网络安全深度融入国家信息化发展战略布局,在确保网络安全的前提下发展数字经济已成全行业共识。2022年7月8日广东发布全国省级层面首个推动数字经济发展的指引性文件——《广东省数字经济发展指引1.0》,明确广东“网络安全产业”发展方向,以广州、深圳为依托发展网络安全产业集聚区,助力打造网络安全产业新生态。那么,国家层面及地方政府对网络安全企业提出哪些新要求?广东互联网企业如何更好参与网络安全体系建设?在2022年广东省网络安全宣传周举办之际,南方都市报专访了华为安全产品领域总裁马烨。
华为安全产品领域总裁马烨。
形势变化对数字化基础网络有了更高要求
南方都市报(以下简称南都):近年来,围绕网络安全、数据安全,国家出台不少政策文件。在你看来,国家层面以及地方政府对网络安全企业有哪些新要求?
马烨:随着《网络安全法》、《数据安全法》等法律法规出台,对合规提出很多新要求。国家层面出台激励政策同时,在大力推动网络安全建设。除了网络等保合规外,各行各业会将网络安全纳入自身网络建设统筹考虑,如医疗行业关心系统漏洞等问题。
内外部形势的变化,对数字化基础网络有了更高要求。尤其是数字化程度不断加深,要求国家经济建设需要往更高技术含量方向发展。数字化带来了最好、高效的计算方法,企业在数字化过程中的系统整合、数字资产增多,对网络安全要求也更高,毕竟生产系统一旦被勒索,对企业是巨大损失。
再说,网络安全产品要起到实际防护效果,对网络安全产业企业也提出新要求。网络安全防护体系是立体的,涉及终端、边界,涉及生产系统之间防护,使用哪些网络安全产品,系统有没有适时升级,都会对网络安全产生一定影响。
南都:你认为广东企业在参与网络安全体系建构中有什么特点?
马烨:广东作为中国经济发展引擎,有深圳大疆等技术龙头企业,对技术变化有非常敏锐的感知。相对于其他区域企业,能够看到技术趋势怎么走,抓得住变化,甚至走在技术变化之前。这是广东企业明显的特点与优势。
广东互联网企业对于客户需求把握清晰。例如,腾讯在云服务、终端的新布局,中小企业扎实的网络安全工作,包括上网行为管理、维权接入、日志管理,把利用性做得非常具体。而且,非常注重、投入技术研发,技术创新,大疆无人机操作系统、欧拉操作系统等,用技术创新推动技术与市场的发展,把市场与技术紧密结合,通过市场与技术双轮驱动产业。同时,很务实,贴近客户的实际场景,把产、学、研连接在一起,形成闭环的方案,服务于整体业务要求。
华为本身产业链比较宽,有云空间、端的各类产品,我们的优势是可以把网络、云和端完整连接在一起,形成组合方案。非常注重技术研发投入,芯片、操作系统、人工智能等战略不是一朝一夕走的,需要多代打磨。比如操作系统的漏洞、风险大多来自自身,如果能统一,自身漏洞防控效果更好,对入侵的未知路径感知更快。现在,很多安全问题通过合规手段无法化解,需要依靠人工智能。
我们在全球部署产品都是同一套系统、软件,海量部署使产品和解决方案得到充分验证,包括遇到各种各样网络威胁行为,积累了丰富处置经验。通过认知威胁,使应对方案的实战效果更好。我们的产品、解决方案安全可靠,海外有一些知名企业,VPN被侵入导致重大损失。在网络安全实战演习时可以看到,第一道被攻破的就是小偷进家时的门锁,门锁就是网络安全的产品。可见,网络安全产品自身的安全可靠非常重要。我们也要关注供应链不足,要面对未来各种不确定因素,特别是关键基础设施的网络建设,要尽量使用供应链可靠的产品。
广东发展优势产业有很肥实的土壤
南都:您对于广东网络安全产业的发展有何建议?
马烨:广东总体经济体量非常好,这是优势,有更多能力来构建产业,发展优势产业就有很肥实的土壤。在中国,未来网络安全是一个规模数千亿的大产业。如果产业能够走出去,在全球就会形成一个更大的产业空间,对于广东而言也是很好的经济增长点。利用大湾区特大型城市圈,建设一个完整网络安全防御体系,从大体系到小的网络产品,组建整套生态体系,带动网络安全企业快速成长。
放眼国内,网络安全行业仍然处于起步阶段,主要原因包括:一是业务板块碎片化。网安设备、数据安全、终端等,各种技术碎片化,没有统一标准。网络安全产品大多数伴生于网络软件、大型企业的业务系统,缺少网络安全产品突出的企业。二是网络安全企业实力不够强。相较于微软、谷歌、亚马逊,独立的安全企业OKTA、IBM等行业标杆,这些企业任何一家每年销售额与国内企业体量差距非常大。三是技术研发不够。产品碎片化后,企业为了生存都是希望短时间内把产品做得很宽,但没有专攻,这样更难投入资金做研发。四是企业注重防护能力,但产品本身不够安全可靠,内生韧性、可用性不够。
目前国内排名前十名的网络安全企业,基本上没有在海外有销售,有的只是单点技术产品,相对全球网络安全产业而言几乎不可见。我们的企业只有参与全球这种竞争,才能把产业做得更健康,更领先。国内网络安全产品大部分还是依托海外商用系统,用商用芯片、大数据平台等开源的系统上做开发,有很大风险。一棵大树长出来,肯定需要土壤,广东就是能够长出大树的土壤,借助于大湾区、广东的经济建设,带动网络安全产业的成长。经济要内外双循环,除了注重内循环,还要扩大开放,海外的空间是非常大的。
南都:广东提出要构建网络安全保障体系,企业如何参与其中?
马烨:我觉得企业分为两种,一种是像华为这类网安企业,另一种是用户企业。对于用户企业而言,要把安全体系建设好,关键是领先的决定。安全工作三同步原则包括同步规划、同步组织实施、同步运作投产,在运维上做好顶层设计。比如制造业、教育、医疗等,企业做资金、业务领域规划的时候,需要考虑到执行阶段流程业务、数据暴露面、可能的威胁感知,将业务部门需要的数据服务、人员组织管理、规章制度,纳入整体框架设计。
需要考虑企业的网络芯片,面对未来变化时系统如何做到快速升级,系统搭建如何让它实际跑起来。中大型企业还要考虑网络安全体系,包括自身安全管理平台建设,让系统运维智能化。中小企业需要考虑系统构建以后,运维是否可以托管。随着云技术发展,把企业单点运维集中上云,依靠云上专家系统提供运维服务,通过集约化网络运维服务,解决中小企业建设问题,是未来网络安全建设的方向之一。
对于网络安全企业而言,要和网络安全政策制定组织更多协同。无论监管方、建设方还是使用者,需要有完整的标准,不仅仅是满足担保、合规。此外,监管机构的手段、方法需要更精准,关注标准化产品的开发,对于企业而言也是投资费效比最高、能够支撑产业发展的举措。
高校更多趋势演练提高学生网络安全技能
南都:很多高校开设网络空间安全专业,有专家说在网络安全人才培养上需要考虑怎么与市场更紧密结合,如何加强网络安全人才培养?目前网络安全建设有哪些需要急迫解决的问题?
马烨:我觉得网络安全人才培养,首先需要政策制度,要有教育体系,做好课程内容,需要有相应支持。需要职业培训体系,比如华为在做的安全培训体系以及数据通信培训体系,与职业机制挂钩,通过政策牵引,从学校再到社会化,全方面培养人才。
具体而言,在学校层面,除了课程设置,应给学生更多自信学习环境,各高校之间进行更多趋势演练,提高学生的网络安全技能。例如华为大学设有对应职业认证培训体系,可以与学校衔接起来,通过学校教育体系,再到企业的职业认证,做好职业化培养。建议企业与高校之间紧密配合,企业可以把一些课题释放给高校学生去做,高校也让更多网络安全专业学生积极参与企业实习,形成较好的学习到实践经验积累。
在政府层面,网络安全方面专家浓度更高,通过引进优秀人才,进行职业培养。比如深圳人社局做的安全职业培训,课程偏向实战化,帮助企业培训网络安全职业人才。
至于网络安全建设需要急迫解决的问题,就是怎么让中国网络安全企业做大做强,提升技术,缩小与国际网络安全企业的差距。我们网络安全企业,与美国等国家网络安全头部企业差距仍然较大,包括原创技术、应用系统等。在美国,从国家标准制定,到安全理念落地,政府设立很多课题牵引企业去做。
我感觉当前网络安全建设最大痛点是无论体量还是技术、研究,仍然存在较大差距,需要快速弥补,一方面是更好构筑自己的网络安全防线,另一方面做好网络安全产业升级。例如大湾区特大型城市群建设,必然需要网络安全治理,需要对应网络安全管理中心、网络安全防护中心,可以释放很多课题,交由广东企业来做,从而带动广东网络安全企业快速成长,把网络安全产品做好了,就可以复制到全国,往全世界去推广。
出品:南都大数据研究院
采写:南都记者 袁炯贤(受访者供图)
