摘 要:2015 年,“数字印度”倡议发布以来,印度积极推进国家数字化转型,成为拥有全球第二大网络用户群的国家。为应对日益严峻的网络安全威胁形势,印度加大了国家网络安全体系建设,以多管齐下的方式加强网络安全产业发展与威胁治理。首先,从战略法规层面,简要梳理了印度核心的网络安全战略政策和法律法规;其次,从监管体系层面,分析了印度国家网络安全事务的政府监管组织机构;最后,从市场概况、驱动因素、细分市场及发展特点等方面分析了印度的网络安全产业发展格局。
内容目录:
1 印度核心战略法规
1.1 战略层面
1.2 法规层面
2 印度主要监管机构
2.1 印度总理办公室
2.2 印度国家通信和信息技术部
2.3 印度国防部
2.4 印度内政部
3 印度产业发展格局
3.1 市场概况
3.2 驱动因素
3.3 细分市场
3.4 发展特点
4 结 语
印度的网络空间政策与该国所处政治环境密切相关,2015 年印度总理莫迪提出“数字印度”(Digital India)倡议,将数字化作为印度的发展重点。国际电联公布了 2020 年全球网络安全指数(Global Cybersecurity Index,GCI),印度位第10位,排名较上一年上升了 37 位,并将其列入“高度遵守网络安全承诺”的国家之列。印度电信管理局的年度报告显示,截至 2022 年底,印度整体电信用户总数为 11.66 亿人;截至 2023 年 1 月底,印度互联网用户总数增至 8.39 亿人,是拥有全球第二大网络用户群的国家。
飞跃式的数字化发展也伴生了诸多棘手的网络安全问题。为保障印度数字化转型顺利实施,印度积极优化国家网络安全体制机制,密集出台顶层网络安全战略法规,联合相关政府机构、行业组织及网络安全产业生态力量,推动并加强网络安全产业发展,以应对网络空间的新兴威胁,服务于其谋求国际政治地位与军事发展的国家战略需要。
1 印度核心战略法规
印度极为重视网络安全能力建设,较早出台了国家级战略文件来统筹网络安全发展,以战略引领、法律约束方式加强网络安全产业发展与治理。
1.1 战略层面
迄今为止,印度颁布了两份网络安全宏观战略政策,牵引网络安全产业发展。一是《印度国家网络安全政策》(National Cyber Security Policy,NCSP),由印度通信与信息技术部于2013 年 7 月发布。该政策要求政府确认对国家而言风险最高的网络威胁类型、关键信息基础设施的漏洞和网络安全存在的问题,将所有网络安全实践“统一到国家网络安全政策下”,从国家层面引导政府机构、非政府组织、企业、个人等多方开展网络安全工作,初步构建起一个自上而下的网络安全框架。二是《国家网络安全战略》(National Cyber Security Strategy,NCSS),由印度数据安全委员会(Data Security Council of India,DSCI)于 2020 年颁布。该战略提出了安全、强化、协同 3 大战略支柱及 21 个具体领域,战略重点关注公共服务大规模数字化、供应链安全、关键信息基础设施保护、数字支付等领域。具体来看,2020 年战略延续了 2013 年政策的总体思路,同时针对新形势下的网络安全风险,纳入了一些新问题,提出了更细化的施政措施,确保印度拥有安全、可靠、可信、弹性的网络空间。
1.2 法规层面
印度为响应其“数字印度”发展战略,近年来不断加强网络空间立法规定,并出台配套的个人隐私保护、数据治理、关键基础设施等标准规范,确保数字产业发展良好生态。一是个人隐私保护方面,印度电子和信息技术部于 2023 年8 月 9 日发布《数字个人数据保护法案》(Digital Personal Data Protection Bill,DPDP), 对数据出境、豁免与违法处罚等规则进行了进一步的调整。二是威胁响应方面,印度计算机应急响 应 小 组(Indian Computer Emergency Response Team,CERT-In)于 2022 年 4 月 28 日发布《关于〈2000 年信息技术法〉第 70B 条第(6)款,可信网络的信息安全实践、程序、预防、响应和网络安全事件报告指令》,要求服务提供商、中介机构、数据中心、法人团体和政府机构等组织在 6 小时内向 CERT-In 报告网络安全事件,该指令明确了对关键系统的定向扫描、未经授权访问 IT 系统等 20 类应当报告的网络安全事件类型。三是数据治理方面,印度电子与信息技术部于 2022 年 5 月 26 日发布《国家数据治理框架政策(草案)》(National Data Governance Framework Policy,NDGFP),提出数据管理框架应建设大型数据集存储库、设立印度数据管理办公室以制定数据收集、存储规则和管理数据集平台。
2 印度主要监管机构
为了应对持续的网络威胁,确保印度网络安全,并为“数字印度”等以网络为核心的国家项目提供保障,印度形成了以印度总理办公室为核心,印度国家通信和信息技术部、国防部、内政部等多部门参与的网络安全监管体制。其中,国家关键信息基础设施保护中心(National Critical Information Infrastructure Protection Centre,NCIIPC)负责“关键信息基础设施的网 络 安 全”,CERT-In 负 责“ 非 关 键 基 础 设施的网络安全”,国防网络局(Defence Cyber Agency,DCA)负责“国防部和其所属军事组织基础设施的网络安全”,网络犯罪协调中心(Indian Cyber Crime Coordination Centre,I4C)负责“打击网络犯罪”。这些机构在监管和管理印度的网络安全事务方面发挥着重要的角色。
2.1 印度总理办公室
印度总理办公室是印度政府的核心机构之一,负责协调和监管政府的各项事务。在网络安全事务方面,印度总理办公室作为印度最高级别的网络安全办公室,负责制定和推动国家安全政策,其下主要设立了印度国家安全委员会。该委员会设有专门的国家网络安全协调员,负责在不同机构之间协调网络安全行动措施,整合政府、企业、机构和社会力量,以形成整体合力,确保国家的网络基础设施和关键信息系统的安全。
印度国家技术研究组织(National Technical Research Organization,NTRO),隶属于印度总理办公室,是印度的一个技术情报机构,负责收集和分析与国家安全相关的技术情报,监测和评估网络威胁,为印度政府和军队提供相关情报信息和战略决策支持。在网络安全方面,NTRO 负责保护印度的情报系统和网络安全,采取措施防止未经授权的访问和数据泄露,确保情报信息的机密性和完整性。
NCIIPC 成立于 2014 年,被视为 NTRO 的一个机构,隶属于总理办公室。主要任务是确保印度关键信息基础设施免受网络攻击和安全威胁。该中心负责收集和分析关于关键信息基础设施安全的威胁情报,监控网络威胁和攻击活动,并评估其对关键信息基础设施的风险程度;制定和推广关键信息基础设施的安全标准和最佳实践,以确保关键信息基础设施的安全性和弹性;还建立了应急响应机制,对网络安全事件进行快速响应和处置,并组织演练来提高应对能力。
2.2 印度国家通信和信息技术部
印度国家通信和信息技术部由原印度电信部发展而来,是印度政府网络安全治理的核心部门。该部门负责监管和管理印度的通信和信息技术领域,包括制定和实施与通信、信息技术和电子通信有关的政策、法规和计划;监管印度的电信服务提供商、电信网络、互联网服务提供商等行业;设立网络安全机构、制定网络安全政策和法规、开展网络安全教育活动等。该部门下设多个子部门和机构,负责监管印度的网络安全事务。
电信监管局(Telecom Regulatory Authority of India,TRAI)根据《印度电信监管局法案》于1997 年成立,使命是使印度能够在新兴的全球信息社会中发挥主导作用,主要目标之一是提供一个公平、透明的政策环境,职责包括政策制定、法规制定、服务监管和市场竞争监管等方面。TRAI 发布了多份法规、命令和指令,为印度电信市场从政府拥有的垄断市场演变为多运营商、多业务、开放竞争的市场提供了必要方向。
CERT-In 于 2004 年正式成立,是处理印度网络安全问题的关键机构。主要负责分析网络威胁、漏洞和警告信息,应对网络安全事件和数据泄露,协调对网络攻击事件的适当响应,识别并采取适当措施来降低网络风险,以及向组织推荐网络事件管理的最佳实践、指南和预防措施等,是印度网络安全体系内重要的机构之一。
印度国家网络安全协调中心(National Cyber Security Coordination Center,NCCC)成立于2014年,负责协调和监督印度全国范围内的网络安全事务,旨在加强印度在网络安全领域的能力和防御措施。该部门通过协调各机构和组织之间的合作,监测、预警和应对网络威胁,并提供相关的技术支持和指导,以确保印度的网络基础设施和信息系统的安全性。主要职责包括协调各机构间的网络安全工作,监督实施相关政策和措施;与其他国内和国际的情报机构、行业组织和学术界保持密切联系,收集、分析和共享网络威胁情报;参与制定并提供网络安全政策和指导方针,提出适当的建议和措施来应对不断变化的网络威胁;建立应急响应机制,快速响应并处理网络攻击,并进行演练以提高应对能力。
2.3 印度国防部
印度国防部主要负责军用网络安全相关事宜,一是负责网络基础设施保护,确保军用关键资产免受网络攻击,包括军事通信系统、数据中心、服务器和网络设备等;二是负责威胁情报及分析,收集、分析和评估与网络安全相关的威胁情报,识别潜在的网络攻击者和威胁行为,采取适当的防御措施;三是负责防御性作战,设计和实施网络防御策略,以保护其网络免受各种形式的攻击。印度国防部于 2016 年建立了印度国防通信网络,提供保密、可靠的通信和信息交换系统,以满足印度国防力量的通信需求。印度国防部下属国防电子应用实验室、防务研究与开发组织、国防研究与分析研究所等研究机构,也为国防部门提供了网络安全解决方案和支持。
DCA 由莫迪政府于 2019 年成立,总部设在首都新德里,是国防部新设立的、专门负责处理军事和国防领域的网络安全事务的机构。DCA的主要任务是保护印度国防部和其所属军事组织的网络基础设施免受网络攻击和威胁,执行战略情报和特殊任务,以提高印度应对黑客等网络威胁的能力,实现印度在网络空间方面的“国家目标”。当前,DCA 在全球竞争中的网络攻击能力仍处于初级阶段,也曾报出面临资金短缺问题,短期内无法形成全球同类机构的强大网络战能力。
2.4 印度内政部
内政部在印度的网络安全工作中发挥重要角色,处理与网络犯罪、网络安全和国家信息安全政策与指南有关的问题,负责维护国家内部安全和公共秩序,包括保护国家信息和网络系统的安全。内政部的职责集中于制定指导方针,以帮助、保护可能影响内部安全和国家安全的信息。
印度国家情报局是印度的主要情报机构之一,直属于印度内政部,在网络安全领域也扮演着重要角色。国家情报局主要负责收集情报和分析网络威胁,为相关部门和机构提供关于国内和国际威胁、情报和安全问题的信息。在网络安全方面,重点关注网络安全和情报技术方面的问题,监测和评估网络威胁,提供技术支持和建议,确保国家的网络和信息系统的安全。
I4C 由印度内政部于 2020 年设立,以协调、全面的方式处理该国各类网络犯罪,主要负责追踪、监控和防范网络犯罪活动,防止利用网络空间助长极端主义和恐怖组织。同时根据需要和建议对网络法进行修订,并与其他国家协调与网络犯罪相关的所有活动。
此外,除了政府机构,还有一些民间行业组织参与印度网络安全监管工作。一是行业协会组织,典型的有 DSCI,重点关注隐私和网络安全问题;印度互联网和移动协会,重点关注印度互联网发展生态系统。二是民间社会组织,如非营利性组织互联网与社会中心,从政策和学术角度对互联网和数字技术进行跨学科研究,致力于解决与互联网治理、网络安全和言论自由有关的问题。三是网络安全智库,如观察者研究基金会,将网络安全和互联网治理作为其研究主题之一;国家安全和战略研究中心,重点研究网络安全公共政策和国际关系。
3 印度产业发展格局
印度信息通信技术产业发展迅速,是世界上最大的 IT 产业出口国,主要 IT 产业基地有班加罗尔、海德巴德、钦奈、孟买等,其中班加罗尔更是被誉为印度的硅谷。鉴于印度互联网产业增长迅速,印度政府正在加速推动建立强大的网络安全产业生态。
3.1 市场概况
根据普华永道和 DSCI 的联合研究,印度的网络安全市场规模从 2019 年的 19.7 亿美元增长到 2022 年的 30.5 亿美元,复合年均增长率为15.3%。该研究还指出,银行、金融服务和保险、政府是该国网络安全支出市场份额最大的前3 个行业。市场研究机构 Mordor Intelligence 的研究报告显示,2024 年印度网络安全市场规模估计为 47 亿美元,预计到 2029 年将达到 109 亿美元,且在 2024 至 2029 年期间以 18.33% 的复合年均增长率增长。
DSCI 在 2021 年 12 月发布的《印度网络安全产业》报告显示,过去几年印度的网络安全产业实现了显著增长,其网络安全行业在全球的地位也愈发重要。在服务范畴方面,印度网络安全服务公司正在进一步扩大其在全球的影响力,尤其是随着基于云的交付模型的出现,进一步拓展了其网络安全服务的国际市场,许多印度网络安全服务供应商在全球各地建立网络防御中心和研究与开发中心,迎合全球市场需求,总体上印度网络安全市场中,全球市场收入占比80% ~ 85%,国内市场收入占比 15% ~ 20%。
3.2 驱动因素
一是国内数字化转型激发了网络安全产业需求。印度政府一直致力于推动数字经济和网络安全的发展,智能城市、数字印度等政府倡议,一定程度上推动了印度金融服务、银行、电力等关键基础设施的数字化发展,促进了通信服务、在线金融交易、银行服务、电子商务和在线交付服务平台的发展。伴随个人数据的增加和涉及敏感信息的在线交易增多,也推动了国内的网络安全产业需求的激增。
二是数据泄露、黑客攻击、网络钓鱼、外国间谍活动等网络安全风险是市场增长的主要推动力。近几年,印度频繁遭受网络攻击事件且数量呈现激增的趋势,CERT-In 的数据显示,从 2019 年 1 月到 2022 年 6 月,印度的网络安全事件高达 363 万起。美国网络安全公司 Palo Alto Networks 的报告显示,2021 年约四分之一的印度组织遭受了勒索软件攻击,高于全球网络安全事件爆发平均水平 21%。
三是美国、以色列等国的先进技术服务,为印度国内的网络安全产业发展提供了借鉴。印度软件和信息服务外包产业的迅速崛起,是发展中国家发展新兴产业取得成功的经典案例。印度是软件与信息服务外包大国,印度 IT 行业收入在 2022 年达到约 2 000 亿美元,在全球软件外包 Top100 榜单中,印度软件外包公司Wipro、Infosys、HCL 位列前十。鉴于印度互联网产业增长迅速,印度政府正在加速推动建立强大的网络安全生态系统,与以色列和美国保有紧密的防御和经济联系。印度政府积极鼓励这些国家的网络安全公司收购在印度的业务,将专业知识传递给印度本土公司,并帮助印度在该领域创立初创企业。
3.3 细分市场
印度的网络安全细分市场涵盖了谱系较为完整的产品体系。从安全类型来看,覆盖网络安全、端点安全、应用安全、云安全、内容安全等;从解决方案来看,覆盖防火墙、防病毒和反恶意软件、数据丢失防护、风险与合规管理、身份和访问管理、入侵检测防御系统、电子邮件过滤、安全 Web 网关、加密和解密等。
印度的网络安全企业表现出强劲的增长力。在初创企业方面,印度网络安全创业公司从2018 年的 175 家增加到 2021 年的 265 家,典型安全厂商详见表 1。在从业人员方面,印度网络安全服务供应商的员工基数从 2019 年的 11 万人激增至 2021 年的 21.8 万人,网络安全产品供应商的员工约 2.7 万名。
表 1 具有代表性的印度网络安全厂商
3.4 发展特点
一是安全服务在细分市场中占主导地位。根据国际咨询公司 Gartner、经济时报及 DSCI 的数据分析来看,2021 年印度网络安全市场总额约 20.87 亿美元,其中,网络安全服务市场总额约 9.88 亿美元,占据整个网络安全市场份额的 47%。
二是云安全在印度网络安全细分市场中增速最快。市场研究机构 Mordor Intelligence 的研究报告显示,2021 年增长率为 46.3%,2022 年增长率为 41.9%。云计算、物联网等新兴技术推动了远程办公的发展,云安全呈现强劲增长,云计算模型被广泛使用,印度许多组织正在转向云解决方案。2020 年进行的一项调查显示,超过 37% 的印度企业将其数字基础设施托管在云上,预计 2023 年这一数据将有望超过 60%。
三是印度网络安全市场的最终用户支出呈现较快增长的有 4 个领域,分别是综合风险管理、应用安全、数据安全、关键基础设施防护。DSCI在2021年12月发布的《印度网络安全产业》报告显示,这 4 个领域在 2022 年年度增长率分别是 31.9%,18.5%,17.6% 和 14.4%。
4 结 语
本文从战略法规、监管体系、产业格局3 个方面梳理了印度网络安全产业发展情况,阐述了印度在信息技术领域的综合实力和网络安全发展态势。总体来看,随着印度数字化转型的加速推进,网络安全的重要性将进一步凸显,网络安全产业有望迎来快速增长。与此同时,印度政府将会进一步加大对网络安全领域的投资,大力支持、倡导并采取相应的政策措施来鼓励网络安全企业创新,以确保国家的数字基础设施和敏感信息得到充分保护。印度网络安全监管部门将进一步寻求国际合作与交流,包括合作项目、共享情报、合作研究、最佳实践共享等,进一步优化印度网络安全产业发展的良好生态。印度网络安全企业将会加大人工智能、区块链、云安全等技术的应用,开发出一系列创新的安全解决方案和技术,以提供更高效和可靠的网络安全保护。
引用格式:罗仙 . 印度网络空间安全产业发展研究 [J]. 信息安全与通信保密 ,2023(12):27-34.
作者简介 >>>
罗 仙,女,硕士,工程师,主要研究方向为网络安全战略研究。
选自《信息安全与通信保密》2023年第12期(为便于排版,已省去原文参考文献)
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。