党的十八大以来,以习近平同志为核心的党中央高度重视、大力推进网络安全和信息化工作。习总书记在中央网络安全和信息化领导小组第一次会议上强调,“要维护网络空间安全以及网络数据的完整性、安全性、可靠性,提高维护网络空间安全能力。” 在网络安全和信息化工作座谈会上,他再次指出“网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。”网络安全工作涉及面广、专业性强,发展专业化、高水平的网络安全服务,是提升整体国家网络安全能力的重要方向之一。

  网络安全是实现网络强国战略的四梁八柱之一,网络安全服务业则是网络安全事业前行的基础,为网络强国目标提供技术、人才、资源的支撑。网络安全服务业能力水平关乎整个国家网络强国战略实现的进程,是能否实现弯道超车的重要因素之一,而在这一过程中网络安全服务机构能力的建设是基础中基础。

  一、 网络安全服务机构现状及存在问题

  近年来,各类网络威胁不断加剧,带动了市场对网络安全产品和服务需求的持续增长;同时,云计算、大数据、人工智能、移动网络及其社交媒体的快速发展给信息系统架构带来了巨大变化,网络安全迎来挑战的同时也为网络安全建设拓展出新的发展空间,我国的网络安全服务业也得到了快速发展。

  1.创新型网络安全服务企业迅猛发展,积极抢占发展事业的“桥头堡”

  在网络安全上升为国家战略之后,网络安全服务业呈现快速发展态势,在“大安全”产业链上,创业型企业开始走向精细化、专业化。创业者根据自己的一技之长和市场所需,作为一个特殊的专业细分领域,通过小步快走的产品不断满足市场的发展需求。随着行业生态的不断成熟,如何用好、用活行业内部资源,在行业内部形成精准、细分的专业分工,同时在不同环节之间形成无缝对接,这可能是未来网络安全服务业的最佳发展形态。

  2.非传统安全服务机构谋定后动,纷纷下好网络安全事业的“先手棋”

  大型系统集成经验丰富的公司,随着服务领域用户的安全意识及安全需求的提高,逐步介入网络安全领域。信息化建设和网络安全建设同步规划、同步实施的政策性要求,已不仅仅停留在策略上,成为信息化建设的必要条件。

  行业应用型机构则将行业的业务应用与网络安全进行有机融合。这一趋势在政府、能源、电信、金融等关键信息基础设施行业的网络安全保障中尤为明显,特别是在细分专业领域开展网络安全服务研究和实施工作,占领熟悉行业业务的优势,将网络安全保障工作开展的更细、更专。

  3.大型互联网企业多措并举,卯足干劲涉足网络安全服务

  在“互联网+”成为国家战略的情况下,网络安全发展获得源源不断的推动力。传统安全企业加速投资并购,丰富产品线并弥补市场空白;小型企业发挥技术优势,聚焦于细分专业领域;国内互联网龙头企业加强在安全领域的布局,缔造更安全的互联网生态。无论是互联网巨头还是网络安全领域的龙头企业,目前都是通过投资收购、并购等多管齐下的方式进行安全战略布局,弥补自身在相关安全垂直领域的空缺。

  4.大而全的安全服务企业与小而专的安全服务企业求同存异、差异并存

  当前,新技术新应用层出不穷、创新发展,为全球的网络安全市场带来了新的需求。网络安全服务业细分子域众多,完全依靠内生长效率相对较低,通过并购方式为代表的外延发展可以迅速地进入新的子领域,并实现优势互补,发展协同效应。规模较大的企业出现并购热潮,增强了全面网络安全服务的需要。同时,社会上对网络安全服务的单点化需求,一大批企业体量较小、单项技术服务能力突出的企业也得到市场的很好认可,出现大而全的安全企业与优势特色明显的中小规模企业差异化并存的情况。

  5.网络安全服务机构存在的问题

  1)网络安全服务强调“符合性”,缺乏“有效性”判断

  网络安全已经上升为国家安全的一部分,关键信息基础设施的可靠性和安全性与国计民生息息相关。多个关键信息基础设施行业仍在强调信息系统安全的“符合性”,忽视了服务的“有效性”评估。世上没有完全相同的两片树叶,忽视信息系统间的差异性,会降低对信息系统风险的识别度,带来重大安全隐患。信息系统的安全可靠才是我们网络安全保障的终极目标。过分强调“符合性”的结果,往往会使系统安全服务流于形式。

  2)网络安全服务企业的管理体系落地性较差

  随着市场的规范化和国际化,服务机构认识到管理体系对提高服务质量、改善经营管理、促进经济效益的作用,然而现实情况阻碍管理体系的有效运行。认证行为变成了只是为了单纯的获得一纸证书,体系只是流于形式,既不能创造经济效益,也不能改善管理。

  3)网络安全服务机构专业人才缺乏,队伍建设有待进一步提升

  根据相关研究数据显示,我国网络安全人才远远无法满足网络强国的发展需求,这一问题在网络安全服务机构中表现得尤为突出。人才稀缺、技术队伍不稳定、技术骨干频频“跳槽”、技术队伍整建制被其他企业挖走的现象,在网络安全服务业屡见不鲜,这直接制约企业的发展和技术能力的提升。

  网络安全人才总量远远不够,企业人才结构也不能满足快速发展的需要。网络安全是一个特殊敏感的领域,从业者需要熟知网络安全的发展脉络,但真正做到兼具见识广度和技能深度的安全人才却少之又少。网络安全领域专业型、复合型、领军型人才的大幅短缺,导致企业间低水平竞争激烈,而面对互联网业不断出现的新技术、新领域网络安全问题缺乏整体有效地解决方案,严重制约了整个网络安全服务业的发展。

  4)网络安全服务资源参差不齐,瓶颈效应反映明显

  随着国家政策的不断支持及市场发展需要的不断扩大,我国网络安全服务机构得到长足发展。大批网络安全服务机构在追逐市场经济价值的同时,对于自身基础安全服务资源的水平能力与安全性仍关注不足,大量开源、未经安全性验证工具还在我们安全服务机构中应用,导致安全服务存在未知风险和潜在隐患。安全服务团队的能力建设不足,再加上服务团队技术人员不稳定等因素的存在,致使安全服务机构的技术研究、理论基础不扎实,能力提升存在现实瓶颈。

  二、网络安全服务机构的能力建设

  网络安全服务机构的服务能力由技术、管理、资源等综合因素构成,它直接影响国家网络安全服务水平和网络空间治理的工作成效,因此,提高网络安全服务机构的能力建设需要政府、网络安全服务需求方和网络安全服务机构等携手并进、共同发力。

  1.构建全方位、立体式的网络安全服务保障体系

  网络安全是保障国家安全、社会稳定的关键。服务机构应该依据服务对象、国家法律法规和相关行业标准的特点,结合本机构的实际情况建立具有全面性、稳定性、及时性的机构网络安全服务保障体系。网络安全服务保障不能完全依靠安全产品,也不能停留在“三分技术、七分管理”的概念上,应建立以风险分析、策略制定、设计、实施、维护、改进等环节构成的闭环控制的网络安全保障模型。在网络安全保障模型基础上,采取技术、管理、基础资源等安全保障措施,开展适合服务对象的具体安全服务,将风险控制到可接受的范围和程度,从而实现业务发展的安全使命。

  网络安全是“矛”与“盾”的持续较量,风险是动态存在的,为了抵御不断变化的威胁,网络安全技术水平应蹄疾步稳、卓越提升,网络安全服务机构要不断将新的技术手段、应用等融入网络安全服务保障系当中,满足网络安全服务过程中不断提升的网络安全需求。

  建立高效、健全、可执行的网络安全管理体系。避免体系建立与应用割裂,让体系运行的理念深入人心,只有全体员工熟悉理解标准,才能主动自觉地按标准及工作程序去执行,建立的体系才能有效运行,不断完善,持续改进。

  构成网络安全服务机构能力的因素不仅是技术、管理,对基础安全服务资源能力的提升同样重要。在安全服务过程中,人是安全服务资源最重要的,应建立人员能力提升机制,对安全服务人员进行内部、外部培训,不断提升技能;安全服务工具的安全可控,避免使用开源、未经安全性验证的安全工具等。基础安全服务资源构成了满足网络安全服务安全需求的基本要素,发挥了作为在网络安全服务过程中支撑技术、管理等要素的作用。

  2.加快《网络安全法》配套法律法规与战略政策的部署落地

  《网络安全法》发布实施后,我国在网络安全、网络安全法律、法规领域迈出了重要一步,为我国网络安全服务行业的发展起了巨大的推动作用,使我们的安全服务领域有法可依、规范服务。针对网络安全法的实施,我们需要尽快建立更加细化的配套法律、法规措施服务网络安全市场,使网络安全服务行业在法律的框架约束下健康发展,网络安全服务机构在法律的规范下以提升安全服务能力、输出高水平的安全服务而获得市场的认可。

  针对目前存在的问题,政府需尽快推出行之有效的网络安全服务相关标准及行业规范,从政策、标准层面对网络安全服务进行标准化的定义,对安全服务需达到的服务水平进行相关基线的定性、定量等的指标。标准和规范的制定完成不是终点,而仅仅是标准生命周期的第一步,其科学性、适用性和可操作性是需要持续的验证和逐步完善的。加大对各方,各领域的标准和规范的宣贯与推广工作,建立有效的机制,鼓励和便于收集标准及规范使用中的意见和建议。

  加快国家对网络安全专业人才战略的落地实施。政府、企业高校和社会都应高度关注和重视,大力创建网络安全科技人才健康成长的外部环境,加快人才培养的速度和力度,改革人事分配制度,营造优秀人才脱颖而出的社会环境,有效改变网络安全科技人才短缺的现状。将《国家网络空间安全战略》中“实施网络安全人才工程,加强网络安全学科专业建设,打造一流网络安全学院和创新园区”落到实处、落在关键处。网络安全服务机构内部还需进一步重视人才培养和人才奖励机制的建设。合理调配和使用人才,加强人才梯队的科学化发展。挖掘网络安全优秀人才、留住网络安全专业特才,使人才有归属感、成就感,进而为人才的科学发展搭建良好的孵化平台。

  3.网络安全服务需求方及第三方机构亟待建立科学的服务能力评价体系

  网络安全服务需求方是通过供求关系角度促进网络安全服务机构提升能力的重要环节。它们结合本行业、本单位业务特点建立科学的网络安全服务能力评价方法。一方面是对满足本单位网络安全服务需求负责,另一方面是对网络安全服务行业服务提供机构能力的提升发挥了重要的市场“风向标”作用。

  无论网络安全服务需求方还是第三方机构在建立网络安全服务机构能力评价方法的时候,一定要科学意识到机构网络安全服务能力不是技术、管理、硬件基础资源等因素当中任何一点能单独决定的,而是上述因素共同决定的。第三方机构作为对网络安全服务机构服务能力的评价方,更应该建立科学的、行之有效的评价体系为行业做出公正、公开、公平的评价结果,服务能力的评判也不应该是“符合性”的,而应该是“有效性”的。第三方的评价结果直接影响网络安全服务机构的市场效应,进而影响机构对自身服务能力提升的推动;影响服务需求方对安全服务机构的选择。

  网络安全服务需求方也可以通过与第三方共同合作,评价体系共享、评价结果共享的方式获得适合的网络安全服务机构,这样利用市场供需、第三方综合评判双重因素的构建,推动网络安全服务机构能力的整体跃升。

  以中国信息安全测评中心为例,多年来依据国际成熟安全标准SSE-CMM、结合国家标准GB/T30271,及行业内的最优安全实践形成了科学的网络安全服务机构能力评价理论体系,从服务机构的技术能力、管理能力、基础资源能力综合出发,以服务“有效性”为评判标准,为国内近千家网络安全服务机构能力进行测评,评价结果公开、公正、公平得到行业内的广泛认可。此评价体系为第三方机构和网络安全服务需求方提供了服务能力评价的理论依据,评价结果为国内关键信息基础设施行业所认可(部分行业利用此体系建立了本行业网络安全服务机构评价体系),为网络安全服务机构的能力提升起到了巨大推动作用。依据中国网络安全测评中心体系应用调研数据显示,应用此体系的网络安全服务机构服务能力提升明显,行业认可度升高,提升市场业务收入在10%左右。

  三、结语

  随着国家战略政策的扶持和市场需求的不断扩大,我国网络安全服务得到空前发展,未来前景喜人。在这样的大趋势和大背景下,网络安全服务机构的能力水平将直接关系网络强国战略目标的实现、网络空间治理工作成效以及社会的长治久安、民众的安定福祉。未来,不断强化网络安全服务机构能力建设是我们国家网络安全事业发展中至关重要的关键环节,下好网络安全服务的“先手棋”,开创网络强国的“中国梦”。(作者:孙明亮 位华 王琰)