中国产业互联网安全发展研究报告.pdf

中国产业互联网安全发展研究报告 前 言 习近平总书记在“ 4.19讲话”中明确指出：“没有网络安全就没有国家安全，就没有经济社会稳定运行，广大群众利益也难以得到保障”。互联网深刻改变了人们的生产和生活方式。经过 20几年的发展，我国已成为网络大国，但还不是网络强国，尤其在网络安全方面依然面临严峻挑战，网络安全已经成为事关国家安全的重大战略问题。 网络安全在国家战略地位提升的同时也为经济发展提供支撑。随着互联网对于各个行业领域的渗透，产业互联网特征愈加明显。产业互联网服务涉及第一、二、三所有产业。连接对象方面，包括个人、企业及第三方机构；服务模式方面，产业互联网覆盖从企业产品生产到个人消费的全流程支持；技术架构方面，会涉及人工智能、大数据、云计算、物联网等多项技术，支持服务的实现。可以说产业互联网的发展将网络安全地位提升至新的高度。 本次研究以国家网络安全形势为基础，产业互联网发展趋势为导向，针对我国网络安全现状、趋势、问题进行研究，并提出对策建议。 研究调研走访了国内主要网络安全服务商，希望本次调研能够为政府网络安全政策制定、企业网络安全发展规划以及社会网络安全认知提升提供支持。 受编写者水平限制，本次报告内容难免有纰漏之处，如有问题，欢迎读者批评指正。 腾讯生态安全中心 2019年 7月 中国产业互联网安全发展研究报告 目 录 报告核心观点 5 第一章 产业互联网发展与网络安全需求 9 一、 产业互联网发展趋势 . 9 二、 产业互联网安全特点 . 11 三、 产业互联网安全需求 . 12 第二章 产业互联网安全发展现状 14 一、 产业互联网安全架构分析 . 14 二、 政策环境：产业互联网安全政策持续完善，落地推动力度逐步加大 . 15 三、 经济环境：产业互联网安全市场规模快速增长，资本热度持续提升 . 17 四、 社会环境：产业互联网安全社会环境逐步完善，发展环境日益良好 . 17 五、 技术环境：产业互联网安全技术覆盖广泛，运营能力提出新的需求 . 17 第三章 产业互联网安全发展挑战 19 一、 产业互联网整体安全意识依然存在提升空间 . 19 二、 产业互联网安全地区间发展不平衡挑战 . 19 三、 产业互联网关键基础设施保护难度提升 . 20 四、 产业互联网核心技术及自主可控依然严峻 . 22 五、 企业网络安全投入与产业互联网安全需求不平衡挑战 . 22 六、 原有网络安全架构分散性与产业互联网安全整合性冲突挑战 . 22 七、 产业互联网安全面临人才储备不足、高端人才稀缺挑战 . 23 第四章 产业互联网安全发展机遇 24 一、 网络安全政策颁布力度持续加大为安全企业提供发展保障 . 24 中国产业互联网安全发展研究报告 二、 产业互联网各类平台数量持续提升创造新的安全需求 . 24 三、 产业互联网云平台发展趋势为云安全创造新的安全需求 . 24 四、 数据安全及个人隐私保护需求提升促使以数据为中心的技术需求加大 . 25 五、 产业互联网大数据及人工智能为网络安全态势感知提供手段 . 25 六、 内容安全问题日益突出为舆情保障提供新的安全机会 . 25 第五章 产业互联网安全发展趋势 26 一、 产业互联网安全由安全合规驱动转换到安全能力提升 . 26 二、 产业互联网安全从传统安全的局部防御特性向一体化防护转变 . 26 三、 产业互联网安全由传统的边界防护向以数据为中心的防护转变 . 26 四、 产业互联网安全由消费互联网时代的被动防御向主动防护意识转换 . 26 五、 产业互联网 安全将从安全产品向安全能力与运维服务综合方向发展 . 27 第六章 产业互联网安全发展建议 28 一、 从国家层面加大网络安全预算投入 . 28 二、 加大产业互联网安全促进 性、激励性、保障性政策 . 28 三、 提升产业互联网安全立法的内容和效率 . 28 四、 加强企业各层级网络安全意识提升 . 28 五、 完善企业网络安全实施环境促进网络安全健康发展 . 29 六、 加强网络安全从被动防护到主动防御意识培养 . 29 七、 利用监督、培训 、制定规范等方式加大网络安全管理 . 30 第 5页 共 27页 中国产业互联网安全发展研究报告 报告核心观点 （一）网络安全已成为国家战略的组成要素和安全保障 世界经济论坛发布的 2018全球风险报告指出，网络安全已经与环境退化、经济紧张和地缘政治一起被列为未来面临的四个主要风险。伴随着互联网对于各个行业领域的渗透，产业互联网服务涉及第一、二、三所有产业，更是将个人、企业及第三方机构等所有对象连接在一起。网络攻击造成的影响已经从虚拟世界扩大到现实世界，网络安全已成为国家战略的组成要素和安全保障。 （二）国家 22部委出台法律法规近 200部，加速产业互联网安全发展 在产业互联网发展过程中，我国网络安全相关法规、政策呈现出系统化、及时化、产业化三方面特点：一是网络安 全保障体系逐步完善。截止 2018年，我国政府制定网络安全相关法律共 24个，制定法规 11个、规范性文件136个，共有 22个部委参与；二是政策出台紧随网络安全形势变化。通过法律法规、指导意见、管理条例、通知规定等各种方式保障网络安全管理的及时性；三是网络安全产业化特征逐步明显。在传统网络安全基础之上，持续加大对于产业安全的保障力度，如网络预约出租汽车监管信息交互平台运行管理办法、快递暂行条例、关于加强对电子商务领域失信问题专项治理工作的通知等。 （三） IT基础设施安全保障难度提升，未来市场投入将提 速 伴随我国信息化建设的不断推进，金融、能源、交通、电信等重要行业系统普遍面临着推进信息化发展和防范安全风险的挑战，主要受部分技术依赖进口信息产品、数据安全的高标准要求、云安全的挑战、可信身份的建设以及新兴技术快速发展的潜伏风险等因素影响，使得关键基础设施的保障难度加大，各行各业在未来将进一步加大安全投入 ， 提升保障能力。 就目前情况而言，我国网络安全主体投入仍然偏低。 据 IDC预测， 2019年中国安全解决方案总体支出将达到 69.5亿美元， 2018-2022年预测期内的第 6页 共 27页 中国产业互联网安全发展研究报告 年复合增长率（ CAGR）为 25.6%，增 速远高于全球平均水平，到 2022年，市场规模将增长至 137.7亿美元。 （四）各行各业积极上云，云安全服务市场进入高速发展期 产业互联网推进过程中，我国信息化建设已然呈现出 “ 万云 ” 共台的形势，政务云、企业云、教育云、健康云等各 “ 云 ” 汇集。由于传统安全防护措施不能满足云环境提出的安全需求，云安全服务正在成为信息安全行业一个潜力巨大的新增市场。 P17预计，未来 3-5年， 云安全服务市场的增速将高于信息安全市场的整体增速。 对于企业来说，上云有助于降低安全成本，这使得他们愿意在云安全上进行投入。因为成熟的云服务平 台在响应速度以及应对整体网络威胁形势复杂性上，比传统 IT架构更具优势。对于传统 IT安全企业而言，顺应互联网基础设施 “ 云 ” 化趋势，立足已有产品进行转型，将安全能力云化，通过订阅模式进行交付，也将获得新的增长空间。 （五）安全与业务深度融合，激发产业新场景安全需求 产业互联网的东风下，大数据、物联网、人工智能的发展，促进网络安全在不同场景的应用更为广泛，企业业务、设备、网络融合程度持续提升，不同安全主体和网络的融合加深。这意味着产业升级过程中，每产生一次技术创新都必须考虑安全因素，每产生一个新的需求都默认包含 安全需求，安全建设与业务流程深度融合。过去企业是 “ 从安全的角度看待业务 ” ，现在则是 “ 从业务发展的角度看待安全 ” ，企业需要以数据资产为中心构建业务安全防护体系，尤其是要预防不断扩张的黑灰产引发的薅羊毛、金融欺诈、广告点击欺诈、拖库撞库等业务安全问题。 （六）产业互联网时代，安全建设成为 CEO一把手工程 与传统互联网的防御性安全保障不同，产业互联网与业务运营的深度结合，标志着安全融入到企业供应链、生产、销售、服务等各个环节。这也意味着企业的安全建设不再只是 CIO（首席信息官）和 CISO（首席信息安全官）的事情 ，上升为企业 CEO一把手工程。企业的 CEO需要牵头以战略视角进行第 7页 共 27页 中国产业互联网安全发展研究报告 安全规划，从情报、攻防、管理和规划维度，构建企业的 “ 安全战略观 ” ，将过去被动防御的模式升级为主动防御体系。 （七）前沿科技将被广泛应用于安全技术 伴随着人工智能、 5G、大数据、云计算、量子通信、区块链等前沿科技在产业互联网时代日臻成熟，网络安全技术也迎来新的发展趋势。网络安全中颇为重要的态势感知技术，将在大数据和人工智能的加持下，进一步提升效率、精准率，并降低成本；包含卷积神经网络在内的机器学习模型应用，给病毒对抗带来全新的思路；云计算的普及 ，让纵深防御（ DI）、软件定义信息安全（ SDIS）、安全设备虚拟化（ SDV）成为潮流等。 （八）产业互联网安全整体人才储备不足，高端人才稀缺 产业互联网时代新增的安全需求以及更精细的安全分工，需要更为丰富的安全人才资源支持。但目前，我国网络安全人才培养与行业需求严重脱钩。首先，整体网络安全人才供给不足，截止目前我国培养专业网络安全人才 10万人，预计到 2020年，网络安全人才需求将达 140万人；其次，高端网络安全人才匮乏。产业互联网安全对于技术性和实践性要求较高，目前的人才培养模式无法完全满足网络安全需求。产业互联网安全人才，需要在安全技术以外，深入了解垂直纵深产业的业务、流程、设备。 （九）共建产业安全生态势在必行 共建安全生态的价值在产业互联网时代尤为凸显。产业互联网时代，各方都是安全生态构建的参与者，政府、网络安全企业、第三方机构分别在战略规划、技术研发、形势研判方面承担相应的责任，需合力保障产业互联网安全的健康发展。 聚焦在核心的网络安全攻防层面上，网络安全企业携手共建生态，不仅将共享彼此的威胁情报，提升攻防能力；还将有助于提升网络安全行业资源的配置效率，形成良性竞争环境，从而更好地为企业提供安全服务。 （十）产业互联网重塑安全服务供给模式：卖 “ 产品 ” 到卖 “ 产品 +服务 ” 第 8页 共 27页 中国产业互联网安全发展研究报告 产业互联网时代，网络安全建设不单纯是技术 问题，还是管理问题。企业安全建设不仅需要有效的工具、科学的方法还需要专业的运维。愈发严格的政策及合规要求，和愈发复杂的威胁情况，使得企业迫切需要一套包含合适的人、工具、方法的安全服务模式，从前期就做好安全战略规划以及安全政策咨询。未来，企业对安全规划服务的需求将进一步增强。这意味传统的售卖软硬件安全产品的模式将不再适合，网络安全企业需要通过 “ 专家服务 ”+“ 产品 ” 的形式，帮助企业提升安全竞争力。 第 9页 共 27页 中国产业互联网安全发展研究报告 第一章 产业互联网发展与网络安全需求 一、 产业互联网发展趋势 （一） 数字经济成为我国在创新发展阶段的数字增长动力 根据迈克尔 波特国家发展论，国家发展会经过三个阶段：第一阶段为要素推动的发展阶段，主要依靠劳动力、土地和其他初级要素成本优势推动经济增长；第二阶段为投资推动发展阶段，依靠大规模的投资促进经济发展；第三阶段为创新推动阶段，依靠提高资源生产效率的知识和方法推动经济增长。目前我国已经步入创新阶段，互联网为代表的信息技术已然成为创新和经济发展的主要力量， 2018年我国数字经济规模达到 31.3万亿元，占 GDP比重达 34.8%。在此背景下，信息技术及其产生的价值安全保障需求强烈提升。 （二） 互联网基础应用环境完善推动其向战略实施融入 经过二十几年的发展，中国互联网对于政府、企业、网民服务趋于成熟。一是网民基础建立，截至 2018年我国网民规模达 8.29亿，普及率达 59.6%；二是应用范围广泛，我国市场上监测到的移动应用程序（ APP）在架数量为 447万款，服务涵盖衣食住行等各个方面；三是企业改造明显，自互联网发展初期，其先后完成了对于企业的广告宣传、产品销售、企业管理、生产制造等方面的改造，第 10页 共 27页 中国产业互联网安全发展研究报告 目前互联网已经融入到企业战略制定层面。 （三） 产业互联网是互联网发展功能和特征的融合体现 中国互联网从功能角度总结为四个方面：一是信息互联网，以互联网公司为服务主体，个人间信息传递为主的、提供以提高信息传递效率的信息产品和服务，如广告、新闻、搜索、社交等；二是销售互联网，以电子商务为代表的应用提升企业产品与消费者的连接和销售效率；三是工业互联网，利用互联网技术对于企业的生产、管理进行改造，降低企业成本，连接主体以企业间为主；四是消费互联网，以消费者为服务中心，针对个人用户提升消费过程的体验，在人们的衣食住行等诸多方面进行改善。 产业互联网综合以往传统互联网的特点并使之协调融合，通过连接主体的规模化、连接范围的广泛化、传递信息的多样化推动经济效率。具体表现在 三个方面：首先，产业互联网将供应商、制造商、分销商等企业间合作需求有机连接用以提升运营效率；其次，产业互联网在供给侧与需求侧方面实现互通，促进供需平衡；最后，产业互联网在信息流、资金流、业务流实现互通，将企业、消费者、金融机构乃至监管部门连接，提高资金和信息流转效率，最终促进整体社会经济发展。