摘 要:纵观全球,以美国为首的发达国家积极推进网络安全产业的发展。在顶层战略方面,美国不断强化网络空间战略部署,积极推进现有产业促进手段实施。在组织机构方面,美国网络安全组织架构逐渐完善,发挥网络安全领域的指挥协调作用。在产业格局方面,网络安全产业规模平稳增长,产业生态圈合作密集,网络安全技术加速创新迭代。

内容目录:

1 战略政策

1.1 国家战略

1.2 政策法规

2 组织架构

2.1 部门总体架构

2.2 部门产业职能

3 产业格局

3.1 产业结构

3.2 市场与投资

3.3 服务领域

3.4 发展趋势

4 结 语

美国是信息和网络技术的先驱国,在美国诞生了世界上首个互联网络,也涌现出了传输控制协议 / 网际互联协议(Transmission Control Protocol/Internet Protocol,TCP/IP)、域名系统(Domain Name System,DNS)、超文本标记语言(Hyper Text Markup Language,HTML)、统一资源定位符(Uniform Resource Locator,URL)等网络通信技术,为互联网结构的确立及网络空间的形成奠定了基石。但是,网络设计的开放性、灵活性和匿名性也令网络威胁出现并不断发展。

随着全球互联网络的主要构成技术从基本通信阶段、计算机网络阶段发展到网络空间阶段,相应的安全防护手段也从通信保密、计算机安全、网络安全、信息安全保障发展到网络空间安全。如通信保密时期的“中间人攻击”、计算机安全时期的“CIH 病毒”、网络安全时期的“蠕虫”、信息安全保障时期的“熊猫烧香病毒”,直至 2010 年后各类勒索软件和各类高级复杂性威胁不断涌现,攻击和防御双方的技术之争、资源之争、能力之争白热化,网络安全产业对于构建防御体系的支撑保障作用也更加充分展现。

当前,国际秩序面临深度调整,全球科技竞争格局和产业格局正在加速重构。美国拥有庞大的网络安全产业生态系统,涵盖了安全软件、硬件、服务提供商、咨询公司、培训机构等各个领域。这些公司和机构为全球提供了覆盖各领域的广泛网络安全产品和服务。本文将从网络安全发展战略政策、组织架构和产业格局等方面概括美国网络安全产业发展情况,为我国应对持续变化复杂的风险威胁、完善网络安全产业生态圈、推动安全前沿创新技术发展提供有益借鉴。

战略政策

美国是世界上最早制定国家网络安全战略的国家,也是颁布国家信息产业政策最多的国家。美国旨在通过发布网络空间战略,使其行动和治理理念实现国际传播,为其谋求网络空间霸权提供法理遵循和规则参考。

1.1 国家战略

美国网络安全顶层战略的递进式完善,共经历了萌芽期、形成期、成熟期、发展期4个阶段,相关发展理念也从重新定义国家安全、体系基本形成、日益成熟演化向持续发展转变。

“萌芽期”即 20 世纪 90 年代初到 2000 年,这一时期国家安全概念实现外延拓展。冷战结束后,美国信息技术飞速发展,新型威胁形态出现,美国联邦政府开始重新定义国家安全,“防护(Defense)”成为国家网络空间安全关键词,同时出现的还有“互联网(Internet)”“网络(Cyber)”“基础设施(Infrastructure)”等内容。其中,1997 年,国防小组提出“2010—2020 年前后对美国信息安全威胁最大的问题是来自信息战的威胁”。1999 年底公布的《美国国家安全 战 略》(National Security Strategy,NSS) 首次将网络安全纳入国家安全战略范畴。2000 年4 月,美国白宫发布《国家信息系统保护计划1.0 版》,这是美国政府公开发布确保网络安全的首份纲领性文件。

“形成期”即 2001—2009 年,这一时期美国国家网络安全政策体系基本形成。2001 年,“9·11”恐怖袭击事件后,美国对网络环境安全的认识发生了变化。基地组织利用(而不是攻击)遍布全球的通信网络,有效策划了跨国恐怖袭击,为网络安全带来了“切肤之痛”的危机。联邦政府在这个建设和完善网络安全战略的机会窗口,将“控制”作为国家网络空间安全关键词。2003 年 2 月,美国白宫发布《确保网络空间安全国家战略》(National Strategy to Secure Cyberspace,NSSC),确立了 3 项总体战略目标:一是阻止关键基础设施网络攻击;二是减少美国对网络攻击的脆弱性;三是在确认网络攻击发生时,使损害程度最小化、恢复时间最短化。2008 年 1 月,美国白宫颁布了国家安全总政令第 54 号令和国土安全总统行政令第 23 号令,强制性要求政府保障美国网络安全,防止遭受各种恶意或敌对的网络攻击,同时能够对敌方实施反制。这本是一份高度机密的文件,但在“棱镜门”事件中为斯诺登所披露。2009 年 6 月,美国国防部成立网络司令部,将国家网络安全进一步落实为更具攻击性的“预防性防御”。

“成熟期”即 2010—2016 年,这一时期美国的网络空间战略的制定和发展导向逐步向全球网络空间拓展。随着恐怖主义对美国本土威胁的逐渐削弱,社交网络新应用在全球取得了高速发展,同时随着中国等国家的快速崛起,美国战略重点开始逐渐转移,“塑造与威慑”成为国家网络空间安全关键词。奥巴马在竞选期间即表示要高度重视网络安全,并在上任后将国家网络安全列为其施政重点。2015 年 4 月发 布 的《2015 国 防 部 网 络 空 间 战 略》(DoD Cyberspace Strategy)中首次公开表明,网络空间行动将成为未来军事冲突中的战术选择之一。该战略的明确目标是提升网络空间的威慑和进攻能力,以积极防御和主动威慑的态势应对潜在敌对行为。

“发展期”即 2017 年至今,指导美国合理利用信息技术设施,实现安全现代化。特朗普政府执政后,陆续签发了有关网络安全的总统令和网络安全政策文件,“先发制人”成为美国国家网络空间安全关键词。2017 年 8 月,美国国防部将网络司令部从战略司令部下属的二级司令部升格为一级联合作战司令部。同年 12 月,白宫发布的 NSS 2017 版通篇 46 次出现“网络(Cyber)”一词,超出了以往的同类文件,这表明网络安全已经上升为国家安全的核心利益。2018 年 9 月, 白 宫 发 布《2018 年 国 家 网 络 战略》(National Cyber Strategy,NCS),这是自2003 年以来首份完整阐述美国国家网络战略的顶层战略。2018 年 11 月,通过改组国土安全部国家保卫和项目处成立了网络安全和基础设施安 全 局(Cybersecurity and Infrastructure Security Agency,CISA),主要负责领导关键基础设施的防护工作以应对当今的威胁,协调多方。

2021 年初,拜登政府上台后,以顶层战略、机构调整、防御模式等方面为切入点,着眼国家网络空间安全统筹能力提升,全面推进网络空间能力提升与发展,“摧毁威胁”成为国家网络空间安全关键词。2022 年 10 月 12 日,白宫发布 NSS 2022 版,其中关于网络空间领域的内容提到:“从电力到管道的关键基础设施越来越数字化,容易受到网络攻击干扰或破坏。此类攻击已被俄罗斯等国家用来破坏政府服务民众的能力,以此胁迫民众向政府施压。因此,应迅速提高我们的网络复原力,并建立集体能力,迅速应对攻击,并打击非法使用加密货币清洗网络犯罪收益的行为。同时,我们将继续促进遵守联合国大会认可的国家在网络空间负责任行为的框架。”2023 年 3 月 2 日,美国政府发布 NCS 2023 版,围绕“建立可防御、有弹性、符合美国价值观的数字生态系统”的愿景,从“重新平衡保卫网络空间责任”“重新调整激励措施以进行长期投资”两方面出发,提出实现美国国家网络安全战略目标的 5 大支柱及具体27 项举措。同年 7 月,美国政府公布《国家网络安全战略实施计划》(NCS Implementation Plan),为 18 家联邦政府机构设定了最终期限,推动它们加强网络安全监管、简化监管流程。实施计划还增加了企业对保护关键基础设施免受网络攻击的责任。同月,美国国家网络总监办公室发布《国家网络人才与教育战略》,提出将动用数十亿美元的联邦资金,改变政府、企业、学校和其他组织的人才发展方式。

从阶段性特点来看,美国先后发布的网络安全战略历经了从保护其关键资产、谋求网络空间霸权,到先发制人网络攻击,再到预先摧毁潜在威胁的转变。在美国网络安全相关国家安全战略的扎实推进下,其组织架构不断完善、产业生态密切协同,网络安全企业持续发展壮大。

1.2 政策法规

“9·11”事件以后,美国在网络安全领域颁布了多项法规和政策,旨在应对不断增长的网络威胁和保障国家的信息安全。包括 2002 年美国政府颁布的《网络安全增强法》、美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)于 2014 年发布的《网络安全框架》、2015 年参议院通过的《网络安全信息共享法案》《网络安全法》等。这些法规和政策的制定表明美国政府对网络安全的重视程度,并展示了在保护国家信息基础设施和应对网络威胁方面的积极姿态和决心。

特朗普执政以来,美国政府先后制定并发布了《信息自由法》《电子邮件隐私法》《美国自由法案》等,并积极筹划关键基础设施相关法案。2018 年 3 月,《澄清域外合法使用数据法》(Clarify Lawful Overseas Use of Data Act,CLOUD Act)颁布并即刻生效。CLOUD Act 法案更新了执法人员查看存储在互联网上的电子邮件、文档和其他通信内容的规则。

拜登总统上任后,2021 年颁布了《供应链安全培训法案》以防护网络攻击和供应链安全脆弱性影响。《2022 年关键基础设施网络事件报告法案》要求,在与关键基础设施相关的网络事件发生的 72 小时内、在被勒索软件勒索付款的24 小时内,必须上报 。2022 年 12 月,拜登签署《量子计算网络安全防范法案》,为联邦政府应对基于量子计算带来的网络攻击做好准备,推动数字系统向后量子时代过渡。2023 年 3 月,美国参议院引入《限制危及信息和通信技术的安全威胁出现的法案》;同年 7 月,美国证券交易委员会通过了网络安全披露准则的更新与补充,对注册企业的网络安全风险管理、战略、治理及事件的披露要求做出进一步的加强和规范,旨在满足投资者对于注册企业网络安全情况的信息需求。同年 8 月,NIST 发布了《网络安全框架 2.0》草案,旨在帮助组织了解网络安全风险、减少沟通障碍。

组织架构

美国的政府体系中多个部门实体均与网络空间安全保障相关,包括总统办公厅、内阁各部、军事机构、情报机构和独立机构在内的联邦机构及州地方行政机构在国家网络空间安全体系中发挥各自作用。

2.1 部门总体架构

以部门职责为依据,可将美国网络安全相关部门划分为发展规划者、行政管理者和高密级管理者 3 大部分。

美国发展规划者包括国家安全委员会(National Security Council,NSC)、白宫科技政策办公室(Office of Science and Technology Policy,OSTP)及行政管理和预算局(Office of Managementand Budget,OMB)等。

美国行政管理者包括国防部、国土安全部、国务院及司法部等立法、执法、行政部门。

美国高密级管理者包括国家情报总监办公室(Office of the Director of National Intelligence,ODNI)、国家档案与文件署(National Archives and Records Administration,NARA)及中央情报局(Central Intelligence Agency,CIA)等。

2.2 部门产业职能

为了确保网络安全产业的健康发展,美国在政府和民间建立了多个组织机构来进行管理、协调、合作和研究,主要包括:

国家安全局(National Security Agency,NSA):负责美国政府的网络安全和信息保护。

NIST:负责制定和推动网络安全标准、最佳实践和指南,发布网络安全框架等。

联邦调查局(Federal Bureau of Investigation,FBI):负责调查和打击跨州或涉及重大网络犯罪的组织。

CISA:负责协调和增强联邦政府对网络安全和信息安全的保护。

国家科学基金会(National Science Foundation,NSF):负责提供资金支持和研究资助,推进网络安全领域的科学和技术创新。

国家网络安全中心(National Computer SecurityCenter,NCSC):负责帮助政府和民间机构建立和维护网络安全能力,提供技术支持和咨询。

美 国 网 络 应 急 响 应 队(United States Crisis Emergency Response Team,US-CERT):负责协调联邦政府在网络安全事件响应和危机管理方面的工作。

NSC:负责制定和推动国家网络安全政策和计划。

信息技术行业协会(Information Technology Association of America,ITAA):作为业界组织,致力于推动信息技术和网络安全产业的发展。

美 国 国 家 安 全 研 究 院(National Security Research Institute,NSRI):负责进行与网络安全相关的研究和发展,支持新技术的创新和推广应用。

这些组织机构在促进网络安全技术研究、信息共享、政策制定和协作方面,为维护美国的网络安全产业健康发展发挥着重要作用。

产业格局

美国形成了完备且稳定的网络安全产业格局,具有完备的产业体系,拥有国际产业市场的绝对领导权。同时,由基础信息巨头公司、网络安全龙头企业和专业安全厂商提供的软硬件产品及服务共同构成了美国网络安全市场的绝大部分份额。

3.1 产业结构

美国网络安全产业各环节的参与者主要由基础信息巨头公司、网络安全产业巨头公司和专业安全厂商构成,如图 1 所示。

图 1 美国网络安全产业层次结构与主要企业分布

第一层次为基础信息巨头公司,以苹果、谷歌、IBM、微软、英特尔、Facebook 等为代表,它们在美国的网络安全产业架构中,扮演着重要而卓越的角色,为整个生态系统提供了广泛且坚实的基础。这一产业以其不可忽视的地位居于全球供应链之巅,不仅积极进行大规模的信息聚合和创新,而且还深刻改变了全球用户的工作和生活方式 。由于这些企业规模庞大、市值往往以千亿美元衡量,并持续进行并购,不断扩容体量,可以称其为信息“寡头”企业。

第二层次为网络安全产业巨头公司,以赛门铁克、McAfee、趋势科技等为代表,其市值达到了数十亿甚至数百亿美元。这些企业从最初的反病毒软件起家,经过多年的发展和不断的兼并重组,已经形成了跨多个网络和终端协议线的安全防护能力,同时其解决方案能力向虚拟化、大数据、云计算、物联网持续扩展,将产品和服务销售至全球。

第三层次为专业安全厂商,这是数量最多的一个群体,它们也被称为独立安全厂商,专注于系统安全、网络安全或其他安全技术的某个窄带领域。其特点为:除具有单点专注的特点外,大多不仅服务于美国用户,也坚定地追求着全球市场 [6]。这些“独角兽”或“隐形冠军”企业引导着网络安全创新的话语权。具有代表性的厂商企业如表 1 所示。

表 1 一些具有代表性的美国专业安全厂商技术领域分布

3.2 市场与投资

凭借其在信息技术方面的突出优势,美国已在操作系统、数据库、网络设备等颇具关键性的网络安全基础领域占据了全球范围内主导地位,其市场份额遥遥领先于其他国家。这种排他性的地位不仅源于美国在技术研发和创新方面的持续投入和引领作用,还得益于其在相关产业链的完备性和卓越的商业竞争力,也得益于产业投资政策的宽松。

从全球网络安全支出来看,北美市场稳定占据全球市场一半左右,可以说美国网络安全市场是全球网络安全市场的缩影和写照。其中,规模最大的网络安全公司基本都在美国市场完成规模化和资本化。其营收主要包括软硬件产品及维护保障、软件或安全即服务(Security as a Service,SaaS)订阅、数据服务、技术服务、安全服务等形式。

就规模而言,美国信息安全专业公司的营收 规 模 较 高, 但 增 速 较 慢。据 Statista 预 测,2024 年美国网络安全市场规模将达到 783.1 亿美元(其中安全服务占据主导地位,市场规模为 417.3 亿美元),2028 年美国网络安全整体市场规模将达到 1 138 亿美元,年复合增长率为9.79%[7]。随着互联网在全球各国的渗透率不断提高,网络安全的覆盖范围也将扩大。网络安全不仅是 IT 部门的保障任务,还日益成为企业顶级战略规划的主导部分之一。

从分类格局来看,美国网络安全市场包括了硬件、软件和服务,整体看,软件市场的占比在不断提升,增速最高,安全硬件市场主要是防火墙、入侵检测和防御,随着 IT 基础架构的演进,其占比在逐步降低。网络安全已成为数字化产业(软件)细分领域第三大市场,仅次于金融科技和企业服务。

从市场集中度来看,无论从产品还是玩家角度,网络安全都是一个较为分散的市场,作为一个超过千亿美元级别的市场,没有一个企业占据超过 10% 的市场份额。Statista 的同一报告中显示,在安全软件领域,思科、Palo AltoNetworks 和微软名列前三,市场份额分别为 8%、6%、5%。从安全软件市场份额来看,排名前十五的公司里,除 CK 和趋势科技(TrendMicro)外皆为美国公司,除趋势科技在日本上市外,其他 14 家皆在美国上市。

从投资来看,美国坚持扶持中小型企业与大企业战略并举,鼓励风险投资对网络安全企业的扶持等。据统计,美国有近一半的风险资本青睐网络安全产业,强大的风险投资支持了众多的高科技安全企业蓬勃发展,造就了 StackPath、SentinelOne、Beyond Identity 等一大批明星企业。

3.3 服务领域

美国网络安全企业按其服务的对象可以分为:开放市场领域服务商与专门市场领域服务商。

开放市场领域服务商是指瞄准全球公共网络安全市场的安全厂商,专门市场领域服务商则是指面向其政府、国防和其他专业用户特殊市场的安全厂商,二者各有边界。开放安全厂商专注自身所长的领域,研发通用产品,角逐全球市场。这些厂商一般会通过开设分支机构(独资公司、合资公司或代表处)直接触达国际用户,或经由本地代理商分销转售等形式,在相关国家落地业务。

专门性市场的存在,有助于美国形成专属的网络空间安全保障体系,以及服务于国家网络空间的战略意图,形成高级别对抗能力,包括尖端的密码技术、数据分析技术、威胁发现技术、漏洞挖掘技术和服务弹性技术等,这些技术可以与开放市场中的产品技术相互吸收转化,由此构成整个产业的可持续发展循环体系。这些厂商除服务于国防、政府专用网络信息系统外,在关键基础设施、专用部门、特定网络等领域也发挥着重要的网络安全能力延伸作用。

总体来看,美国网络安全产业形成了良性的产业发展模式。国防承包商及基础安全产业、IT 安全产业中的龙头企业已经较为固定,同时在政策上也为创新型中小企业提供了较大的生存空间。

3.4 发展趋势

为了应对不断复杂深化的网络安全风险威胁,美国网络安全技术和产品在发展中呈现出以下趋势。

从广度来看,覆盖了更多、更全面的网络信息承载单元,如从通用网络设备、计算平台到专用网络、专用终端,再到物联网边缘的弱交互信息设备。

从深度来看,将更多流量、数据和行为内容纳入检测范围,并且强调从看似无关的事件中挖掘出攻击线索和路径。

从时效性来看,迅速将云计算、大数据、智能制造、人工智能等前沿信息技术作为防护主体和对象,最小化脆弱性暴露的时间窗口,为信息化发展持续保驾护航。

从实施手段来看,同样注重量子、人工智能、区块链等赋能技术在网络安全产品中的运用,降低安全成本,提升防御效率。

结 语

总体来看,美国网络安全产业在过去的数十年中实现了飞速发展,牢牢把控了产业演进方向和市场脉搏。这与美国政府在战略、组织、投资、技术等方面的“多管齐下”策略密不可分。未来,美国将集中部署实施和积极推进产业促进手段,通过加大网络安全投入、引导技术创新方向、强化供应链安全等系列措施,为产业释放红利,夯实网络安全产业基础。在产业格局上,将推动并购、创投市场的活跃,促进网络安全产业规模增长和产业生态圈的紧密合作。在网络安全技术上,将加速创新迭代网络安全技术,探索新型防护理念、机制,为应对复杂变化的网络空间风险威胁形成可演进的国家能力。

引用格式:胡春卉 . 美国网络空间安全产业发展研究 [J]. 信息安全与通信保密 ,2023(12):2-10.

作者简介

胡春卉,女,学士,高级工程师,主要研究方向为网络安全体系战略。

选自《信息安全与通信保密》2023年第12期(为便于排版,已省去原文参考文献)

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。