发展数字安全产业 筑牢数字经济基石

孙宝文 欧阳日辉

近日，国务院以“加快发展数字经济，促进数字技术与实体经济深度融合”为主题，进行第三次专题学习。李强总理在听取讲座和交流发言后指出，我国具有超大规模市场、海量数据资源、丰富应用场景等多重优势，数字经济发展具有广阔空间，要统筹发展和安全，发挥优势、乘势而上；要继续适度超前推进数字基础设施建设，夯实数字经济发展的基础支撑能力。发展数字经济必须筑牢数字安全屏障，数字安全是重要的基础支撑能力，也是统筹发展和安全的重要内容。

数字经济发展需要统筹发展和安全

我国数字经济发展面临着严重的安全威胁。在经济社会数字化转型趋势下，互联网承载的数据愈发丰富，针对数据的网络攻击以及数据泄露、滥用等风险也在与日俱增，数据交易黑色产业链活动日益猖獗。

第一，安全漏洞问题。2023年2月奇安信发布的《2022年补天漏洞响应平台年度分析报告》显示，2022年，补天平台收录的IT信息技术类网站漏洞数量最多，共有32088个，占比约为19.1%；其次是制造业网站，共收录漏洞15456个，占比约为9.2%；生活服务类网站排名第三，共收录漏洞12264个，占比约为7.3%。此外，工程建筑、教育培训、互联网、医疗卫生、文化传媒、快递物流、交通运输等行业网站，被报告的漏洞数量也相对较多，排入TOP10。

第二，软件供应链安全问题。2022年7月，奇安信发布的《2022中国软件供应链安全分析报告》指出，2021年，奇安信代码安全实验室对3354个国内企业软件项目中使用开源软件的情况进行了分析，这些软件项目的应用领域涉及政府、金融、能源等重要行业。

第三，高级持续威胁（APT）针对我国数字经济重要部门渗透。奇安信持续跟踪全球40多个APT组织的活动，并发现大量APT组织针对我国数字经济部门开展渗透。例如，2022年，奇安盘古实验室发现，隶属于美国国安局NSA的超一流黑客组织——“方程式”制造了顶级后门“电幕行动”（Bvp47），用于窥视和入侵控制受害组织网络，已侵害全球45个国家和地区的287个重要机构目标，被攻击的机构包括知名高校、科研机构、通信行业、政府部门等。此外，我们还观察到一些APT组织针对我国企业在海外资产的定向攻击。

第四，数据安全问题。主要包括以下问题：一是APP违规收集个人信息。奇安信2023年1月发布的《2022年度App收集个人信息检测报告》披露，檢测到的违规收集个人信息问题的APP中，生活休闲类型的APP违规占比最高，占比43.5%；第二是网上购物类型的APP，占比9.2%；第三是办公商务类型的APP，占比8.4%。二是工业数据勒索。2022年11月，奇安信发布的《2022中国工业数据勒索形势分析报告》显示，拥有丰富数据、数据勒索损失巨大的工业企业生产系统成为被勒索攻击的首要目标。近几年，频繁曝出针对大型工业企业的勒索事件，根据国家工信安全中心统计，2021年公开发布的工业领域勒索事件比2020年增长约51.5%。2022年1-9月，奇安信集团安全服务中心共参与和处置了全国范围内174起工业网络安全应急响应事件，其中与工业数据勒索相关的安全事件72起，占到工业安全应急响应事件的41.4%。2022年1-9月，从工业企业遭受数据勒索攻击产生的影响来看，攻击者对系统的攻击所产生的影响主要表现为攻击者将数据进行窃取和加密，导致数据丢失、系统/网络不可用等。

第五，工业互联网网络安全。2023年3月，奇安信发布的《2022工业互联网安全与发展分析报告》显示，高危漏洞数量大幅增加。2022年，国内外三大漏洞平台共计新收录工控系统安全漏洞370个，较2021年的636个下降了41.8%。但高危漏洞数据持续高发，2022年高危漏洞占比68.9%比2021年的38.2%增长超30%。制造业是涉及漏洞最多的行业，也是网络攻击的重灾区。

发展网络和数据安全产业

近年来，针对数字安全领域的新形势、新挑战，国家出台了促进网络和数据安全的法律法规和发展规划。《中华人民共和国网络安全法》《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》《中华人民共和国个人信息保护法》，为数字安全提供了坚实的法治保障。

2022年1月12日，国务院发布《“十四五”数字经济发展规划》。《规划》部署了八项重点任务，在数字经济安全体系方面，提出了三个方向的要求，一是增强网络安全防护能力，二是提升数据安全保障水平，三是切实有效防范各类风险，并系统阐述了网络安全对于数字经济的独特作用及重要性。2022年2月15日，国家互联网信息办公室等13部门联合修订发布的《网络安全审查办法》正式施行，以关键信息基础设施的供应链安全为核心，重点加强对数据安全的关注和规范，聚焦网络产品、服务及数据处理活动，助推关键信息基础设施与网络平台的高质量发展。2022年10月28日，国务院办公厅印发的《全国一体化政务大数据体系建设指南》明确了“坚持整体协同、安全可控”的基本原则，提出“安全保障一体化”的任务，并强调该任务是“以‘数据为安全保障的核心要素”，要“形成制度规范、技术防护和运行管理三位一体的全国一体化政务大数据安全保障体系”。此外，2022年8月国家卫生健康委等部门发布的《医疗卫生机构网络安全管理办法》，2022年9月中央网信办等部门发布的《数字乡村标准体系建设指南》，2022年12月工信部发布的《工业和信息化领域数据安全管理办法（试行）》，2022年12月颁布的《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》，都提出相应安全管理和保护要求。

为了推动数据安全产业高质量发展，提高各行业各领域数据安全保障能力，加速数据要素市场培育和价值释放，夯实数字中国建设和数字经济发展基础，2023年1月，工信部等16部门联合发布《关于促进数据安全产业发展的指导意见》，聚焦数据安全保护及相关数据资源开发利用需求，提出促进数据安全产业发展的总体要求，分两个阶段明确发展目标。到2025年，数据安全产业基础能力和综合实力明显增强，数据安全产业规模超过1500亿元，建成5个省部级及以上数据安全重点实验室，攻关一批数据安全重点技术和产品；到2035年，数据安全产业进入繁荣成熟期，产业政策体系进一步健全，数据安全关键核心技术、重点产品发展水平和专业服务能力跻身世界先进行列，各领域数据安全应用意识和应用能力显著提高。

在产业需求推动、政策扶持下，网络安全与数据安全市场规模巨大。根据研究机构VMR的统计，2019年全球数据安全市场空间约为173.8亿美元，且预计2027年该规模增加至572.9亿美元，复合增长率为17.35%。而根据中商产业研究院的测算，我国2019年数据安全市场规模仅为38亿元，在全球数据安全市场占比仅为3.4%。根据IDC的研究，2018年我国数据量占全球数据量的23.4%，预计到2025年在全球的占比将达到约28%（远超2019年中国数据安全市场在全球3.4%的占比）。考虑到中国数据安全市场规模全球占比相较于中国数据总量全球占比仍有较大差距，中国未来数据安全市场增长潜力较大。假设到2025年中国数据安全市场规模在全球的占比与数据量占比相匹配（达到28%），中国数据安全市场潜在空间在2025年有望达到126亿美元，相较于2019年复合增长率为67%。未来，数字安全产业发展潜能将进一步激发。

随着全球数字化蓬勃发展，云计算、人工智能、大数据、5G等技术的应用范围不断扩大，在企业运用新技术提高自身效率的同时也面临着更多由新技术诱发的网络威胁，全球网络威胁形势愈发严峻，这也促使了企业不断加大其在网络安全上的投入。IDC数据显示，2022年全球网络安全总投资规模为1955.1亿美元，并有望在2026年增至2979.1亿美元，5年复合增长率（CAGR）约为11.9%。聚焦中国市场，部分终端用户受疫情及地缘政治因素的影响，对网络安全的投资有所降低，因此，与上期预测相比，本次预测IDC下调了网络安全市场规模的增速。当然，中国网络安全市场增长的核心逻辑并没有变化，客户对于网络安全建设的需求仍在不断增加，待疫情影响修复，中国的网络安全市场仍将保持着高速增长。IDC最新数据显示，到2026年，中国网络安全支出规模预计接近288.6亿美元，5年复合增长率将达到18.8%，增速位列全球第一。

与发达国家相比，我国数字安全产业还处于初期成长阶段。首先，政企客户网络安全建设预算过低，与发达国家相比还有很大差距。比如，根据美国白宫公布的2023财年预算提案，非国防联邦机构的网络安全预算占IT预算比例达到了16.57%，而我国政企机构的网络安全投资占比仅在3%左右，有巨大的上升空间。其次，政企客户的需求处在从买产品向买体系化服务的过渡期。网络安全是攻防对抗行业，只有以“零事故”为目标的体系化服务，才能不断发现网络数据系统的薄弱环节，进而扩大市场需求。

加强数字经济安全体系建设

新一轮科技革命和产业变革正在加速演进，5G、大数据、云计算、物联网等数字技术向纵深推进，数字经济和实体经济深度融合加速产业重构，工业互联网、车联网、能源互联网、智慧城市等层出不穷的数字化场景，网络安全已经升级为数字安全，需要不断面向场景的技术和安全解决方案。数字安全产业指面向政府和企业在数字化转型过程中，针对管理、决策、服务、运营、合作等环节潜在的安全风险和威胁，提供安全防控能力的产业。数字安全是数字经济发展的底板工程。筑牢数字安全屏障既是技术命题，也是治理考题。当前，我国数字安全保障体系不断完善。在现有的法律法规和政策框架之下，我们应该通过市场的方式，以发展数字安全产业为方向，夯实数字经济发展的基础支撑能力。

第一，加强关键核心技术攻关和产业化。现有网络基础设施的核心技术受制于人，这是最大的隐患。网络安全领域解决“卡脖子”难题的关键，是实现关键核心技术的引领。只有把握核心技术在自己手中，才能在竞争和发展中抢占先机、赢得主动，从根本上保障网络安全和国家安全。新技术的应用使网络安全和数据安全面临新的挑战，面向国家战略和产业发展需求，加大科技创新力度，推动网络安全和数据安全技术突破。内生安全、零信任、区块链、隐私计算技术有助于破解数据安全与数据流通难题，是我们必须重点发展的技术。比如，我国启动了“十四五”国家重点研发计划“多模态网络与通信”重点专项，多模态智慧网络有望在工业互联网等领域率先部署和应用。2022年底，奇安信联合多家科研机构，成立了“自主可控网络安全技术创新中心”，开发自主创新技术。

第二，数字安全产业在护航数字化转型中发展。数字安全产业需要瞄准产业数字化新场景，同步规划建设行业数字安全体系，保障传统产业数字化转型。加快布局人工智能、区块链等在网络安全领域的融合应用，促进传统产品提质升级，适应数字技术发展新趋势、新要求，加强安全产品和服务定制化供给。以产业链关键产品、创新链关键技术为核心，加强技术协作，打造协同互补、联合发展的网络安全创新共同體，提升产业链上下游整合能力。过去适用于大企业的安全服务和产品不能照搬，针对中小微企业面临的数字安全新威胁，需要新思考、新方案。在国家法律的指导下，以“作战/对抗/攻防/斗争思维”为指导，安全体系与数字体系融合，攻防能力与管控能力融合，更好地做好网络安全、数据安全、云安全、终端安全等，打造一套面向数字化的安全框架体系。数字技术与工业、农业、金融等传统行业正加速融合，会产生前所未有的新业态，要统筹好新业态与安全边界拓展之间的关系，以数字安全产业发展推动产业数字化发展。

第三，数据安全产业为数据要素筑牢安全屏障。数字经济发展需要数据安全流动，在这个过程中，一个单点失陷就可能导致重要数据泄露，带来严峻威胁。数据安全是围绕数据在生成、存储、使用、共享、归档、销毁的整个生命周期安全所衍生出的相关技术和工具，一般包括数据库安全、数据防泄漏、文档加密、容灾备份等。数据安全产业链主要分为上中下游：上游为安全芯片、基础IT设施、基础软件和基础元器件；中游为商用密玛产业和数据安全管理系统；下游为具体应用给政府、军队、电信、企业等部门。从市场结构来分，大数据产业划分为大数据硬件、软件以及服务三类市场。一方面，政府应加大支持数据安全产品与服务业发展的力度，推动政府和市场形成合力，打造网络安全和数据安全产业生态。另一方面，数据安全企业提高数字安全投入水平，提升数据安全保障技术创新水平，应从及时预警和处理、特权账号安全管理、邮件威胁检测系统、审查供应链、防止勒索攻击的内生安全框架等方面建立起完备体系，将数据安全流动和数据价值发挥相结合，提升数据安全产业供给能力。

第四，数字安全产业筑牢智慧城市安全保障。智慧城市是信创落地的重要场景之一，也是推动信创产业发展的重要引擎。而智慧城市在建设过程中，面临着严峻的数据泄露、供应链攻击、勒索攻击等网络安全风险。智慧城市网络规模大，容易成为网络攻击目标，要同步规划、同步建设、同步运营网络安全防护体系。长沙打造的城市网络安全运营中心被称为“长沙模式”，树立了智慧城市的网络安全防护标杆。

第五，数字安全产业助力相关部门建设内生安全体系。内生安全系统工程，就是把安全能力内置到业务系统中，感知、响应对业务系统和数据的任何破坏行为，真正做到“事前防控”。以局部整改、辅助配套的建设模式为主，走向深度融合的体系化建设模式；面向新基建建设、数字化业务，以系统工程方法论结合内生安全理念，形成新一代网络安全建设框架；以能力为导向的网络安全输出体系化、全局化、实战化的组件化安全能力，构建出动态综合的网络安全防御体系。

数字经济发展成为数字安全产业发展的新引擎、新动力。到2025年，数字经济迈向全面扩展期，数字经济核心产业增加值占GDP比重达到10%。数字安全产业的风口已经来临，数字安全企业应顺势而为，不断探索技术突破，持续向服务化转型。当前，我国数字安全技术赛道主要为人工智能安全技术、区块链安全技术、边缘计算安全技术、敏感数据识别技术、生物特征识别技术、软件定义安全技术、安全多方计算技术、量子通信安全技术、商用密码技术、网络切片安全技术等。我国数字安全技术产业方向主要是工业互联网安全、物联网安全、关键信息基础设施安全、云安全、人工智能安全、智慧城市安全、5G应用安全、大数据安全、车联网安全、智慧医疗安全等。随着政策春风已至，我国数字安全产业有望开辟广阔的发展空间，在蓬勃增长的同时为数字经济发展保驾护航。