中国网络安全产业现状剖析与对策建议从产业之“火”到应对之“策”
2016-09-21黎纲榭
文/特约记者 黎纲榭
中国网络安全产业现状剖析与对策建议从产业之“火”到应对之“策”
文/特约记者 黎纲榭
网络与信息安全产业作为安全技术的主要提供者和实施者,在国家网络空间攻防博弈中扮演着不可替代的关键角色。美国为首的西方发达国家凭借技术领先、企业强大、协作高效的安全产业,牢牢占据网络空间优势地位。当前,发展壮大网络与信息安全产业的需求日益迫切。一方面,国际网络空间的竞争博弈日趋激烈,安全产业是否壮大已经成为衡量国家网络安全综合实力的重要标准。另一方面,“互联网+ ”融合创新的新业态使得各关键行业和重要系统对网络安全保障的需求不断增加,安全产业已成为网络强国建设的基础保障。新形势下,我国安全产业迎来了发展的关键机遇,也面临诸多挑战。
本文通过分析最新国际国内安全产业的最新动态,学习借鉴发达国家产业政策、企业发展、产业生态的相关经验,研究和提出我国安全产业发展的措施和建议。
数据说话 国内外网安产业发展概述
从国际网络与信息安全产业发展现状与趋势来看。
首先,全球网络与信息安全产业规模快速增长,发达国家占据八成份额。2014年全球安全产业规模达到732.67亿美元,预期2015年增长至833.78亿美元,2016年至2019年有望保持超过8%的增长速率。当前,安全产业规模仅占全球IT产业规模的2%,但随着安全产业的高速发展,未来这一占比将有望提升。
从产业规模看,以美国为主的北美地区占据全球市场最大份额,其次是西欧及亚太地区。2015年,北美地区安全产业规模预计将达到339.38亿美元,占全球安全产业规模的40.7%;英国、德国等西欧国家安全产业规模将达到225.14亿美元,占全球比例的27%;日本、澳大利亚等亚太国家安全产业规模将达到193.01亿美元,占全球比例的23.2%;非洲、东欧、拉丁美洲等其它地区安全产业规模占全球比例低于10%。
从产业增速看,拉丁美洲和部分亚太新兴地区增速领跑其他地区。2015年至2019年,巴西、墨西哥、阿根廷等拉丁美洲地区的安全产业复合年均增长率(CAGR)将达到13.8%,中国、印度、泰国等亚太新兴地区达到13.4%,西欧地区达到9.7%,北美地区仍将保持8%的年复合增长率高速增长。
其次,全球安全硬件市场格局保持稳定,安全软件和安全服务市场态势向好,安全硬件巨头地位稳固,Cisco、Check Point、Fortinet等老牌厂商均在各自领域保持优势地位。安全软件市场稳中有升,Intel(收购McAfee)、IBM、EMC等IT寡头与Symantec、Trend Micro、Kaspersky、AVG Technologies等安全龙头占据超四成市场。安全服务市场增长态势强劲,将安全技术转换为服务的形式对外提供成为新趋势,可管理安全服务与云安全服务成为发展最快的业务。
再次,西方发达国家高度重视安全产业,资金投入和引导政策持续加码美国2016财年联邦政府预算中国家安全投入高达6120 亿美元,其中以保持技术领先为目标的RDT&E(研究、开发、测试与评估)投入近700 亿美元;同时,拟拨款140亿美元用于加强美国网络安全,相较2013年增长35.9%。2015 年1 月,英国宣布设立网络安全“Pre-Accelerator”项目,以支持初创型网络安全企业创新成长。2015 年4 月,美国国土安全部根据《培育有效技术支持反恐》法案,对FireEye 公司的多方位虚拟引擎和动态威胁情报平台进行了认证,确立了FireEye 在网络安全防御和应急领域的领先地位,有力推动其产品的部署应用。从IT厂商、安全厂商通过兼并收购加速产业链布局方面看,2014年至今,安全领域并购活动近50笔,IT巨头中不少安全巨头开始活跃在第一线。一方面,Palo Alto Networks、AVG Technologies48、Splunk49等知名安全企业不断兼并初创型企业以获取知识产权、及时跟进技术。另一方面,Microsoft、Google等IT巨头通过并购增强安全技术实力。兼并收购成为安全企业快速发展的重要途径,也是当前全球产业界实现资源和技术互补、打造综合竞争实力的普遍选择。
看了世界,再将目光聚焦我国安全产业发展现状。
首先,从政府发展政策来看。随着我国网络与信息安全工作的重要性不断提升,安全产业发展成为近年来政策扶持的重要领域,我国政府明确要求安全与发展同步建设,扶持中小安全企业创新成长,推动安全产业发展。
安全产业已成为近来网络与信息安全政策制定着力考虑的主要方面。我国《信息安全产业“十二五”发展规划》成为推动信息安全产业向体系化、规模化、特色化、高端化方向发展,做大做强信息安全产业的指导文件。在《工业和信息化部关于开展电信行业网络安全试点示范工作的通知》中提出在电信行业遴选网络安全优秀。
我国近几年发布的新兴技术领域发展指导性文件均将保障安全作为基本原则或重点任务。国务院发布的《关于积极推进“互联网 ”行动的指导意见》将“完善互联网融合法律法规和标准规范,增强安全意识,强化安全管理和防护,保障网络安全”作为“互联网 ”行动的原则之一;《关于推进物联网有序健康发展的指导意见》要求加强物联网重大应用和系统的安全测评、风险评估和安全防护工作,保障物联网重大基础设施、重要业务系统和重点领域应用的安全可控;《促进大数据发展行动纲要》要求切实加强关键信息基础设施安全防护,做好大数据平台及服务商的可靠性及安全性评测、应用安全评测、监测预警和风险评估;《中国制造2025》提出应加强智能制造工业控制系统网络安全保障能力建设,健全综合保障体系。
其次,从我国安全产业规模结构来看。
国内网络安全产业规模持续扩大根据中国信息通信研究院统计测算,2014年国内安全产业规模约为393.7亿元。从调研企业数据看,企业营收较2013年增长超过15%。根据工信部2014年电子信息产业统计公报数据,2014年我国信息产业总规模达到14万亿元,安全产业占信息产业比重为0.28%,相较2010年0.14%有明显提升。
中国安全产业规模与全球安全产业规模对比来看,安全产业占信息产业比例:2010年为109.6/78000=0.14%;2014年为393.7/140000=0.28%,提升明显。
从安全产业市场领域来看,政府、金融、电信、能源等重点行业领域应用领先。我国政府、金融、电信、能源四大行业领域安全市场需求强烈,2014年市场份额合计超过60%。随着网络安全日益受到重视,国家关键信息基础设施的安全保障要求不断加强,带动重点行业和领域安全市场快速增长。同时,伴随智慧城市、“互联网 ”、智能制造等发展规划的逐步推进,制造、医疗、旅游等领域安全市场日渐兴起。
从我国安全产品与服务市场比例来看,2014年我国安全产品产业规模达277.9亿元,占比70.58%。安全防火墙、身份管理与访问控制、统一威胁管理、安全内容管理产品占据市场主要份额。由于资产管理、采购制度等传统规则约束,安全产品仍以软硬件结合产品为主导,纯软件产品仅在病毒查杀、访问控制等终端安全领域占据优势。安全服务产业规模达115.8亿元,占比29.42%。其中,安全评估、安全集成占安全服务市场份额的90%。随着IT虚拟化的转型和云服务理念的渗透,安全服务市场份额有望进一步提升。同时,安全人才数量难以满足快速增长的市场需求,安全攻防人才、IT运维人员的安全知识和技能培训有望驱动安全培训市场繁荣。
多维比照 我国网络安全产业仍有差距
我们对照世界网络发达国家,进行产业多维度参照比对。
国内网络安全产业规模持续扩大,根据中国信息通信研究院统计测算,2014年国内安全产业规模约为393.7亿元。
首先,从产业发展环境上看,我国网络安全产业发展环境与国外相比,还有待改善和提升。一是国家战略尚未出台,统筹规划工作有待加强。我国网络安全国家战略尚未出台,网络安全产业的发展缺少顶层规划,同时中央网信办的职能尚初步确定,但与中宣部、公安部、工业和信息化部等相关部门以及军队之间的职能边界仍未明晰,如何统筹协调各部门之间的关系,解决产业多头管理的问题,仍是行业发展面临的重要问题;二是国家政策尚不完善,网络安全投入相对分散。与欧美国家动辄百亿美元的投入相比,我国网络安全的经费投入则显过于单薄,仅达到美国的5%左右,而且国家所投入的资金并不能完全转化到市场上,对于产业发展起到的作用甚微;三是网络安全法律法规建设滞后,功能和作用发挥不足。我国立法资源多集中于传统安全领域,网络安全领域尚存在“立法立不上项”、“出台较慢”的现象;同时,我国缺乏网络安全立法的宏观规划和体系设计,现有法律法规之间协调性不足、系统性差,部分立法缺乏协调配合,存在内容衔接不好甚至冲突的现象;四是政科不分、政企不分的体制机制制约了科技创新和产业发展。“泛行政化”的体制严重阻碍了科技创新和产业发展,科研院所、大型央企等均采取行政化管理,这使得大量科技工作者、企业家行政化,科研创新应该完全市场化,企业发展也应该市场化。
其次,从网络安全管理上看,还有一些问题比较突出,需要弥补。一是网络安全管理思路存在偏差。网络安全无绝对,而在“谁主管,谁负责”的原则下,各主管部门责任过大且缺乏有效的责任认定机制,导致各部门尽量采取保守的防护策略。同时由于对网络安全企业的信任度不高,应用部门主要依靠自己的技术力量来实施网络安全建设,从而导致了网络安全市场的条块分割,并以行政门槛和行业壁垒等形式瓜分掉大量行业需求,网络安全企业的生存空间被严重压缩,广泛面临生存困境,进而引发了行业创新动力不足、弄虚作假等一系列行业陋习;二是行业管理缺乏有效协调。作为较敏感的领域,网络安全主管部门的职能大多侧重管控,且存在交叉重复,不利于行业发展,如网络安全企业除需获得多个资质外,在推出产品时还需通过信息安全产品强制性认证、计算机信息系统安全专用产品检测等一系列检测,而且在产品升级时还需要重新进行检测,这大幅提升了企业生产成本,影响了企业技术创新的热情。
再次,从网络安全产业生态链发展来看,基础薄弱还是主要问题。一是网络安全相关技术研发能力不足。涉及网络安全核心技术的元器件、中间件、专用芯片、操作系统和大型应用软件等基础产品自主可控能力较低,关键芯片、核心软件和部件严重依赖进口。在密码破译、战略预警、态势感知、舆情掌控等网络安全核心技术产品上,与西方国家还有一定的差距。在一些关键技术和产品的网络安全测评方面还存在技术缺失;二是网络安全人才培养体系不健全。我国缺乏人才建设规划和顶层设计,网络安全人才培养体系不健全。同时,我国网络安全人才供给与需求严重失衡,人才缺口较大,缺乏技术带头人、卓越工程师、高层次管理人员等领军人才,在网络攻防、自主软硬件开发、新技术新应用安全等领域缺乏一批具有较强能力的科研和实战人才;三是网络安全需求尚未有效释放。虽然我国已经发展成为一个网络大国,截至2014年12月网民数量已达6.49亿,但当前普通民众还未意识到网络安全的重要性,也不习惯为网络安全付费。在这种情况下,网络安全市场的需求主要源于政府和企业,然而重要行业的需求被大量内部消化,大型互联网企业也已开始打造网络安全团队。各种因素结合起来,就压缩了网络安全市场的需求。
对策建议 五大抓手打造产业发展“快车道”
基于当前我国特殊的产业发展阶段,在机遇与挑战并存的条件,对发展我国信息安全产业的措施,大致有以下五条。
第一,呼唤网络安全国家战略从顶层布局和推动网络安全产业发展。
国家安全战略是产业发展的方向、目标和行动指针。借鉴国际社会的经验,网络空间国家战略要突出几个内涵:首先,强调基于“动态位置”和“利益关系”视角的大安全观。应突破以国家为唯一主体的理念,把国家、社会、个人、国际甚至非国家组织都纳入多元化的安全主体体系;其次,兼顾技术权力和政治权力的融合需求。近年来美国政府与互联网巨头的暧昧关系以及在新战略中强调与私营部门的合作就是这方面的极佳诠释;第三,改变既往“国家安全”离民众太远的神秘感。美国通过网络向全民征集修改意见,提高战略的全民认知度的做法值得借鉴;第四,细化战略中的“国家安全行动”。明确政府、企业、各级组织和国民在国家安全大局中的角色和责任。在国家安全战略的基础上则应从组织体系、理论体系、监督体系、产业体系等多方面完善和升级国家信息安全保障体系,并从组建信息安全产业国家队、重建国家信息安全权威测评认证体系、提供国产化替代路线图等方面,逐步构建起国家信息安全产业体系。
第二,以“互联网+”、两化融合为契机,大力加快安全技术创新和发展安全产业集群。
结合市场需求,在电信、金融、能源、制造等信息安全企业关注的重点行业,鼓励各类企业主体不断加大研发投入,促进信息安全关键领域核心技术攻关、成果转化、应用推广。加强信息安全产业的产业链发展,在技术开发、网络设施建设、设备生产和服务等方面引入市场竞争机制,构建网络和利用网络,实现集群效应。同时,促进信息安全保障体系的建立,带动信息安全产业体系的发展和完善。
我国《“互联网+”行动计划》、《智能制造2025》等战略规划已将加强网络与信息安全保障作为重要内容,明确提出要注重网络安全建设、加快体系化安全保障技术研发。因此,要把握发展机遇,加大新兴领域的安全技术服务创新投入,着力突破核心关键技术,力争在新兴领域实现网络与信息安全技术服务实力的弯道超车。
第三,以首席信息安全官制度作为安全产业突破市场末梢的重要抓手。
完善的首席信息安全官(CISO)制度机制是一种遍布神经末梢的管理系统,它能感受外来刺激并传递给神经中枢,或把神经中枢的冲动传达给有关组织和企业,从而推动与之对应的审查、认证、预警、应对、标准、监测、惩处等一系列制度措施的制定和落地。当前,无论是从重塑中国信息产业的环境生态角度,还是从国产化替代的过程管理来看,都急需在管理层面有一个突破性抓手和创新机制。首席信息安全官制度应该是一个战略性选择。在CISO 制度下,每位首席信息安全官都是信息大系统中的神经末梢,横向到边、纵向到底、责任到人、追踪到门的首席信息安全官的体制设置能实现产业体系内部的协调、监督和追责,解决“政令不通”、“条块矛盾”等痼疾,实现日常管理和危机管理的一体化。同时,在国产化替代中,首席信息安全官可负责对产品的跟踪和质量回馈,充当好政府和企业、产品和市场以及企业和用户关系的桥梁纽带角色。
第四,从管理入手以产业发展环境的优化推动网安产业良性发展。
改变当前网络安全管理思路,明确政府部门、重要行业等的网络安全责任和认定机制,划定网络安全管理责任与技术责任的界线,改变网络安全封闭管理的现状。逐步打破部门利益,减少行政垄断,分流非管理职能部门,鼓励政府和重要行业集中采购网络安全服务,避免重复建设和资源浪费,使得市场成为资源配置的决定力量,有效释放网络安全需求。构建以企业为主体、市场为导向、产学研相结合的技术创新体系,强化企业的创新主体地位,改革国家科研资金投入机制,提高国家科研资金的使用效率。同时不断加大网络安全投入,通过立法等形式提升网络安全在信息化建设中所占比例,提高信息化建设的安全性和可靠性,推动网络安全行业的良性发展。
我国已经发展成为一个网络大国,截至2014年12月网民数量已达6.49亿。
第五,以产业联盟、产业论坛为平台增进产业协作,推动产业自律,促进产业发展。
一方面,国内基于企业间互信互补的各类产业联盟极大地促进了产业协同。例如,中国网络安全产业联盟刚一成立,便得到产业界和企业界的拥护,在今年RSA大会上,联盟组织部分中国网安企业参会,并与赛门铁克等美国知名企业进行访谈交流。增进了企业间的资源共享和利益联动。
另一方面,全球性产业论坛和峰会形成了引导安全技术趋势、助力创新企业发展、扩大安全市场需求的巨大的影响力。例如,由美国RSA公司(被EMC兼并)组织的RSA大会,2016 年吸引了超过500家参展企业、超过3 万与会人员,设立了23 个专题论坛,发布上百个专题报告,引发全球热议。借鉴国外经验,鼓励科研机构、高校、安全企业及相关单位合作共建技术与产业联盟、组织产业论坛,同时充分发挥行业协会、认证测试和安全咨询机构的号召力和影响力,促进企业间开展技术授权和技术合作,加速形成产业链高度协同的产业生态。