CSS腾讯中国产业互联网安全发展研究报告2019931页

中国产业互联网安全发展研究报告前言习近平总书记在“4.19讲话”中明确指出：“没有网络安全就没有国家安全，就没有经济社会稳定运行，广大群众利益也难以得到保障”。互联网深刻改变了人们的生产和生活方式。经过20几年的发展，我国已成为网络大国，但还不是网络强国，尤其在网络安全方面依然面临严峻挑战，网络安全已经成为事关国家安全的重大战略问题。网络安全在国家战略地位提升的同时也为经济发展提供支撑。随着互联网对于各个行业领域的渗透，产业互联网特征愈加明显。产业互联网服务涉及第一、二、三所有产业。连接对象方面，包括个人、企业及第三方机构；服务模式方面，产业互联网覆盖从企业产品生产到个人消费的全流程支持；技术架构方面，会涉及人工智能、大数据、云计算、物联网等多项技术，支持服务的实现。可以说产业互联网的发展将网络安全地位提升至新的高度。本次研究以国家网络安全形势为基础，产业互联网发展趋势为导向，针对我国网络安全现状、趋势、问题进行研究，并提出对策建议。研究调研走访了国内主要网络安全服务商，希望本次调研能够为政府网络安全政策制定、企业网络安全发展规划以及社会网络安全认知提升提供支持。受编写者水平限制，本次报告内容难免有纰漏之处，如有问题，欢迎读者批评指正。腾讯生态安全中心2019年7月中国产业互联网安全发展研究报告目录报告核心观点5第一章产业互联网发展与网络安全需求9一、产业互联网发展趋势......................................................................................................9二、产业互联网安全特点....................................................................................................11三、产业互联网安全需求....................................................................................................12第二章产业互联网安全发展现状14一、产业互联网安全架构分析...........................................................................................14二、政策环境：产业互联网安全政策持续完善，落地推动力度逐步加大.........15三、经济环境：产业互联网安全市场规模快速增长，资本热度持续提升.........17四、社会环境：产业互联网安全社会环境逐步完善，发展环境日益良好.........17五、技术环境：产业互联网安全技术覆盖广泛，运营能力提出新的需求.........17第三章产业互联网安全发展挑战19一、产业互联网整体安全意识依然存在提升空间.......................................................19二、产业互联网安全地区间发展不平衡挑战................................................................19三、产业互联网关键基础设施保护难度提升................................................................20四、产业互联网核心技术及自主可控依然严峻...........................................................22五、企业网络安全投入与产业互联网安全需求不平衡挑战....................................22六、原有网络安全架构分散性与产业互联网安全整合性冲突挑战.......................22七、产业互联网安全面临人才储备不足、高端人才稀缺挑战................................23第四章产业互联网安全发展机遇24一、网络安全政策颁布力度持续加大为安全企业提供发展保障...........................24中国产业互联网安全发展研究报告二、产业互联网各类平台数量持续提升创造新的安全需求....................................24三、产业互联网云平台发展趋势为云安全创造新的安全需求................................24四、数据安全及个人隐私保护需求提升促使以数据为中心的技术需求加大....25五、产业互联网大数据及人工智能为网络安全态势感知提供手段.......................25六、内容安全问题日益突出为舆情保障提供新的安全机会....................................25第五章产业互联网安全发展趋势26一、产业互联网安全由安全合规驱动转换到安全能力提升....................................26二、产业互联网安全从传统安全的局部防御特性向一体化防护转变..................26三、产业互联网安全由传统的边界防护向以数据为中心的防护转变..................26四、产业互联网安全由消费互联网时代的被动防御向主动防护意识转换.........26五、产业互联网安全将从安全产品向安全能力与运维服务综合方向发展.........27第六章产业互联网安全发展建议28一、从国家层面加大网络安全预算投入.........................................................................28二、加大产业互联网安全促进性、激励性、保障性政策.........................................28三、提升产业互联网安全立法的内容和效率................................................................28四、加强企业各层级网络安全意识提升.........................................................................28五、完善企业网络安全实施环境促进网络安全健康发展.........................................29六、加强网络安全从被动防护到主动防御意识培养..................................................29七、利用监督、培训、制定规范等方式加大网络安全管理....................................30第5页共27页中国产业互联网安全发展研究报告报告核心观点（一）网络安全已成为国家战略的组成要素和安全保障世界经济论坛发布的《2018全球风险报告》指出，网络安全已经与环境退化、经济紧张和地缘政治一起被列为未来面临的四个主要风险。伴随着互联网对于各个行业领域的渗透，产业互联网服务涉及第一、二、三所有产业，更是将个人、企业及第三方机构等所有对象连接在一起。网络攻击造成的影响已经从虚拟世界扩大到现实世界，网络安全已成为国家战略的组成要素和安全保障。（二）国家22部委出台法律法规近200部，加速产业互联网安全发展在产业互联网发展过程中，我国网络安全相关法规、政策呈现出系统化、及时化、产业化三方面特点：一是网络安全保障体系逐步完善。截止2018年，我国政府制定网络安全相关法律共24个，制定法规11个、规范性文件136个，共有22个部委参与；二是政策出台紧随网络安全形势变化。通过法律法规、指导意见、管理条例、通知规定等各种方式保障网络安全管理的及时性；三是网络安全产业化特征逐步明显。在传统网络安全基础之上，持续加大对于产业安全的保障力度，如《网络预约出租汽车监管信息交互平台运行管理办法》、《快递暂行条例》、《关于加强对电子商务领域失信问题专项治理工作的通知》等。（三）IT基础设施安全保障难度提升，未来市场投入将提速伴随我国信息化建设的不断推进，金融、能源、交通、电信等重要行业系统普遍面临着推进信息化发展和防范安全风险的挑战，主要受部分技术依赖进口信息产品、数据安全的高标准要求、云安全的挑战、可信身份的建设以及新兴技术快速发展的潜伏风险等因素影响，使得关键基础设施的保障难度加大，各行各业在未来将进一步加大安全投入，提升保障能力。就目前情况而言，我国网络安全主体投入仍然偏低。据IDC预测，2019年中国安全解决方案总体支出将达到69.5亿美元，2018-2022年预测期内的第6页共27页中国产业互联网安全发展研究报告年复合增长率（CAGR）为25.6%，增速远高于全球平均水平，到2022年，市场规模将增长至137.7亿美元。（四）各行各业积极上云，云安全服务市场进入高速发展期产业互联网推进过程中，我国信息化建设已然呈现出“万云”共台的形势，政务云、企业云、教育云、健康云等各“云”汇集。由于传统安全防护措施不能满足云环境提出的安全需求，云安全服务正在成为信息安全行业一个潜力巨大的新增市场。P17预计，未来3-5年，云安全服务市场的增速将高于信息安全市场的整体增速。对于企业来说，上云有助于降低安全成本，这使得他们愿意在云安全上进行投入。因为成熟的云服务平台在响应速度以及应对整体网络威胁形势复杂性上，比传统IT架构更具优势。对于传统IT安全企业而言，顺应互联网基础设施“云”化趋势，立足已有产品进行转型，将安全能力云化，通过订阅模式进行交付，也将获得新的增长空间。（五）安全与业务深度融合，激发产业新场景安全需求产业互联网的东风下，大数据、物联网、人工智能的发展，促进网络安全在不同场景的应用更为广泛，企业业务、设备、网络融合程度持续提升，不同安全主体和网络的融合加深。这意味着产业升级过程中，每产生一次技术创新都必须考虑安全因素，每产生一个新的需求都默认包含安全需求，安全建设与业务流程深度融合。过去企业是“从安全的角度看待业务”，现在则是“从业务发展的角度看待安全”，企业需要以数据资产为中心构建业务安全防护体系，尤其是要预防不断扩张的黑灰产引发的薅羊毛、金融欺诈、广告点击欺诈、拖库撞库等业务安全问题。（六）产业互联网时代，安全建设成为CEO一把手工程与传统互联网的防御性安全保障不同，产业互联网与业务运营的深度结合，标志着安全融入到企业供应链、生产、销售、服务等各个环节。这也意味着企业的安全建设不再只是CIO（首席信息官）和CISO（首席信息安全官）的事情，上升为企业CEO一把手工程。企业的CEO需要牵头以战略视角进行第7页共27页中国产业互联网安全发展研究报告安全规划，从情报、攻防、管理和规划维度，构建企业的“安全战略观”，将过去被动防御的模式升级为主动防御体系。（七）前沿科技将被广泛应用于安全技术伴随着人工智能、5G、大数据、云计算、量子通信、区块链等前沿科技在产业互联网时代日臻成熟，网络安全技术也迎来新的发展趋势。网络安全中颇为重要的态势感知技术，将在大数据和人工智能的加持下，进一步提升效率、精准率，并降低成本；包含卷积神经网络在内的机器学习模型应用，给病毒对抗带来全新的思路；云计算的普及，让纵深防御（DID）、软件定义信息安全（SDIS）、安全设备虚拟化（SDV）成为潮流等。（八）产业互联网安全整体人才储备不足，高端人才稀缺产业互联网时代新增的安全需求以及更精细的安全分工，需要更为丰富的安全人才资源支持。但目前，我国网络安全人才培养与行业需求严重脱钩。首先，整体网络安全人才供给不足，截止目前我国培养专业网络安全人才10万人，预计到2020年，网络安全人才需求将达140万人；其次，高端网络安全