志翔科技产品副总裁伍海桑博士受《中国信息安全》邀请,以“网安产业如何发展和转型”为话题,刊发署名文章《完善法规标准 促进网安产业有序发展》于2018年第10期。
提升用户认知水平 完善行业法规
我国高度重视网络安全对于国家安全和国家总体战略发展的意义,国家也在大力发展网络空间安全产业。但是不可否认的是,我国网络空间安全发展的现状,跟世界领先水平相比,仍有很大的提升空间。目前产业整体市场规模与中国的互联网发展水平和GDP在全球的占比严重不匹配。
2017年,美日德等发达国家企业在安全上的投入占其整体IT投入13%以上;而同期中国企业安全投入占比仅为整体IT投入的3%左右。企业对于安全的重视程度,和对于安全技术与产品的认识都远远不够,在安全产品的采购与应用,仍集中于传统的防火墙、漏洞扫描和杀毒等方面。随着企业信息化程度的不断提高和IT架构的升级转型,新的安全隐患与挑战不断出现,需要有新的安全技术与产品来更好的应对与解决。尤其是在企业数据资产不断趋于海量化和高价值化,同时各类型攻击与数据泄露现状不断加剧的现今,企业对于安全技术与产品的重视和认识程度也应该与时俱进,加大在安全上的投入,让安全成为企业发展的坚固基石。
行业法规、资质和标准还需要继续成熟和完善。中国在网络安全的相关法规政策上,与欧美对比相对滞后。《网络安全法》于2017年6月正式实施,标志着中国的网络空间安全进入“法治时代”。同时,网络安全已经逐渐上升到国家战略高度,重视程度不断提升。但从现状来看,对比欧美等GDPR全面且标准和规范严苛的数据安全法规仍有差距。在网络安全、数据安全和个人隐私上法律法规和标准政策的不完善,也让很多严重的数据泄漏事件得不到有法可依和严格的治理与惩罚,让企业对于用户隐私数据的保护仍不够重视。在安全的技术与产品上,资质与标准还相对滞后于在传统产品技术时代,对新形态的技术与产品缺乏标准,导致政府与企业在新产品的应用上有所顾虑。
现状虽如此,但我们看到未来是值得期待的。随着《网络产品与服务审查办法》等一系列网络安全的法律法规随之出台并实施,政府不断在加大网络安全政策法规的制定和实施力度。同时,针对层出不穷的新技术新产品等,政府也在积极联合产学研各界,尤其是创新的技术性企业来一起制定新的资质标准,让新技术新产品能更快应用于实际,为提升整体的产业水平,为政府、企业、普通用户的数据安全保驾护航创造更大价值。
同时,纵观全球,网络安全行业人才短缺是各国都面临的共性问题,在中国也不例外。网络安全区别于很多商业模式创新型的行业,其技术门槛高,是一个基础科学学科,所以人才的培养与储备难以一蹴而就,网络安全人才体系的构建与完善需要长时间的积累,需要产学研的共同培育。在这方面志翔科技联合清华大学等院校,通过专家授课,和共建实验基地等来定向培养专业技术人才。我们也看到,国家对于安全行业的重视,产业的快速发展,正在吸引一部分专业人才的回流,志翔科技就是很好的例子,我们的创始团队正是因为看到国内安全行业的巨大潜力机会,选择在安全领域创业,通过大数据技术,服务于企业的核心数据安全保护和业务风险分析管控,并认为这是一个未来前景可期、价值千亿的巨大市场。
综上几个方面,中国的网络安全行业在政府重视,和企业开放创新等各方面共同协作下,正在逐步形成开放、良性的行业生态环境。但在一定时期内,由于行业整体规模仍较小,所以低价竞标等恶性竞争现象还无法完全杜绝,作为行业一员,我们希望同行间能够良性竞争,专注于产品技术创新,做出真正对用户有价值的好产品,从而推动市场的快速发展壮大,实现产业共赢。
新技术带来新风险和新机遇
云计算、大数据、物联网等新的技术推动各行各业的产业转型,而站在安全企业角度,我们更为关注其带来的前所未有的全新安全风险,主要集中于两个方面:
原有数据安全问题的规模变得更大:数据量的爆发式增长,以及数据存储、传输、访问形式的变化,都带来新的安全挑战,数据泄露事件的频发也证明,需要更有效的技术来解决更海量数据的安全问题。
新技术应用所催生出全新的安全需求:物联网、云计算等新技术的发展,让更多的人、设备和应用等联入网络并产生和消耗数据,让安全的环节、场景、需求等变得更加复杂多样。这也带来诸多新安全技术领域和新产品的相应出现与发展,如新身份管理、云接入安全、云业务安全防护等等。
而以上新挑战将加速推进新技术升级,拉动安全产业规模快速增长。对于安全企业而言,充满机会的时代正在开启,企业应该把握机会,开拓创新,争取成长为新细分领域的未来巨头。
共建良性产业生态
企业发展离不开健康、开放、共赢的产业生态,行业的良性快速发展,需要政府、行业企业、用户等产业的每个环节协同作用,共同发力。
对于政府、行业协会及机构,要多发挥牵头作用,从实际层面加强立法,建设和完善人才培养机制,支持孵化新机会点;一方面从政策角度通过优惠促进政策等对产业进行支持与推动;另一方面通过标准法规的制定,规范行业环境,促进有序发展。
再看用户层面,不论是企业、政府,还是普通用户,随着技术发展并向百业生活的渗透,用户也面临更多的安全风险。企业网络安全事故、用户个人隐私泄露等都呈现出几何式增长。用户应该不断提升安全意识,认识和了解安全的重要性,使用有效的安全技术手段保护其利益。安全不再是为合规而存在的摆设,而应该真正服务于企业,成为企业发展的命脉基石。
对于产业同行而言,更是要担起重要的企业责任,将眼光放长远,致力于技术和产品创新,把不断做出为国家、社会、用户发挥实际价值的产品与服务作为企业首要责任。同时,要积极履行企业社会责任,在教育用户、帮助政府协会制定标准法规等多方面积极参与。同行之间要良性竞争、开放协作,共同推动行业快速发展壮大,形成企业共赢的局面。
对产业政策和环境的建议
近几年,国家在网络空间安全上的战略重视和多项政策法规的发布,对整个行业起到了极大的推动与促进作用。尽管由于起步晚等历史原因,我国的网络安全行业和国际发达水平还有较大差距,但整个行业高速增长,正在迎头赶上。
政策支持与激励:网络安全已经被定位于和国家安全同等重要的战略高度,政府在产业园区建设、创业支持孵化等方面不断推出各种支持政策。作为行业内的新兴创业企业,我们希望未来这些行业促进和支持政策能够加大力度,并且能更好的落于实用。让创业企业能与行业巨头一起站在更开放、平等的舞台上,用产品和技术赢得用户、服务用户。
更全面的标准、资质和法规:安全技术与产品的快速推陈出新,需要行业有更全面的法规资质来对这些技术和产品检验与认证,让其能更快被应用于实际,发挥价值。安全企业非常愿意和政府以及专家一起,推动更多安全新技术新产品的标准和资质制定,目前志翔科技也在积极参与大数据相关安全技术产品的标准资质制定。未来期许整个行业有法可依,发展更为有序。
人才的系统性培养:人才的短缺是制约安全行业快速发展的最关键问题之一,希望从政府层面能加大人才培养的力度,通过高校专业学科的设立、高等人才培养和专业培训等方式,更好的推动未来国家安全行业人才的系统构建。