護航網(wǎng)絡(luò)強國戰(zhàn)略促進網(wǎng)絡(luò)安全服務(wù)業(yè)發(fā)展

作者：孫明亮 位華 王琰

　　黨的十八大以來，以習(xí)近平同志為核心的黨中央高度重視、大力推進網(wǎng)絡(luò)安全和信息化工作。習(xí)總書記在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會議上強調(diào)，“要維護網(wǎng)絡(luò)空間安全以及網(wǎng)絡(luò)數(shù)據(jù)的完整性、安全性、可靠性，提高維護網(wǎng)絡(luò)空間安全能力。” 在網(wǎng)絡(luò)安全和信息化工作座談會上，他再次指出“網(wǎng)絡(luò)安全和信息化是相輔相成的。安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進。”網(wǎng)絡(luò)安全工作涉及面廣、專業(yè)性強，發(fā)展專業(yè)化、高水平的網(wǎng)絡(luò)安全服務(wù)，是提升整體國家網(wǎng)絡(luò)安全能力的重要方向之一。

　　網(wǎng)絡(luò)安全是實現(xiàn)網(wǎng)絡(luò)強國戰(zhàn)略的四梁八柱之一，網(wǎng)絡(luò)安全服務(wù)業(yè)則是網(wǎng)絡(luò)安全事業(yè)前行的基礎(chǔ)，為網(wǎng)絡(luò)強國目標(biāo)提供技術(shù)、人才、資源的支撐。網(wǎng)絡(luò)安全服務(wù)業(yè)能力水平關(guān)乎整個國家網(wǎng)絡(luò)強國戰(zhàn)略實現(xiàn)的進程，是能否實現(xiàn)彎道超車的重要因素之一，而在這一過程中網(wǎng)絡(luò)安全服務(wù)機構(gòu)能力的建設(shè)是基礎(chǔ)中基礎(chǔ)。

　　一、 網(wǎng)絡(luò)安全服務(wù)機構(gòu)現(xiàn)狀及存在問題

　　近年來，各類網(wǎng)絡(luò)威脅不斷加劇，帶動了市場對網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)需求的持續(xù)增長；同時，云計算、大數(shù)據(jù)、人工智能、移動網(wǎng)絡(luò)及其社交媒體的快速發(fā)展給信息系統(tǒng)架構(gòu)帶來了巨大變化，網(wǎng)絡(luò)安全迎來挑戰(zhàn)的同時也為網(wǎng)絡(luò)安全建設(shè)拓展出新的發(fā)展空間，我國的網(wǎng)絡(luò)安全服務(wù)業(yè)也得到了快速發(fā)展。

　　1.創(chuàng)新型網(wǎng)絡(luò)安全服務(wù)企業(yè)迅猛發(fā)展，積極搶占發(fā)展事業(yè)的“橋頭堡”

　　在網(wǎng)絡(luò)安全上升為國家戰(zhàn)略之后，網(wǎng)絡(luò)安全服務(wù)業(yè)呈現(xiàn)快速發(fā)展態(tài)勢，在“大安全”產(chǎn)業(yè)鏈上，創(chuàng)業(yè)型企業(yè)開始走向精細(xì)化、專業(yè)化。創(chuàng)業(yè)者根據(jù)自己的一技之長和市場所需，作為一個特殊的專業(yè)細(xì)分領(lǐng)域，通過小步快走的產(chǎn)品不斷滿足市場的發(fā)展需求。隨著行業(yè)生態(tài)的不斷成熟，如何用好、用活行業(yè)內(nèi)部資源，在行業(yè)內(nèi)部形成精準(zhǔn)、細(xì)分的專業(yè)分工，同時在不同環(huán)節(jié)之間形成無縫對接，這可能是未來網(wǎng)絡(luò)安全服務(wù)業(yè)的最佳發(fā)展形態(tài)。

　　2.非傳統(tǒng)安全服務(wù)機構(gòu)謀定后動，紛紛下好網(wǎng)絡(luò)安全事業(yè)的“先手棋”

　　大型系統(tǒng)集成經(jīng)驗豐富的公司，隨著服務(wù)領(lǐng)域用戶的安全意識及安全需求的提高，逐步介入網(wǎng)絡(luò)安全領(lǐng)域。信息化建設(shè)和網(wǎng)絡(luò)安全建設(shè)同步規(guī)劃、同步實施的政策性要求，已不僅僅停留在策略上，成為信息化建設(shè)的必要條件。

　　行業(yè)應(yīng)用型機構(gòu)則將行業(yè)的業(yè)務(wù)應(yīng)用與網(wǎng)絡(luò)安全進行有機融合。這一趨勢在政府、能源、電信、金融等關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)的網(wǎng)絡(luò)安全保障中尤為明顯，特別是在細(xì)分專業(yè)領(lǐng)域開展網(wǎng)絡(luò)安全服務(wù)研究和實施工作，占領(lǐng)熟悉行業(yè)業(yè)務(wù)的優(yōu)勢，將網(wǎng)絡(luò)安全保障工作開展的更細(xì)、更專。

　　3.大型互聯(lián)網(wǎng)企業(yè)多措并舉，卯足干勁涉足網(wǎng)絡(luò)安全服務(wù)

　　在“互聯(lián)網(wǎng)+”成為國家戰(zhàn)略的情況下，網(wǎng)絡(luò)安全發(fā)展獲得源源不斷的推動力。傳統(tǒng)安全企業(yè)加速投資并購，豐富產(chǎn)品線并彌補市場空白；小型企業(yè)發(fā)揮技術(shù)優(yōu)勢，聚焦于細(xì)分專業(yè)領(lǐng)域；國內(nèi)互聯(lián)網(wǎng)龍頭企業(yè)加強在安全領(lǐng)域的布局，締造更安全的互聯(lián)網(wǎng)生態(tài)。無論是互聯(lián)網(wǎng)巨頭還是網(wǎng)絡(luò)安全領(lǐng)域的龍頭企業(yè)，目前都是通過投資收購、并購等多管齊下的方式進行安全戰(zhàn)略布局，彌補自身在相關(guān)安全垂直領(lǐng)域的空缺。

　　4.大而全的安全服務(wù)企業(yè)與小而專的安全服務(wù)企業(yè)求同存異、差異并存

　　當(dāng)前，新技術(shù)新應(yīng)用層出不窮、創(chuàng)新發(fā)展，為全球的網(wǎng)絡(luò)安全市場帶來了新的需求。網(wǎng)絡(luò)安全服務(wù)業(yè)細(xì)分子域眾多，完全依靠內(nèi)生長效率相對較低，通過并購方式為代表的外延發(fā)展可以迅速地進入新的子領(lǐng)域，并實現(xiàn)優(yōu)勢互補，發(fā)展協(xié)同效應(yīng)。規(guī)模較大的企業(yè)出現(xiàn)并購熱潮，增強了全面網(wǎng)絡(luò)安全服務(wù)的需要。同時，社會上對網(wǎng)絡(luò)安全服務(wù)的單點化需求，一大批企業(yè)體量較小、單項技術(shù)服務(wù)能力突出的企業(yè)也得到市場的很好認(rèn)可，出現(xiàn)大而全的安全企業(yè)與優(yōu)勢特色明顯的中小規(guī)模企業(yè)差異化并存的情況。

　　5.網(wǎng)絡(luò)安全服務(wù)機構(gòu)存在的問題

　　1)網(wǎng)絡(luò)安全服務(wù)強調(diào)“符合性”，缺乏“有效性”判斷

　　網(wǎng)絡(luò)安全已經(jīng)上升為國家安全的一部分，關(guān)鍵信息基礎(chǔ)設(shè)施的可靠性和安全性與國計民生息息相關(guān)。多個關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)仍在強調(diào)信息系統(tǒng)安全的“符合性”，忽視了服務(wù)的“有效性”評估。世上沒有完全相同的兩片樹葉，忽視信息系統(tǒng)間的差異性，會降低對信息系統(tǒng)風(fēng)險的識別度，帶來重大安全隱患。信息系統(tǒng)的安全可靠才是我們網(wǎng)絡(luò)安全保障的終極目標(biāo)。過分強調(diào)“符合性”的結(jié)果，往往會使系統(tǒng)安全服務(wù)流于形式。

　　2)網(wǎng)絡(luò)安全服務(wù)企業(yè)的管理體系落地性較差

　　隨著市場的規(guī)范化和國際化，服務(wù)機構(gòu)認(rèn)識到管理體系對提高服務(wù)質(zhì)量、改善經(jīng)營管理、促進經(jīng)濟效益的作用，然而現(xiàn)實情況阻礙管理體系的有效運行。認(rèn)證行為變成了只是為了單純的獲得一紙證書，體系只是流于形式，既不能創(chuàng)造經(jīng)濟效益，也不能改善管理。

　　3)網(wǎng)絡(luò)安全服務(wù)機構(gòu)專業(yè)人才缺乏，隊伍建設(shè)有待進一步提升

　　根據(jù)相關(guān)研究數(shù)據(jù)顯示，我國網(wǎng)絡(luò)安全人才遠遠無法滿足網(wǎng)絡(luò)強國的發(fā)展需求，這一問題在網(wǎng)絡(luò)安全服務(wù)機構(gòu)中表現(xiàn)得尤為突出。人才稀缺、技術(shù)隊伍不穩(wěn)定、技術(shù)骨干頻頻“跳槽”、技術(shù)隊伍整建制被其他企業(yè)挖走的現(xiàn)象，在網(wǎng)絡(luò)安全服務(wù)業(yè)屢見不鮮，這直接制約企業(yè)的發(fā)展和技術(shù)能力的提升。

　　網(wǎng)絡(luò)安全人才總量遠遠不夠，企業(yè)人才結(jié)構(gòu)也不能滿足快速發(fā)展的需要。網(wǎng)絡(luò)安全是一個特殊敏感的領(lǐng)域，從業(yè)者需要熟知網(wǎng)絡(luò)安全的發(fā)展脈絡(luò)，但真正做到兼具見識廣度和技能深度的安全人才卻少之又少。網(wǎng)絡(luò)安全領(lǐng)域?qū)I(yè)型、復(fù)合型、領(lǐng)軍型人才的大幅短缺，導(dǎo)致企業(yè)間低水平競爭激烈，而面對互聯(lián)網(wǎng)業(yè)不斷出現(xiàn)的新技術(shù)、新領(lǐng)域網(wǎng)絡(luò)安全問題缺乏整體有效地解決方案，嚴(yán)重制約了整個網(wǎng)絡(luò)安全服務(wù)業(yè)的發(fā)展。

　　4)網(wǎng)絡(luò)安全服務(wù)資源參差不齊，瓶頸效應(yīng)反映明顯

　　隨著國家政策的不斷支持及市場發(fā)展需要的不斷擴大，我國網(wǎng)絡(luò)安全服務(wù)機構(gòu)得到長足發(fā)展。大批網(wǎng)絡(luò)安全服務(wù)機構(gòu)在追逐市場經(jīng)濟價值的同時，對于自身基礎(chǔ)安全服務(wù)資源的水平能力與安全性仍關(guān)注不足，大量開源、未經(jīng)安全性驗證工具還在我們安全服務(wù)機構(gòu)中應(yīng)用，導(dǎo)致安全服務(wù)存在未知風(fēng)險和潛在隱患。安全服務(wù)團隊的能力建設(shè)不足，再加上服務(wù)團隊技術(shù)人員不穩(wěn)定等因素的存在，致使安全服務(wù)機構(gòu)的技術(shù)研究、理論基礎(chǔ)不扎實，能力提升存在現(xiàn)實瓶頸。

　　二、網(wǎng)絡(luò)安全服務(wù)機構(gòu)的能力建設(shè)

　　網(wǎng)絡(luò)安全服務(wù)機構(gòu)的服務(wù)能力由技術(shù)、管理、資源等綜合因素構(gòu)成，它直接影響國家網(wǎng)絡(luò)安全服務(wù)水平和網(wǎng)絡(luò)空間治理的工作成效，因此，提高網(wǎng)絡(luò)安全服務(wù)機構(gòu)的能力建設(shè)需要政府、網(wǎng)絡(luò)安全服務(wù)需求方和網(wǎng)絡(luò)安全服務(wù)機構(gòu)等攜手并進、共同發(fā)力。

　　1.構(gòu)建全方位、立體式的網(wǎng)絡(luò)安全服務(wù)保障體系

　　網(wǎng)絡(luò)安全是保障國家安全、社會穩(wěn)定的關(guān)鍵。服務(wù)機構(gòu)應(yīng)該依據(jù)服務(wù)對象、國家法律法規(guī)和相關(guān)行業(yè)標(biāo)準(zhǔn)的特點，結(jié)合本機構(gòu)的實際情況建立具有全面性、穩(wěn)定性、及時性的機構(gòu)網(wǎng)絡(luò)安全服務(wù)保障體系。網(wǎng)絡(luò)安全服務(wù)保障不能完全依靠安全產(chǎn)品，也不能停留在“三分技術(shù)、七分管理”的概念上，應(yīng)建立以風(fēng)險分析、策略制定、設(shè)計、實施、維護、改進等環(huán)節(jié)構(gòu)成的閉環(huán)控制的網(wǎng)絡(luò)安全保障模型。在網(wǎng)絡(luò)安全保障模型基礎(chǔ)上，采取技術(shù)、管理、基礎(chǔ)資源等安全保障措施，開展適合服務(wù)對象的具體安全服務(wù)，將風(fēng)險控制到可接受的范圍和程度，從而實現(xiàn)業(yè)務(wù)發(fā)展的安全使命。

　　網(wǎng)絡(luò)安全是“矛”與“盾”的持續(xù)較量，風(fēng)險是動態(tài)存在的，為了抵御不斷變化的威脅，網(wǎng)絡(luò)安全技術(shù)水平應(yīng)蹄疾步穩(wěn)、卓越提升，網(wǎng)絡(luò)安全服務(wù)機構(gòu)要不斷將新的技術(shù)手段、應(yīng)用等融入網(wǎng)絡(luò)安全服務(wù)保障系當(dāng)中，滿足網(wǎng)絡(luò)安全服務(wù)過程中不斷提升的網(wǎng)絡(luò)安全需求。

　　建立高效、健全、可執(zhí)行的網(wǎng)絡(luò)安全管理體系。避免體系建立與應(yīng)用割裂，讓體系運行的理念深入人心，只有全體員工熟悉理解標(biāo)準(zhǔn)，才能主動自覺地按標(biāo)準(zhǔn)及工作程序去執(zhí)行，建立的體系才能有效運行，不斷完善，持續(xù)改進。

　　構(gòu)成網(wǎng)絡(luò)安全服務(wù)機構(gòu)能力的因素不僅是技術(shù)、管理，對基礎(chǔ)安全服務(wù)資源能力的提升同樣重要。在安全服務(wù)過程中，人是安全服務(wù)資源最重要的，應(yīng)建立人員能力提升機制，對安全服務(wù)人員進行內(nèi)部、外部培訓(xùn)，不斷提升技能；安全服務(wù)工具的安全可控，避免使用開源、未經(jīng)安全性驗證的安全工具等?；A(chǔ)安全服務(wù)資源構(gòu)成了滿足網(wǎng)絡(luò)安全服務(wù)安全需求的基本要素，發(fā)揮了作為在網(wǎng)絡(luò)安全服務(wù)過程中支撐技術(shù)、管理等要素的作用。

　　2.加快《網(wǎng)絡(luò)安全法》配套法律法規(guī)與戰(zhàn)略政策的部署落地

　　《網(wǎng)絡(luò)安全法》發(fā)布實施后，我國在網(wǎng)絡(luò)安全、網(wǎng)絡(luò)安全法律、法規(guī)領(lǐng)域邁出了重要一步，為我國網(wǎng)絡(luò)安全服務(wù)行業(yè)的發(fā)展起了巨大的推動作用，使我們的安全服務(wù)領(lǐng)域有法可依、規(guī)范服務(wù)。針對網(wǎng)絡(luò)安全法的實施，我們需要盡快建立更加細(xì)化的配套法律、法規(guī)措施服務(wù)網(wǎng)絡(luò)安全市場，使網(wǎng)絡(luò)安全服務(wù)行業(yè)在法律的框架約束下健康發(fā)展，網(wǎng)絡(luò)安全服務(wù)機構(gòu)在法律的規(guī)范下以提升安全服務(wù)能力、輸出高水平的安全服務(wù)而獲得市場的認(rèn)可。

　　針對目前存在的問題，政府需盡快推出行之有效的網(wǎng)絡(luò)安全服務(wù)相關(guān)標(biāo)準(zhǔn)及行業(yè)規(guī)范，從政策、標(biāo)準(zhǔn)層面對網(wǎng)絡(luò)安全服務(wù)進行標(biāo)準(zhǔn)化的定義，對安全服務(wù)需達到的服務(wù)水平進行相關(guān)基線的定性、定量等的指標(biāo)。標(biāo)準(zhǔn)和規(guī)范的制定完成不是終點，而僅僅是標(biāo)準(zhǔn)生命周期的第一步，其科學(xué)性、適用性和可操作性是需要持續(xù)的驗證和逐步完善的。加大對各方，各領(lǐng)域的標(biāo)準(zhǔn)和規(guī)范的宣貫與推廣工作，建立有效的機制，鼓勵和便于收集標(biāo)準(zhǔn)及規(guī)范使用中的意見和建議。

　　加快國家對網(wǎng)絡(luò)安全專業(yè)人才戰(zhàn)略的落地實施。政府、企業(yè)高校和社會都應(yīng)高度關(guān)注和重視，大力創(chuàng)建網(wǎng)絡(luò)安全科技人才健康成長的外部環(huán)境,加快人才培養(yǎng)的速度和力度,改革人事分配制度,營造優(yōu)秀人才脫穎而出的社會環(huán)境,有效改變網(wǎng)絡(luò)安全科技人才短缺的現(xiàn)狀。將《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》中“實施網(wǎng)絡(luò)安全人才工程，加強網(wǎng)絡(luò)安全學(xué)科專業(yè)建設(shè)，打造一流網(wǎng)絡(luò)安全學(xué)院和創(chuàng)新園區(qū)”落到實處、落在關(guān)鍵處。網(wǎng)絡(luò)安全服務(wù)機構(gòu)內(nèi)部還需進一步重視人才培養(yǎng)和人才獎勵機制的建設(shè)。合理調(diào)配和使用人才，加強人才梯隊的科學(xué)化發(fā)展。挖掘網(wǎng)絡(luò)安全優(yōu)秀人才、留住網(wǎng)絡(luò)安全專業(yè)特才，使人才有歸屬感、成就感，進而為人才的科學(xué)發(fā)展搭建良好的孵化平臺。

　　3.網(wǎng)絡(luò)安全服務(wù)需求方及第三方機構(gòu)亟待建立科學(xué)的服務(wù)能力評價體系

　　網(wǎng)絡(luò)安全服務(wù)需求方是通過供求關(guān)系角度促進網(wǎng)絡(luò)安全服務(wù)機構(gòu)提升能力的重要環(huán)節(jié)。它們結(jié)合本行業(yè)、本單位業(yè)務(wù)特點建立科學(xué)的網(wǎng)絡(luò)安全服務(wù)能力評價方法。一方面是對滿足本單位網(wǎng)絡(luò)安全服務(wù)需求負(fù)責(zé)，另一方面是對網(wǎng)絡(luò)安全服務(wù)行業(yè)服務(wù)提供機構(gòu)能力的提升發(fā)揮了重要的市場“風(fēng)向標(biāo)”作用。

　　無論網(wǎng)絡(luò)安全服務(wù)需求方還是第三方機構(gòu)在建立網(wǎng)絡(luò)安全服務(wù)機構(gòu)能力評價方法的時候，一定要科學(xué)意識到機構(gòu)網(wǎng)絡(luò)安全服務(wù)能力不是技術(shù)、管理、硬件基礎(chǔ)資源等因素當(dāng)中任何一點能單獨決定的，而是上述因素共同決定的。第三方機構(gòu)作為對網(wǎng)絡(luò)安全服務(wù)機構(gòu)服務(wù)能力的評價方，更應(yīng)該建立科學(xué)的、行之有效的評價體系為行業(yè)做出公正、公開、公平的評價結(jié)果，服務(wù)能力的評判也不應(yīng)該是“符合性”的，而應(yīng)該是“有效性”的。第三方的評價結(jié)果直接影響網(wǎng)絡(luò)安全服務(wù)機構(gòu)的市場效應(yīng)，進而影響機構(gòu)對自身服務(wù)能力提升的推動；影響服務(wù)需求方對安全服務(wù)機構(gòu)的選擇。

　　網(wǎng)絡(luò)安全服務(wù)需求方也可以通過與第三方共同合作，評價體系共享、評價結(jié)果共享的方式獲得適合的網(wǎng)絡(luò)安全服務(wù)機構(gòu)，這樣利用市場供需、第三方綜合評判雙重因素的構(gòu)建，推動網(wǎng)絡(luò)安全服務(wù)機構(gòu)能力的整體躍升。

　　以中國信息安全測評中心為例，多年來依據(jù)國際成熟安全標(biāo)準(zhǔn)SSE-CMM、結(jié)合國家標(biāo)準(zhǔn)GB/T30271，及行業(yè)內(nèi)的最優(yōu)安全實踐形成了科學(xué)的網(wǎng)絡(luò)安全服務(wù)機構(gòu)能力評價理論體系，從服務(wù)機構(gòu)的技術(shù)能力、管理能力、基礎(chǔ)資源能力綜合出發(fā)，以服務(wù)“有效性”為評判標(biāo)準(zhǔn)，為國內(nèi)近千家網(wǎng)絡(luò)安全服務(wù)機構(gòu)能力進行測評，評價結(jié)果公開、公正、公平得到行業(yè)內(nèi)的廣泛認(rèn)可。此評價體系為第三方機構(gòu)和網(wǎng)絡(luò)安全服務(wù)需求方提供了服務(wù)能力評價的理論依據(jù)，評價結(jié)果為國內(nèi)關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)所認(rèn)可（部分行業(yè)利用此體系建立了本行業(yè)網(wǎng)絡(luò)安全服務(wù)機構(gòu)評價體系），為網(wǎng)絡(luò)安全服務(wù)機構(gòu)的能力提升起到了巨大推動作用。依據(jù)中國網(wǎng)絡(luò)安全測評中心體系應(yīng)用調(diào)研數(shù)據(jù)顯示，應(yīng)用此體系的網(wǎng)絡(luò)安全服務(wù)機構(gòu)服務(wù)能力提升明顯，行業(yè)認(rèn)可度升高，提升市場業(yè)務(wù)收入在10%左右。

　　三、結(jié)語

　　隨著國家戰(zhàn)略政策的扶持和市場需求的不斷擴大，我國網(wǎng)絡(luò)安全服務(wù)得到空前發(fā)展，未來前景喜人。在這樣的大趨勢和大背景下，網(wǎng)絡(luò)安全服務(wù)機構(gòu)的能力水平將直接關(guān)系網(wǎng)絡(luò)強國戰(zhàn)略目標(biāo)的實現(xiàn)、網(wǎng)絡(luò)空間治理工作成效以及社會的長治久安、民眾的安定福祉。未來，不斷強化網(wǎng)絡(luò)安全服務(wù)機構(gòu)能力建設(shè)是我們國家網(wǎng)絡(luò)安全事業(yè)發(fā)展中至關(guān)重要的關(guān)鍵環(huán)節(jié)，下好網(wǎng)絡(luò)安全服務(wù)的“先手棋”，開創(chuàng)網(wǎng)絡(luò)強國的“中國夢”。