中國網絡安全產業現狀剖析與對策建議從產業之“火”到應對之“策”

文/特約記者 黎綱榭

中國網絡安全產業現狀剖析與對策建議從產業之“火”到應對之“策”

文/特約記者 黎綱榭

網絡與信息安全產業作為安全技術的主要提供者和實施者，在國家網絡空間攻防博弈中扮演著不可替代的關鍵角色。美國為首的西方發達國家憑借技術領先、企業強大、協作高效的安全產業，牢牢占據網絡空間優勢地位。當前，發展壯大網絡與信息安全產業的需求日益迫切。一方面，國際網絡空間的競爭博弈日趨激烈，安全產業是否壯大已經成為衡量國家網絡安全綜合實力的重要標準。另一方面，“互聯網＋ ”融合創新的新業態使得各關鍵行業和重要系統對網絡安全保障的需求不斷增加，安全產業已成為網絡強國建設的基礎保障。新形勢下，我國安全產業迎來了發展的關鍵機遇，也面臨諸多挑戰。

本文通過分析最新國際國內安全產業的最新動態，學習借鑒發達國家產業政策、企業發展、產業生態的相關經驗，研究和提出我國安全產業發展的措施和建議。

數據說話 國內外網安產業發展概述

從國際網絡與信息安全產業發展現狀與趨勢來看。

首先，全球網絡與信息安全產業規模快速增長，發達國家占據八成份額。2014年全球安全產業規模達到732.67億美元，預期2015年增長至833.78億美元，2016年至2019年有望保持超過8%的增長速率。當前，安全產業規模僅占全球IT產業規模的2%，但隨著安全產業的高速發展，未來這一占比將有望提升。

從產業規?？?，以美國為主的北美地區占據全球市場最大份額，其次是西歐及亞太地區。2015年，北美地區安全產業規模預計將達到339.38億美元，占全球安全產業規模的40.7%；英國、德國等西歐國家安全產業規模將達到225.14億美元，占全球比例的27%；日本、澳大利亞等亞太國家安全產業規模將達到193.01億美元，占全球比例的23.2%；非洲、東歐、拉丁美洲等其它地區安全產業規模占全球比例低于10%。

從產業增速看，拉丁美洲和部分亞太新興地區增速領跑其他地區。2015年至2019年，巴西、墨西哥、阿根廷等拉丁美洲地區的安全產業復合年均增長率（CAGR）將達到13.8%，中國、印度、泰國等亞太新興地區達到13.4%，西歐地區達到9.7%，北美地區仍將保持8%的年復合增長率高速增長。

其次，全球安全硬件市場格局保持穩定，安全軟件和安全服務市場態勢向好，安全硬件巨頭地位穩固，Cisco、Check Point、Fortinet等老牌廠商均在各自領域保持優勢地位。安全軟件市場穩中有升，Intel（收購McAfee）、IBM、EMC等IT寡頭與Symantec、Trend Micro、Kaspersky、AVG Technologies等安全龍頭占據超四成市場。安全服務市場增長態勢強勁，將安全技術轉換為服務的形式對外提供成為新趨勢，可管理安全服務與云安全服務成為發展最快的業務。

再次，西方發達國家高度重視安全產業，資金投入和引導政策持續加碼美國2016財年聯邦政府預算中國家安全投入高達6120 億美元，其中以保持技術領先為目標的RDT＆E（研究、開發、測試與評估）投入近700 億美元；同時，擬撥款140億美元用于加強美國網絡安全，相較2013年增長35.9%。2015 年1 月，英國宣布設立網絡安全“Pre-Accelerator”項目，以支持初創型網絡安全企業創新成長。2015 年4 月，美國國土安全部根據《培育有效技術支持反恐》法案，對FireEye 公司的多方位虛擬引擎和動態威脅情報平臺進行了認證，確立了FireEye 在網絡安全防御和應急領域的領先地位，有力推動其產品的部署應用。從IT廠商、安全廠商通過兼并收購加速產業鏈布局方面看，2014年至今，安全領域并購活動近50筆，IT巨頭中不少安全巨頭開始活躍在第一線。一方面，Palo Alto Networks、AVG Technologies48、Splunk49等知名安全企業不斷兼并初創型企業以獲取知識產權、及時跟進技術。另一方面，Microsoft、Google等IT巨頭通過并購增強安全技術實力。兼并收購成為安全企業快速發展的重要途徑，也是當前全球產業界實現資源和技術互補、打造綜合競爭實力的普遍選擇。

看了世界，再將目光聚焦我國安全產業發展現狀。

首先，從政府發展政策來看。隨著我國網絡與信息安全工作的重要性不斷提升，安全產業發展成為近年來政策扶持的重要領域，我國政府明確要求安全與發展同步建設，扶持中小安全企業創新成長，推動安全產業發展。

安全產業已成為近來網絡與信息安全政策制定著力考慮的主要方面。我國《信息安全產業“十二五”發展規劃》成為推動信息安全產業向體系化、規模化、特色化、高端化方向發展，做大做強信息安全產業的指導文件。在《工業和信息化部關于開展電信行業網絡安全試點示范工作的通知》中提出在電信行業遴選網絡安全優秀。

我國近幾年發布的新興技術領域發展指導性文件均將保障安全作為基本原則或重點任務。國務院發布的《關于積極推進“互聯網 ”行動的指導意見》將“完善互聯網融合法律法規和標準規范，增強安全意識，強化安全管理和防護，保障網絡安全”作為“互聯網 ”行動的原則之一；《關于推進物聯網有序健康發展的指導意見》要求加強物聯網重大應用和系統的安全測評、風險評估和安全防護工作，保障物聯網重大基礎設施、重要業務系統和重點領域應用的安全可控；《促進大數據發展行動綱要》要求切實加強關鍵信息基礎設施安全防護，做好大數據平臺及服務商的可靠性及安全性評測、應用安全評測、監測預警和風險評估；《中國制造2025》提出應加強智能制造工業控制系統網絡安全保障能力建設，健全綜合保障體系。

其次，從我國安全產業規模結構來看。

國內網絡安全產業規模持續擴大根據中國信息通信研究院統計測算，2014年國內安全產業規模約為393.7億元。從調研企業數據看，企業營收較2013年增長超過15%。根據工信部2014年電子信息產業統計公報數據，2014年我國信息產業總規模達到14萬億元，安全產業占信息產業比重為0.28%，相較2010年0.14%有明顯提升。

中國安全產業規模與全球安全產業規模對比來看，安全產業占信息產業比例：2010年為109.6/78000＝0.14%；2014年為393.7/140000＝0.28%，提升明顯。

從安全產業市場領域來看，政府、金融、電信、能源等重點行業領域應用領先。我國政府、金融、電信、能源四大行業領域安全市場需求強烈，2014年市場份額合計超過60%。隨著網絡安全日益受到重視，國家關鍵信息基礎設施的安全保障要求不斷加強，帶動重點行業和領域安全市場快速增長。同時，伴隨智慧城市、“互聯網 ”、智能制造等發展規劃的逐步推進，制造、醫療、旅游等領域安全市場日漸興起。

從我國安全產品與服務市場比例來看，2014年我國安全產品產業規模達277.9億元，占比70.58%。安全防火墻、身份管理與訪問控制、統一威脅管理、安全內容管理產品占據市場主要份額。由于資產管理、采購制度等傳統規則約束，安全產品仍以軟硬件結合產品為主導，純軟件產品僅在病毒查殺、訪問控制等終端安全領域占據優勢。安全服務產業規模達115.8億元，占比29.42%。其中，安全評估、安全集成占安全服務市場份額的90%。隨著IT虛擬化的轉型和云服務理念的滲透，安全服務市場份額有望進一步提升。同時，安全人才數量難以滿足快速增長的市場需求，安全攻防人才、IT運維人員的安全知識和技能培訓有望驅動安全培訓市場繁榮。

多維比照 我國網絡安全產業仍有差距

我們對照世界網絡發達國家，進行產業多維度參照比對。

國內網絡安全產業規模持續擴大，根據中國信息通信研究院統計測算，2014年國內安全產業規模約為393.7億元。

首先，從產業發展環境上看，我國網絡安全產業發展環境與國外相比，還有待改善和提升。一是國家戰略尚未出臺，統籌規劃工作有待加強。我國網絡安全國家戰略尚未出臺，網絡安全產業的發展缺少頂層規劃，同時中央網信辦的職能尚初步確定，但與中宣部、公安部、工業和信息化部等相關部門以及軍隊之間的職能邊界仍未明晰，如何統籌協調各部門之間的關系，解決產業多頭管理的問題，仍是行業發展面臨的重要問題；二是國家政策尚不完善，網絡安全投入相對分散。與歐美國家動輒百億美元的投入相比，我國網絡安全的經費投入則顯過于單薄，僅達到美國的5%左右，而且國家所投入的資金并不能完全轉化到市場上，對于產業發展起到的作用甚微；三是網絡安全法律法規建設滯后，功能和作用發揮不足。我國立法資源多集中于傳統安全領域，網絡安全領域尚存在“立法立不上項”、“出臺較慢”的現象；同時，我國缺乏網絡安全立法的宏觀規劃和體系設計，現有法律法規之間協調性不足、系統性差，部分立法缺乏協調配合，存在內容銜接不好甚至沖突的現象；四是政科不分、政企不分的體制機制制約了科技創新和產業發展?！胺盒姓钡捏w制嚴重阻礙了科技創新和產業發展，科研院所、大型央企等均采取行政化管理，這使得大量科技工作者、企業家行政化，科研創新應該完全市場化，企業發展也應該市場化。

其次，從網絡安全管理上看，還有一些問題比較突出，需要彌補。一是網絡安全管理思路存在偏差。網絡安全無絕對，而在“誰主管，誰負責”的原則下，各主管部門責任過大且缺乏有效的責任認定機制，導致各部門盡量采取保守的防護策略。同時由于對網絡安全企業的信任度不高，應用部門主要依靠自己的技術力量來實施網絡安全建設，從而導致了網絡安全市場的條塊分割，并以行政門檻和行業壁壘等形式瓜分掉大量行業需求，網絡安全企業的生存空間被嚴重壓縮，廣泛面臨生存困境，進而引發了行業創新動力不足、弄虛作假等一系列行業陋習；二是行業管理缺乏有效協調。作為較敏感的領域，網絡安全主管部門的職能大多側重管控，且存在交叉重復，不利于行業發展，如網絡安全企業除需獲得多個資質外，在推出產品時還需通過信息安全產品強制性認證、計算機信息系統安全專用產品檢測等一系列檢測，而且在產品升級時還需要重新進行檢測，這大幅提升了企業生產成本，影響了企業技術創新的熱情。

再次，從網絡安全產業生態鏈發展來看，基礎薄弱還是主要問題。一是網絡安全相關技術研發能力不足。涉及網絡安全核心技術的元器件、中間件、專用芯片、操作系統和大型應用軟件等基礎產品自主可控能力較低，關鍵芯片、核心軟件和部件嚴重依賴進口。在密碼破譯、戰略預警、態勢感知、輿情掌控等網絡安全核心技術產品上，與西方國家還有一定的差距。在一些關鍵技術和產品的網絡安全測評方面還存在技術缺失；二是網絡安全人才培養體系不健全。我國缺乏人才建設規劃和頂層設計，網絡安全人才培養體系不健全。同時，我國網絡安全人才供給與需求嚴重失衡，人才缺口較大，缺乏技術帶頭人、卓越工程師、高層次管理人員等領軍人才，在網絡攻防、自主軟硬件開發、新技術新應用安全等領域缺乏一批具有較強能力的科研和實戰人才；三是網絡安全需求尚未有效釋放。雖然我國已經發展成為一個網絡大國，截至2014年12月網民數量已達6.49億，但當前普通民眾還未意識到網絡安全的重要性，也不習慣為網絡安全付費。在這種情況下，網絡安全市場的需求主要源于政府和企業，然而重要行業的需求被大量內部消化，大型互聯網企業也已開始打造網絡安全團隊。各種因素結合起來，就壓縮了網絡安全市場的需求。

對策建議 五大抓手打造產業發展“快車道”

基于當前我國特殊的產業發展階段，在機遇與挑戰并存的條件，對發展我國信息安全產業的措施，大致有以下五條。

第一，呼喚網絡安全國家戰略從頂層布局和推動網絡安全產業發展。

國家安全戰略是產業發展的方向、目標和行動指針。借鑒國際社會的經驗，網絡空間國家戰略要突出幾個內涵：首先，強調基于“動態位置”和“利益關系”視角的大安全觀。應突破以國家為唯一主體的理念，把國家、社會、個人、國際甚至非國家組織都納入多元化的安全主體體系；其次，兼顧技術權力和政治權力的融合需求。近年來美國政府與互聯網巨頭的曖昧關系以及在新戰略中強調與私營部門的合作就是這方面的極佳詮釋；第三，改變既往“國家安全”離民眾太遠的神秘感。美國通過網絡向全民征集修改意見，提高戰略的全民認知度的做法值得借鑒；第四，細化戰略中的“國家安全行動”。明確政府、企業、各級組織和國民在國家安全大局中的角色和責任。在國家安全戰略的基礎上則應從組織體系、理論體系、監督體系、產業體系等多方面完善和升級國家信息安全保障體系，并從組建信息安全產業國家隊、重建國家信息安全權威測評認證體系、提供國產化替代路線圖等方面，逐步構建起國家信息安全產業體系。

第二，以“互聯網+”、兩化融合為契機，大力加快安全技術創新和發展安全產業集群。

結合市場需求，在電信、金融、能源、制造等信息安全企業關注的重點行業，鼓勵各類企業主體不斷加大研發投入，促進信息安全關鍵領域核心技術攻關、成果轉化、應用推廣。加強信息安全產業的產業鏈發展，在技術開發、網絡設施建設、設備生產和服務等方面引入市場競爭機制，構建網絡和利用網絡，實現集群效應。同時，促進信息安全保障體系的建立，帶動信息安全產業體系的發展和完善。

我國《“互聯網＋”行動計劃》、《智能制造2025》等戰略規劃已將加強網絡與信息安全保障作為重要內容，明確提出要注重網絡安全建設、加快體系化安全保障技術研發。因此，要把握發展機遇，加大新興領域的安全技術服務創新投入，著力突破核心關鍵技術，力爭在新興領域實現網絡與信息安全技術服務實力的彎道超車。

第三，以首席信息安全官制度作為安全產業突破市場末梢的重要抓手。

完善的首席信息安全官（CISO）制度機制是一種遍布神經末梢的管理系統，它能感受外來刺激并傳遞給神經中樞，或把神經中樞的沖動傳達給有關組織和企業，從而推動與之對應的審查、認證、預警、應對、標準、監測、懲處等一系列制度措施的制定和落地。當前，無論是從重塑中國信息產業的環境生態角度，還是從國產化替代的過程管理來看，都急需在管理層面有一個突破性抓手和創新機制。首席信息安全官制度應該是一個戰略性選擇。在CISO 制度下，每位首席信息安全官都是信息大系統中的神經末梢，橫向到邊、縱向到底、責任到人、追蹤到門的首席信息安全官的體制設置能實現產業體系內部的協調、監督和追責，解決“政令不通”、“條塊矛盾”等痼疾，實現日常管理和危機管理的一體化。同時，在國產化替代中，首席信息安全官可負責對產品的跟蹤和質量回饋，充當好政府和企業、產品和市場以及企業和用戶關系的橋梁紐帶角色。

第四，從管理入手以產業發展環境的優化推動網安產業良性發展。

改變當前網絡安全管理思路，明確政府部門、重要行業等的網絡安全責任和認定機制，劃定網絡安全管理責任與技術責任的界線，改變網絡安全封閉管理的現狀。逐步打破部門利益，減少行政壟斷，分流非管理職能部門，鼓勵政府和重要行業集中采購網絡安全服務，避免重復建設和資源浪費，使得市場成為資源配置的決定力量，有效釋放網絡安全需求。構建以企業為主體、市場為導向、產學研相結合的技術創新體系，強化企業的創新主體地位，改革國家科研資金投入機制，提高國家科研資金的使用效率。同時不斷加大網絡安全投入，通過立法等形式提升網絡安全在信息化建設中所占比例，提高信息化建設的安全性和可靠性，推動網絡安全行業的良性發展。

我國已經發展成為一個網絡大國，截至2014年12月網民數量已達6.49億。

第五，以產業聯盟、產業論壇為平臺增進產業協作，推動產業自律，促進產業發展。

一方面，國內基于企業間互信互補的各類產業聯盟極大地促進了產業協同。例如，中國網絡安全產業聯盟剛一成立，便得到產業界和企業界的擁護，在今年RSA大會上，聯盟組織部分中國網安企業參會，并與賽門鐵克等美國知名企業進行訪談交流。增進了企業間的資源共享和利益聯動。

另一方面，全球性產業論壇和峰會形成了引導安全技術趨勢、助力創新企業發展、擴大安全市場需求的巨大的影響力。例如，由美國RSA公司（被EMC兼并）組織的RSA大會，2016 年吸引了超過500家參展企業、超過3 萬與會人員，設立了23 個專題論壇，發布上百個專題報告，引發全球熱議。借鑒國外經驗，鼓勵科研機構、高校、安全企業及相關單位合作共建技術與產業聯盟、組織產業論壇，同時充分發揮行業協會、認證測試和安全咨詢機構的號召力和影響力，促進企業間開展技術授權和技術合作，加速形成產業鏈高度協同的產業生態。