文│ 360 政企安全集团首席战略官 潘柱廷
站在网络安全产业尤其是龙头企业的角度,解读好“十四五”规划纲要,落实到产业发展的理念创新、技术创新、管理创新上,实现产业发展的“新阶段、新理念、新格局”。
一、要解读“十四五”规划结构
当前谈论的网络安全产业是面向面向企业(To B)市场,不是面向个人(To C)市场的。
To C 和 To B 的区别是什么?其中一个突出的区别就是:To C 的客户群体是“无结构”的,产品也是关联松散的“无结构”交付物,就好像几堆沙粒、好像一片海洋。而 To B 的客户群是有结构的,结构中的利益相关方还不仅仅包括用户,还有监管方和威胁方等。再进一步说,To B 市场的客户内部也是有结构的,提供给企业客户的产品也是有结构的,而且常常组成高关联度的解决方案。总之,To B 市场的方方面面都体现了结构性。
那么,在 To B 的视角下读“十四五”规划,就要读出结构,不能仅仅统计关键词的词频。若以ToC 的模式,仅仅统计出某个自己喜欢的关键词词频很高,就欢欣鼓舞,就有些自嗨自乐。从 To B 的视角解读,要读结构,读逻辑,读因果,再从中推导出趋势,从而规划行动方向。
二、从自身以及他人视角解读“十四五”规划结构
图1:四项点产业结构模型图
鸟瞰网络安全领域ToB 市场,每个人、每个机构都是网络安全产业大结构中的局部。上图的四顶点产业结构模型,就是一个产业视角的结构描述。其中,“甲乙丙丁”各自也是有结构的。
甲:很多大型央企和行业主管、行业支柱企业和城市关键基础设施、大型民企等都在解读“十四五”,也在规划自己的“十四五”。
乙:网络安全产业界的龙头企业、骨干企业、处于创业发展阶段的企业、初创和想创业团队都在关注“十四五”。与网络安全产业横向关联的电信、媒体和科技产业(TMT)领域,包括信息化应用产业、IT 基础设备制造业、芯片产业、互联网产业也都在密切关注“十四五”。
丙:网络安全产业的国家监管部门、政策主管机构,都是政府体系下的延伸,也都在分解和落实“十四五”。第三方测评机构、产业第三方咨询机构、行业媒体等,近期也都在积极研究“十四五”、发声“十四五”。
丁:甚至是我国网络安全领域面临的两大高组织性威胁方,也在研究我国的“十四五”。一方面,是来自于他国,现正以 APT 为手段,未来会以灾难破坏型攻击为威胁的组织;另一方面,是网络黑产组织,也会观察未来产业趋势。再有,也有产业中作为丁方替身的网络安全测试方(很多乙方企业也会兼具丁方测试职能),会关注“十四五”。
身处这个结构性产业中解读“十四五”,不仅仅要从自己的视角解读“十四五”,也要解读其他人的解读,理解别人的理解。作为网络安全的龙头企业,尤其是要从产业整体和产业成员的双重角度解读“十四五”。
三、跳开产业读“十四五”规划结构
“十四五”规划纲要是一个国家宏观文件,不仅仅涉及经济,更不拘泥于一个具体产业。所以,我们先不执着于自己所在安全产业的视角,先要有一遍通读,从宏观整体去解读和理解;还要尽量多从参与起草的专家学者那里学习。
整个“十四五”规划的背后是有着清晰的核心主线的,这就是:“新阶段、新理念、新格局”。后续的解读都可参照这个主线延续和扩展。
1. 新阶段
改革开放四十年,我国快速粗放的经济发展模式开始向“高质量发展模式”转变。增速的放缓是一个持续的量变,而发展质量的跃升则是我们期望的质变,能够让我国跨越所谓的中等收入陷阱,在2035 年到 2050 年前后迈入中等发达国家的行列。
新阶段,同时也意味着大问题、大挑战、大机遇、大趋势。比如,我国国内区域发展不平衡问题,再比如外需增长乏力问题等。读懂问题,就能读懂新格局的设计逻辑。
2. 新理念
“坚定不移地贯彻创新、协调、绿色、开放、共享的新发展理念。”
关于创新,“十四五”规划纲要在第二篇就明确了“坚持创新驱动发展”,提出了新型举国体制的要求,也具体点出了国家、企业、人才、机制上的设计。
关于协调,在国土空间布局方面,国家提出了“逐步形成城市化地区、农产品主产区、生态功能区三大空间格局”。
关于绿色,整个第十一篇都围绕其展开。绿色也是高质量发展的重要一环。数字化也将是实现绿色发展的重要助力。
关于开放,第十二篇阐述了我国坚持开放性经济新体制的决心。
关于共享,“十四五”规划纲要把民生福祉摆在了很重要的地位,用了多篇篇幅阐述,既强调了共同富裕,也保护早富裕的和快富裕的人,提出了要结合劳动、资本、土地、知识、技术、管理、数据等生产要素由市场评价贡献,按贡献决定报酬机制。
深入理解“十四五”规划纲要中贯穿的“新发展理念”,可以从中反省自身机构在发展路径中是否顺应“创新、协调、绿色、开放、共享”这五大理念,是否有违拗违和之处需要改进。
3. 新格局
“十四五”为我们描绘了未来国家整体发展的宏观结构、关键梁柱、主力航道,用大结构、硬梁柱、宽航道来应对大挑战大问题。
比如,针对国际形势变化,外需增长引擎乏力和不可靠的问题,国家提出了“加快构建以国内大循环为主题、国际国内双循环相互促进的新发展格局”,这是我国经济发展方向和格局上的大转变。
新格局可以用 6 个关键词来描述:格局、循环、开放、整体、构建、系统。
新格局可以描述为7个任务。第一,培育完整内需体系,提供供需体系的韧性;第二,扩大居民消费,提高居民消费比重;第三,增加居民收入,提高居民收入比重;第四,加强科技自立自强,提高自主可控技术比重;第五,深化供给侧结构性改革,提升供给体系对需求结构的适配性;第六,提高城市和城市群要素集聚能力,提高城市化地区经济和人口比重;第七,坚持扩大开放,提高内外循环畅通性。
四、未来网络安全产业的高价值区
回到网络安全产业的视角看“十四五”规划,未来国民经济的高价值区,必然就是数字化的重点,也必然就是网络安全产业的高价值区。下图是描述网络安全产业高价值板块的奥丁模型图。
图2:网络安全产业高价值板块奥丁模型图
1. 数字化和数字产业
“数字化”一词已经大量替代了以往文件中“互联网”这个词。“十四五”规划第五篇讲“加快数字化发展 建设数字中国”。数字化既是一个经济领域,有其自身的产业和经济贡献;同时,数字化也是一种经济模式、一种经济改造模式,可以对其他和传统经济模式进行叠加、改造、升级。
2. 数字城市
第八篇阐述“完善新型城镇化战略 提升城镇化发展质量”,第九篇“优化区域经济布局”明确了城市和城市群是国民经济的主引擎;城市也是我国人口越来越集中的区域,民生福祉、文化发展也都聚焦在城市。城市也必将越来越数字化。
3. 产业数字化
经济稳步平衡的发展,必须有制造业和其他所谓传统产业的升级变革发展。而数字化技术的深入应用,必将造成“一切皆可编程、万物互联、大数据驱动业务”的局面,这在带来便利和质量的同时,也带来了网络安全的挑战和风险。
4. 国防数字化和网络空间国防
军队和军工的网络安全业务,已经迈出了原来军队网络信息化建设中安全保密的小圈圈,进入了大国防、大军工领域。武器的日益数字化,军工供应链的数字化水平不断提升,未来先导战和隐蔽战必将发生在网络空间,这都会带来整个国家军费的稳步提升,以及网络安全投入份额的稳步增加。这是网络安全产业的大机会,也是创新的大领域。
五、数字化和基础设施
经济高质量发展,需要数字化的高度介入,特别是经济发展的主引擎第二产业和第三产业。
1. 数字化改变产业
数字化深度作用于第二、第三产业,是不可阻挡的趋势。
数字化作用于第三产业,其直接结果是基础设施化和服务化。提供基础设施服务、承接新数字化基础服务的是新终端。
数字化作用于第二产业,首先会促使其第三产业化。而对那些不能第三产业化的第二产业部分,其趋势是可外联的部分会逐步形成供应链互联化,不可外联的部分会采用新工控、新智能化。
2. 数字化不同于信息化,着力点当在基础设施
数字化不同于传统意义上的信息化,以前的信息化主要是办公自动化系统(OA)的延伸,以工作流程为核心。To C 的互联网上半场给我们带来了云计算、物联网、移动互联网、大数据、人工智能、边缘计算、区块链等新技术及其深度应用,带来平台化经济。每个互联网平台其实都是一个新型基础设施,服务于互联网社群大量的消费者群体。这种彻底的数字化形态,造就了我国在互联网上半场的辉煌发展。
图3:互联网下半场发展模式图
而在互联网的下半场,或可称之为“产业互联网”,现在更适合称谓为“工业数字化阶段”,就是将上述新技术和生产要素的平台化聚集模式,作用于传统工业领域。这既不是传统的 To C,也不是传统的 To B,可称之为 To X(如上图所示)。其典型着力点就是新型基础设施,也就是数字化基础设施和基础设施的数字化。而安全同样也会是一个重要的新型基础设施群落,比如城市安全大脑。
构建新型基础设施需要实力,也需要长线的投入和耐性,这都是产业龙头企业才能做的,也是龙头企业应当做的事情。
六、安全产业的韧性和定力
经济在数字化,社会在数字化,政府在数字化,一切都在数字化。那么数字化带来的数字安全问题、网络安全问题就是网络安全产业的巨大机会。
网络安全产业要在这个大机遇中保持高度的适应性和韧性,同时也要知道“安全”的根基到底在哪里。在这个过程中,引领的责任就落在龙头企业身上。
图4:三原生模型图
上图是一个三原生模型的示意。新的数字化技术,都会像“云原生”的说法一样带来技术的原生特点。比如,大数据原生技术特点要求具有海量存储技术能力,有流计算、图计算等技术实力。再比如,物联网技术特点就要求具有低功耗、嵌入式的能力;为了提高算力,边缘计算就是必由之路。
而数字化对于不同工业领域、不同城市功能领域的改造,又把我们带入不同的行业原生环境中。比如,银行业要求的高审计高风控要求;再比如,智能汽车的应用场景把我们带入了车的“数智网联环境”——车联网、汽车的工业制造环境、智能设计和工业控制、汽车的营销环境和供应链环境等典型的新工业场景中。
从网络安全产业龙头企业的视角看,面对技术原生和行业原生的拉扯,网络安全从业者要有高度的适应性、包容性和学习能力,同时也要知道“安全原生”的一些基本原则、基本技术、基本方法、基本能力。比如:
“漏洞攻防派”会强调,漏洞一定哪里都有,基于漏洞的渗透和破坏攻击一定有,而且一定有办法检测和处置。
“密码管控派”会认识到,密码是基础之基础,基于密码技术的身份和访问控制是安全体系的骨架。零信任即是属于这一派系。
“合规派”则会很踏实,“不管千变万化,安全中合规为大”。产业发展的动力,用户采购的意愿,最后的“那一推”还是要走合规的道路。
“体系治理派”则认识到,不管是三七开还是五五开,技术和管理是平衡的,体系化认知和管控治理手段是必不可少的。类似质量控制一样的风险评估和控制、能力成熟度体系(CMM)等都是有效的手段。
当然,随着数字化的深入,随着基础设施依赖的必然性,网络安全中另外两个派别将逐渐成为主导和支柱:
从技术角度看是“情报派”。安全对抗的成败首先在看见,看见不仅仅要靠自己,也需要靠内外情报协同。威胁情报、态势感知这类情报型服务和基础设施成为枢纽。
从体系角度看是“基建派、基础设施派”。安全仅仅靠自有体系化的完整、靠自己内生、内循环、内成长已经不够。在数字化时代,我们面临的安全威胁都是有组织的大威胁,仅仅依赖优质高水平的自有安保体系,解决不了外部有组织的国家级威胁和网络黑产威胁,必须要依托国家、行业、城市的基础设施,在此之上构建体系化的安全能力体系。这就是基建派的基本论点。
要保护好未来靠数字化技术驱动的高质量发展,必须靠安全原生、技术原生、行业原生三方面的共同贡献。密码管控、漏洞攻防、合规、体系治理、情报、基建等派系都是安全原生的视角,这就是网络安全人应有的定力所在。情报和基建,是新阶段、新格局下必然的产物和趋势,这就是网络安全人应有的适应性和韧性。龙头企业尤其要有定力和韧性,带给整个产业强韧的“筋骨”。
(本文刊登于《中国信息安全》杂志2021年第4期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。