發展數字安全產業 筑牢數字經濟基石

孫寶文 歐陽日輝

近日，國務院以“加快發展數字經濟，促進數字技術與實體經濟深度融合”為主題，進行第三次專題學習。李強總理在聽取講座和交流發言后指出，我國具有超大規模市場、海量數據資源、豐富應用場景等多重優勢，數字經濟發展具有廣闊空間，要統籌發展和安全，發揮優勢、乘勢而上；要繼續適度超前推進數字基礎設施建設，夯實數字經濟發展的基礎支撐能力。發展數字經濟必須筑牢數字安全屏障，數字安全是重要的基礎支撐能力，也是統籌發展和安全的重要內容。

數字經濟發展需要統籌發展和安全

我國數字經濟發展面臨著嚴重的安全威脅。在經濟社會數字化轉型趨勢下，互聯網承載的數據愈發豐富，針對數據的網絡攻擊以及數據泄露、濫用等風險也在與日俱增，數據交易黑色產業鏈活動日益猖獗。

第一，安全漏洞問題。2023年2月奇安信發布的《2022年補天漏洞響應平臺年度分析報告》顯示，2022年，補天平臺收錄的IT信息技術類網站漏洞數量最多，共有32088個，占比約為19.1%；其次是制造業網站，共收錄漏洞15456個，占比約為9.2%；生活服務類網站排名第三，共收錄漏洞12264個，占比約為7.3%。此外，工程建筑、教育培訓、互聯網、醫療衛生、文化傳媒、快遞物流、交通運輸等行業網站，被報告的漏洞數量也相對較多，排入TOP10。

第二，軟件供應鏈安全問題。2022年7月，奇安信發布的《2022中國軟件供應鏈安全分析報告》指出，2021年，奇安信代碼安全實驗室對3354個國內企業軟件項目中使用開源軟件的情況進行了分析，這些軟件項目的應用領域涉及政府、金融、能源等重要行業。

第三，高級持續威脅（APT）針對我國數字經濟重要部門滲透。奇安信持續跟蹤全球40多個APT組織的活動，并發現大量APT組織針對我國數字經濟部門開展滲透。例如，2022年，奇安盤古實驗室發現，隸屬于美國國安局NSA的超一流黑客組織——“方程式”制造了頂級后門“電幕行動”（Bvp47），用于窺視和入侵控制受害組織網絡，已侵害全球45個國家和地區的287個重要機構目標，被攻擊的機構包括知名高校、科研機構、通信行業、政府部門等。此外，我們還觀察到一些APT組織針對我國企業在海外資產的定向攻擊。

第四，數據安全問題。主要包括以下問題：一是APP違規收集個人信息。奇安信2023年1月發布的《2022年度App收集個人信息檢測報告》披露，檢測到的違規收集個人信息問題的APP中，生活休閑類型的APP違規占比最高，占比43.5%；第二是網上購物類型的APP，占比9.2%；第三是辦公商務類型的APP，占比8.4%。二是工業數據勒索。2022年11月，奇安信發布的《2022中國工業數據勒索形勢分析報告》顯示，擁有豐富數據、數據勒索損失巨大的工業企業生產系統成為被勒索攻擊的首要目標。近幾年，頻繁曝出針對大型工業企業的勒索事件，根據國家工信安全中心統計，2021年公開發布的工業領域勒索事件比2020年增長約51.5%。2022年1-9月，奇安信集團安全服務中心共參與和處置了全國范圍內174起工業網絡安全應急響應事件，其中與工業數據勒索相關的安全事件72起，占到工業安全應急響應事件的41.4%。2022年1-9月，從工業企業遭受數據勒索攻擊產生的影響來看，攻擊者對系統的攻擊所產生的影響主要表現為攻擊者將數據進行竊取和加密，導致數據丟失、系統/網絡不可用等。

第五，工業互聯網網絡安全。2023年3月，奇安信發布的《2022工業互聯網安全與發展分析報告》顯示，高危漏洞數量大幅增加。2022年，國內外三大漏洞平臺共計新收錄工控系統安全漏洞370個，較2021年的636個下降了41.8%。但高危漏洞數據持續高發，2022年高危漏洞占比68.9%比2021年的38.2%增長超30%。制造業是涉及漏洞最多的行業，也是網絡攻擊的重災區。

發展網絡和數據安全產業

近年來，針對數字安全領域的新形勢、新挑戰，國家出臺了促進網絡和數據安全的法律法規和發展規劃。《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《關鍵信息基礎設施安全保護條例》《中華人民共和國個人信息保護法》，為數字安全提供了堅實的法治保障。

2022年1月12日，國務院發布《“十四五”數字經濟發展規劃》。《規劃》部署了八項重點任務，在數字經濟安全體系方面，提出了三個方向的要求，一是增強網絡安全防護能力，二是提升數據安全保障水平，三是切實有效防范各類風險，并系統闡述了網絡安全對于數字經濟的獨特作用及重要性。2022年2月15日，國家互聯網信息辦公室等13部門聯合修訂發布的《網絡安全審查辦法》正式施行，以關鍵信息基礎設施的供應鏈安全為核心，重點加強對數據安全的關注和規范，聚焦網絡產品、服務及數據處理活動，助推關鍵信息基礎設施與網絡平臺的高質量發展。2022年10月28日，國務院辦公廳印發的《全國一體化政務大數據體系建設指南》明確了“堅持整體協同、安全可控”的基本原則，提出“安全保障一體化”的任務，并強調該任務是“以‘數據為安全保障的核心要素”，要“形成制度規范、技術防護和運行管理三位一體的全國一體化政務大數據安全保障體系”。此外，2022年8月國家衛生健康委等部門發布的《醫療衛生機構網絡安全管理辦法》，2022年9月中央網信辦等部門發布的《數字鄉村標準體系建設指南》，2022年12月工信部發布的《工業和信息化領域數據安全管理辦法（試行）》，2022年12月頒布的《中共中央?國務院關于構建數據基礎制度更好發揮數據要素作用的意見》，都提出相應安全管理和保護要求。

為了推動數據安全產業高質量發展，提高各行業各領域數據安全保障能力，加速數據要素市場培育和價值釋放，夯實數字中國建設和數字經濟發展基礎，2023年1月，工信部等16部門聯合發布《關于促進數據安全產業發展的指導意見》，聚焦數據安全保護及相關數據資源開發利用需求，提出促進數據安全產業發展的總體要求，分兩個階段明確發展目標。到2025年，數據安全產業基礎能力和綜合實力明顯增強，數據安全產業規模超過1500億元，建成5個省部級及以上數據安全重點實驗室，攻關一批數據安全重點技術和產品；到2035年，數據安全產業進入繁榮成熟期，產業政策體系進一步健全，數據安全關鍵核心技術、重點產品發展水平和專業服務能力躋身世界先進行列，各領域數據安全應用意識和應用能力顯著提高。

在產業需求推動、政策扶持下，網絡安全與數據安全市場規模巨大。根據研究機構VMR的統計，2019年全球數據安全市場空間約為173.8億美元，且預計2027年該規模增加至572.9億美元，復合增長率為17.35%。而根據中商產業研究院的測算，我國2019年數據安全市場規模僅為38億元，在全球數據安全市場占比僅為3.4%。根據IDC的研究，2018年我國數據量占全球數據量的23.4%，預計到2025年在全球的占比將達到約28%（遠超2019年中國數據安全市場在全球3.4%的占比）。考慮到中國數據安全市場規模全球占比相較于中國數據總量全球占比仍有較大差距，中國未來數據安全市場增長潛力較大。假設到2025年中國數據安全市場規模在全球的占比與數據量占比相匹配（達到28%），中國數據安全市場潛在空間在2025年有望達到126億美元，相較于2019年復合增長率為67%。未來，數字安全產業發展潛能將進一步激發。

隨著全球數字化蓬勃發展，云計算、人工智能、大數據、5G等技術的應用范圍不斷擴大，在企業運用新技術提高自身效率的同時也面臨著更多由新技術誘發的網絡威脅，全球網絡威脅形勢愈發嚴峻，這也促使了企業不斷加大其在網絡安全上的投入。IDC數據顯示，2022年全球網絡安全總投資規模為1955.1億美元，并有望在2026年增至2979.1億美元，5年復合增長率（CAGR）約為11.9%。聚焦中國市場，部分終端用戶受疫情及地緣政治因素的影響，對網絡安全的投資有所降低，因此，與上期預測相比，本次預測IDC下調了網絡安全市場規模的增速。當然，中國網絡安全市場增長的核心邏輯并沒有變化，客戶對于網絡安全建設的需求仍在不斷增加，待疫情影響修復，中國的網絡安全市場仍將保持著高速增長。IDC最新數據顯示，到2026年，中國網絡安全支出規模預計接近288.6億美元，5年復合增長率將達到18.8%，增速位列全球第一。

與發達國家相比，我國數字安全產業還處于初期成長階段。首先，政企客戶網絡安全建設預算過低，與發達國家相比還有很大差距。比如，根據美國白宮公布的2023財年預算提案，非國防聯邦機構的網絡安全預算占IT預算比例達到了16.57%，而我國政企機構的網絡安全投資占比僅在3%左右，有巨大的上升空間。其次，政企客戶的需求處在從買產品向買體系化服務的過渡期。網絡安全是攻防對抗行業，只有以“零事故”為目標的體系化服務，才能不斷發現網絡數據系統的薄弱環節，進而擴大市場需求。

加強數字經濟安全體系建設

新一輪科技革命和產業變革正在加速演進，5G、大數據、云計算、物聯網等數字技術向縱深推進，數字經濟和實體經濟深度融合加速產業重構，工業互聯網、車聯網、能源互聯網、智慧城市等層出不窮的數字化場景，網絡安全已經升級為數字安全，需要不斷面向場景的技術和安全解決方案。數字安全產業指面向政府和企業在數字化轉型過程中，針對管理、決策、服務、運營、合作等環節潛在的安全風險和威脅，提供安全防控能力的產業。數字安全是數字經濟發展的底板工程。筑牢數字安全屏障既是技術命題，也是治理考題。當前，我國數字安全保障體系不斷完善。在現有的法律法規和政策框架之下，我們應該通過市場的方式，以發展數字安全產業為方向，夯實數字經濟發展的基礎支撐能力。

第一，加強關鍵核心技術攻關和產業化。現有網絡基礎設施的核心技術受制于人，這是最大的隱患。網絡安全領域解決“卡脖子”難題的關鍵，是實現關鍵核心技術的引領。只有把握核心技術在自己手中，才能在競爭和發展中搶占先機、贏得主動，從根本上保障網絡安全和國家安全。新技術的應用使網絡安全和數據安全面臨新的挑戰，面向國家戰略和產業發展需求，加大科技創新力度，推動網絡安全和數據安全技術突破。內生安全、零信任、區塊鏈、隱私計算技術有助于破解數據安全與數據流通難題，是我們必須重點發展的技術。比如，我國啟動了“十四五”國家重點研發計劃“多模態網絡與通信”重點專項，多模態智慧網絡有望在工業互聯網等領域率先部署和應用。2022年底，奇安信聯合多家科研機構，成立了“自主可控網絡安全技術創新中心”，開發自主創新技術。

第二，數字安全產業在護航數字化轉型中發展。數字安全產業需要瞄準產業數字化新場景，同步規劃建設行業數字安全體系，保障傳統產業數字化轉型。加快布局人工智能、區塊鏈等在網絡安全領域的融合應用，促進傳統產品提質升級，適應數字技術發展新趨勢、新要求，加強安全產品和服務定制化供給。以產業鏈關鍵產品、創新鏈關鍵技術為核心，加強技術協作，打造協同互補、聯合發展的網絡安全創新共同體，提升產業鏈上下游整合能力。過去適用于大企業的安全服務和產品不能照搬，針對中小微企業面臨的數字安全新威脅，需要新思考、新方案。在國家法律的指導下，以“作戰/對抗/攻防/斗爭思維”為指導，安全體系與數字體系融合，攻防能力與管控能力融合，更好地做好網絡安全、數據安全、云安全、終端安全等，打造一套面向數字化的安全框架體系。數字技術與工業、農業、金融等傳統行業正加速融合，會產生前所未有的新業態，要統籌好新業態與安全邊界拓展之間的關系，以數字安全產業發展推動產業數字化發展。

第三，數據安全產業為數據要素筑牢安全屏障。數字經濟發展需要數據安全流動，在這個過程中，一個單點失陷就可能導致重要數據泄露，帶來嚴峻威脅。數據安全是圍繞數據在生成、存儲、使用、共享、歸檔、銷毀的整個生命周期安全所衍生出的相關技術和工具，一般包括數據庫安全、數據防泄漏、文檔加密、容災備份等。數據安全產業鏈主要分為上中下游：上游為安全芯片、基礎IT設施、基礎軟件和基礎元器件；中游為商用密瑪產業和數據安全管理系統；下游為具體應用給政府、軍隊、電信、企業等部門。從市場結構來分，大數據產業劃分為大數據硬件、軟件以及服務三類市場。一方面，政府應加大支持數據安全產品與服務業發展的力度，推動政府和市場形成合力，打造網絡安全和數據安全產業生態。另一方面，數據安全企業提高數字安全投入水平，提升數據安全保障技術創新水平，應從及時預警和處理、特權賬號安全管理、郵件威脅檢測系統、審查供應鏈、防止勒索攻擊的內生安全框架等方面建立起完備體系，將數據安全流動和數據價值發揮相結合，提升數據安全產業供給能力。

第四，數字安全產業筑牢智慧城市安全保障。智慧城市是信創落地的重要場景之一，也是推動信創產業發展的重要引擎。而智慧城市在建設過程中，面臨著嚴峻的數據泄露、供應鏈攻擊、勒索攻擊等網絡安全風險。智慧城市網絡規模大，容易成為網絡攻擊目標，要同步規劃、同步建設、同步運營網絡安全防護體系。長沙打造的城市網絡安全運營中心被稱為“長沙模式”，樹立了智慧城市的網絡安全防護標桿。

第五，數字安全產業助力相關部門建設內生安全體系。內生安全系統工程，就是把安全能力內置到業務系統中，感知、響應對業務系統和數據的任何破壞行為，真正做到“事前防控”。以局部整改、輔助配套的建設模式為主，走向深度融合的體系化建設模式；面向新基建建設、數字化業務，以系統工程方法論結合內生安全理念，形成新一代網絡安全建設框架；以能力為導向的網絡安全輸出體系化、全局化、實戰化的組件化安全能力，構建出動態綜合的網絡安全防御體系。

數字經濟發展成為數字安全產業發展的新引擎、新動力。到2025年，數字經濟邁向全面擴展期，數字經濟核心產業增加值占GDP比重達到10%。數字安全產業的風口已經來臨，數字安全企業應順勢而為，不斷探索技術突破，持續向服務化轉型。當前，我國數字安全技術賽道主要為人工智能安全技術、區塊鏈安全技術、邊緣計算安全技術、敏感數據識別技術、生物特征識別技術、軟件定義安全技術、安全多方計算技術、量子通信安全技術、商用密碼技術、網絡切片安全技術等。我國數字安全技術產業方向主要是工業互聯網安全、物聯網安全、關鍵信息基礎設施安全、云安全、人工智能安全、智慧城市安全、5G應用安全、大數據安全、車聯網安全、智慧醫療安全等。隨著政策春風已至，我國數字安全產業有望開辟廣闊的發展空間，在蓬勃增長的同時為數字經濟發展保駕護航。