新形势下 我国网络安全产业规模再认识及发展思考

通用安全，即为当前主流学术界所普遍认为的网络安全产业，是一个完全由竞争驱动的开放式市场，主要以产品和服务形式存在，可应用于所有网络和信息系统。其中产品一般以软硬件形式存在，通常可分为身份/访问控制、防御检测、安全扫描、数据安全、安全管理、内容安全等子类；服务则是为加强网络安全、对抗安全攻击而提供的安全服务，通常可分为安全集成、咨询与教育培训、安全智能、安全运维等子类。通用安全应用于新兴信息技术或行业领域，即为目前通常意义上的“新兴安全”，如大数据安全、工业互联网安全等，但这些所谓的“新兴安全”本质上只是网络安全产业的具体应用场景，与网络安全产品和服务不在一个维度上，不能作为网络安全产业分类的标准。

专用安全，是指应用于保密、密码、国家安全、军队安全、舆情分析等特殊领域、特定场景下的网络安全产品和服务，这些产品和服务虽然进入市场，但一般需经严格的认证或许可，具有很强的监管属性。此类安全一般有各自的行政主管部门，已形成完整而专业的标准规范体系，有明确的产业指导政策，有的还制定了法律予以规范和支持。

自用安全，主要指网络和信息系统的所有者利用自身力量、针对自身系统所进行的安全能力建设，这些能力针对特定系统甚至融入特定系统，一般不进入市场，而仅仅计入系统所有者的成本。因此，自用安全虽然是网络安全产业的一部分，但由于没有进入市场，故常常被产业界所忽略。在关键信息基础设施所在行业，如金融、能源、通信、交通等，以及国内的骨干互联网企业，都建设了独立的网络安全团队，他们自主研发网络安全产品、开展日常网络安全服务，满足自身网络安全需求。此外，政府部门和企事业单位为服务自身网络安全需求而组建的规模不等的技术团队，也属于此类范畴。需要说明的是，部分企业在保障自身安全的同时，利用所形成的安全能力，也开始以单独产品或作为其他产品的组件对外输出服务，进而形成了“从自用到市场”的发展模式。据了解，阿里、腾讯、美团、滴滴等互联网企业每年在网络安全保障方面的投入多则上百亿、少则近十亿，而阿里、腾讯等企业也在对外提供独立安全服务，或作为安全组件嵌入其他产品方式对外提供服务，目前已进入市场并实现了盈利。

无论是通用安全、专用安全还是自用安全，都是以组件或模块形式附加于网络系统之上，以防御姿态发挥保障网络系统安全作用，在“硬件有后门、软件有漏洞”现象普遍存在且主要基础软硬件掌握在国外厂商的情况下，其本质只能是在别人打好地基的建筑上进行修修补补，无法解决这些基础软硬件本身所固有的安全问题，只是狭义上的网络安全。

从美国“棱镜门”事件到“勒索病毒”，再到委内瑞拉大面积断网、南美多国电网瘫痪、美伊网络战爆发等，近年来的无数事件表明，漏洞和后门一旦被敌对组织、敌对势力所掌握，即可成为其随时发动网络攻击的有力武器，国家安全始终面临着严重威胁和挑战。而在中兴“卡脖子”和华为“实体清单”事件中，美国方面以己度人，在没有任何证据的情况下声称使用中兴、华为的产品必然不安全，从反面证明了其生产的基础软硬件产品必然存在只有其单方面掌握的漏洞和后门。当前，美国遏制我国的战略日趋明确、行动日趋升级，使用他们的产品客观上造成了“我之短板、敌之利器”的不利局面，在这种情况下，“网络安全产业”的覆盖范围就不能简单照搬西方国家特别是美国所定义的范畴，而要从当前我国具体国情和国际形势出发，跳出狭义网络安全产业的局限，引入广义网络安全产业的理念,将基础安全也包含在内。

基础安全，是指应用范围广、应用数量大或者应用于关键行业领域的底层基础软硬件产品，如核心电子器件、高端通用芯片及基础软件产品等。需要强调的是，基础安全的范围要在严格论证的基础上加以限定，防止当前在一些地方实践中已显现苗头的“凡属IT产品均与网络安全挂钩、均认定为网络安全产业，网络安全产业与IT产业划等号”的倾向出现。必须大力发展已认定的基础安全产业，掌握核心技术，实现底层基础软硬件产品自研、自产、自用，这样既可保障国内信息技术产业的供应链安全，又能有效解决网络安全的基础性问题，实现矛和盾的一体化，从根本上扭转当前我国在网络安全领域的极端被动局面。

基础安全既是一个符合我国国情的特有概念，同时也是一个阶段性概念。当国产底层基础软硬件发展成熟并在国内各领域广泛普及使用时，当前由于使用国外产品所带来的底层安全问题将不复存在，相关产业也将回归其IT产业的本质，不再属于网络安全产业的范畴。据了解，国家已充分认识到基础安全的重要性，已经或将要采取措施大力发展相关产业，因此下面讨论的“网络安全产业”针对的是狭义网络安全产业范畴。

网络安全产业的特点

正确认识网络安全产业，有必要分析其所具有的特点。总体看来，网络安全产业具有如下3个特点。

一是伴生性。网络安全产业是伴随IT产业的发展而诞生并不断发展的。IT产业发展的初期，用户考虑的主要是功能和性能，这个时候基本不存在安全问题，但随着技术的快速发展，相关应用深入各个行业领域，特别是随着互联网的快速普及，网络安全问题开始出现并日趋凸显，网络安全产业诞生并不断发展壮大。从单机系统到大型互联网应用，从消费互联网到工业互联网，IT产业的每一步发展都暴露出更多的安全风险，相应也就催生出应对这种风险的技术、产品和服务，进而逐步发展成为产业。正是由于这种伴生性和滞后性的特点，在网络安全产业发展的初期，人们习惯性将其视为IT产业的一部分（持这种观点的人即使到现在也仍然存在），直到其重要性和产业规模达到一定程度后才取得了独立的产业地位。

二是附加性。用户建设信息系统是为了实现预期的特定目标，但这不是网络安全产业的责任。网络安全产业从不独立存在，它往往附加于信息系统之上，作用对象是信息系统本身，辅助其不受干扰地实现系统功能，同时不会出现除设计目标之外的其他问题。在产品形态上，早期以标准化、模块化的产品外附于网络系统为主，然后面向网络系统的综合安全服务比重逐步增加甚至超过半数，而随着信息系统重要性、复杂度、数据量、用户量、并发量等因素的变化，嵌入式技术、专属化服务的业态开始出现，成为多数关键集成设施或大型系统的首要选择。但无论产业形态如何变化，网络安全产业附加于IT产业的本质属性都不会改变。

（编辑：大连站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!