燦陽金秋，大美烏鎮。2021年世界互聯網大會如約而至，網絡安全和信息化專業人士再次聚首，深入交流。

奇安信集團董事長齊向東對話中國網絡空間安全協會，縱談網絡空間安全發展趨勢、中國路徑、行業創新和人才培養等。

齊向東：當前世界正經歷“百年未有之大變局”，新一輪科技革命和產業革命的浪潮席卷而來，人類社會正在全面數字化。網絡安全已經成為了人民群眾安居樂業、數字經濟健康發展和國家社會穩定運行的必要保障。比如，酒店、社交媒體、電商平臺因為網絡不安全，曝光了用戶的出行、入住、聊天記錄、消費、貸款等信息，不僅可能帶來財產損失，甚至連基本的尊嚴都無法得到保障；企業機構因為網絡不安全被攻擊，輕則帶來經濟損失，重則遭遇停業整頓；水廠、電廠、軌道交通等關鍵信息基礎設施被攻擊，將直接造成斷水、斷電、斷交通，對社會穩定、國家安全造成嚴重威脅。所以，我們的政府明確，沒有網絡安全，就沒有國家安全。

齊向東：最近幾年，在政策和需求的雙重驅動下，我國網絡安全取得了飛躍式發展。

從頂層設計上看，網絡安全領域的法律法規不斷完善。據統計，近五年來國家、地方省市和各行業監管部門關于數據安全、網絡安全已經至少頒布了50部相關法律法規。尤其是今年《關鍵信息基礎設施安全保護條例》《數據安全法》《個人信息保護法》等一系列法律法規的出臺，充分體現出了國家對網絡安全領域的高度重視和立法進程的不斷加快。

從產業規模上看，我國網安產業的增速持續領跑全球。隨著數字化全面鋪開，網絡安全需求快速增長，推動我國網安產業規模不斷擴大。公開數據顯示，2020年我國網絡安全產業規模超過1700億元，比2015年翻了一番。IDC預測，2021年全球網絡安全相關硬件、軟件、服務投資將同比增長8.7%，而中國2020-2024年預測期內的年復合年均增長率為16.8%，增速繼續領跑全球網絡安全市場。

從安全能力上看，網絡安全防護正向實戰化、體系化、常態化發展。現在，網絡安全從過去的“小打小鬧”轉變為國家大事。面對專業化、針對性強的黑客組織和頻發的網絡攻擊，網絡安全從過去的“合規驅動”走向“能力驅動”。以我國的網絡安全實戰攻防演習為例，近五年演習的頻率、規模、持續時間都在不斷加強。安全防護思路逐漸從事后補救的被動防御，轉變為“事前防控”的主動防御。

過去五年，我國網絡安全領域已經有了長足進步，面向未來還有很長的路要走。繼續提高全社會網絡安全意識，擴大網絡安全投入，加快關鍵核心技術攻關，還將是是未來我國網絡安全領域的重要課題。

齊向東：中國信通院的數據顯示,2020年中國數字經濟規模達到39.2萬億元,占GDP比重為38.6%。相對于巨大的數字經濟規模，網絡安全所占的比重還非常低。要將整個產業做大做強，可以從以下三個方面推進提升。

第一，宏觀方面，需抓住政策“東風”和發展機遇，實現跨越式發展。網絡安全行業是國家重點發展的戰略產業，政策的大力支持為行業的發展創造了良好的政策環境和發展機遇。今年以來，網絡安全行業迎來頂層規劃及法律法規的密集發布，標志著網安產業新一輪景氣周期正加速而至，網安企業需要結合自身的優勢，抓住政策驅動下政企客戶網絡安全需求增長的機遇，推動產業做大做強。

第二，產業升級方面，行業亟需改變“小零同”狀態，構建新理念、新框架和新體系。盡管政策密集出臺，給行業帶來了巨大利好和機遇，但網絡安全企業賺錢難、發展慢的狀況尚沒有得到根本改善。網絡安全亟待改變過去的“小零同”(小規模、零散化、同質化)的行業發展模式，構建新理念、新框架和新體系已是產業變革的必然之路。奇安信于去年3月對外發布了“內生安全框架”，它改變了網絡安全點狀防護的劣勢，解決未來十年到二十年的網絡安全體系問題。目前該框架已納入到上百家央企及重要行業客戶的“十四五”網絡安全規劃中，獲得了良好反饋。

第三，實施方面，需要通過網絡安全“三部曲”，解決數字時代的復雜安全問題。如今，數據成為核心生產要素，數據安全讓網絡安全從“簡單”走向“復雜”。傳統IT時代，由于場景固定，可通過圍墻式防護在專網邊界安裝簡單安全產品；數字時代，數據有生產、使用和交易問題，系統成了大數據架構的復雜系統，無法靠安裝簡單的安全產品或者某種“銀彈”防住一切網絡攻擊。對此，奇安信提出了政企機構實施網絡安全的“三部曲”：理念、方法、動態掌控，內生安全提出了將安全能力內置到信息化環境中的先進理念；“內生安全框架”，用系統工程的方法建成面向數字時代的一體化安全體系；再通過經營安全做到對網絡安全的動態掌控。

齊向東：智能網聯場景下的網絡安全是整體的、動態的、開放的、相對的、共同的。智能網聯的核心資產是數據，體量大、價值高。保護數據資產成為網絡安全的難點問題，主要面臨三個挑戰。

第一、防外部威脅的挑戰。數字時代，現實世界和網絡世界的邊界被打破，攻擊手段層出不窮。勒索攻擊成為流行病，APT（高級持續性網絡攻擊）愈演愈烈，供應鏈攻擊成常見短板等，都給數據資產帶來了巨大威脅。數據顯示，2020年全球數據泄露的數量已經超過了過去15年的總和。僅最近幾個月，就發生了多起重大數據泄露事件，比如石油巨頭沙特阿美數據遭竊取、美國管道公司LineStar 70G數據被泄露等等。

第二、防“內鬼”的挑戰。數字時代，數據資產劇增，能夠接觸到關鍵數據的用戶量也越來越大。內部人員作為網絡安全最大的變量，容易被收買、被利用，成為黑客突破內部安全防線的跳板。數據顯示，超過85%的網絡安全威脅來自于內部，供應鏈、外包商、員工等都可能成為“內鬼”，導致數據泄露。

第三、告警和處置的挑戰。及時告警和處置，能讓網絡攻擊無法產生實質性破壞，但對人員、技術的要求非常高，很少有企業投入巨大資源進行持續建設。目前，企業普遍缺乏告警和處置措施，系統一旦被攻破，只能任由攻擊者為所欲為。比如，去年5月泰國最大移動運營商由于缺乏告警處置機制，發生了長達三星期的數據泄露，泄露的數據總量高達83億條。

網絡安全和信息化就像一枚硬幣的兩面

齊向東：網絡安全和信息化就像一枚硬幣的兩面，兩者相輔相成，缺一不可。我們要在信息化系統中深度融合網絡安全，與信息化建設相互促進，形成正循環，推動網絡安全與信息化同步發展、共同壯大。

一方面，網絡安全是信息化發展的前提。網絡安全做好了，信息化發展才能走上正軌。信息化建設一旦遭遇網絡安全威脅，就會帶來嚴重后果，直接關系到國家安全、社會穩定和公眾利益。所以，信息化要想健康持續發展，首先應該夯實網絡安全這一底板工程。《中華人民共和國數據安全法》、《關鍵信息基礎設施安全保護條例》、《網絡產品安全漏洞管理規定》等法律法規，全面了構筑中國網絡安全領域的法律框架，細化了網絡安全管理規定，完善了網絡安全治理措施，將助力我國網絡安全產業進一步發展壯大。

另一方面，信息化給網絡安全帶來新的增長點。信息化發展起來了，網絡安全才會有更多用武之地。隨著信息化與各行業的融合逐漸緊密，以及新的細分場景不斷涌現，網絡安全需求只會增加，新賽道上還有很多切入市場的機會。今年7月，工信部提出，到了2023年，電信等重點行業的網絡安全投入占信息化投入比例達10%。這是一個積極的信號，只要信息化建設在進行，網絡安全就不會停滯，信息化建設的不斷深入將為網絡安全打開更廣闊的上升空間。

齊向東：個人信息保護是政府非常重視的事情，也是老百姓非常關注的事情。需要監管部門、企業、安全廠商和用戶的共同努力。

監管方面，需要進一步加大監管和懲罰力度。《網絡安全法》《數據安全法》《個人信息保護法》等多部法律劃出了個人信息保護的“紅線”，在數據采集、儲存、流動等關鍵環節進行防護。目前，相關部門已經具備強大的監管能力，2019年以來國家主管部門多次通報或下架違規App，涉及4000余款App。未來，還需要進一步從源頭加大對用戶數據泄露的打擊力度和懲罰力度。

企業方面，要建立有效的防護機制，積極發現問題、整改問題。一方面，企業機構要建立應對網絡攻擊的網絡安全體系，實現對威脅的動態掌控和處置；另一方面，要借助技術工具積極查找出問題，同時借助法律、業務、技術等專業力量，請有豐富經驗的第三方安全公司提供整改指導。

安全廠商方面，應該積極打造創新安全產品和服務。比如，隱私計算是破解數據利用和數據安全這對矛盾的重要途徑。奇安信基于方濱興院士提出的“數據不動程序動，數據可用不可見”的技術理念，在國內率先推出了“數據交易沙箱”，確保數據所有權和使用權分離，實現數據價值的流動與共享。

用戶方面，需要提升個人信息安全保護意識。比如不點擊來路不明的鏈接，不使用公共場所開放式的WIFI網絡，不要在多個網站使用同一套賬號密碼，避免個人信息和數據被濫用，加強自我防范。

齊向東：數字時代，企業在網絡安全方面承擔的責任，發生了兩個顯著變化。

第一個變化，企業經營者的安全責任，從以前的有限責任變成了無限責任。傳統經濟中，交易是“銀貨兩訖”，交易結束后，企業經營者的責任基本也就結束了。但數字時代，幾乎所有的交易都數字化了，一系列新技術、新應用、新場景和具體業務、具體用戶結合在一起，共同構成了一個復雜系統。在這個復雜系統里，流動著復雜數據，發生著復雜交易。交易結束了，企業經營者的安全責任才進入新的階段。

舉個例子，以前，我們打車招手即停，到了目的地，交易就結束了；現在，我們用手機打車，產生了很多數據，即使出行結束了，用車平臺仍然需要對我們的隱私、資金等各種數據的安全持續負責。

可以說，只要用戶的數據還存在，企業的責任就不會終結。保護每一個復雜交易的數據安全，成為了貫穿企業經營的生命線，是企業經營者的無限責任。

第二個變化，企業在網絡安全方面承擔的責任，上升到了法律層面。最近，一位辦企業的朋友向我咨詢，員工違規違法導致數據丟失，企業要承擔責任嗎？我回答他：“數據泄露違法的鍋，法人甩不掉。”企業法人的責任大小看兩方面：一是后果，如果危害了國家安全，責任就大了；二是看過程，如果企業沒有按要求建設必要的網絡安全系統，責任也就大了。這和傳統的煤礦爆炸是一樣的道理，如果礦場沒有安全措施、制度和流程，那么礦主一定要承擔主要責任。

今年密集出臺的法律法規，都在不同層面明確了企業需要承擔的網絡安全責任。以《數據安全法》為例，它作為數據領域的“上位法”，確定了數據流轉過程中組織、個人的安全責任和義務，明確了監管要求。而《關鍵信息基礎設施安全保護條例》也明確了運營者職責，要求他們“在網絡安全等級保護的基礎上，采取技術保護措施和其他必要措施，應對網絡安全事件，防范網絡攻擊和違法犯罪活動，保障關鍵信息基礎設施安全穩定運行，維護數據的完整性、保密性和可用性。”

同時，這些法律法規明確了處罰措施。《關鍵信息基礎設施安全保護條例》對觸犯相關情形，拒不改正或者導致危害網絡安全等后果的，處10萬元以上100萬元以下罰款，對直接負責的主管人員處1萬元以上10萬元以下罰款。

齊向東：網絡安全企業最貼近客戶需求，最貼近一線場景，因此在人才培養方面，具有得天獨厚的優勢，也有著義不容辭的責任。目前奇安信探索出綿陽模式、補天模式和競賽模式三種人才培養方式。

第一，綿陽模式。2018年3月，奇安信集團網絡安全人才培養綿陽基地正式成立。該基地大概每年能培養1000個人，面向應屆畢業的校招生，進入綿陽基地然后全脫產培訓，采用軍事化管理，培訓三個月之后，考試合格則出爐，出爐之后進入實訓階段，通過一對一的專業工程師帶領到客戶現場一線實訓，最終篩選出合格的運營服務工程師。目前，綿陽模式培養出的網絡安全運營服務工程師已經服務于政府、教育、金融、能源等各個行業，為中國網絡安全事業貢獻力量。

第二，補天模式。補天漏洞響應平臺從成立以來，一直致力于推動國內白帽人才的發展和壯大。2018年，補天漏洞平臺“白帽子”數量是4萬人，僅僅三年，2021年增長到8.7萬人，另外“白帽子”人數增速也在不斷提升。未來這些“白帽子”，已經有了成為正式職業的可能。

第三，競賽模式。隨著網絡安全威脅形勢的日益加劇，人才在攻防兩端起到的作用愈發明顯。為了解決國內政企機構對網絡安全人才的渴望，拉動國內網絡安全人才的培養，奇安信集團聯合清華大學共同舉辦了國內第一個大數據安全分析比賽DataCon，它是一次以大數據安全分析為核心的網絡安全競賽。這種競賽模式，可以培養和發現企業所需要的防范和大數據分析檢測能力，漏洞挖掘和利用類的優秀人才。