中國信通院魏亮等：網絡安全發展綜述 - 網安 - 專業的網絡安全產業、社區、知識平臺

0 引言

當今世界正經歷百年未有之大變局，新一輪科技革命和產業變革加速演進，習近平總書記強調，數字經濟成為全球未來的發展方向，要大力發展數字經濟，加快推進數字產業化、產業數字化，推動數字經濟和實體經濟深度融合^[1]。隨著數字經濟重要性、活躍度的不斷提升，網絡安全對數字經濟健康發展的作用也不斷凸顯，已成為重塑國際戰略格局、搶占國際競爭至高點、爭奪發展主動權的戰略要素。近年來，我國網絡安全發展取得顯著成效，但也面臨新問題、新挑戰。在當前數字經濟大發展和國內外安全形勢膠著時期，本文對我國網絡安全發展成效及未來趨勢進行了系統的梳理和展望。

1 我國網絡安全發展現狀

“十三五”以來，我國網絡安全發展成效顯著，網絡安全水平不斷提升。2021年3月，國務院發布《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》^[2]，進一步強調統籌發展和安全，健全網絡安全政策法規體系，提升網絡安全防護能力，健全數據要素市場規則，加快推動網絡安全等數字新興產業，強化網絡安全產業綜合競爭力和人才培養，營造安全的數字生態。

1.1 政策法規和管理體系逐步完善

我國不斷強化網絡安全頂層設計，從國家全局出發做出長遠部署和謀劃，在數據安全、關鍵信息基礎設施安全、新興領域安全、產業安全等領域出臺了多項法律政策，逐步形成自上而下的政策法規和安全管理體系。在頂層立法方面，自我國第一部網絡安全領域基礎性法律《中華人民共和國網絡安全法》（簡稱《網絡安全法》）出臺后，《中華人民共和國密碼法》《中華人民共和國數據安全法》（簡稱《數據安全法》）相繼出臺，《電信法》立法進程也在不斷推進，形成了網絡空間安全管理的基本法律遵循，為各行業網絡安全、數據安全監管提供了法律依據，有力支撐數字化經濟的安全、有序發展。

在配套制度方面，各領域政策法規逐步出臺，強化網絡安全監管力度。關鍵信息基礎設施專項安全條例即將出臺，網絡安全審查辦法正結合《數據安全法》進行修訂，著重增加對企業國外上市的數據安全監管。工業和信息化部、國家互聯網信息辦公室、公安部聯合發布《網絡產品安全漏洞管理規定》，網絡安全產業發展行動計劃有序推進,行業領域安全管理和服務政策不斷細化，推動安全工作各項措施落地實施。在安全標準方面，已形成國家、行業、團體標準協同工作機制。目前，網絡安全相關標準共300 余項^[3]。網絡安全標準已成為規范安全管理和推動技術要求落地的重要手段，有效地促進了網絡安全發展，同時也為國際標準制定合作提供基礎。

1.2 網絡基礎設施安全防護體系持續演化升級

隨著全球威脅形勢加劇，網絡基礎設施已成為主要攻防陣地，是各國網絡安全防護重中之重。電信和互聯網等傳統網絡基礎設施具有雙重身份，既是獨立的基礎設施主體，亦是金融、交通等其他領域重要信息系統、核心關鍵業務的重要支撐載體，承擔著為各行各業安全穩定運行保駕護航的職責。隨著國家提出加快建設5G網絡、數據中心等新基建重要戰略，網絡基礎設施的內涵與外延不斷拓展，逐步成為推動數字產業化、產業數字化的根基，其戰略性、基礎性、全局性地位全面凸顯。

（1）網絡安全防護體系不斷完善。在《網絡安全法》等國家法律法規的指引下，電信和互聯網行業網絡安全防護體系不斷完善，已形成覆蓋管理制度、標準規范、技術手段、綜合保障等多維度以及網絡安全事前、事中、事后全流程的國家安全綜合防御體系。在此基礎上，正逐步強化國家關鍵信息基礎設施安全防護能力，重點加強風險評估、監測預警、信息通報和應急處置等相關工作，同時推進與國家網絡安全審查工作機制的協同聯動。

（2）面向融合業務特性的安全能力持續創新升級。隨著國家新基建戰略落地，5G+人工智能、5G+大數據等新應用、新場景的涌現，面向融合特性的新型基礎設施業務安全需求應運而生。完備高效、智能演進、自主可靠的網絡安全基礎設施建設逐步推進，網絡安全能力成熟度評價、先進技術應用試點示范等促進網絡安全能力持續提升，著力面向自適應安全、主動防御、智能對抗等高端能力等重點方向攻關。

1.3 數據安全治理體系初步建立

全球數字經濟發展進入加速活躍期，數據量呈幾何級數增長，數據價值和地位不斷提升，數據已成為國家基礎戰略資源和重要生產要素。與此同時，數據安全問題也日益凸顯，影響范圍從個人、企業輻射到產業甚至國家。從國內視角看，數據作為新型生產要素將加速數據流動，呈現出規模更大、領域更廣泛、技術更復雜的特征，顯著增加了數據觸點和暴露面，數據安全風險由原有靜態存儲環節向數據全生命周期迅速延展。從國際視角看，數據作為戰略資源引發各國激烈爭奪，各國爭相布局和引領數據安全規則體系，強化數據資源掌控。加之基于數據的深度挖掘能力不斷提升，融合應用領域持續擴展，數據跨境流動的安全風險影響日趨泛化，甚至危害國家安全。

近年來，我國高度重視數據安全工作，數據安全立法進程不斷提速，同時各部門基于自身職能積極強化數據安全監管，數據安全保護日趨完善。在國家層面,《數據安全法》作為數據安全領域的基本法，明確了分行業監管模式以及數據安全管理制度框架。在地方層面，多地都在積極開展數據安全政策先行先試，例如貴州、上海、深圳等地聚焦數據權屬、開放共享、數據交易等重點問題探索制定相關立法。在行業層面，金融、醫療、通信等數字化程度較高、數據較為敏感的行業已先行開展數據安全管理實踐，積極出臺行業數據安全管理制度標準，為企業提供有效指引。此外，網信、公安、工信等相關部門圍繞APP違法違規收集使用個人信息、攝像頭偷窺、黑產等重點領域持續加大數據安全重點問題的監督執法力度。

1.4 產業數字化安全體系布局和應用深耕加速

產業數字化是數字經濟的重要構成、關鍵驅動和創新動能，重點包含傳統產業數字技術應用以及衍生的融合型新模式、新業態。《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》提出“加快數字化發展”^[2]，以數字化轉型驅動生產方式、生活方式和治理方式變革。以工業互聯網、車聯網等為代表的產業數字化轉型和深層次拓展持續加速，安全體系化布局逐步形成。

（1）在工業互聯網方面。近年來，我國工業互聯網發展逐漸進入深耕落地階段，安全管理和技術支撐體系不斷發展完善。一是政策標準體系基本形成,工業和信息化部等10部門聯合印發的《加強工業互聯網安全工作的指導意見》明確了工作體系和推進方向^[4]，工業互聯網企業網絡安全分類分級管理試點工作在天津、吉林、上海等15個省市有序開展，30余項安全標準立項研制并加快在航天、裝備、能源等領域的試驗驗證。二是技術保障能力不斷增強，工業互聯網國家、省、企業三級安全監測服務體系已建成,產業鏈上下游、大中小企業協同創新，攻關培育了數據流動監測、工業互聯網時序安全網關等一批關鍵核心技術和防護產品。三是產業生態繁榮創新發展。以工業互聯網產業聯盟等協會聯盟為平臺的產業鏈、創新鏈協同能力不斷增強，涌現出一批面向工業互聯網安全綜合服務、測試驗證、安全眾測等的公共服務平臺，智慧礦井、自動駕駛等典型場景的安全解決方案和試點示范不斷復制推廣，工業互聯網安全大賽持續開展，初步形成“賽、訓、職、教”為一體的安全人才培育新模式。

（2）在車聯網方面。車聯網安全體系化布局加速推進，在工作機制上，國家制造強國建設領導小組下設車聯網產業發展專項委員會，建立了部際協同工作機制，工業和信息化部發布《車聯網（智能網聯汽車）網絡安全管理工作的通知（征求意見稿）》^[5]，安全管理體系初步建立。在技術標準上，20余項車聯網安全標準立項研制和落地實施，車聯網身份認證和安全信任試點有序開展，汽車安全網關、車載防火墻等技術產品和服務創新穩步推進，車聯網安全檢測評估工作、安全保障能力建設持續開展。

1.5 5G、人工智能等新技術產業化安全防護體系初步形成

5G、人工智能作為新一代科技革命和產業變革的代表性、引領性技術，是實現萬物互聯、助力經濟社會轉型升級的重要驅動力量。伴隨著新技術產業化的加速推進，新技術產業化安全防護體系初步形成。

（1）在5G融合應用安全方面。我國正處于5G規模化應用的關鍵時期，5G與工業、能源、交通等垂直領域深度融合帶來了“通用安全”向“按需安全”的挑戰，《5G應用“揚帆”行動計劃》等指導性文件，建立健全5G安全標準框架和評測體系，積極倡導開放合作的5G安全理念，為產業鏈各環節規劃、部署和運行5G網絡提供技術指引。在技術手段方面，一方面，產業界逐漸凝聚共識,聚焦切片安全隔離和防護、邊緣安全服務等5G安全關鍵問題，5G安全技術、產品與服務逐步落地；另一方面，全行業積極探索5G安全最佳實踐，“5G+電網冶等融合應用安全解決方案加速研制，5G行業應用端到端安全防護體系逐步形成。

（2）在人工智能安全方面。人臉識別、深度偽造、自動駕駛等熱點應用所帶來的用戶隱私侵犯、生命財產安全問題受到公眾廣泛關注。我國積極推進人工智能安全治理工作，形成政府部門、行業組織和企業單位多方主體參與的協同共治格局。在管理機制方面，人工智能安全治理逐步從倫理原則軟性約束向法律法規、技術標準等硬性規范轉變，并在熱點應用領域開展安全監管實踐；在技術手段方面，人工智能安全攻防、安全檢測技術已成為當前研究熱點，不斷取得創新突破，人工智能安全評估和防護體系初步構建。

1.6 網絡安全綜合治理成效明顯

隨著網絡在社會生產、生活各方面的全面滲透，網絡空間日益成為現實社會的映射，并與現實社會形成廣泛的互動，對現實社會帶來了深刻的影響，網絡空間安全治理，成為國家治理的重要內容。2016年，百度競價排名引起的魏則西醫療詐騙事件^[6]、個人信息泄露導致的徐玉玉電信詐騙案件^[7]等，引發全社會對網絡空間安全尤其是電信網絡詐騙的廣泛關注。黨中央、國務院堅守人民立場，響應群眾關切，高度重視打擊治理電信網絡詐騙違法犯罪工作，公安部、工業和信息化部等多部門聯動，持續開展治理專項行動，治理工作取得階段性明顯成效。

（1）法律體系逐步完善。2015年，《刑法修正案(九)》規定明晰“幫信罪”的處罰準則；此后，最高人民法院、最高人民檢察院等部門先后發布了系列解釋和案件處理意見，逐漸完善電信網絡詐騙治理法律規范體系，進一步加強了懲治電信網絡詐騙犯罪的力度，對其上下游關聯犯罪實行了全鏈條、全方位的打擊。

（2）精準治理能力不斷提升。從工業和信息化部組織建立全國詐騙電話防范系統，到信息通信行業反詐大平臺的建立，再到12381涉詐預警勸阻短信系統的啟動，目前已基本實現對涉案號碼、域名、互聯網賬號以及涉詐電話、短信等“一鍵下發，全網生效”的快速處置能力，實現了對潛在受害用戶的主動監測與精準預警。

（3）協同聯動機制不斷健全。工業和信息化部與公安部建立“總對總”工作機制，在手段建設、信息查詢、線索研判、聯合執法等方面完善工作流程，加強工作協同。各單位各部門主動作為、綜合施策，組織建設了企業信息聯網核查系統，建立涉詐線索聯合研判、協同處置機制，組織開展系列聯合宣導工作，提高全民反詐意識，共筑全民防詐反詐的防護網。

1.7 網絡安全產業發展持續向好

在我國相關政策、資金的扶持下，網絡安全產業蓬勃發展，網絡安全規模、企業水平、技術手段不斷升級。

（1）我國產業規模呈現持續高速增長態勢，網絡安全投入顯著提升。根據中國信息通信研究院測算^[8]，2020年我國網絡安全產業規模超過1700 億元，較 2019年增速超過9%。我國網絡安全投入占信息化投入的比重接近2%，近5年復合增長率達到約14%。

（2）安全企業穩步發展，市場活力不斷涌現^[9]。一方面，我國網絡安全企業營收水平和盈利能力逐步增強。2020年，20家典型上市企業平均營收規模、凈利潤、研發投入較2019年相比增速超過15%，其中3家上市企業營業收入突破30 億元。另一方面，網絡安全融資并購活動持續活躍。據不完全統計，2020年我國網絡安全領域共發生融資活動超過70 起，涉及金額近80 億元，融資活躍度較2019年有所提升。此外，安全企業、重要行業廠商、大型國企均通過收購新興企業、投資獨角獸企業、組建安全子公司等方式，深度布局安全市場。

（3）網絡安全技術持續演變，安全產品體系逐步完善。在新威脅、新需求的牽引下，傳統防火墻、抗DDoS、入侵檢測等固化單一形態的安全技術向集流量監測、DDoS防護、威脅處置等全面云化、協同聯動的安全即服務方案演變，零信任、隱私計算、擬態防御等新興安全技術逐步成熟落地。現有網絡安全產品從傳統網絡安全領域延伸到云、大數據、物聯網、工業控制、5G等新興應用場景，覆蓋底層基礎設施安全至上層應用場景服務安全等多個維度的網絡安全產品體系日益完備。

1.8 網絡安全人才培養機制日臻完善

我國在網絡安全人才發展方面做出一系列重要部署，通過“政、產、學、研”深度融合，網絡安全人才建設取得了重要進展。

（1）不斷完善網絡安全人才培養體系。近年來，網絡安全人才培養領域重要政策相繼發布，從學科專業建設、人才培養機制、教師隊伍建設、促進校企合作等多方面提出網絡安全學院學科專業建設方向和人才培養重點，為人才培養提供了有力的政策引導和支撐。

（2）持續促進校企網絡安全合作發展。網絡安全、互聯網等龍頭企業深度參與高等院校網絡安全人才培養工作，通過共建網絡空間安全研究院、制定網絡安全人才聯合培養計劃等手段協同育人，定向培養網絡安全人才，形成網絡安全人才培養、技術創新、產業發展的良性生態鏈^[10]。

（3）多措并舉選拔網絡安全人才。鼓勵網絡安全科研人才參與國際大學的聯合研究和國際學術交流活動，提升人才的學術水平和國際交流能力。開展網絡安全技術技能大賽、開展攻防演練，選拔優秀的網絡安全人才，提升實戰能力。

2 “十四五”網絡安全發展趨勢展望

隨著新一輪科技革命和產業革命深化發展，國際網絡安全競爭將空前激烈，數字經濟和實體經濟深度融合背景下網絡安全防護要求愈加嚴苛。對此，我國應準確研判未來網絡安全發展的形勢并進行超前布局，更好地迎接未來網絡安全發展的機遇，應對未來網絡安全面臨的嚴峻挑戰。

2.1 各國網絡空間安全較量愈加激烈，立足高位前瞻謀劃成為網絡安全發展重中之重

在大國競爭和新冠肺炎疫情疊加的背景下，網絡安全外部形勢動蕩，網絡安全發展機遇與挑戰并存。抓住窗口期，搶占發展先機，成為網絡安全謀篇布局的重點之一。一方面，全球網絡空間博弈持續深化，網絡安全成為決定國家核心競爭力的關鍵要素。站在大國博弈的制高點上看，網絡空間作為創新活躍、滲透性強、影響力廣的領域，面臨全球產業鏈、供應鏈分化等新情況，數據跨境流動和新興技術安全等國際主導權爭奪激烈度空前，成為各國間科技競爭角力場。另一方面，世界競爭格局面臨重塑，提前布局成為提升我國網絡安全綜合實力的關鍵舉措。在新冠肺炎疫情的沖擊下，全球各國產業、經濟重新洗牌，網絡安全發展格局面臨重塑。我國將緊抓窗口期，站在國家戰略高度對網絡空間安全進行前瞻性、全局性統籌謀劃，深入了解域外大國網絡安全戰略發展趨勢，不斷提高網絡安全防護技術水平，建立健全新型基礎設施網絡安全保障體系，構建行業網絡安全新發展格局。

2.2 供應鏈安全上升為國家戰略重點，產業鏈供應鏈自主可控能力和彈性加快提升

近年來，西方大國頻繁出臺供應鏈安全政策，不斷收緊供應鏈安全政策強化管控，將供應鏈安全作為貿易壁壘并利用優勢地位對競爭國家實施“斷供”^[11]，以此保障國家競爭力。我國審時度勢，沉著應對國際形勢變化。一方面，供應鏈安全上升為國家戰略高度，加強核心技術攻關提升自主可控能力。核心技術受制于人對我國國家安全、網絡安全有著巨大潛在風險。未來，我國政策、資金扶持力度持續加大，綜合匯集產、學、研力量，核心軟硬件國產化創新加快研發。著力突破大數據、工業互聯網、人工智能等前沿領域技術瓶頸，優化供應鏈安全產業結構，有效提升自主創新能力和本質安全水平，打造自主可控、安全可靠的供應鏈。另一方面，強化網絡安全審查，推動國內國際市場雙循環有序發展提升供應鏈彈性。2021年7月10日，《網絡安全審查辦法（修訂草案征求意見稿）》發布，將針對企業國外上市行為的網絡安全、數據安全問題進行重新修訂，在國際政治、外交、貿易等領域的網絡安全監管更趨嚴格，為促進國內國際市場雙循環安全、有序發展奠定基礎，形成開放型產業鏈，提升供應鏈安全彈性。

2.3 網絡邊界日益模糊，防護思路從邊界防護向角色控制轉變

隨著云邊協同、云網融合、泛在接入等網絡架構創新升級，基于邊界安全的解決方案難以應對新一代信息技術的快速演進，防護思想的變革勢在必行。作為一種以角色控制為核心的網絡安全新思路，零信任架構秉承“從不信任并始終驗證”的原則，融合身份認證、權限控制、環境評估等多種技術，在人、設備和業務之間構建虛擬的、基于身份角色的邏輯邊界，構建細粒度、自適應的訪問控制，實現網絡架構的新變革。隨著零信任國內應用實踐逐步落地，未來發展前景廣闊。

（1）靈活適配安全場景。可靈活適配云計算—大數據—物聯網—移動互聯網—人工智能的各種業務場景安全需求，滿足網絡虛擬化、軟件定義網絡、萬物互聯等多種復雜網絡環境下的安全防護要求。

（2）升級防御能力。可增強基礎設施動態防御能力，借助精細化身份管理和訪問控制、動態的可信環境評價和人員行為評估，強化未知威脅防御能力。

（3）差異化管理策略。可支持第三方人員協同、外部資源訪問等差異化管理策略，為多分支機構、跨區域協作提供安全保障。

當前，傳統安全防御體系已無法動態適應新型業務場景安全需求，新舊網絡安全架構將逐步歷經并存、兼容與迭代的優化發展歷程。

2.4 產業數字化、數字產業化快速發展，安全供給模式與能力加速演進

當前，數字產業化發展和產業數字化轉型驅動網絡安全技術保障、應用創新和產業供給能力不斷提升。一方面，產業數字化加速催生場景化、融通化和應用型的按需安全供給模式。面向技術、場景、業態全向融通的數字安全保障能力將不斷強化，傳統IT安全技術向產業級安全應用平滑遷移，智能預測、主動防御、編排響應、大流量監測等技術在應用中驗證擴展，產業數字化安全實踐將加速安全應用從固化單一、松耦合形態走向全面云化即服務、緊耦合形態轉變。另一方面，數字產業化需要夯實數字技術內生安全能力和應用安全保障。基礎電信企業、設備制造商、自動化集成和應用服務提供商及安全企業將加強聯合攻關，強化5G+工業互聯網、車聯網、工業大數據等融合領域的安全研發設計和產業化協同防護。

2.5 產業基礎不斷夯實，推動網絡安全產業向高質量發展

在政策扶持、需求擴張、應用升級等多方驅動下，我國網絡安全產業綜合實力將顯著增強。

（1）網絡安全產業將長期保持高速增長。預計到2024年，通信、互聯網等重點行業領域安全投入將大幅增加，網絡安全投入占信息化投入的比重將升10%，我國網絡安全產業規模復合年均增長率預計將超過15%^[12]。

（2）網絡安全企業實力將持續增強。在企業發展方面，引領網絡安全產業生態的龍頭企業將初步形成，“專、精、特、新”獨角獸企業數量也將逐步壯大。在投融資方面，我國產融合作將更加精準高效，多方資本力量將持續賦能網絡安全投融資市場。

（3）安全技術產品智能化、主動化發展。入侵檢測、DDoS防護、高級威脅檢測等傳統安全技術產品將持續升級，安全編排與自動化響應、用戶實體行為分析等智能檢測響應技術產品將不斷落地，擬態防御、威脅狩獵等主動安全防御技術產品將逐步成熟，網絡安全技術產品集約化、智能化、主動化水平不斷提高。

（4）人才隊伍日益壯大。覆蓋高等院校、職業院校、企業與社會機構、人才培養基地、公共服務平臺等的多層次網絡安全人才培養體系將更加健全，一批創新型、技能型、實戰型人才將更多涌現。

3 結束語

2021年是“十四五”開局之年，數字經濟迅猛發展，網絡安全也迎來發展新階段。未來，我國將把握機遇，強化網絡安全謀篇布局，不斷完善網絡安全法規政策體系，提升網絡安全創新和供給能力，推動網絡安全產業向高質量發展，全面增強網絡安全綜合實力，構建良好的網絡空間安全生態。