“针对我国网络安全产业的现状,应坚持需求拉动,政府要加大网络安全产业的投入,推动国家整体的网络安全产业创新发展。”全国政协委员、上海市信息安全行业协会会长、众人科技董事长谈剑峰今年提交了《关于加大我国网络信息安全产业投入的建议》。
两会期间,谈剑峰在接受记者专访时表示,维护网络安全就是守护国家安全,我们需要自主、健康的网络安全产业来支撑,才能避免受制于人。
“大国博弈”的启示
作为网络安全领域的专家,在谈剑峰看来,互联网的高速扩展催生了全球网络空间,这是人类活动的第五空间,围绕这一空间的大国博弈已经进入到白热化地步。“伴随着网络的发展,世界各国的政治、经济、社会活动与网络深刻地连接在了一起,全球网络空间的安全、稳定、繁荣,对国家的安全、稳定和繁荣至关重要,网络安全风险日益凸显。”
在“大国博弈”的全球版图中,谈剑峰认为,美国的网络安全产业整体战略层次清晰,产业创新能力和聚合能力均较强,其背后的深层次因素对其他国家有借鉴价值。
“(美国)法律法规体系完整,政府、企业和民众均比较重视网络安全。”据谈剑峰介绍,美国仅在网络领域专门立法的就已超过五部,这些法律有的强制要求政府采购中的网络安全产品或服务数量和比例,还有的是着手进行产业优化,直接资助企业进行前沿技术研究。这些举措使得美国确立了以强势产业作支撑点的网络安全体系,也培育了一大批极具竞争力的本土企业。
在谈剑峰看来,美国信息安全产业之所以发达,一个很重要的原因是政府采购创造了庞大的内需。“这主要是由于《联邦信息安全管理法案(FISMA)》强制要求,将政府部门在网络安全投入占信息化的比重提高到平均15%。而我国网络安全投入占信息化总体投资比例非常低,2017年有研究指出相应指标只有1.04%。”
谈剑峰认为,从顶层设计上看,美国的网络安全产业目标层次清晰,促进了相应的市场发育成熟。“美国既有综合性的网络安全解决方案供应商,也有一大批独立的网络安全厂商,凡涉及网络安全的各个领域,美国都有强点企业专注于某一方向,由此形成个性与强点互动的良性发展态势,构架起信息化、安全威胁和安全创新之间的创新迭代关系。”
纵观中国的网络安全产业,谈剑峰坦言,几乎每个企业都强调做大做全做强,但现实却是规模和竞争能力相对较弱,既无法复合形成面防御,也无抓手构筑支撑点。“该问题较为严峻,使得目前尚有部分关键领域的安全防护依赖于国外产品,没有可控的网络安全产业也就谈不上自主安全。”
“提高政府采购中的网络安全份额”
“信息化时代的今天,网络安全产业并非孤立存在,其发展滞后也阻碍其他产业的升级发展,更谈不上以数字化与网络安全形成经济发展新动能的双轮驱动。”谈剑峰表示,为促进我国网络安全产业的健康发展,电子政务系统应率先增加网络安全投入,多方面促进产业发展,及早形成正向外部性效应。
为此,他提出,首先要从战略层面进行网络安全的体系化和层次化设计。应对网络安全问题首先应把握网络安全的发展规律,需要靠有层次的战略架构去保障。谈剑峰解释说,克服以往网络安全体系的认知盲点,需要系统性地建立网络安全态势感知与威胁情报共享网络,梳理电子政务网、关键基础设施中的网络安全需求,定义安全框架和模型,明确安全防护关键节点,针对重要环节整理制度、组织和技术等层面的最佳实践,将攻防技术标准化,确立安全检测标准,为政府部门、企业等提供网络安全指引,建立政府、企业间信息共享机制,定期为各机构培训网络安全。
“其次是制定积极的网络安全产业发展政策,实行主动纵向的产业政策。”谈剑峰认为,要从国家安全角度出发,将网络安全产业定义为战略性新兴产业,落实包含资源配置导向的网安产业的结构政策,支持和吸引更多有志于网络安全的企业和创业者进入该领域;兼顾产业的合理化,鼓励企业研发新技术、形成安全管理新思维、构筑健康合作关系。
“此外,在政府及国有企业采购中增加网络安全产品和服务采购比例,提振产业空间。”谈剑峰建议,在部分可标准化网络安全环节中,明确政府及国有企业采购项目采购中网络安全产品和服务的比例,并设定相关产品的国产化率。“针对关键基础设施网络,落实网络安全检查与加固,建立定期安全漏洞扫描与巡查制度。”
