文│ 润联智慧科技有限公司 郭勇
一、我国网络安全服务业发展现状
智研咨询发布的《2019-2025年中国网络信息安全行业市场竞争现状及投资方向研究报告》数据显示:全球网络安全保持9.4%的年复合增速,网络安全服务支出占比第一。到2023年,预计全球网络安全支出规模将达到1512亿美元,保持9.4%的年复合增长率持续增长。从安全硬件、软件、服务的分类来看,在欧美市场安全服务化理念深入人心,2019年安全服务支出规模占比第一,占比达到64%。
中国网络安全行业发展起步相对欧美要晚,在相当一段时期内,中国网络安全投入在整体IT投入中的占比不高,市场仍是以硬件为主,比如2018年国内信息安全硬件市场占比达到48.1%,安全服务只占整个网络安全市场的13.8%。随着《网络安全法》、等保2.0、《关键信息基础设施安全保护条例(征求意见稿)》等相关法律法规监管和审查趋严,中国网络安全投入在整体IT投入中的占比快速提升,相关硬件、软件和服务市场保持高增长,网络安全服务市场占比增幅较大,网络安全服务能力已成为各安全厂商、安全集成商的一大必备能力。未来三年,随着云计算、大数据与智慧城市的快速发展,更多的大型企业趋向于定制化安全服务,安全服务市场将持续增长,基于安全能力虚拟化技术的安全软件及服务市场将是下一个爆发点。公开数据表明“2021年安全服务市场规模将达到183.5亿元,未来三年复合增长率为39%,安全服务市场占比也将达到20%。”
当前,中国网络安全服务主要分为六大类,即:安全咨询规划、安全专业资质培训与认证、安全运营服务、专业技术服务、攻防演练以及安全数据分析。从服务实际开展情况看,六大类型安全服务发展参差不齐。
1. 安全咨询规划服务
伴随着IBM、埃森哲、“4大”(毕马威、德勤、安永、普华永道)等世界知名咨询服务企业在国内的发展,安全咨询规划服务也同时兴起,虽然起步早,但达到的市场效果和客户价值体现却很不理想,究其原因主要有三点:一方面是甲方自身的原因,没有条件/能力/环境将安全咨询与规划成果落地,这个因素占比较高;另一方面是限于时间、环境、能力的因素,乙方做的安全咨询及规划与甲方的场景和需求有差距;最后,有助于企业安全顶层设计的安全咨询规划这一高精端服务逐渐沦落成为安全软硬件销售用于创造便利的免费服务。
2. 安全专业资质培训与认证
该服务领域伴随着国家对网络安全的重视程度不断提升而急剧升温。2019年上半年,网络安全人才需求规模指数为117.2,较2018年下半年环比增长104.9%,较2018年上半年同比增长173.2%。2019年数据统计表明,每年全国网络安全人才缺口近70万。巨大的市场空间驱动安全专业资质培训与认证服务市场蓬勃发展,全国各地网络安全认证培训机构数量增长迅猛。一些有实力的网络安全企业牵头建立人才培养基地,通过招收即将毕业以及准备求职网络安全岗位的学员/求职者,通过2-3个月的实践培训,使其顺利找到合适的企业入职,并从事相关的网络安全工作,最终批量输出满足用人单位需求的一线安全人才,打通人才供应的最后一公里;部分开办有网络安全学科的高校也积极主动联合网络安全公司和企业构建联合培养机制,共同制定培养目标、课程,通过理论与实践相结合的方式,为社会输送专业的网络安全人才。
3. 安全运营服务
安全运营服务是近几年才在我国兴起的,这主要源自甲方内生需求及商业模式驱动。关于甲方内生需求,主要有两个表现:第一,认知改变,政府、大型企业、各行业在经历了10多年的信息安全建设后,依然感到整体安全状况达不到预期目标,一些不该发生的安全事件依然在发生,需要从“建设与运维模式”转变为“运营”,将安全要求逐步贯穿到日常的企业经营活动中去;第二,业务驱动,近8年以来,我国各级政府、大型企业、各行业先后经历了互联网思维、大数据、云、智能化、数字化这些概念的影响和国家安全战略影响,同时伴随着企业业务复杂度的提升,对安全的投入越来越大,期望也越来越高,但自身安全运营能力不足以支撑与应对,只能通过外部安全企业、安全集成商来弥补。关于商业模式驱动,这点在智慧城市建设与运营中尤为突出。智慧城市涉及的IT基础架构和业务系统,相对政府的信息中心来说,是一块“多”出来的资产,针对这部分资产的日常安全保障,政府没有足够的编制和安全专业人员来进行支撑,只能通过将IT基础架构和业务系统的建设与运行维护一起打包给建设方来开展安全运营工作。
4. 专业技术服务的发展
专业技术服务的发展恰好见证了我国网络安全行业的发展历程:单机及网络化下的病毒防治应急响应,安全体系化建设下的风险评估服务,应用安全建设的代码审计服务等,攻防视角下的渗透测试服务、众测服务、App逆向服务、综合攻击应急响应等。
5. 攻防演练服务
攻防演练的发展源自2016年国家监管机构组织的针对不同行业、地域的网络实战攻防演练。国家监管机构每年组织一次,涉及的行业范围越来越广,尤其是关键信息基础设施的运营方。实战化检验效果直接驱动了攻防演练服务的快速崛起,攻防演练服务已成为政府各单位和各行业每年都必须实施的安全服务。
6. 安全数据分析服务
安全数据分析脱胎于SOC,伴随着安全运营和大数据技术而兴起,成为洞察网络空间安全威胁及网络空间安全状态,并让这些威胁和状态真实高效可视化呈现出来的有效手段,从而让安全硬件与软件的价值得以充分体现。
二、网络安全服务践行
润联智慧科技有限公司(简称“润联科技”),是华润集团全资子公司,隶属华润集团智能与信息化部。华润集团作为一个多元化的中央企业,涵盖大消费、大健康、城市建设与运营、能源服务、科技与金融五大业务领域,下设7大战略业务单元、19家一级利润中心,实体企业约2000家,在职员工42万人。润联科技承担华润集团网络安全技术落地,以服务的方式协助集团智能与信息化部网信安全部开展全集团的网络安全各项推进工作,以服务的方式支撑各SBU/BU的网络安全建设与运营。自2019年润联科技成立以来,润联科技结合华润集团业务特点和安全状况、业界安全服务发展状况、自身安全能力与发展定位,在集团智能与信息化部领导下,积极创新,打造“安全即服务”,并提供兜底保障。下面从战略、战法、战术三个角度阐述润联科技打造的安全即服务。
1.战略
华润集团的“出身”决定了为其提供网络安全服务,在网络安全服务认知上,在具体设计和执行上,必须要保持高度政治敏锐性,要从国家安全角度看华润集团网信安全。只有在认知上与华润集团网信安全工作的核心指导思想高度保持一致,才能提供符合要求的网络安全服务。润联科技网络安全服务团队在润联科技党支部领导下,始终以“国家安全”这一战略高度为指引,不断完善网络安全服务内容、流程、机制。
2.战法
“网络安全是整体的而不是割裂的,是动态的而不是静态的,是开放的而不是封闭的,是相对的而不是绝对的,是共同的而不是孤立的。”按照习近平总书记的讲话精神,华润集团明确了全集团网信安全工作自上而下一盘棋,集团总部统筹规划、统一设计,各SBU/BU分头落地。各SBU/BU网络安全能力及水平各异,为确保各SBU/BU准确落地,润联科技在集团智能与信息化部的指导下,在相关领域制定统一的安全技术标准与规范,并在集团数据中心严格执行;制定一体化的安全运营机制,贯穿集团总部和各SBU/BU。同时,结合十多年的企业信息化建设丰富经验,润联科技将“网信安全工作”作为业务看待,积极探索开展网信安全工作信息化、数字化、智能化建设,通过自主研发三大作战指挥平台:慧脑SCP安全作战指挥云平台、慧眼SSP安全态势感知云平台、慧联STP安全协同平台,以及MarvelNet网络智能运维平台、Rango系统漏洞智能修复平台、Tota护网实战事件管理平台等一系列平台级工具软件,将安全管理体系、技术体系、运营体系融合一体,将相关流程、机制固化到系统中,融合联动各类异构防护设备(G01、K01、WAF等)、监测设备(D01、网络流量安全感知等)、网络设备,实现了基于资产的威胁自动分析、IP自动封堵、事件自动提单、跨领域人员高效协同研判与处置、辅助作战指令下达、全局态势洞察等多项功能,为集团总部和各SBU/BU快速赋能,实现全集团安全上下一体,全局风险与威胁可视、可管、可控。
3.战术
只有经过炮火的实战检验,才能知悉构建的安全防护体系是马奇诺防线还是长城,才能深层次触动各级领导和相关人员的安全意识。在集团统一指挥下,润联科技以国家网络安全攻防演练为契机,以“战”促“改”,从“网络攻击战”视角,通过自主研发的SCP、SSP、STP等一系列平台级工具软件,协助集团总部和各SBU/BU在“备战”中完成资产梳理、威胁和风险发现以及风险消控和安全加固、业务应急响应机制建立,在“实战”中积极“对抗”、完善防御漏洞。通过实战化检验过程,集团的安全管控要求在很大程度上得到自上而下贯穿落实,各级领导和人员的安全意识得到极大的提升,整体安全防御体系和协同作战机制得到极大的完善。
润联科技网络安全服务团队通过特色安全服务,助力华润集团总部和各SBU/BU的安全能力大力提升,确保华润集团顺利完成了2019年国庆重保、2020年疫情复工复产、国家网络攻防演练等重大任务。
三、数字经济下网络安全服务发展建议
数字经济代表了未来经济的发展方向,已成为经济增长的核心要素和企业竞争的关键领域,也是增强企业的竞争力、创新力、控制力、影响力、抗风险能力的重要保障。
2020年9月,国资委印发《关于加快推进国有企业数字化转型工作的通知》,就加快推进国有企业数字化转型工作的有关事项作出部署。通知明确指出,充分发挥国有企业新基建主力军优势,积极开展5G、工业互联网、人工智能等新型基础设施投资和建设,形成经济增长新动力。带动产业链上下游及各行业开展新型基础设施的应用投资,丰富应用场景,拓展应用效能,加快形成赋能数字化转型、助力数字经济发展的基础设施体系。
从通知可以感受到,数字经济下的企业业务更新型、更复杂、更智能、更开放、上下游更融合,技术栈更加多样化、复杂化;数字化转型项目比传统的IT项目更复杂,而且毫无疑问会涉及企业内部网络和公有云的交互,涉及界面集成、数据集成、流程集成、应用集成和安全集成,也涉及IT细分学科、细分领域的技术整合。
网络安全是为了保障业务稳定可靠不间断运行而存在的,因此数字经济下如何为企业数字化转型提供高质高效的网络安全服务,已成为新形势下网络安全行业一大课题。润联科技承担着华润集团数字化转型的艰巨任务,需要在思考这一课题的同时,在数字化转型实践中持续改善网络安全服务。一些思考与大家分享:
1.加强对数字化转型的认知。充分理解数字化转型背景、影响、过程、方法、技术,分析新技术引入的安全风险,分析复杂动态的项目实施过程中的安全风险,梳理通用性的安全解决思路。
2.加强对数字经济下的企业环境变化和业务新特点的认知。企业的物理空间环境、网络架构和网络空间环境、面临的外部威胁都会随着数字化转型的进程、业务的多样性与开放性及上下游关联性程度在动态变化,网络安全服务在内容、方式、机制、技术支撑等方面要具备自适应性,不同的阶段、不同的业务、不同的客户群体均有适配的网络安全服务。
3.坚持“三同步”建设原则。数字化转型进程中,新业务、新技术、新项目会不断涌现,坚持“三同步”建设原则,将网络安全要求嵌入到业务规划设计、技术引入、项目实施中,尽量避免中高安全风险转移到后期的业务运营阶段,总体降低网络安全风险。
4.加强复合型人才培养。数字化转型涉及的技术和场景众多,需要培养既懂网络安全技术,又了解数字化转型方法论、业务场景、相关技术的复合型人才,才能更好地做好数字化转型下的网络安全服务。
5.提供安全文化融合服务。没有文化变革,组织变革不会成功。向数字化转型,文化是必须要考虑的因素之一。基于此,在企业数字化转型文化重塑中,借机打造与之匹配的网络安全文化,使网络安全要求在复杂的企业环境下能得到有效落地。
6.开展生态化运营。数字经济下的系统就是多源IT生态系统,以数字化转型业务生态场景为核心开展生态化的网络安全服务运营,是有效应对多源IT生态系统安全风险的唯一举措。
(本文刊登于《中国信息安全》杂志2020年第10期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。