安全风险评估专题汇报

安全风险评估专题汇报

突破数据集成、平台管理、开发工具、微服务框架、建模分析等关键技术瓶颈，形成有效支撑工业互联网平台发展的技术体系和产业体系。开展工业互联网平台适配性、可靠性、安全性等方面试验验证，推动平台功能不断完善。通过分类施策、同步推进、动态调整，形成多层次、系统化的平台发展体系。依托工业互联网平台形成服务大众创业、万众创新的多层次公共平台。发挥市场在资源配置中的决定性作用，更好发挥作用。强化企业市场主体地位，激发企业内生动力，推进技术创新、产业突破、平台构建、生态打造。发挥在加强规划引导、完善法规标准、保护知识产权、维护市场秩序等方面的作用，营造良好发展环境。基本原则（一）遵循规律，创新驱动遵循工业演进规律、科技创新规律和企业发展规律，借鉴国际先进经验，建设具有中国特色的工业互联网体系。按照建设现代化经济体系的要求，发挥我国工业体系完备、网络基础坚实、互联网创新活跃的优势，推动互联网和实体经济深度融合，引进培养高端人才，加强科研攻关，实现创新驱动发展。（二）市场主导，引导发挥市场在资源配置中的决定性作用，更好发挥作用。强化企业市场主体地位，激发企业内生动力，推进技术创新、产业突破、平台构建、生态打造。发挥在加强规划引导、完善法规标准、保护知识产权、维护市场秩序等方面的作用，营造良好发展环境。（三）开放发展，安全可靠把握好安全与发展的辩证关系。发挥工业互联网开放性、交互性优势，促进工业体系开放式发展。推动工业互联网在各产业领域广泛应用，积极开展国际合作。坚持工业互联网安全保障手段同步规划、同步建设、同步运行，提升工业互联网安全防护能力。（四）系统谋划，统筹推进做好顶层设计和系统谋划，科学制定、合理规划工业互联网技术路线和发展路径，统筹实现技术研发、产业发展和应用部署良性互动，不同行业、不同发展阶段的企业协同发展，区域布局协调有序。建立健全法规制度完善工业互联网规则体系，明确工业互联网网络的基础设施地位，建立涵盖工业互联网网络安全、平台责任、数据保护等的法规体系。细化工业互联网网络安全制度，制定工业互联网关键信息基础设施和数据保护相关规则，构建工业互联网网络安全态势感知预警、网络安全事件通报和应急处置等机制。建立工业互联网数据规范化管理和使用机制，明确产品全生命周期各环节数据收集、传输、处理规则，探索建立数据流通规范。加快新兴应用领域法规制度建设，推动开展人机交互、智能产品等新兴领域信息保护、数据流通、数据公开、安全责任等相关研究，完善相关制度。加大财税支持力度强化财政资金导向作用，加大工业转型升级资金对工业互联网发展的支持力度，重点支持网络体系、平台体系、安全体系能力建设。探索采用首购、订购优惠等支持方式，促进工业互联网创新产品和服务的规模化应用；鼓励有条件的地方通过设立工业互联网专项资金、建立风险补偿基金等方式，支持本地工业互联网集聚发展。落实相关税收优惠政策，推动固定资产加速折旧、企业研发费用加计扣除、软件和集成电路产业企业所得税优惠、小微企业税收优惠等政策落实，鼓励相关企业加快工业互联网发展和应用。加强产业支撑（一）加大关键共性技术攻关力度开展时间敏感网络、确定性网络、低功耗工业无线网络等新型网络互联技术研究，加快5G、软件定义网络等技术在工业互联网中的应用研究。推动解析、信息管理、异构标识互操作等工业互联网标识解析关键技术及安全可靠机制研究。加快IPv6等核心技术攻关。促进边缘计算、人工智能、增强现实、虚拟现实、区块链等新兴前沿技术在工业互联网中的应用研究与探索。（二）构建工业互联网标准体系成立国家工业互联网标准协调推进组、总体组和专家咨询组，统筹推进工业互联网标准体系建设，优化推进机制，加快建立统一、综合、开放的工业互联网标准体系。制定一批总体性标准、基础共性标准、应用标准、安全标准。组织开展标准研制及试验验证工程，同步推进标准内容试验验证、试验验证环境建设、仿真与测试工具开发和推广。中国网络安全产业逐步向服务化转型多层次的法律法规、政策合规需求和国内网络安全产业成熟度的持续提升，驱动网络安全市场开始由以安全产品为主的传统结构转型成为安全服务与产品并行的结构。在法律法规、政策合规方面，等保2．0、《关基保护条例》《密码法》以及《数据安全法》等法律法规的相继出台，对信息系统的网络安全建设提出了合规要求，驱动政府、企事业单位对等保测评、商密评估、安全评估的需求迅速提升。在产业升级方面，随着国内网络安全行业逐步成熟，政府、企事业单位的安全体系重心逐渐从采购安全产品以满足合规要求，转移到采购安全服务以提升安全能力。对于国内多数规模企业来说，在经过多年的网络安全建设后，继续堆叠安全产品对于网络安全边际提升效用不断递减，因此安全服务在构建更为有效并持续高效运作的安全体系中逐渐承担更为重要的责任。因此政府、企事业单位对专业安全服务厂商的服务需求将逐渐增加。在以上因素的影响下，网络安全服务市场收入占比已初步呈现上升趋势。根据赛迪咨询的数据，2020年国内网络安全服务收入占网络安全业务总收入的17．7%，较2019年上升2．1个百分点。同时，相比全球市场上网络安全服务占比约一半的市场份额，中国的网络安全服务市场占比仍有较大的增长空间。网络安全服务市场情况网络安全服务是指第三方网络安全机构提供的贯穿于企业整个IT基础设施建设过程中所需要的网络安全规划、设计、建设、管理等服务。2018年至2020年，国内网络安全服务收入占总体安全业务收入比例分别为13．80%、15．60%、17．70%，呈现小幅上涨的趋势。随着网络安全市场由合规驱动为主转变为政策合规、技术升级和安全事件多因素共同驱动，预计未来网络安全服务业务将维持快速增长及市场规模占比持续提升的趋势。（一）安全咨询服务市场情况安全咨询系安全服务的重要组成部分，主要包括安全战略规划、安全架构设计、安全风险评估等。经过多年的发展，安全咨询已经成为一个成熟的行业，近年来国际安全咨询市场规模保持平稳增长。根据Gartner的统计数据，2019年全球安全咨询市场总规模达230亿美元，约占据网络安全市场整体规模的20%，系网络安全行业最大的分支之一。根据Gartner的统计数据，2018年大中华市场（包括中国大陆、中国香港、中国澳门、中国台湾等）的安全咨询市场规模仅占全球市场规模的4．0%，相较于占比44．8%的北美市场及31．3%的西欧市场仍存在较大的差距，但其同比增速为20．7%，展现出强劲的增长态势。随着政府、企事业单位规范化意识的逐步增强及法律政策的日渐完善，国内的安全咨询市场将保持持续快速发展的态势。2017年6月，《网络安全法》正式实施，明确规定了网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务。2019年12月，等保2．0制度正式实施，全方位覆盖保护对象，除原有基础网络和信息系统外，将大数据中心、云计算平台、物联网、工控系统、公众服务平台、互联网企业及其他关系国计民生的企业统一纳入等级保护监督。与原等保1．0相比，等保2．0的监管范围大大扩大，进一步释放等保市场需求，加之政府、企事业单位内生的网络安全需求，拉动了等级保护测评市场的快速发展。2018年2月，密标委发布了《信息系统密码应用基本要求》，对信息系统中的密码应用提出了基本要求，为当前商用密码的应用提供了规范化的指导及评估标准依据；2020年，《密码法》正式实施，明确关键信息基础设施和三级以上重要系统的运营者必须按照要求使用商用密码，并开展商用密码应用安全性评估。作为国内网络安全行业的新兴市场，商业密码测评具有广阔的发展前景。（二）安全运营服务市场情况安全运营是指第三方安全服务商通过远程或者现场的方式向用户交付持续性的安全服务，其中通过远程安全运营中心（SOC）交付的事件监控、分析、预警、响应等一系列服务为托管安全服务（MSS），而通过现场人员交付的安全运营服务为安全外包服务。托管安全服务作为安全运营服务的重要组成部分，其主要服务内容包括远程24小时全天候对客户侧的安全事件和相关数据源（包括日志、流量等）进行安全监控和威胁检测、漏洞（弱点）评估与管理、IT安全设备和工具管理及对客户安全事件进行响应。近年来，托管安全服务市场规模的增长速度基本维持在10%以上，根据IDC的统计，2018年全球托管安全服务市场规模达211亿美元。根据IDC的预测，2018年至2023年，全球托管安全服务市场规模将保持较为平稳增长的态势，其增长幅度维持在12%以上，整体市场规模将于2023年达到405亿美元。（三）安全培训服务市场情况人才的培养是产业持续快速发展不可或缺的基础。国内网络安全人才培育起步较慢，至2016年网络安全和信息化领导小组办公室发布《关于加强网络安全学科建设和人才培养的意见》，我国才加速了相关人才培养的步伐。但由于我国信息化、数字化转型的迅速发展，且网络安全人才培养体系较为复杂，因此国内网络安全人才仍处于供需严重失衡的情况。当前国内巨大的网络安全人才缺口为安全培训服务市场的发展奠定了坚实的基础。根据《网络安全产业人才发展报告》（2021年版）的统计数据，年均2万余名网络安全专业毕业生对于2021年我国超过140万的网络安全人才需求累计缺口无法起到显著的弥补作用，因此网络安全培训服务成为培育行业专业管理人才、技术人才和复合型人才的重要板块。同时，随着行业持续的高速发展及产业、技术的迭代更新，行业人才的需求将进一步得到充分增大，持续促进安全培训服务市场的快速发展。夯实网络基础（一）推动网络改造升级提速降费面向企业低时延、高可靠、广覆盖的网络需求，大力推动工业企业内外网建设。加快推进宽带网络基础设施建设与改造，扩大网络覆盖范围，优化升级国家骨干网络。推进工业企业内网的IP（互联网协议）化、扁平化、柔性化技术改造和建设部署。推动新型智能网关应用，全面部署IPv6（互联网协议第6版）。继续推进连接中小企业的专线建设。在完成2017年工作报告确定的网络提速降费任务基础上，进一步提升网络速率、降低资费水平，特别是大幅降低中小企业互联网专线接入资费水平。加强资源开放，支持大中小企业融通发展。加大无线电频谱等关键资源保障力度。（二）推进标识解析体系建设加强工业互联网标识解析体系顶层设计，制定整体架构，明确发展目标、路线图和时间表。设立国家工业互联网标识解析管理机构，构建标识解析服务体系，支持各级标识解析节点和公共递归解析节点建设，利用标识实现全球供应链系统和企业生产系统间精准对接，以及跨企业、跨地区、跨行业的产品全生命周期管理，促进信息资源集成共享。网络安全行业发展概况（一）网络安全行业简介网络安全是指对网络系统的硬件、软件及其系统中的数据进行保护，使其不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，保证系统连续可靠正常地运行，网络服务不中断。依托于专业的技术实力、丰富的经验积累及细致的服务能力，为客户提供安全咨询、安全运营及安全培训服务，助力客户构造主动、动态、全方位的网络安全综合防御与运行服务体系。（二）网络安全行业的全球发展概况近年来，在网络信息技术快速普及发展、网络安全事件频发叠加法律法规政策日益完善等多重因素的驱动下，网络安全市场需求得到充分释放，市场规模展现持续增长的前景。首先，网络信息技术的快速发展对网络安全市场发展的影响体现在攻击技术加强及影响范围加大两个方面。一方面，信息技术发展带动网络攻击的自动化及智能化，使得网络安全行业面临的安全挑战日益严峻；另一方面，随着现代社会生活对信息网络技术依赖性的逐渐增强及信息网络技术更新迭代速度的加快，人工智能、5G技术、量子通信等战略性技术的突破，大数据、物联网、移动互联网、云计算等互联网+的基础应用及新业态的推广及持续深化，网络安全攻击发生范围的广泛性、普遍性及结果的严重性进一步加剧。其次，近几年网络安全事故频发，被攻击的政府、企事业单位承受了巨大的经济和声誉损失，进一步确认了网络安全在社会、企业发展过程的重要地位。2019年3月，受网络攻击影响，委内瑞拉大部分地区长时间停电，导致巨额的国民经济损失及数十人的死亡；2021年5月，美国最大的成品油管道运营商因受到勒索软件攻击，被迫关闭其关键燃油网络，每天约250万桶的成品油运输受影响，美国因此宣布进入国家紧急状态。持续不断的网络安全事件不仅给各个国家的政府、企事业单位带来巨额的经济损失，还对其网络安全防御及保障机制提出了新的挑战，进而驱使其增加网络安全成本投入。再者，随着信息化进程的深入推进，全球各国逐步增加对网络安全行业的重视，持续推出并优化网络安全相关的法律法规及行业政策。2018年，以美国、英国等西方发达国家为代表的各国开启了网络安全、数据保护法律法规的新一轮改革，如美国实施《关键基础设施网络安全改善框架》《网络安全战略》、欧盟实施《通用数据保护条例（GDPR）》、英国《最低网络安全标准》等。规范、严格的法律法规的持续出台为网络安全市场奠定了快速发展的基础。据Gartner2统计，近几年全球网络安全支出占总IT支出的比例持续增长，由2016年的2．44%增长至2019年的3．33%，且将保持增长的趋势。因此，在全球各国持续出台信息网络法律法规的政策性驱动、快速发展迭代的网络安全技术及网络安全环境面临的严峻挑战所带来的对于安全投入增强的内生性驱动的双重叠加作用下，全球网络安全市场保持快速增长的态势。根据艾媒咨询发布的《2021年中国网络安全产业发展报告》，2020年全球网络安全产业规模达到9，843．5亿元，预计到2021年，产业规模将达到10，553．3亿元。在2021-2023年的预测期间内，全球网络安全产业规模将保持8．69%的增速，2023年增长至13，237亿元。基本形势当前，互联网创新发展与新工业革命正处于历史交汇期。发达国家抢抓新一轮工业革命机遇，围绕核心标准、技术、平台加速布局工业互联网，构建数字驱动的工业新生态，各国参与工业互联网发展的国际竞争日趋激烈。我国工业互联网与发达国家基本同步启动，在框架、标准、测试、安全、国际合作等方面取得了初步进展，成立了汇聚政产学研的工业互联网产业联盟，发布了《工业互联网体系架构（版本1．0）》、《工业互联网标准体系框架（版本1．0）》等，涌现出一批典型平台和企业。但与发达国家相比，总体发展水平及现实基础仍然不高，产业支撑能力不足，核心技术和高端产品对外依存度较高，关键平台综合能力不强，标准体系不完善，企业数字化网络化水平有待提升，缺乏龙头企业引领，人才支撑和安全保障能力不足，与建设制造强国和网络强国的需要仍有较大差距。加快建设和发展工业互联网，推动互联网、大数据、人工智能和实体经济深度融合，发展先进制造业，支持传统产业优化升级，具有重要意义。一方面，工业互联网是以数字化、网络化、智能化为主要特征的新工业革命的关键基础设施，加快其发展有利于加速智能制造发展，更大范围、更高效率、更加精准地优化生产和服务资源配置，促进传统产业转型升级，催生新技术、新业态、新模式，为制造强国建设提供新动能。工业互联网还具有较强的渗透性，可从制造业扩展成为各产业领域网络化、智能化升级必不可少的基础设施，实现产业上下游、跨领域的广泛互联互通，打破信息孤岛，促进集成共享，并为保障和改善民生提供重要依托。另一方面，发展工业互联网，有利于促进网络基础设施演进升级，推动网络应用从虚拟到实体、从生活到生产的跨越，极大拓展网络经济空间，为推进网络强国建设提供新机遇。当前，全球工业互联网正处在产业格局未定的关键期和规模化扩张的窗口期，亟需发挥我国体制优势和市场优势，加强顶层设计、统筹部署，扬长避短、分步实施，努力开创我国工业互联网发展新局面。网络安全行业发展面临的机遇及挑战（一）网络安全行业面临的机遇1、法律法规、政策体系的建设带动网络安全市场快速增长网络安全产业的市场规模和法律法规赋予信息所有者的责任成正相关关系，即网络安全责任越大，网络安全市场规模也就越大。近期我国密集发布了多项网络安全法律法规，随着其进一步细化落实，将深刻影响十四五期间网络安全市场的发展进程和方向。法律法规、政策体系的建设将继续推动市场高速增长。从历史经验来看，历次重要网络安全法律法规的颁布实施均推动了网络安全市场需求增长。未来几年，得益于《密码法》《数据安全法》等多部重要法律法规的实施，这一趋势将得以延续。2、网络安全行业保障数字经济健康发展近年来，我国数字经济高速发展，数字产业化的规模持续增长，各行业数字化转型进程加速，数字经济发展为我国经济增长注入新动力。在带来重大发展机遇的同时，数字经济也带来了新的挑战，网络安全风险和威胁不断加大，数字经济将面临重大风险，网络安全已成为关乎数字经济高质量发展的重要问题。为了应对这些挑战，国家不断完善网络安全相关法律法规，对网络安全建设提出了新标准和新要求，为数字经济健康发展提供了重要保障。数字经济的发展过程需要由网络安全产业提供保障，推动网络安全市场的快速发展。在网络安全人才短缺、培养成本较高的背景下，安全运营服务将会激发网络安全最大效能，大幅提升网络安全的生产力。当前网络安全行业面临着人才短缺、供给不足的问题，且预计在未来一段时间内，由于人才培养面临路径复杂、周期较长且成本较高的困境，人才短缺问题得到有效缓解或改善的可能性较低。为了解决网络安全服务人才的供需矛盾，各企业持续提升机器学习和人工智能等自动化学习技