文｜ 韩健 陈光

2015年全球信息安全市场规模突破1100亿美元，未来5年，全球信息安全市场规模仍将保持10%以上的年均复合增长率。

国家层面

1.营造良好的产业政策发展环境

加快推进信息安全法律法规和管理机制建设。明确建立信息安全相关产品和服务的安全审查制度，实行分类分级管理，比如完善数据、软件等托管，个人隐私保护以及安全管理规范等方面的标准和政策。

改善企业发展的市场和应用环境。建议中央网信办、国家发展改革委、工信部等部门优化完善现有的测评认证体系，推动测评标准和结果互认，减少重复检测发证，减轻企业负担，解除市场分割，激励中小企业创新和骨干企业发展壮大。顺应产业服务化发展的趋势，会同政府采购部门研究推动将信息安全服务纳入政府采购目录，力争改变当前重资质、低价格的现状，使其更加注重企业技术服务能力。

2.加大对研发创新的资金扶持力度

加强对热点网络安全问题的研究，加强顶层设计，制定更为科学的网络安全技术研究体系。增加对网络攻击技术研究的财政性支持力度，通过网络攻击技术的进步，带动网络安全水平，甚至安全标准化水平的提升。

建议国家对网络空间安全研究进行系统研究，将其列入国家重大科技计划或工程，支持信息安全新技术、新产品研发及应用。重点鼓励和支持信息安全企业在新的安全形势下，面向国产基础软硬件，加强移动互联网、云计算、物联网、大数据、工业软件等新一代信息技术领域信息安全技术和产品的研发和产业化。

3.加强信息安全人才队伍建设

加强人才队伍建设，为企业储备和输送专业人才。鼓励各类教育、培训机构采用多种形式培养高素质多层次的信息安全专业人才。支持和鼓励信息安全企业与行业组织、高校院所探索建立多层次、全方位的合作机制，以共建实训基地为切入点，推动实用型人才的培养，充分利用各项人才培养和引进计划，重点吸收和引进高端网络攻防实战人才和国外优秀的信息安全技术和管理人才。

4.加大对骨干企业的培育和扶持力度

选取具有一定规模、实力的代表性企业，特色细分领域代表企业作为重点扶持对象，集中政策、资金、资质等多方面资源予以支持。将加快培育具有国际竞争力的大企业作为国家产业主管部门的重点工作任务，建立面向骨干企业的常态化服务机制。

5.鼓励和支持企业积极参与国际竞争

鼓励和支持企业积极参与国际技术交流与合作，与国际先进技术产业实现同步发展；鼓励有条件的企业在海外建立研发中心，加大海外并购力度，积极拓展国际市场；加大对海外优秀人才的引进力度，鼓励其归国创新创业；充分挖掘和利用国际展会和商贸资源，引导资金、项目、企业和人才向国内信息安全企业集聚，推荐和引领企业“走出去”。

安全企业层面

1.加强关键技术和产品研发创新及产业化

重点加强对云安全、大数据安全、工控安全等关键技术和产品的研发及产业化。面向大数据、云计算、移动互联网等新兴领域，积极研究和开发信息安全相关的产品和解决方案，探索新的业务模式；并对国外信息安全龙头企业开展相关业务，提升企业核心竞争力。

在工控安全方面，重点加强对工控系统脆弱性、安全配置及开源工具，工控系统协议、工控系统业务逻辑的技术分析与研究；加强开发工控漏洞扫描及配置核查工具、工控现场安全基线及漏洞检测工具、工控防火墙及IDS、行为监管及APT防护类产品等的研发；提高行业工业控制系统的安全态势感知能力，并结合相应的安全产品和安全防护技术提供相应的攻击检测和安全防护方案。

在大数据安全方面，重点利用大数据技术应对DNS安全威胁，研发高性能的安全DNS系统，并利用DNS解析的大数据来分析网络攻击，加强对安全态势感知，对大规模安全事件的爆发跟踪研究和控制等；同时，利用大数据技术检测和防御APT攻击，加强对APT攻击检测和防御产品的研发，针对APT攻击难以形成关联协同、综合防御的效应，容易被各个击破的特点，并鼓励建立国家级的APT防护联动平台。

在云安全方面，提升对云计算核心软硬件的自主研发能力，加快虚拟化安全、数据安全隔离与加密、安全中间件、数据备份与恢复等云计算安全关键技术研发及产业化。加强基于互联网的防火墙、病毒防护、安全审计与计费、安全测试与评估等云安全服务创新及应用推广。

2.重视和发展信息安全专业服务

积极搭建面向国家重点行业领域的信息安全专业服务平台。重点开展等级保护设计咨询、风险评估、安全咨询、安全测评、快速预警响应、第三方资源共享的容灾备份、标准验证等服务；建设信息安全数据库，包括脆弱性漏洞库、安全事件检测库、软件补丁库、恶意代码库、标准信息库等，为广大用户提供快速、高效的信息安全咨询、预警、应急处理等服务，切实提高信息安全保障能力。

3.加强与高校、科研院所等的交流合作

加强与高校、科研机构以及其他企业间的交流合作。与信息安全相关的高校和科研机构建立长期合作机制，通过联合建立研发中心、建立技术与产业联盟、共同承担国家重大项目等方式开展信息安全关键技术和核心产品的研发，并积极推进技术成果的转移和交易，促进创新成果的产业化。

用户企业层面

1.提高企业自身的信息安全防护意识

提升企业信息安全防护意识。建议有条件的企业可考虑将信息安全服务纳入企业的信息化建设预算，并将网络安全应急处理、信息系统安全运维、数据与系统容灾备份等信息安全服务能力建设纳入重点支持范围。

2.优先支持自主信息安全产品及服务

积极支持和应用国产关键软硬件产品和信息系统。深刻反思“棱镜门”事件带来的影响，考虑在同等条件下，优先采购和使用国产关键软硬件产品和信息系统，优先考虑与国内专业信息安全厂商合作，建立基于企业全业务流程的信息安全解决方案，并与信息安全产品和服务提供商建立常态化沟通交流机制，为企业构建更加安全可信的发展环境。