通信世界网消息(CWW)过去十年,党中央立足中国发展实际,以全球视野和发展的眼光,对我国网络安全领域的发展进行了精心谋划和科学布局,不仅建立并完善了我国的网络安全的顶层设计和规划,同时确立了网络安全发展的战略布局和方向指引,使得我国的网络安全各项事业取得了重大进展,保障了新时代的国家现代化发展进程。二十大的召开为未来五年乃至更长期目标任务和大政方针做出了决策部署,为我国网络安全建设和网络安全产业高速发展带来新的机遇。
一、从十八大到二十大,网络安全产业十年快速发展
我国网络安全产业始于上世纪90年代,最初是以个人和商业为主的toC市场,随着一系列网络安全事件的影响,国家越来越重视并采取一系列措施,网络安全产业快速发展的同时逐渐转变成为以国家和重要行业为主的toB市场。过去十年是网络安全产业高速发展的十年,产业规模迅速扩大,技术创新更加活跃,投融资日益繁荣。
1.过去十年网络安全产业加速增长
过去十年里,网安产业加速增长,在产业规模、产业生态、企业成长和产业创新等诸多领域发生了很大的变化。
(1)产业规模有了大幅度的提升
我国网络安全企业的整体营收从2012年的200亿元左右增长到2021年的600亿元,总体保持15%以上的年均增长率。我国网络安全产业总体规模按工信部的统计数据约2000亿元(包括专业网络安全企业的营收,垂直行业、运营商、云服务企业等主体的网络安全业务,以及区块链、密码,车联网等网络安全融合创新业务)。
(2)产业生态发生了很大变化
近十年来网络安全事件不断升级,攻击手段越来越先进,影响范围迅速扩大,对国家经济和社会造成的破坏越发严峻。网络攻击行为已经不再是互联网初期的黑客炫技或者偶发事件,而是针对重要高价值目标的有组织、成规模的持续性威胁,这类威胁既包括勒索软件、软件供应链攻击和数据窃取等黑客组织常用的手段,也包括国家与国家之间的网络对抗,乃至网络战。
(3)网络安全企业的成长速度有了很大的提高
中国网络安全企业的营收规模快速增长,以奇安信为代表的中国网络安全厂商跻身全球前十之列。与2020年相比,中国厂商营收排名有了较大提升,取代BlackBerry、Akamai等美国头部网安厂商的位置。我国网络安全产业长期以来的散、小、弱的局面正在改变。
(4)网安产业的创新能力快速增强
中国网络安全产业主要服务于国家安全和重要行业安全,保障数字产业发展。这个过程中需要深耕行业,深入了解行业业务内在的安全需求,由此也推动我国网络安全产业向行业纵深发展。我国网络安全创新细分领域多,主要热点细分领域与国外基本一致,但近年来随着网络安全产业与信息化、数字化产业的逐渐融合,符合我国产业特色的网络安全创新方向和创新企业大量出现,如网络攻防、5G安全、汽车安全、工业互联网安全等方向的创新企业较多,表现出对行业网络安全需求的深入理解和挖掘,具有较强的技术实力。
2.我国网安产业已进入高质量发展阶段
新的产业变革将推动我国网络安全发展进入高速增长期,并将长期伴随我国数字产业稳定发展。以奇安信为代表的中国头部网安企业保持30%以上的高速增长,在2021年全球网安企业排名中进入前十,并继续向全球行业第一冲刺。我国网络安全产业创业积极活跃,在政策指导、需求牵引和资本加持下,在多个细分领域实现突破和创新。
3.头部企业和创新企业发力,带动网安产业持续创新
我国网络安全产业当前处于转型期,面对复杂严峻的国际网络安全态势,需要加强产业化布局和提升科技创新能力。
(1)头部企业形成带动作用,做大做强网安产业
我国网络安全产业都呈现集中发展的趋势,头部企业做大做强成为趋势。近十年来保持了15%的总体增速,并且增速逐渐加快,在十四五期间有望实现20%以上的增长率。
(2)推动中小企业技术创新与突破,形成繁荣的产业创新趋势
在网络安全创新方向上,中国网络安全产业主要服务于国家安全和重要行业安全,保障数字产业发展。这个过程中需要深耕行业,深入了解行业业务内在的安全需求,由此也推动我国网络安全产业向行业纵深发展。近年来符合我国产业特色的网络安全创新方向和创新企业大量出现。网络安全服务于数字产业,我国数字产业的蓬勃发展催生了具有我国产业特色的网络安全创新领域,如网络攻防、5G安全、汽车安全、工业互联网安全等方向的创新企业较多,表现出对行业网络安全需求的深入理解和挖掘,具有较强的技术实力。国外这些细分领域的创新企业相对较少。
当前,国内网安企业仍处于服务化转型探索和客户习惯培养阶段,我国网络安全服务市场仍有较大的发展空间。但中国由于行业市场的特点,国内网安厂商为了提供整体安全方案,追求布局完整安全产品线,通常走自研+OEM路线,在细分领域安全厂商精细化程度有待加强。
二、未来十年,网络安全产业具备确定性发展格局
二十大报告反映出未来十年网络安全产业具备确定性发展格局。体现在政治格局方面,安全与斗争成为时代强音,网络攻防对抗是前沿和焦点;体现在经济方面,经济建设全局统筹,网络安全趋向集中化发展;体现在产业技术方面,未来十年我国网络安全产业将走上中国式现代化之路。
1.政治格局:安全与斗争成为时代强音,网络攻防对抗是前沿和焦点
通过二十大报告关键词,对比十九大我们可以看出,安全与斗争均有大幅度的增长。而创新、经济、改革和市场则有不同幅度的下降。网络安全是国家安全的重要组成部分,也是数字化时代斗争的前沿和焦点。在传统热战不会轻易爆发的现代社会,通过网络进行试探、对抗和打击已经成为趋势;在现代战争中网络攻防同样伴随着军事行动广泛开展。
近年来网络安全事件不断升级,攻击手段越来越先进,影响范围迅速扩大,对国家经济和社会造成的破坏越发严峻。网络攻击行为已经不再是互联网初期的黑客炫技或者偶发事件,而是针对重要高价值目标的有组织、成规模的持续性威胁,这类威胁既包括勒索软件、软件供应链攻击和数据窃取等黑客组织常用的手段,也包括国家与国家之间的网络对抗,乃至网络战。
“没有网络安全,就没有国家安全”,当前网络对抗升级,网络战时代来临,应建立国家级的应对网络战的攻防能力,保卫网络空间国家主权、保护关键基础设施安全运行、保障数字化产业健康发展。
2.经济格局:经济建设全局统筹,网络安全趋向集中化发展
二十大报告提出,坚持把发展经济的着力点放在实体经济上,推进新型工业化,加快建设制造强国、网络强国、数字中国,深入实施区域协调发展战略、主体功能区战略、新型城镇化战略,推动共建“一带一路”高质量发展。未来十年我国经济建设呈现全局统筹的格局:
着力振兴实体经济。实体经济是一国经济的立身之本、财富之源。我国经济是靠实体经济起家的,也是靠实体经济走向未来。经济发展任何时候都不能脱实向虚,要虚实结合,以实为基础。
推动制造业高质量发展。制造业是立国之本、强国之基,是实体经济的重要组成部分。推动制造业从数量扩张向质量提高的战略性转变,提升产业基础能力和产业链现代化水平,发展战略性新兴产业。
促进数字经济和实体经济融合发展。党的十八大以来,我们党高度重视发展数字经济,将其上升为国家战略。要把握数字化、网络化、智能化方向,以信息化、智能化为杠杆培育新动能。通过数字技术催生新产业新业态新模式,推进数字产业化,通过数字技术赋能传统产业转型升级,推进产业数字化。
加快建设现代化基础设施体系。基础设施是经济社会发展的重要支撑,必须加快5G网络、数据中心、人工智能、工业互联网、物联网等新型基础设施建设,加强交通基础设施建设,构建现代能源体系,加强水利基础设施建设,加强农业农村基础设施建设。
网络安全服务于经济建设,并将随着经济建设的发展脉络形成新的产业格局:
(1)未来十年网络安全产业将呈现集中化发展的趋势
我国网络安全防护对象越来越聚焦到数字经济的核心部分,即关键基础设施和其承载的数字化业务;其数十万亿的产业规模,和对重大网络安全事故零容忍的要求,在网络安全领域呈现高对抗性的趋势下产生极大的潜在需求。这种需求将长期持续释放,驱动网络安全产业继续实现高增长。
(2)网络安全产业集中化发展有利于协同创新
我国网络安全创业非常活跃,2021年网安行业一级市场总共有121家网安企业发生149笔融资,融资金额已经突破了177亿元,为四年融资数额之最,同比增长70%。
3.产业技术格局:未来十年我国网络安全产业将走上中国式现代化之路
二十大报告指出:中国式现代化,是中国共产党领导的社会主义现代化,既有各国现代化的共同特征,更有基于自己国情的中国特色。作为14亿多人口整体进入的现代化,中国式现代化的人口规模超过了现有发达国家人口的总和,其艰巨性和复杂性前所未有,正是克服了这种前所未有的艰巨性和复杂性,中国式现代化的成功拓展和推进才有了更深远的意义,才对人类进步和发展提供了更有价值的中国智慧和方案。
(1)龙头企业做大做强,带领网安产业走向中国式现代化
中国网络安全企业的营收规模快速增长,龙头企业奇安信已经跻身全球前十之列。与2020年相比,中国厂商营收排名有了较大提升,取代BlackBerry、Akamai等美国头部网安厂商的位置。根据2021年的统计数据,产值前20的网络安全企业占据了60%以上的市场份额。我国网络安全产业长期以来的散、小、弱的局面正在改变。
(2)网络安全生态走向中国式现代化之路
中国以基础设施和行业应用为核心的网络安全需求更为复杂和碎片化,网络安全生态正走向中国式现代化之路。
(3)网络安全创新走向中国式现代化之路
中国网络安全产业主要服务于国家安全和重要行业安全,保障数字产业发展。这个过程中需要深耕行业,深入了解行业业务内在的安全需求,由此也推动我国网络安全产业向行业纵深发展。从2022年网络安全创客汇比赛等活动的情况看,我国网络安全创新企业呈现以下特点:
●细分领域多
我国最有潜力的50家创新企业分布在22个细分领域,反映出网络安全行业已经进入细分领域的时代,创新企业专注于一个或几个细分领域更容易做出好的成果。
●主要热点细分领域与国外基本一致,但创新方向更为多样化
软件供应链安全、数据与隐私安全、SASE与零信任等是我国TOP50创新企业聚焦的创新方向,共有19家企业,占比为38%。热点创新方向与RSAC等体现出的国外创企方向基本一致,但在云安全领域显著低于国外。国外上述热点创新方向的集中度也更高,汇集了超过70%的创新企业。
●符合我国产业特色的网络安全创新方向和创新企业大量出现
网络安全服务于数字产业,我国数字产业的蓬勃发展催生了具有我国产业特色的网络安全创新领域,如网络攻防、5G安全、汽车安全、工业互联网安全等方向的创新企业较多,表现出对行业网络安全需求的深入理解和挖掘,具有较强的技术实力。国外这些细分领域的创新企业相对较少。
我国网络安全产业将在未来十年迈上一个新台阶,技术上紧跟国际主流创新方向与趋势,产业上注重服务我国国家、行业与数字产业安全,为我国应对风云变幻的国际形势提供可靠的力量,为我国内政和民生安全提供坚实保障,为我国数字经济发展注入新的活力。
三、加强体系化建设,推进网络安全产业再创十年辉煌
未来十年,网络安全将是一项长期建设的系统工程。需要进一步完善法律合规体系,形成新的产业方法体系,推动网络安全与产业应用的深度融合发展。
1.整合资源,加大国资和资本市场网络安全投入
(1)加大国资对网络安全产业的投入和整合
国资的投入和整合是支持网络安全产业发展的重要途经。目前我国国资已开始进入网络安全领域,但尚未形成合力,需要进一步优化国家网络安全产业体系,打通创新链、产业链和价值链,更好释放各类主体的创新活力,重点开展针对性的网络安全技术创新、重大防护工程建设、攻防演练对抗、高水平人才培养等工作。
(2)引导资本市场加大网络安全投入
网络安全产业发展离不开资本的助力,资本作为企业发展过程中强劲的资源供应,对网络安全这个细分行业标的企业的作用影响巨大。网络安全产业高研发支出、产业链条长、市场培育慢的特点,没有很好的现金流做支撑,仅靠企业自身盈利的话,企业将面临较大的资金压力。另外,在企业发展初期,没有资本输入,企业难以投入大量研发进行技术创新、产品服务创新,企业发展势必受到制约和阻碍,特别是中小创业公司。同时网安行业企业稳定增长的趋势,在充满不确定性的国际政治经济形势下将会为投资方带来持续的高回报。
2.加强网络安全体系化创新
为保障国家重大网络安全项目和工程的建设,适应新形势下的网络安全需要,网络安全工作需要新的方法体系,包括新模式、新架构、新产品和新服务。
(1)新模式-层级化网络安全态势指挥体系
为应对大规模、高强度、持续性网络安全威胁,需要调动大量网络安全资源。如何对这些资源进行统一指挥,使其协同一致,发挥出最大能力是一个新挑战。需要建设层级化的网络安全态势指挥体系:
●低级-安全检测:通过对设备、网络、应用、流量、资产的全面管控,实现网络安全全局监测、告警发现、响应处置、事件上报、闭环运行。
(2)新架构-体系化框架开展规划建设运行
为了将网络安全与关键信息基础设施和业务应用深度融合,需要开展体系化的规划设计,并进一步用系统工程的方法,把网络安全能力映射成为可工程建设的安全能力体系及组件。面对国家大型网络安全体系建设,首先要全局性、系统性采用内生安全框架开展规划建设运行。统筹网络安全规划设计工作,涵盖管理、技术、运行;盘点网络安全能力,进行有机的组合,避免外挂与割裂产品的堆砌,有序落地建设,进行项目群管控;建设以“实战化运行”为目的,建设者与运行者无缝转换。通过关键信息基础设施的安全需求整合到国家和行业整体安全体系,并进一步建立安全生态,打通供给侧与用户侧的安全,实现安全能力的聚合和提升。
(3)新产品-自主研发新一代网络安全产品体系
我国网络安全企业需要研发自主、安全、可控的网络安全产品体系,包括高位(态势感知、研判、威胁情报)、中位(安全管理、监控、运营支撑)、低位(终端安全、网络安全、应用安全、身份安全、数据安全、业务安全等)。形成三位一体、互为支撑的安全产品体系。
(4)新服务-全天候、全方位、全周期开展演练、运行和应急服务
以《网络安全法》、《关键信息基础设施安全保护条例》、《国家网络空间安全战略》为基本遵循,在一系列关键信息基础设施保护的标准文件指引下,提升针面向关键信息基础设施的安全服务能力、服务支撑能力、系统建设能力和服务保障能力。
3.进一步完善网络安全法律合规体系
(1)我国关键信息基础设施网络安全合规体系基本形成
近年来我国网络安全合规要求日趋完善,形成了包括国家战略、法律、行政法规、国家和行业标准等配套的合规体系。主要包括:
《中华人民共和国网络安全法》,规定了国家实行网络安全等级保护制度。建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
《中华人民共和国数据安全法》,规定了数据安全纳入国家安全观;数据安全保障、数据开发利用两者并重;重要数据的保护,政务数据安全的重要性增强。
《中华人民共和国个人信息保护法》,确认了广义的个人信息范围,提出了处理个人信息需要遵循的原则和要求,制定了个人信息处理的规则,明确了个人信息处理活动过程中的权利和义务,规定了履行个人信息保护职责部门的职责。
《网络安全等级保护条例(征求意见稿)》,规定了网络运营者应当依法开展网络定级备案、安全建设整改、等级测评和自查等工作,采取管理和技术措施,保障网络基础设施安全、网络运行安全、数据安全和信息安全,有效应对网络安全事件,防范网络违法犯罪活动。
《关键信息基础设施安全保护条例》,要求关基运营方建立完善网络安全管理、评价考核制度;组织推动网络安全防护措施建设,开展网络安全监测、检测和风险评估;组织网络安全教育、培训;加强对设计、建设、运维、服务单位的管理;认定网络安全关键岗位等。
(2)关键信息基础设施还需进一步加强和完善数据安全保护
数据安全与网络基础设施安全在防护理念、方法、技术和运营等诸多方面有很大不同,面临着全新挑战。业务系统、信息化环境、威胁形势、合规要求都发生了改变,传统数据安全防护理念和方法已经无法满足需求,这对于关基的数据安全防护提出了更高的要求和更大的挑战。随着数字化业务的开展,数据由静止转向流动,数据安全场景发生了改变,数据安全保护的难度加大,保护方式需要改变;数字化的业务系统越来越复杂,保护对象从数据库、文件等简单系统变成大数据环境下的大数据平台、数据中台和数据服务;数据成为生产资料,数据安全需要有一个管理的理念,将管理和技术有机融合。
4.推动网络安全与产业应用的深度融合发展
我国实体经济规模庞大,传统产业门类繁杂、企业数量众多,如何推进网络安全与产业应用的深度融合发展是未来十年需要着重解决的问题,也是未来十年网络安全产业的关键增长点。
(1)提高传统企业对网络安全的感知
传统产业数字化过程中,很多企业主对于网络安全感知不强,要提升传统企业对于网络安全的感知需要加强实战检验和检查测评。首先实战检验。通过实战攻防演练,让传统企业可以直观和明确的看到本企业以及所在行业的安全现状,存在的漏洞,产生的危害等,从而能够增强对网络安全的直观认知。其次是检查与测评。通过合规性检查与测评,使企业能够明确自身网络安全能力与国家政策法律法规和行业规范标准之间的差距,以及自身需要承担的责任和义务。
(2)加强网络安全规划、建设和运营
要推进网络安全与产业应用的深度融合,需要深入开展网络安全规划、建设和运营。在安全规划方面,以甲方用户视角开展网络安全体系规划,先打造样板房,使企业对网络安全有更为直观的认知。同时开展网络安全能力的模块化建设,使企业可以按照菜单点菜,快速形成符合自身需求的安全体系规划,从而大大缩短安全规划的周期。在安全建设方面,通过整体规划分期建设,使企业的网络安全体系根据需要不断完善;在安全运营方面,提供安全托管运营服务,使得企业快速具备安全运营能力。对于企业网络安全改造面临的切实困难,应该从政府和企业两个层面同步解决。政府层面解决网络安全的整体态势感知、安全监管与攻防反制能力建设,企业层面解决自身的安全防护、管理等问题,国家与企业互相支撑,形成国家整体的强壮的安全能力。
四、总结
过去十年是我国网络安全产业高速发展的十年,产业规模迅速扩大,技术创新更加活跃,投融资日益繁荣。未来十年我国网络安全产业发展具备政治、经济和产业技术层面的确定性,将走上中国式现代化发展之路。我们需要进一步加大投入,开展体系化创新,完善合规体系,推进网络安全与产业应用的深度融合发展。