其他与网络安全相关的技术产品和服务[2]。网络安全产业所覆盖范围可包含狭义和广义两个层面,狭义安全包括通用安全、专用安全和自用安全等,其本质只能是在别人打好地基的建筑上进行“修修补补”,无法解决这些基础软硬件本身所固有的安全问题;广义安全包括基础安全,是指应用范围广、应用数量大或者应用于关键行业领域的底层基础软硬件产品,如核心电子器件、高端通用 芯片及基础软件产品等[3]。
网络安全应妥善应对两个挑战:一是以“本质安全”相关的“后门”问题,解决问题必须实现自主可控;二是以“过程安全”相关的“漏洞”问题,即系统衍生的安全风险,必须增设内部可信主动防御,加强外部安全防护[4]。针对网络安全领域存在的芯片“后门”问题、网络“漏洞”问题、国外“断供”问题,中国电子以“建设网络强国”为核心使命,坚定推进“本质安全”“过程安全”“产业安全”三大战略,确保“关后门”“堵漏洞”“防断供”[5]。
全面认识网络安全生态的协同发展,需要考虑四个层面:第一个层面是系统外的协同发展,即网络安全与信息化的一体两翼与协同发展;第二个层面是系统内子系统的协同发展,即“本质安全”与“过程安全”等的统筹推进;第三个层面是系统内各要素的协同发展,即政策、产业、人才、技术、应用与金融等要素的平衡发展;第四个层面是系统的规模与质量的协同发展,不仅要扩大生态规模,更要提高生态发展质量与核心竞争力。
2.3 大力推进网络安全与信息化的一体化发展
中国网络安全生态明显滞后于互联网生态发展。据《世界互联网发展报告2019》[6]显示,在互联网发展指数总分,以及在创新能力、产业发展、互联网应用和网络治理分项指数上,美国第1、中国第2,中美两国引领世界互联网发展。但是,在网络安全领域,美国第1(得分9.3)、中国第14(得分2.7),中国在网络安全设施与产业发展上与美国差距大,相比互联网发展的“长板”,中国在网络全上的“短板”问题突出。据国际电信联盟(ITU)发布的《2017年全球网络安全指数》(Global Cybersecurity Index,GCI),对各国在应对全球网络安全问题上的承诺和行动进行衡量,新加坡第1、美国第2,中国第32[7]。
中国网络安全占信息化的投入比重严重偏低,网络安全与信息化的投入失衡。根据Gartner的数据测算,中国网络安全在IT总投入中的占比2016年为0.84%,2017年为0.88%,约为全球平均水平的35%,而欧美等领先国家的在重要IT系统中网络安全投入占比达到15%~25%。根据IDC的数据测算,2017年中国IT安全占IT市场的比例为1.84%,远低于全球平均3.74%和美国4.78%的比例。当前,亟需建立健全网络安全与信息化的协同投入机制,加大网络安全投入占比。
2.4 加快推进信息技术应用创新产业生态发展
面向本质安全与自主可控的信息技术应用创新产业生态加速成长,但是安全可控形势依然严峻。基于国产CPU和操作系统的核心技术生态初步形成,但尚不完备。工业和信息化部组织建立了联合攻关基地,系统集成商联合CPU、操作系统、整机、数据库、中间件等厂商,开展集成适配技术攻关,推进国产核心软硬件的集成适配和协同发展,体系化提升国产核心软硬件的性能和可靠性。2019年底,中国电子率先发布首个中国计算机软硬件基础体系标准《PK体系标准(2019年版)》及《PKS安全体系》,以“Phytium处理器”和麒麟“Kylin操作系统”支撑的PK生态,正在加速对Wintel生态的挑战与替代升级。当前,仍面临外部环境恶化、技术方向碎片化、核心技术缺失、生态体系不完备、体制机制有待完善等问题[8]。工信部对全国30多家大型企业130多种关键基础材料调研结果显示,32%的关键材料在中国仍为空白,52%依赖进口,绝大多数计算机和服务器通用处理器95%的高端专用芯片、70%以上智能终端处理器以及绝大多数存储芯片依赖进口。自主可控是保障工業互联网安全的关键切入点,国产自主可控替代成为推进工业互联网安全的核心主阵地[9]。
3 协同推进网络安全生态各要素的高质量发展
3.1 推进网络安全政策生态的引领发展
(1)网络安全法律体系初步形成
网络安全法律体系是由保障网络安全的法律、行政法规和部门规章等多层次规范相互配合的法律体系。据不完全统计,全国人大已出台了40余部网络安全直接相关的法律,包括《密码法》(2019)、《电子签名法》(2019)、《电子商务法》(2018)、《广告法》(2018)、《反恐怖主义法》(2018)、《刑法》(2017)、《民法通则》(2016)、《国家安全法》等。其中,2000年出台的《全国人民代表大会常务委员会关于维护互联网安全的决定》是首个专门针对网络安全的法律文件;2012年出台的《全国人民代表大会常务委员会关于加强网络信息保护的决定》强调对公民个人电子信息的保护和相关网络信息服务规范;2016年出台的《网络安全法》针对网络安全的支持与促进、网络运行安全、网络信息安全以及网络安全等级保护、关键信息基础设施保护等制度进行了系统规范。
在此基础上,国务院出台了10余部网络安全重点法规,包括《电信条例》(2016)、《信息网络传播权保护条例》(2013)、《计算机软件保护条例》(2013)、《计算机信息系统安全保护条例》(2011)、《计算机信息网络国际联网安全保护管理办法》(2011)、《互联网信息服务管理办法》(2011)等。国务院各机构出台了数十个部门规章,包括国家互联网信息办公室出台的《网信信息内容生态治理规定》(2019)、《儿童个人信息网络保护规定》(2019)、《区块链信息服务管理规定》(2019)、《互联网新闻信息服务管理规定》(2017)、《互联网信息内容管理行政执法程序规定》(2017)等;公安部出台的《公安机关互联网安全监督检查规定》(2018)、《互联网安全保护技术措施规定》(2006)、《计算机病毒防治管理办法》(2000)等;工信部出台的《电信和互联网用户个人信息保护规定》(2013)、《通信网络安全防护管理办法》(2010)等。另外,国务院及相关部门还出台了大量的规范性文件和工作文件。
据北大法宝数据库“网络安全”全文检索统计,截止2020年4月5日,中央政策法规文件1785篇,地方政策法规文件9701篇。可以看出,涉及“网络安全”的中央政策法规制订数量总体保持较快增长,2017年达到峰值227件,如图1所示;涉及“网络安全”的地方政策法规文件数量的地区差异较大,制订最多的是福建省704件,最少的是西藏22件,如图2所示。
(2)网络安全政策生态的引领发展仍面临较大挑战
尽管中国网络安全政策生态已经初步确立,但是仍滞后于数字化、网络化与智能化的发展需求,尤其是全球新冠肺炎疫情危机下的全面数字化升级所带来的网络安全治理挑战。当前,中国网络安全法律资源远远不能适应网络安全和信息化建设的进程,不能满足社会公众对健全法律体系、保障自身权益的需求[10]。在新冠疫情期间,国家卫生健康委于2020年2月3日出台《关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》,要求加强网络信息安全工作,以防攻击、防病毒、防篡改、防瘫痪、防泄密为重点,畅通信息收集发布渠道,保障数据规范使用,切实保护个人隐私安全,防范网络安全突发事件,为疫情防控工作提供可靠支撑;中央网信办2月4日出台《关于做好个人信息保护 利用大数据支撑联防联控工作的通知》等。中国网络安全政策法规体系在加速完善,《个人信息保护法》和《数据安全法》等已纳入2020年立法进程。
3.2 推进网络安全产业生态的高质量发展
中国网络安全产业经过近30年的发展,已初见规模并形成较为完整的产业体系,在产业生命周期上,经历了“萌芽期”、正处于“初步发展期”阶段,并在迅速逼近“快速成长期”,与处于“成熟发展期”的美国在产业竞争力与产业结构等方面仍有较大差距[11]。
(1)中国网络安全产业保持快速增长
据中国信息通信研究院统计,2015年以来网络安全产业总体保持20%以上的增速,如图3所示;中国网络安全产业主要集中在北京、广东和上海等地方,如图4所示;2018年中国有2898家从事网络安全业务的企业,新增企业数量为217家,增长率为8.09%,保持健康发展态势。在2019年中国网络安全产业发展高峰论坛上,工信部网络安全管理局介绍,2019年中国网络安全产业规模估计将超过600亿元,年增长率超过20%,明显高于国际8%的平均增速。
(2)亟待建立统一规范的网络安全产业统计体系
当前,中国信息通信研究院、赛迪顾问、中国网络安全产业联盟等机构都在发布统计测算数据,但是统计口径与数据均有明显差异,甚至同一机构不同时期发布的数据也存在明显差异,“数出多门”和“数据打架”问题明显,如图5所示。当前网络安全产业统计主要针对“过程安全”,包括防火墙、身份认证、终端安全管理、安全管理平台等传统产品,云安全、大数据安全、工控安全等新兴产品,以及安全评估、安全咨询、安全集成为主的安全服务;一般不包括“本质安全”,如芯片及元器件相关制造等信息技术应用创新产业,以及舆情分析、军队、保密等业务安全领域的市场规模。
(3)加快提升网络安全产业竞争力
中国网络安全产业竞争力较弱,龙头企业不强,产业结构需要转型升级。“Cybersecurity 500”反映全球当前最热门、最具创新的网络安全企业500强榜单 。2018年度榜单中,美国企业上榜最多,共有358家,其次是以色列42家、英国23家、加拿大15家,中国8家,上榜数量第5,但是前25强榜单中没有中国企业。据国内外网络安全龙头企业的财报显示,中国网络安全龙头企业的员工数量较少,人均收入约13万美元,相当于国际龙头企业的38%,如图6所示。中国网络安全产业的市场集中度偏低,美国前5大网络安全企业收入占国内全行业收入的33%,而中国前5大网络安全收入占比为19%,不利于發挥龙头企业的集聚引领效应[9]。中国网络安全产业存在着“重产品轻服务”和“重硬件轻软件”的结构性失衡问题,据IDC统计,中国IT安全市场仍以硬件市场为主,软件和服务市场占比明显偏低,如图7所示。
3.3 建设网络安全生态数脑与提升生态治理能力
针对网络安全生态治理能力现代化,2019年11月28日,中国信息安全研究院联合湖南省委网信办等单位发布“网络安全生态数脑”和“网络安全生态指数”,对网络安全政策、产业、人才、技术、应用与金融6个生态要素进行监测评价,以2015年为基期(指数为100),2019年指数达到193,年均增速为17.9%,如图8所示。其中,人才指数增长最慢,专利指数增长最快,政产学研用融仍需进一步强化协同发展。建设网络安全生态数脑,利用大数据提升网络安全生态的监测与治理水平,是推动网络安全生态协同发展的有力抓手。
4 结束语
推进网络安全生态的协同发展,一是推进网络安全与外部环境的协同发展,即网络安全与信息化和国家安全等的协同发展;二是推进本质安全生态与过程安全生态的协同发展;三是推进网络安全内部各主体和要素的协同发展,构建政产学研用融协同发展的良性生态。当前应紧抓数字生态变革的机遇,充分把握全球新冠肺炎疫情带来的机遇和挑战,在新型数字基础设施建设中发挥网络安全的基础支撑与服务保障作用,建立网络安全与信息化的一体化发展机制,实现网络安全生态与5G、大数据、人工智能和工业互联网等“新基建”的协同发展与加速升级。
基金项目:
国家重点研发计划项目课题(项目编号: SQ2018YFB140079)。
参考文献
[1] 赛迪智库网络安全走势判断课题组.我国网络安全产业迎来发展机遇期[N].中国信息化周报,2014-07-28(020).
[2] 刘权,王闯,蒋丽.国内外网络安全产业比较研究[J].工业经济论坛,2015(04):63-71.
[3] 祝剑锋,李苏.新形势下我国网络安全产业范畴的再认识及发展思考[J].通信世界,2020(02):37-40.
[4] 芮晓武.立足自主创新 打造国家保密科技生态圈[J].保密科学技术,2016(11):22-24.
[5] 中国电子信息产业集团有限公司.中国电子社会价值报告(2017)[Z]. https://www.cec.com.cn/
[6] 中国网络空间研究院.世界互联网发展报告2019[M].北京:电子工业出版社,2019.
[7] 王丹娜.全球网络安全指数衡量各国网络安全承诺[J].中国信息安全,2017(10):80-83.
[8] 中国电子信息产业发展研究院,中国信息安全研究院,等. 2018中国信息技产品安全可控年度发展报告[Z].2018年9月.
[9] 倪光南.加快构建本质安全、自主可控的工业互联网[J].网信军民融合,2019(10):22-23.
[10] 李欲晓,邬贺铨,谢永江,姜淑丽,崔聪聪,米铁男.论我国网络安全法律体系的完善[J].中国工程科学,2016,18(06):28-33.
[11] 陈兴跃.中国网络安全产业发展阶段研究[J].信息安全与通信保密,2019(07):83-98.
赵惟 傅毅明