護航網絡強國戰略促進網絡安全服務業發展

　　作者：孫明亮 位華 王琰

　　黨的十八大以來，以習近平同志為核心的黨中央高度重視、大力推進網絡安全和信息化工作。習總書記在中央網絡安全和信息化領導小組第一次會議上強調，“要維護網絡空間安全以及網絡數據的完整性、安全性、可靠性，提高維護網絡空間安全能力。” 在網絡安全和信息化工作座談會上，他再次指出“網絡安全和信息化是相輔相成的。安全是發展的前提，發展是安全的保障，安全和發展要同步推進。”網絡安全工作涉及面廣、專業性強，發展專業化、高水準的網絡安全服務，是提升整體國家網絡安全能力的重要方向之一。

　　網絡安全是實現網絡強國戰略的四梁八柱之一，網絡安全服務業則是網絡安全事業前行的基礎，為網絡強國目標提供技術、人才、資源的支撐。網絡安全服務業能力水準關乎整個國家網絡強國戰略實現的進程，是能否實現彎道超車的重要因素之一，而在這一過程中網絡安全服務機構能力的建設是基礎中基礎。

　　一、 網絡安全服務機構現狀及存在問題

　　近年來，各類網絡威脅不斷加劇，帶動了市場對網絡安全産品和服務需求的持續增長；同時，雲計算、大數據、人工智能、移動網絡及其社交媒體的快速發展給信息系統架構帶來了巨大變化，網絡安全迎來挑戰的同時也為網絡安全建設拓展出新的發展空間，我國的網絡安全服務業也得到了快速發展。

　　1.創新型網絡安全服務企業迅猛發展，積極搶佔發展事業的“橋頭堡”

　　在網絡安全上升為國家戰略之後，網絡安全服務業呈現快速發展態勢，在“大安全”産業鏈上，創業型企業開始走向精細化、專業化。創業者根據自己的一技之長和市場所需，作為一個特殊的專業細分領域，通過小步快走的産品不斷滿足市場的發展需求。隨著行業生態的不斷成熟，如何用好、用活行業內部資源，在行業內部形成精準、細分的專業分工，同時在不同環節之間形成無縫對接，這可能是未來網絡安全服務業的最佳發展形態。

　　2.非傳統安全服務機構謀定後動，紛紛下好網絡安全事業的“先手棋”

　　大型系統集成經驗豐富的公司，隨著服務領域用戶的安全意識及安全需求的提高，逐步介入網絡安全領域。信息化建設和網絡安全建設同步規劃、同步實施的政策性要求，已不僅僅停留在策略上，成為信息化建設的必要條件。

　　行業應用型機構則將行業的業務應用與網絡安全進行有機融合。這一趨勢在政府、能源、電信、金融等關鍵信息基礎設施行業的網絡安全保障中尤為明顯，特別是在細分專業領域開展網絡安全服務研究和實施工作，佔領熟悉行業業務的優勢，將網絡安全保障工作開展的更細、更專。

　　3.大型互聯網企業多措並舉，卯足幹勁涉足網絡安全服務

　　在“互聯網+”成為國家戰略的情況下，網絡安全發展獲得源源不斷的推動力。傳統安全企業加速投資並購，豐富産品線並彌補市場空白；小型企業發揮技術優勢，聚焦于細分專業領域；國內互聯網龍頭企業加強在安全領域的佈局，締造更安全的互聯網生態。無論是互聯網巨頭還是網絡安全領域的龍頭企業，目前都是通過投資收購、並購等多管齊下的方式進行安全戰略佈局，彌補自身在相關安全垂直領域的空缺。

　　4.大而全的安全服務企業與小而專的安全服務企業求同存異、差異並存

　　當前，新技術新應用層出不窮、創新發展，為全球的網絡安全市場帶來了新的需求。網絡安全服務業細分子域眾多，完全依靠內生長效率相對較低，通過並購方式為代表的外延發展可以迅速地進入新的子領域，並實現優勢互補，發展協同效應。規模較大的企業出現並購熱潮，增強了全面網絡安全服務的需要。同時，社會上對網絡安全服務的單點化需求，一大批企業體量較小、單項技術服務能力突出的企業也得到市場的很好認可，出現大而全的安全企業與優勢特色明顯的中小規模企業差異化並存的情況。

　　5.網絡安全服務機構存在的問題

　　1)網絡安全服務強調“符合性”，缺乏“有效性”判斷

　　網絡安全已經上升為國家安全的一部分，關鍵信息基礎設施的可靠性和安全性與國計民生息息相關。多個關鍵信息基礎設施行業仍在強調信息系統安全的“符合性”，忽視了服務的“有效性”評估。世上沒有完全相同的兩片樹葉，忽視信息系統間的差異性，會降低對信息系統風險的識別度，帶來重大安全隱患。信息系統的安全可靠才是我們網絡安全保障的終極目標。過分強調“符合性”的結果，往往會使系統安全服務流於形式。

　　2)網絡安全服務企業的管理體系落地性較差

　　隨著市場的規範化和國際化，服務機構認識到管理體系對提高服務品質、改善經營管理、促進經濟效益的作用，然而現實情況阻礙管理體系的有效運行。認證行為變成了只是為了單純的獲得一紙證書，體系只是流於形式，既不能創造經濟效益，也不能改善管理。

　　3)網絡安全服務機構專業人才缺乏，隊伍建設有待進一步提升

　　根據相關研究數據顯示，我國網絡安全人才遠遠無法滿足網絡強國的發展需求，這一問題在網絡安全服務機構中表現得尤為突出。人才稀缺、技術隊伍不穩定、技術骨幹頻頻“跳槽”、技術隊伍整建制被其他企業挖走的現象，在網絡安全服務業屢見不鮮，這直接制約企業的發展和技術能力的提升。

　　網絡安全人才總量遠遠不夠，企業人才結構也不能滿足快速發展的需要。網絡安全是一個特殊敏感的領域，從業者需要熟知網絡安全的發展脈絡，但真正做到兼具見識廣度和技能深度的安全人才卻少之又少。網絡安全領域專業型、複合型、領軍型人才的大幅短缺，導致企業間低水準競爭激烈，而面對互聯網業不斷出現的新技術、新領域網絡安全問題缺乏整體有效地解決方案，嚴重制約了整個網絡安全服務業的發展。

　　4)網絡安全服務資源參差不齊，瓶頸效應反映明顯

　　隨著國家政策的不斷支持及市場發展需要的不斷擴大，我國網絡安全服務機構得到長足發展。大批網絡安全服務機構在追逐市場經濟價值的同時，對於自身基礎安全服務資源的水準能力與安全性仍關注不足，大量開源、未經安全性驗證工具還在我們安全服務機構中應用，導致安全服務存在未知風險和潛在隱患。安全服務團隊的能力建設不足，再加上服務團隊技術人員不穩定等因素的存在，致使安全服務機構的技術研究、理論基礎不紮實，能力提升存在現實瓶頸。

　　二、網絡安全服務機構的能力建設

　　網絡安全服務機構的服務能力由技術、管理、資源等綜合因素構成，它直接影響國家網絡安全服務水準和網絡空間治理的工作成效，因此，提高網絡安全服務機構的能力建設需要政府、網絡安全服務需求方和網絡安全服務機構等攜手並進、共同發力。

　　1.構建全方位、立體式的網絡安全服務保障體系

　　網絡安全是保障國家安全、社會穩定的關鍵。服務機構應該依據服務對象、國家法律法規和相關行業標準的特點，結合本機構的實際情況建立具有全面性、穩定性、及時性的機構網絡安全服務保障體系。網絡安全服務保障不能完全依靠安全産品，也不能停留在“三分技術、七分管理”的概念上，應建立以風險分析、策略制定、設計、實施、維護、改進等環節構成的閉環控制的網絡安全保障模型。在網絡安全保障模型基礎上，採取技術、管理、基礎資源等安全保障措施，開展適合服務對象的具體安全服務，將風險控制到可接受的範圍和程度，從而實現業務發展的安全使命。

　　網絡安全是“矛”與“盾”的持續較量，風險是動態存在的，為了抵禦不斷變化的威脅，網絡安全技術水準應蹄疾步穩、卓越提升，網絡安全服務機構要不斷將新的技術手段、應用等融入網絡安全服務保障係當中，滿足網絡安全服務過程中不斷提升的網絡安全需求。

　　建立高效、健全、可執行的網絡安全管理體系。避免體系建立與應用割裂，讓體系運行的理念深入人心，只有全體員工熟悉理解標準，才能主動自覺地按標準及工作程式去執行，建立的體系才能有效運行，不斷完善，持續改進。

　　構成網絡安全服務機構能力的因素不僅是技術、管理，對基礎安全服務資源能力的提升同樣重要。在安全服務過程中，人是安全服務資源最重要的，應建立人員能力提升機制，對安全服務人員進行內部、外部培訓，不斷提升技能；安全服務工具的安全可控，避免使用開源、未經安全性驗證的安全工具等。基礎安全服務資源構成了滿足網絡安全服務安全需求的基本要素，發揮了作為在網絡安全服務過程中支撐技術、管理等要素的作用。

　　2.加快《網絡安全法》配套法律法規與戰略政策的部署落地

　　《網絡安全法》發佈實施後，我國在網絡安全、網絡安全法律、法規領域邁出了重要一步，為我國網絡安全服務行業的發展起了巨大的推動作用，使我們的安全服務領域有法可依、規範服務。針對網絡安全法的實施，我們需要儘快建立更加細化的配套法律、法規措施服務網絡安全市場，使網絡安全服務行業在法律的框架約束下健康發展，網絡安全服務機構在法律的規範下以提升安全服務能力、輸出高水準的安全服務而獲得市場的認可。

　　針對目前存在的問題，政府需儘快推出行之有效的網絡安全服務相關標準及行業規範，從政策、標準層面對網絡安全服務進行標準化的定義，對安全服務需達到的服務水準進行相關基線的定性、定量等的指標。標準和規範的制定完成不是終點，而僅僅是標準生命週期的第一步，其科學性、適用性和可操作性是需要持續的驗證和逐步完善的。加大對各方，各領域的標準和規範的宣貫與推廣工作，建立有效的機制，鼓勵和便於收集標準及規範使用中的意見和建議。

　　加快國家對網絡安全專業人才戰略的落地實施。政府、企業高校和社會都應高度關注和重視，大力創建網絡安全科技人才健康成長的外部環境,加快人才培養的速度和力度,改革人事分配製度,營造優秀人才脫穎而出的社會環境,有效改變網絡安全科技人才短缺的現狀。將《國家網絡空間安全戰略》中“實施網絡安全人才工程，加強網絡安全學科專業建設，打造一流網絡安全學院和創新園區”落到實處、落在關鍵處。網絡安全服務機構內部還需進一步重視人才培養和人才獎勵機制的建設。合理調配和使用人才，加強人才梯隊的科學化發展。挖掘網絡安全優秀人才、留住網絡安全專業特才，使人才有歸屬感、成就感，進而為人才的科學發展搭建良好的孵化平臺。

　　3.網絡安全服務需求方及第三方機構亟待建立科學的服務能力評價體系

　　網絡安全服務需求方是通過供求關係角度促進網絡安全服務機構提升能力的重要環節。它們結合本行業、本單位業務特點建立科學的網絡安全服務能力評價方法。一方面是對滿足本單位網絡安全服務需求負責，另一方面是對網絡安全服務行業服務提供機構能力的提升發揮了重要的市場“風向標”作用。

　　無論網絡安全服務需求方還是第三方機構在建立網絡安全服務機構能力評價方法的時候，一定要科學意識到機構網絡安全服務能力不是技術、管理、硬體基礎資源等因素當中任何一點能單獨決定的，而是上述因素共同決定的。第三方機構作為對網絡安全服務機構服務能力的評價方，更應該建立科學的、行之有效的評價體系為行業做出公正、公開、公平的評價結果，服務能力的評判也不應該是“符合性”的，而應該是“有效性”的。第三方的評價結果直接影響網絡安全服務機構的市場效應，進而影響機構對自身服務能力提升的推動；影響服務需求方對安全服務機構的選擇。

　　網絡安全服務需求方也可以通過與第三方共同合作，評價體系共享、評價結果共享的方式獲得適合的網絡安全服務機構，這樣利用市場供需、第三方綜合評判雙重因素的構建，推動網絡安全服務機構能力的整體躍升。

　　以中國信息安全測評中心為例，多年來依據國際成熟安全標準SSE-CMM、結合國家標準GB/T30271，及行業內的最優安全實踐形成了科學的網絡安全服務機構能力評價理論體系，從服務機構的技術能力、管理能力、基礎資源能力綜合出發，以服務“有效性”為評判標準，為國內近千家網絡安全服務機構能力進行測評，評價結果公開、公正、公平得到行業內的廣泛認可。此評價體系為第三方機構和網絡安全服務需求方提供了服務能力評價的理論依據，評價結果為國內關鍵信息基礎設施行業所認可（部分行業利用此體系建立了本行業網絡安全服務機構評價體系），為網絡安全服務機構的能力提升起到了巨大推動作用。依據中國網絡安全測評中心體系應用調研數據顯示，應用此體系的網絡安全服務機構服務能力提升明顯，行業認可度升高，提升市場業務收入在10%左右。

　　三、結語

　　隨著國家戰略政策的扶持和市場需求的不斷擴大，我國網絡安全服務得到空前發展，未來前景喜人。在這樣的大趨勢和大背景下，網絡安全服務機構的能力水準將直接關係網絡強國戰略目標的實現、網絡空間治理工作成效以及社會的長治久安、民眾的安定福祉。未來，不斷強化網絡安全服務機構能力建設是我們國家網絡安全事業發展中至關重要的關鍵環節，下好網絡安全服務的“先手棋”，開創網絡強國的“中國夢”。