- 互联网安全的40个智慧洞见(2018)
- 奇安信威胁情报中心
- 4181字
- 2021-04-04 07:03:01
网络安全产业进入创新转型时刻
崔光耀
《中国信息安全》主编
一、产业递进的主脉络
当人们习惯于把信息安全统称为网络安全的时候,它意味着这不仅是安全的名称变了,安全的属性也在悄然发生着演变,这一变化的趋势在近几年越发明显。现今,网络安全产业不论是量变还是质变都在进入创新转型的重要历史时刻。
追溯我国网络安全的产业发展历程,从星星之火到蔚然兴起,从萌芽初创到颇具规模,不过二十多年。期间,潮起潮落,跌宕起伏,有创业先锋砥砺前行,有接棒后生差足继武,精彩可书之事回首可见。
粗略梳理,我们可以从时间段上把我国网络安全产业大体分为萌芽兴起、快速发展、平稳过渡以及网安新时代几个阶段。
20世纪90年代中期,在国家“863计划”信息安全战略研究专家组的推动下,天融信、启明星辰等信息安全公司相继成立,标志着我国网络安全产业开始起步,那时,中国互联网也才刚刚开通。2000年左右,国内安全厂商数量不过几十家,人少量小,寂寂不被人知,这一阶段可看作是安全产业的萌芽时期。
随后,国际互联网热潮开始登陆中国,网络安全事件也开始进入人们的视野(如2000年2月,美国Yahoo、eBay 等网站遭受网络攻击,损失达十多亿美元),媒体宣传的力度也在逐渐加大。2000年,第二届中国国际计算机信息系统安全展览会有来自包括美国、比利时、韩国、新加坡等地的近70家(其中国内40余家)安全企业参展,并设有国家领导人专场。2000年年底,全国人大常委会发布了《关于维护互联网安全的决定》,可以说这是国家层面第一个关于信息安全的行政法规。从这时起,网络安全进入兴起阶段,大批国外企业陆续进入中国市场,获得公安部信息安全销售许可证的国内外安全企业此时已达三四百家,一时间,网络安全企业如雨后春笋般涌现出来,媒体更有宣称,与安全相关的公司达上千家之多。
到2003年,网络安全又迎来一股热潮。这一年,中央办公厅、国务院办公厅发布网络安全的纲领性文件(27号文),国务院信息化工作办公室网络安全协调小组大力推进安全各项工作,直接带动安全产业和市场应用扩容,安全产业也进入了第一个快速发展阶段,标志性事件是2008年国内第一家信息安全厂商——卫士通在深圳交所上市,拉开了安全股上市的序幕。2008年后,随着部委整合,国务院信息化工作办公室网络安全组归属工业和信息化部管理,网络安全产业进入了一个相对平稳的过渡阶段。
再往后,就是大家都比较熟悉的当前网络安全新时代,从2014年中央网络安全和信息化领导小组成立至今,是我国网络安全全面发力、重点突破、大步迈进的历史性新阶段。网络安全以前所未有的高度受到广泛重视,各项法规等制度建设、顶层设计趋于完善,包括标准、学科建设、人才培养等方面也都成效显著,网络安全产业借此东风迎来了发展壮大的历史机遇。
纵观这一发展过程可见,我国网络安全产业起步不算晚,功绩不算小,但与信息化发展和网络化应用相比,仍然不相匹配,产业创新转型发展已是客观形势所迫和行业升级所需的必然选择,自然也是一场硬仗苦战。
二、技术进步的硬要求
网络安全的高技术对抗属性,决定着这一技术的快速发展和永不停息的动态变化特征。早期和现在的众多网络安全实践充分印证着这样的道理。以前,我们的网络安全主要依靠两个来源:一个是自己的传统,即原来的通信保密;另一个是国外的来源,即把国外的一些东西拿过来套用。在20世纪的通信保密时代,信息安全主要就是通信保密,针对专业化的攻击手段,采用加密的保护措施,把密码算法的强度做够,胜过攻击就算达到了目的。到了20世纪90年代前后,随着信息化发展和互联网的兴起,企业开始注重系统的安全,在保密性基础上增加了信息的完整性、信息和信息系统的可用性需求,而系统安全主要面对的是威胁,信息安全以完整性策略为主线,所用的基本技术是防火墙、VPN加密隧道、IDS/IPS入侵检测、防病毒等基础防护技术,形成从预警到检测、响应、保护和恢复的完整链条。后来,“赛博安全”被提出,安全演化为网络化社会的集体安全,出现了信息保障概念,核心思想是建立深层防御战略,通过层次化、多样性的安全措施来保障用户信息及信息系统的安全。总的来说,这些安全防护理念和技术侧重的是边界保护,现在还在发挥应有的作用,但与现代网络安全相比较,它们代表的应该是相对传统的网络安全。
到了2010年前后,全球出现了技术变革的热潮。云计算、大数据、移动互联网等颠覆性技术相继产生,并在各领域广泛应用,随后人工智能、机器学习产生了重大突破,物联网和5G时代快步来袭,让人目不暇接。人们发现,时代前行的步伐加快了,数字经济高歌猛进,稍不留神就有可能被甩掉。那么,作为前沿技术领域的网络安全更能深刻地感受到新技术的冲击。
在网络安全防护技术上,相关专家早就提出“靠老三样”防不胜防。而普遍的认识是,过去边界防护的理念跟不上新技术变化带来的挑战,需要采用更加动态、立体的全天候、全方位感知和有效的防护措施,把安全的关口前移。有专家提出,要在架构安全、纵深防御、态势感知、威胁情报等方面构建能力导向建设模式以抵御高级网空威胁,还要积极运用人工智能等新技术手段来提高防范水平。这一趋势在国际上也是明显的,在2015 RSA大会上Fortinet上演了“砸盒子”表演,正是这一趋势的突出表现。传统的安全产品和技术针对已知攻击在快速检测、拦截方面的有效性,需要向防范未知威胁攻击演化,网络安全产品或服务逐步向减少“盒子”形态、增加软件化、云化和服务形态的方向转化。一些企业把它称为由产品提供型向能力提供型转变。在这样的背景下,近些年针对Web应用、WAF、威胁情报、安全态势管理、智能安全、车联网、零信任等一些新技术和产品的应用范围在加大,一些安全厂商开始组建专业的运维团队来加强面向应用的专业服务。
综合来说,新技术带来的业务环境和安全需求的全新挑战,给网络安全产业带来硬性的内在和外在的变革要求,包括产品技术、运营模式、资本运作、市场策略等相应的变革。与其说这是一种挑战,不如说这是一场革命,必须抛弃过去那些曾经“引以为傲”但落后于时代的旧观念和旧方法,在这个日新月异的时代,任何抱残守缺、刻舟求剑的想法和做法都注定是没有前途的。
三、行业风口的新动能
人们都说,网络安全是个朝阳产业,一直被业内外所追捧,也确实是走在时代的前列而引以为荣。但是,网络安全产业界却活得并不轻松。在ISC 2017产业担当论坛上,奇安信集团董事长齐向东说,“目前,网络安全很热,但企业家的锅底却很凉”。真实地说出了网络安全产业的两大苦衷。
第一,网络安全产业规模一直上不去,与信息化的蓬勃发展不相匹配。十多年前,IDC市场预测都把国内网络安全市场未来五年的复合增长率给出30%以上最少也是25%的高位值,但十年前发布的市场统计数与今天相比并无太大区别,倒是行业内比较多地认为,目前国内网络安全产业的市场规模有五六百亿元人民币。人们会问,为什么会是这样?主要原因有两个:一是安全的真正需求没有被充分释放;二是安全违规的成本太低,安全责任没有能够坐实。
第二,产业恶性竞争,企业创新推动力不足,导致竞争力下降。由于市场回报不理想,企业创新投入不高,因此没有余力做研发和创新。同样,为了生存,一些企业在市场上采取低价恶性竞争方式,把本来不多的利润生生给自我挤压掉了;同时,因为余粮不足,安全企业的人才被挖走、抢走的现象日益严重,使企业发展陷入恶性循环。
网络安全的政策导向性很强,在过去很长一段时间,安全产业界反复呼吁政策倾斜,扶持安全产业。这些年,国家“863计划”“973计划”、信息安全专项计划等拿出的钱也不算少,但效果却并不明显,原因在于政策导向并不能替代市场导向,或者难以建立起良性的、可持续的发展机制。
目前,情况正在发生明显改变,必将给安全产业带来新的发展机遇。有三点变化特别值得关注:一是2018年全国网信工作会议,要求各级党委把网信工作纳入重要的议事日程;二是正在审议的《关键信息基础设施保护条例》,有望明确各地各级部门的一把手对网络安全负主要责任;三是《中华人民共和国网络安全法》的实施和相关制度的推进落实,会加大网络运营者的违规处罚,企业机构的合规性要求将显著提升。国际社会如欧盟GDPR (《一般数据保护条例》)的实施,客观上会促进国内信息保护的合规性需求,对网络安全产业来说,这些都是巨大的利好。加上网络强国建设需要网络安全技术提供强力支撑,以及国家安全、企业安全和个人信息保护需求日益提高,整个大环境上网络安全的支出必然相应提高,逐渐会达到与信息化投入中的占比相匹配的水准,或接近国际社会的平均水平,每一个百分比的提升都是一个庞大的数字。我们完全有理由相信这一预期能够变成现实。
在ISC 2018会议上,齐向东表示网络安全产业的风口已经到来,未来有望达到万亿元的规模。那么,接下来,网络安全企业就要做好、做足自己的功课,在严酷的市场竞争中,只有拿出过硬的技术产品与服务,才能得到应有的回报。企业创新转型正是向着这一目标迈进的必由之路。
我们期望看到,网络安全的航空母舰早日出现。近来,许多企业,无论是奇虎360公司还是BAT,都在谈论网络安全的生态建设,而所谓良性生态一定是相生相宜的,而不是相克相左的。
我们的网络安全还是要“走出去”,借助“一带一路”倡议把我们的网络安全向外输出,这方面国内只有极少量的企业进行了有效尝试,但这一定是未来网络安全产业发展的新空间。
当然,网络安全产业发展会遇到各种困难,也确实有不少地方需要改进。目前,各种安全联盟数量不少,但是联盟的效果并不令人满意。各种网络安全的会议和评比、比赛,此起彼伏,让人应接不暇。我们还是要静下心来做实事,把研究新问题、寻找新思路、解决新问题当作第一要务。
我们说,网络安全产业步入创新转型时刻,正是基于上述判断。我们有理由相信,网络安全产业应有的活力能够完美释放。2017年RSA大会的主题是“机会的力量”,2018年是“现在很重要”,2018年ISC安全大会主题是“安全从0开始”,都在彰显着这样一个趋势,变革正在到来!
无数安全人梦寐以求的产业梦想正在走向现实!当我们回顾网络安全产业二十多年的风雨历程,可以看到,今天我们的安全产业既有功力扎实的老牌安全厂商,又有一批胸怀抱负的新兴安全厂商和更有朝气的新锐安全厂商,还有实力雄厚的IT、BAT互联网安全的助力,说得出名字的企业大概不下500余家,产业集群已相当可观。而让人忧喜交加的是,有些企业和个人已经黯然退场,有些则继续在向着朝阳奔跑,我们唯有为它们加油助威,共同迎接这个产业的壮大和辉煌!