作者介绍:赵军,360集团法律研究院总监;张素伦,360集团法律研究院高级研究员。

本文载自:

网络法治蓝皮书——中国网络法治发展报告(2018)

皮书系列为“十二五”“十三五”国家重点图书出版规划项目

摘要:网络安全产业是指提供网络安全产品和服务的相关行业的总称。当前,国外网络安全产业正呈现快速发展态势,安全产业市值一路攀升,网络安全需求不断扩展,政企合作机制激励安全企业成长。从国内情况来看,一方面,网络安全产业规模快速增长、产业集群效应逐渐显现、安全企业融资十分活跃、产业生态不断优化、安全人才培养取得进展;另一方面,依然面临网络安全产业促进型立法缺失、网络安全产业政策激励措施滞后、市场竞争秩序和创新活力有待培育等问题。在网络安全产业激励方面,国外网络安全产业发达的国家和地区都建立了产业激励机制,从法律保障、安全战略、政府引导、专才培养等方面促进网络安全产业发展。基于我国网络安全产业面临的问题和困境,建议尽快制定网络安全产业促进型立法,并从产业投入、企业发展、政府投入、人才培养等方面细化网络安全产业政策激励措施。

关键词:网络安全产业 政策激励  法治保障

一、网络安全产业的内涵和范畴

根据《国民经济行业分类(GB/T 4754—2017)》[1](以下简称 GB/T 4754—2017),行业(Industry)是指从事相同性质的经济活动的所有单位的总称。在GB/T 4754—2017行业分类中,“信息传输、软件和信息技术服务业”项下专门规定了“互联网安全服务”,包括“网络安全监控,以及网络服务质量、可信度和安全等评估测评活动”。参考业界对网络安全产业的定义并结合GB/T 4754—2017行业分类标准,可将将网络安全产业界定为,为了保障网络空间安全,向个人、机构及社会提供网络安全产品和服务的相关行业的总称。网络安全产业重点覆盖了主营业务为网络信息安全的企业、大型企业的安全事业部以及对外输出安全能力的互联网企业等,其范畴也将伴随网络安全保障需求的变化而不断延伸扩展。但需要注意的是,网络安全产业未包含产品芯片、元器件等制造产业、舆情分析产业,不涉及军队、保密、国安等特殊领域,也不包括网络安全能力仅仅为了服务自身业务的互联网企业。以中国互联网企业为例,一些大型互联网企业建有较大规模的网络安全部门并具有很强的安全保障能力,但由于这些企业的安全能力主要是为了服务自身业务,为其主营业务和相关业务拓展提供安全保障,并不对外提供网络安全产品和服务,因而未纳入到网络安全产业范畴。

借鉴国际网络安全市场分类方式,结合我国网络安全产品和服务主要功能和产品形态,可将网络安全产品和服务细分如下:(1)安全产品。我国网络安全产品领域可细分为安全防护、安全管理、安全合规、其他安全产品四个类别。其中,安全防护类产品主要包括防火墙、入侵检测和防御、安全网关(UTM)、Web应用防火墙(WAF)、防病毒、数据防泄漏等;安全管理类产品主要包括身份管理与访问控制、内容安全管理、终端安全管理、安全事件管理(SIEM)、安全管理平台(SOC)等;安全合规主要包括安全基线管理、安全审计、安全测评工具等。值得一提的是,在大数据、云计算、物联网、工业控制、威胁情报分析、态势感知、移动应用等新兴领域,安全需求旺盛,产品正在成熟,扩充了传统的安全产品分类。(2)安全服务。网络安全服务包括主要包括安全集成类、安全运维类、安全评估类、安全咨询类四大类别。其中安全集成类包括安全系统集成、安全合规整改服务等;安全运维类包括专业驻场值守、维保服务、安全巡检、安全加固服务等;安全评估类包括风险评估、渗透测试、等保评测等服务;安全咨询类包括IT治理咨询、安全技术体系架构咨询、安全管理体系咨询、安全教育培训、方案设计服务等。[2]

因此,网络安全产业具有特定内涵,其范畴不仅涵盖向机构用户提供收费网络安全产品和服务的企业,还包括向个人用户提供免费网络安全产品和服务的企业。关于网络安全市场细分,除了可以分为网络安全产品和网络安全服务外,也可以分为向机构用户提供的网络安全产品和服务以及向个人用户提供的网络安全产品和服务。我国网络安全产业促进方面立法的设计和政策激励措施的构建正是基于上述网络安全产业内涵和范畴而展开的。

二、国内外网络安全产业现状与问题

(一)国外网络安全产业现状

1.安全行业呈快速发展态势,产业规模快速增长

从国际网络安全产业总体发展状况来看,2016年,全球网络安全市场延续了近年来高速发展的强劲势头,总体规模约为816亿美元,相比2015年增长7.9%。[3]根据中国产业信息网发布的产业报告显示,全球网络安全产业规模从2016年至2020年有望保持超过8%的增长速率。[4]以美国为主的北美地区的市场规模最大,其复合年均增长率(CAGR)最高,牢牢占据着全球市场最大份额,其次是西欧、亚太地区。亚太新兴地区以及拉丁美洲地区安全产业快速增长,成为全球安全产业新动能。

从全球网络安全产业支出来看,市场调研公司Gartner发布的预测数据显示,2017年内,全球信息安全产品及服务支出达到864亿美元,比2016年增长7%;2018年,该支出将增长到930亿美元。据此,可以预见2018年数据安全行业将迎来爆发式发展。按照Gartner的预测,网络安全产业增长最快的部分将是安全服务领域,尤其是IT外包、咨询和安装服务等模块。预计到2021年,对应用安全测试工具领域、尤其是交互式应用程序安全测试将成为一个新兴的增长点。在未来几年,安全服务与IT外包项目捆绑销售模式将会越来越多,到2020年的比例将从20%提升到40%。[5]

2.安全产业市值一路攀升,市场格局保持相对稳定

随着世界网络安全产业市场规模高速增长,网络安全产业的市值也一路攀升,主要表现在,安全服务市场份额进一步提升,安全产品市场保持稳定。网络安全整体设计规划、安全威胁情报、安全事件应急处置等需求不断攀升,带动安全服务市场强势增长,预计2019年安全服务在产业中的比重将进一步提升,达到63.56%。网络安全产品市场格局则相对稳定,防火墙、终端防护、Web 安全、身份管理与访问控制、入侵防御等传统领域合计占比超过75%,数据防泄露、反欺诈、物联网、车联网安全等新兴领域创新活跃。

就产业格局来看,网络安全产业梯队层次渐显,西方发达国家优势地位稳固。第一梯队当属美国,其安全产业在产值规模、技术创新力、企业影响力、资本活跃度等多个维度远超他国,并已形成综合实力超强的网络安全产业集群。在2017年ITU全球网络安全指数(GCI)排名中,美国位列全球第二,技术和能力建设等指标名列前茅。此外,美国企业占据网络安全500强中367个席位,形成了Symantec、McAfee 等综合安全巨头,Bit9、RSA等专注于细分领域的专业安全厂商,以及Palantir、Booz Allen Hamilton 等面向美国政府及其相关机构服务的专业技术公司的鲜明层次,也铸就了国际网络安全产业中最为强大的国别阵容。

以色列、英国、俄罗斯等世界网络安全技术和产品大国当属第二梯队,在前沿技术、海外市场、企业实力、国际声誉等都处于世界领先地位。以色列凭借创新文化基因、人力资源优势、明确的战略定位,成为全球网络安全技术创新孵化的瞩目之星。在2017年网络安全500强排名中有36家企业上榜,以色列是仅次于美国的世界第二大网络安全技术出口商。英国网络安全产业在产业规模、企业数量、产品出口等方面都处于世界领先地位,据数据显示,英国网络安全产业规模超过211亿美元,约占全球网络安全产值的1/4,领跑西欧地区;2016年共有26家英国企业入围网络安全500强排名,数量仅次于美国,典型企业包括英国电信(BT)、Sophos 等。[6]

3.网络安全需求不断扩展,网络安全市场供不应求

网络攻击具有低成本、高回报的特点,并且在最近几年里,随着互联网科学技术的飞速发展,网络攻击技术、攻击工具的数量也呈指数型增长,使得借助互联网运行业务的机构面临着前所未有的风险。任何国家、地区、公司甚至是个人都有可能在某一方面获得网络攻击能力,同时在另一方面也都有可能成为被攻击的对象。因此,网络安全正在成为各国国家安全建设的重点,各国网络安全的维护也正面临着巨大威胁。日益突显的网络安全问题,使得全球网络安全市场需求呈现出十分旺盛的发展态势,网络安全产品需求的可持续性也伴随着网络安全在政治、经济和战略等方面重要性的提高而提高。

各国政府已经深刻认识到建立和谐有序的网络安全市场,以及充分合理扶植国内网络安全公司的重要意义。面对逐年扩大的网络安全产品和服务需求,越来越多的国家和军火生产商、军事服务公司、互联网科技公司投身于网络攻击武器和网络防护能力的研发中,但是由于网络空间斗争的日趋激烈,互联网技术的更新换代,网络安全产业市场仍然处于供不应求的市场失衡状态。

4.通过政企合作安排,推动网络安全企业快速发展

在网络安全领域,国外通过政企合作安排,激励网络安全企业快速成长。政企合作模式分为三类:第一类为政府建立机构,即在政府战略规划引导下创立的政企合作组织,是政府部门占主导地位、社会组织作为参与方加入其中的独立机构。第二类为政府参与行业协会,即非官方的社会组织自发创立协会,随后政府部门参与、引导或注资,将之确立并推广。第三类为企业独立承接政府项目,即企业以独立机构的身份与政府开展合作,如政府部门将信息安全领域的项目外包给高科技网络企业。[7]

首先,在巨大的市场潜在价值地有效刺激下,催生出一大批具有国际影响力的网络安全公司。不同种类的网络安全公司之间,其核心业务也不尽相同,总的来说,网络安全公司依靠自身独特的技术优势,结合网络空间的多层次性,衍生出多种多样的网络安全服务内容。

其次,网络漏洞、网络虚拟空间攻防作为一种军民两用物项,还吸引了许多传统军工企业投身于互联网安全产品、网络攻击技术、网络攻击工具的研究开发。根据斯德哥尔摩国际和平研究所的统计,“SIPRI100 强”中许多关键武器项目的主要承包商都进入了网络安全市场,例如BAE 系统公司、欧洲宇航防务集团、洛克希德. 马丁公司等,通过不同的网络安全业务战略,逐步在网络安全市场占据重要的一席之地。洛克希德. 马丁公司与主要的信息技术和网络安全公司(迈克菲、微软、惠普等)结成了战略联盟。对它们而言,网络安全产品带来的收益相对常规武器的收入来说小得多,但是网络安全市场的高收益率,以及网络安全建设的政治影响力却是吸引众多的公司或军火供应商进入网络安全市场的核心要素。[8]

(二)国内网络安全产业现状

当前,我国网络安全产业呈现如下发展态势:

1.国内网络安全产业规模快速增长,产业格局以产品为主导

从细分市场看,网络安全产品产业规模达201.33 亿元,占比71.21%。防火墙、统一威胁管理、安全内容管理、身份管理与访问控制、产品占据市场主要份额。安全服务产业规模达81.41 亿元,占比28.79%。安全集成占据服务市场六成份额,其次是安全评估,安全咨询和安全运维比例不高。[9]

2.重点城市加快产业布局,产业集群效应逐渐显现

北京、成都、深圳、武汉等重点城市加快网络安全产业布局,引导企业、科研、人才等资源集聚,打造中国网络安全产业的区域高地。

3.安全企业整体发展态势良好,企业融资高度活跃

2015 年至2016 年7 月,超过37家网络安全相关企业成功在新三板挂牌,目前总量已经超过43 家。2017年,中国互联网投资基金正式成立,基金规划总规模1000亿元,首期300亿元已募集到位。[10]互联网投资基为我国网络安全产业发展注入了新活力。

4.安全企业并购和战略合作增多,产业生态不断优化

大中型安全企业积极开展投资并购活动,增强产品布局及产业链控制能力;安全企业间、互联网企业与安全企业间的战略合作日益增多、合作程度不断加深;传统通信企业、大型国企积极开展安全布局,整合优势资源,推动构建完整的网络安全生态体系;网络安全产业联盟等行业平台积极作为,优化产业环境。

5.网络安全人才培养上升战略高度,高校企业共同发力

目前,我国网络安全人才培养在学科建设、认证培训方面已经取得一定进展。此外,网络安全企业也成为网络安全人才培养的重要实践基地,在360、启明星辰、绿盟等企业涌现出一批网络安全领军人才。

(三)我国网络安全产业面临的问题

我国网络安全产业的发展态势亟待网络安全产业促进型立法的制定和政策激励措施的出台。

1. 网络安全产业促进型立法的缺失

我国《网络安全法》实施以来,为有效应对国内外网络安全新挑战,多部门联合推进《网络安全法》实施落地,积极构建协同联动的网络安全保障体系,组织开展数据安全和用户个人信息保护专项检查,修订网络安全防护和新技术新业务安全评估管理办法,扎实做好维护网上意识形态安全和反恐维稳各项工作,立项发布网络与信息安全相关标准90余项,网络安全保障能力稳步提升;组织开展跨区域网络安全突发事件应急演练,建立健全跨省联动和跨部门协同应急处置机制,网络安全突发事件监测预警和联动处置能力显著提升。[11]

但是,从《网络安全法》“第二章网络安全支持与促进”来看,《网络安全法》作为框架性立法,对网络安全产业促进方面的规定也较为原则,难以满足促进我国网络安全产业快速成长的要求。在网络安全法律比较健全的国家已经出台网络安全产品和服务政府补贴等方面法案的情况下,网络安全产业促进型立法的缺失已经严重制约了我国网络安全产业的发展和网络安全保障能力的提升。

2. 网络安全产业政策激励措施的滞后

网络安全产业政策激励措施是指国家在遵循WTO规则的前提下,借助政府采购、土地供应、投资鼓励、税收减免、融资支持等手段实现对我国网络安全产业的优先保护。尤其是在政府采购政策方面,我国尚未形成向民族网络安全产业倾斜的政策取向。在这一领域,美国的经验可资借鉴。以美国政府采购对于国货的优先待遇为例,美国采购总体遵照《联邦采购法》以及《购买美国产品法案》的规定执行。其中,美国的《购买美国产品法》是一部鼓励采购部门优先购买本国商品的保护性法规,它明确的界定了“美国国货”的标准,规定拟采购的项目即“最终产品”,必须是在美国制造的,最终产品采用的“实质上全部的”组件也必须是在美国制造的。其次,《购买美国产品法》规定,在政府采购项目的国外报价中,如果本国供应商的报价比外国供应商的报价高出不超过6%的幅度,那么,必须优先交由本国供应商采购;而对中小型企业则更优待,他们可以享受高达12%的报价优惠。尽管《购买美国产品法》对世界贸易组织《政府采购协议》签字国的限制虽已大大减少,但对未加入《政府采购协议》的国家(包括中国)仍然适用。[12]

在网络安全领域,欧美等西方发达国家往往注重对政府采购市场的引导和调控,作为网络攻击的重灾区和国家网络安全防护的重点,政府、军方和关键基础设施一直是网络安全市场的主要需求方,西方发达国家通过引导网络安全研发和部署方面的资金向这些主需求方转移,间接达到向网络安全产业倾斜的效果。欧美等西方发达国家这种做法对我国具有一定借鉴意义。

3.市场竞争秩序和创新活力有待培育

欧美发达国家网络安全产业政策表明,网络安全产业的发展需要充分市场机制的作用,尤其是中小企业的发展更需要良好的市场环境。首先是公平竞争环境。应充分利用法律手段保护公平竞争的市场环境。其次是创新倡导环境。要形成鼓励创新、保护创新的市场环境,坚持扶持中小型企业与大企业战略并举,积极鼓励和扶持中小企业的技术创新。

为了支持我国网络安全企业的发展创新,我国网络领域竞争政策的制定,一方面要考虑继续促进中国企业做大做强,以与国际巨头比肩,另一方面要开始防范主导者滥用市场支配地位阻碍创新,以保持行业创新活力,获得持续发展的动力。因此,竞争政策的尺度需要微调,从“宽松”走向“宽严并济”。我国应建立行业监管部门与竞争执法机构协调配合的执法机制,明确互联网竞争规范,明确互联网竞争行为和结果的判定依据,建立互联网市场竞争的监测、预警和取证平台,为竞争格局评估和竞争执行提供判定依据。

三、国外网络安全产业激励措施

(一)不同国家网络安全产业激励措施例举

1.美国网络安全产业促进措施

(1)不断加强政企合作,巩固安全企业在维护网络空间安全中的重要地位。美国《2014年增强网络安全法》要求“相关机构在战略纲要的制定和更新过程中与产业界、学者以及涉及到的利益相关方进行充分的合作”,《提升关键基础设施网络安全行政命令》与《2014年网络安全框架》中也强调在提升关键基础设施网络安全保障领域加强企业和政府部门的合作,发挥安全企业的重要作用。[13]

(2)持续加大安全产业投入,帮助企业营造良好的市场环境。美国政府近期预算报告显示,美国联邦政府是目前全球网络安全投入最多的政府。2017年3月,特朗普政府上台后,美国预算管理局(OMB)发布的《美国优先:让美国再次伟大的预算蓝图》(America First: A Budget Blueprint to Make America Great Again)中提到,美国2017年的联邦政府财政年经费为11810亿美元,其中用于防御性经费5760亿美元,网络安全投入较大的国土安全部(DHS)的经费为413亿美元。美国2018年预算显示,联邦政府财政预算为11510亿美元,较2017年减少了300亿美元,但对国土安全部的预算上升到 441亿美元,涨幅6.8%。[14]

(3)实施网络安全人才战略。美国开展了大量开创性的工作,不仅在国际上最为领先,同时也最成体系。美国历年主要的网络安全战略文件,无一例外均囊括“提升网络安全意识、加强网络安全教育”的内容。美国也非常注重网络安全人才培养投入,《2014年增强网络安全法》明确提出通过设立奖学金、开展竞赛等方式优化安全人才培养机制。2015年《网络空间行动计划》也要求政府定期对各企业的安全技术团队进行能力培训和测试。2017 年5 月11 日,特朗普总统签署“增强联邦政府网络与关键性基础设施网络安全”行政令,更是要求商务部和国土安全部联合提交加强网络人才培养的计划。[15]

2.以色列网络安全产业促进措施

(1)制定国家网络空间安全战略。在认识到网络攻击在物理世界可造成巨大危害后,以色列政府于早在2011年便通过了题为《提高国家网络空间能力》的政府决议,旨在加强国家基础设施网络安全防御工作,提高针对当前和未来网络空间安全挑战的管控能力。

(2)引导企业聚集发展以形成规模效应。以色列政府注重发挥“先进技术园区”在沟通学界、安全企业和国防军队三方面的重要作用,为网络安全领导协同、项目合作、数据共享、资源互补和人才流动提供便利。今年来,以色列着力打造了贝尔谢巴和特拉维夫两个高新技术中心,将安全企业进一步聚集,以便提高各项产业促进政策的实施效率。同时,还推出了面向高新区网络安全企业的税收减免措施。

(3)培养和挖掘最顶尖的网络技术专家。以色列为安全人才的进一步培养提供完善的资金支持,并通过出台优惠政策帮助投资者寻找优质投资项目,设法提高投资回报,以此来吸引欧美的重量级投资机构。由于以色列和西方良好的关系,以及源源不断产出“物美价廉”的人才资源,目前思科、EMC、谷歌、微软、IBM、甲骨文、德国电信、洛克希德·马丁等知名公司都在“网络星火产业园”建立了网络安全研发中心。[16]

3.英国网络安全产业促进措施

(1)更新国家网络安全战略,确保在全球网络空间的优势地位。英国2013年版战略要求加强网络安全技能与教育,确保政府和行业提高网络安全领域所需的技能和专业知识;2016年11月发布新版《国家网络安全战略(2016-2021)》,提出要大力发展网络安全专业机构,建立世界级的信息保障和网络专业人才力量,打造可信与安全的网络生态系统。

(2)成立专门机构保障政策落实效果。英国制订了详细计划以鼓励网络安全创新,并制定了专门政策以帮助企业向海外销售产品或服务。英国政府为了落实相关政策,加强政府和安全供应商之间的协调,由贸易投资署牵头设立了包括学界、政府和工业界等各界代表的“网络成长伙伴关系”。该伙伴关系致力于获得更多的出口市场,提升英国安全企业在国外市场的竞争力。[17]

(3)强化网络安全投资。2017年8月,英国政府表示,新创新中心将为网络安全技术大型企业和初创企业之间提供合作机会。创新中心还将为英国网络安全行业的企业提供技术指导、业务支持和建议。英国数字国务部长马特•汉考克表示,从初期概念到设立公司、开发模型和产品、以及成为全球网络领域佼佼者,英国政府希望在每个过程中支持企业家和创新者。

(4)培育和扶持网络安全企业。英国在 2015 年启动的网络安全加速器计划(Pre-Accelerator)基础上,进一步组织遴选有潜力的安全企业予以培育,制定了涉及市场、用地、资质、融资等方面的一整套扶持方案,目前参与该计划第一期的7家企业已融资270万英镑,并获得了思科等企业的订单。[18]

4.俄罗斯网络安全产业促进措施

(1)制定信息安全战略。俄罗斯非常注重网络安全战略的顶层设计,规定了国家在建立信息资源库、信息网络化以及维护网络安全等方面的责任。俄罗斯通过总统令的形式,责成俄联邦安全局建立监测、防范和消除计算机信息隐患的国家计算机信息安全机制。内容包括评估国家信息安全形势、保障重要信息基础设施的安全、对计算机安全事故进行鉴定等。而且,普京总统还签署了《2020 年前国际信息安全国家基本政策》,这份由多个部门联合审议的文件成为俄应对信息安全威胁的纲领性文件。[19]

(2)创新网络安全维护技术。俄罗斯加强了对网络战的防范,并加快推进网络技术创新。积极开发高性能计算机、智能化技术、网络攻击防护技术等在内的信息安全“关键技术”,大力支持网络安全公司的创新。同时,有针对性地从国外购买先进技术,以弥补自己的不足。俄罗斯也很注重军事领域的网络安全防护工作,致力于通过吸引优秀技术人员的加入来发展关键领域和技术,包括战略防御体系中的网络系统、电子对抗系统、武器平台控制系统和网络武器系统等。[20]

(3)加快网络安全人才培养。俄罗斯2000年《国家信息安全学说》要求,在信息安全和信息技术领域建立统一的干部培训系统;2016年新版《国家信息安全学说》也强调了信息安全保障人员欠缺的问题,要求发挥信息安全保障和应用信息技术领域人员的潜力。

5.欧盟及日本、澳大利亚的网络安全产业激励措施

(1)欧盟网络安全产业激励政策。首先,出台聚焦于打破区域市场碎片化的政策。欧盟委员会希望欧洲的网络安全企业加强跨境合作,同时提出建立信息通信技术安全产品欧洲认证框架,以解决欧盟网络安全市场的碎片化问题。其次,加大网络安全领域投资。2016年7月,欧盟委员会推出了一项公私合作性质的全新网络安全研究和创新投资项目——Horizon 2020,投资金额为4.5亿欧元(约合5亿美元)。再次,要求各成员国应在国家层面开展网络与信息安全方面的教育与培训。欧盟安全产业政策立足于安全意识普及和安全人才培育,力图在强化民众网络安全意识的同时,培育更有利于安全企业生存的市场环境,提升安全企业及从业人员的技术水平。

(2)日本网络安全产业激励措施。日本安全产业政策偏重于明确产业发展目标,在《2013年安全战略》中,将“积极参与国际标准制定,建立工业控制系统评估和认证机制,要求政府部门采购采用尖端技术的产品,实现国内信息安全市场规模翻倍、信息安全人才缺口减半”确立为促进产业发展的主要方向。同时,将“开展公司合作培训计划及技能竞赛以挖掘人才,支持参加国际会议或出国学习以培养具有国际竞争能力的人才”作为人才队伍建设的目标。日本2016年网络安全战略总部会议正式敲定网络安全人才培养计划,设立“网络安全与信息化审议官”一职,以统管人才培养工作,以2020年东京奥运会为契机,在4年内培养近千名专家。

(3)澳大利亚网络安全产业激励措施。澳大利亚安全产业政策注重强化政企合作,在其公布的《网络安全战略》中,将“企业-政府伙伴关系”列为重点战略措施,鼓励政府与企业共同促进关键基础设施、网络、产品和服务领域的安全和恢复力。利用AusCERT(澳大利亚计算机应急响应中心)加强与私营部门间的可信伙伴关系。通过关键基础设施保护的可靠信息共享网络,与企业进行更广泛的接触,促进一体化网络安全最佳实践途径,促进基于恢复力概念的关键基础设施保护。澳大利亚2016年网络安全战略要求政府在各级教育系统中改进网络安全教育,确保澳大利亚网络安全人才队伍拥有专业技能和能力。[21]

(二)国外网络安全产业激励措施的特点

1.以法律为保障,促进网络安全产业稳定增长

欧美国家形成了涵盖网络安全保障、知识产权保护、公平竞争维护等在内的法律体系,在涉及关键基础设施保护、个人数据和隐私保护、互联网内容管理、计算机安全及犯罪等领域,对网络安全企业有明确的权利义务要求,能够提供一个持续的、公平的市场环境,维护企业自身的优势和利益,并确保相关企业按照一定规范运行。通过完善的法律体系建立规范统一、科学合理的网络安全产品市场,有助于网络安全产业激励政策的实施,也有利于网络空间安全防护能力的提升。

2.国家安全战略为导向,宏观指引网络安全产业发展

随着国际网络安全形势的日益严峻,世界各国对网络空间的重视程度不断提升。大多数国家纷纷设立专门的网络安全权威机构,推动网络空间的战略部署,抢占网络空间的战略高地,为互联网安全产业的发展提供宏观导引。美国是世界上最早制定网络安全战略的国家,如《网络空间国际战略》、《美国国防部网络战略》,并于2015年公布了“网络威慑”战略,随后又发布了《网络空间安全国家行动计划》等,其中表现出的主要特点为加强对安全产业中长期发展规划,提升企业在制定国家网络安全中长期规划时的话语权。欧美国家也相继制定了网络空间安全中的“威慑”战略,例如,英国于2017年3月发布了国家数字化战略,其中指出网络安全三大目标:防御、威慑和发展。

3.通过政府引导和调控,激励网络安全产业壮大

在政府引导和调控方面,美国坚持扶持中小型企业与大企业战略并举,积极鼓励和扶持中小企业的技术创新。例如,美国小企业管理局推出的小企业创新研究计划和小企业技术转移计划等。欧盟出台《强化欧洲网络恢复系统及培育竞争与创新活跃的网络安全产业》的产业政策聚焦打破国别性碎片化市场,增强安全企业的竞争力。此外,欧盟 2016 年“地平线 2020”研究计划也强调支持安全产业政策和行动计划实施,并进一步加强政企合作,以提高关键基础设施安全保障水平。色列政府则鼓励企业与美国大型安全企业进行交流合作,不断推动安全产品的出口,除保持防病毒、防火墙、防泄漏等传统强势产品的出口外,还特别针对性的加大大数据分析、APT攻击、DDoS、网络取证、手机安全、身份和隐私保护等方面的创新型安全产品的出口。这些引导和调控措施有效促进了欧美国家网络安全产业稳步增长。

4.积极培养网络安全专业人才和精英人才

网络安全人才和精英人才的培养,主要包括:人才战略、学校教育、培训认证、人才标准等方面。第一,在人才战略方面。世界主要国家都把网络安全人才战略已上升到国家战略高度。第二,在学校教育方面。美国为我们提供了很多创新的思路:一方面,美国肯定正规学校和通过系统教育培养相关人才和能力的重要性;另一方面,美国重视网络空间安全教育体系建设。此外,以色列、英国、日本、新西兰等国家都建立高校网络空间安全人才培养机制,通过高等教育培训和加强网络安全意识,建立和维护网络安全队伍。第三,在社会培训方面。国际信息系统安全认证协会是全球网络信息安全认证机构。此外,世界主要国家也建立了各自的社会培训认证系统。第四,在人才标准方面。网络安全工作覆盖多种不同的技能和角色。以英国为例,其通信总部(GCHQ)下属国家信息安全保障技术管理局(CESG)发布《信息安全保障专业人员认证》框架,作为对网络安全人才进行认证和管理的重要依据。CESG指定的认证机构对安全保障人员进行能力评估,以认定其是否具备相应资质。[22]

四、我国网络安全产业的困境与立法、政策激励措施

(一)我国网络安全产业的困境

由于我国网络安全产业促进型立法的缺失和网络安全产业政策激励措施的滞后,致使中国网络安全产业依然面临一定困境。具体表现在以下方面:

1.网络安全整体投入不足

相对于GDP规模而言,我们国家在信息安全领域的投入是非常低的,而且存在着严重的结构失衡。[23]目前,我国网络安全投资占整体信息化建设经费的比例仍不足1%,与美国的15%、欧洲的10%相比存在巨大差距。[24]

2.网络安全产业链的整体水平不高

网络安全遵循木桶原理,在整个互联网环境中,安全的水平是由该网络中防护水平最弱的环节所决定的。在与网络安全间接相关的软硬件方面,如操作系统,我国并不掌握核心技术,受制于微软、思科等国外大公司,这种状况造成了即使安全产品的防护能力很强,也难以保障网络和信息安全。因此,思科、IBM、英特尔、微软、甲骨文、罗克韦尔、惠普等在相关领域分别占据市场垄断地位,我国对网络基础软硬件系统尚未实现自主控制。而国内80%以上的信息流量,都经过国外企业产品的计算、传输和存储,相关设备多设“后门”,国内数据安全命脉几乎全部掌握在了国外企业手中。“棱镜门”事件警示上述情况对我国的数据安全乃至国家安全构成极大威胁。

3.网络安全企业规模相对较小

与国外大型跨国公司相比,国内安全企业的经营规模还相对较小,收入主要来自国内市场,国际化基本上还没有起步,而美国赛门铁克的海外业务收入占总收入的53%。我国互联网安全的行业集中度较低。据统计,我国网络安全上市公司营业收入排在前三位的为:天融信、启明星辰、卫士通,其营业收入分别为:1814.22、689.66、565.08(百万元)。[25]在营收规模方面,我国网络安全龙头企业与美国的赛门铁克、Palo Alto Networks、Fortinet相比,还存在较大差距。因此,打造网络安全“国家队”任务依然严峻。

4.网络安全产品市场需求有待拓展

从网络安全产品需求侧来看,企业和国民的安全意识薄弱、相应的网络安全责任机制缺失,致使行业对网络安全产品和服务的需求不足;对进口网络安全产品和设备的安全审查制度尚未严格实施,知识国产网络安全产品和服务的市场空间受到挤压;关键信息基础设施安全产品和服务的供应尚存技术壁垒,构成了民营网络安全企业进入相关市场的障碍;关键信息基础设施安全管理和安全防护的要求、标准、责任有待明确,拟制了安全市场需求规模;我国的政府采购制度还存在的不足,无法为本国网络安全企业或产品提供庞大的市场空间。在这些因素的影响下,我国网络安全产品和服务的市场空间有限、市场需求规模有待拓展。

(二)制定网络安全产业促进型的立法

鉴于产政策的特殊性,虽然不能要求所有的产业政策都要采取法律的形式,但对政府制定和执行产业政策的行为进行法律上的规制是一个法治国家的必然要求。而且,一些网络安全法律相对健全的国家,已经出台了关于网络安全市场政府采购、网络安全产品和服务政府补贴、网络安全保险等方面的法案。在我国建设“法治国家、法治政府、法治社会”的背景下,我们建议把一些重要的网络安全产业政策法律化,形成网络安全产业促型立法。

1.我国制定网络安全产业促进型立法的必要性

上述对我国网络安全产业困境的分析表明,现阶段我国网络安全供给严重不足,网络安全形势日趋严峻与网络安全产业发展相对滞后之间的矛盾十分突出。与此同时,网络安全服务提供者与国家安全密切相关。全球化融合态势下,网络威胁信息成为网络防御的关键要素,网络安全产品和服务作为网络威胁情报信息的采集点与响应点,促使网络安全服务提供商在提供网络安全服务的过程中通常能够及时有效地获取有关系统漏洞、网络攻击、威胁来源、恶意地址等网络安全信息汇聚形成的网络安全大数据,通过数据收集和数据挖掘,把握事件的走向、趋势和关联性,获取预警性情报信息。因此,针对网络安全大数据的获取和掌控能够为加强国家网络安全监测、预警、控制和应急处置能力建设提供基础性支撑,是深化国家网络安全防护体系和实现“全天候全方位感知网络安全态势”的关键所在和必然要求。可见,制定网络安全产业促进型立法已经迫在眉睫,国家应尽快将相关工作提上议事日程。

2.我国制定网络安全产业促进型立法的可行性

(1)制定网络安全产业促进型立法的政治基础。党和政府关于网络安全与网络发展关系的描述是我国制定网络安全产业促进型立法的政治基础。2016年4月19日,习近平总书记在网信工作座谈会上强调,网络安全和信息化相辅相成。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。党的“十九大”报告提出“推动大数据、人工智能和实体经济深度融合”。当前,我国网络发展较快但网络安全没有及时跟上,网络产业发展迅猛但是网络安全产业刚刚起步,对此,党和政府在相关政策文件中直接或间接表达了推动网络安全产业发展的积极态度,构成了我国制定网络安全产业促进型立法的政治基础。

(2)制定网络安全产业促进型立法的法治前提。《网络安全法》的制度设计和产业促进立法实践是我国制定网络安全产业促进型立法的法治前提。一方面,《网络安全法》从扶持重点网络安全技术产业和项目、推进网络安全社会化服务体系建设、鼓励开发网络数据安全保护和利用技术、组织开展经常性的网络安全宣传教育等方面,设计了“网络安全与促进”制度的基本框架。另一方面,我国已经形成了产业促进立法的丰富实践,如为了发挥中小企业在国民经济和社会发展中的重要作用,制定了《中小企业促进法》;为了促进循环经济发展、实现可持续发展,制定了《循环经济促进法》。在《网络安全法》对“网络安全与促进”的规定相对原则的情况下,出台网络安全产业促进型立法的必要性凸显。

(3)制定网络安全产业促进型立法的思想条件。我国对网络安全产业需要优先发展、重点扶持的一致认识是制定网络安全促进型立法的思想条件。对于网络安全产业,理论界基本已经达成以下共识:一是网络安全产业是否壮大已经成为衡量国家网络安全综合实力的重要标准;二是西方发达国家高度重视网络安全产业,资金投入和引导政策持续加码;三是网络安全产业投入低、规模小,网络安全龙头企业有待培育。进而,提出优先发展网络安全产业的举措:扩大网络安全产业投入,打造网络安全产业龙头企业,对我国安全产业实施倾斜采购政策,加快培养网络安全人才,等等。上述基本共识是我国制定网络安全产业促进型立法的思想条件。

3.我国网络安全产业促进型立法的主要内容

(1)政府采购。在网络安全产业促进型立法中,应当明确为普通网民和中小企业提供基础性网络安全保障是各级政府的职责,应当采取政府采购等方式,向符合条件的网络安全企业购买服务,弥补个人和中小企业对网安产品和服务投入不足的短板。

(2)分级管理。在网络安全产业促进型立法中,应当根据关键信息基础设施的等级保护措施,对应的为提供网络安全服务的企业进行分级管理,设置不同的准入门槛,例如资金来源、股权结构、技术水平等。并对不同等级的网安企业提供不同的信息共享、责任豁免和执行安全服务所必须的特权,例如漏洞扫描的主动权以及漏洞信息共享的责任豁免权等。

(3)土地、投资、税收、金融支持。在网络安全产业促进型立法中,设计土地供应、投资鼓励、税收优惠、融资环境、人才落户等方面的具体规则,通过政策倾斜的方式实现网络安全产业的优先发展和重点发展。同时,为购买网络安全产品或服务的企业,提供补贴或者税收减免,以鼓励企业增强网络安全建设。

(4)网络安全技术创新和标准制定。网络安全产业促进型立法可以通过设置国家专项基金、鼓励风投向网络安全技术领域转移等方式,鼓励网络安全企业不断加大研发投入,促进网络安全技术攻关、成果转化、应用推广。支持网络安全企业参与行业标准、国家标准甚至国际标准的制定。

(5)网络安全龙头企业培育。当前我国专注于信息安全的主流厂商营业收入基本不足百亿,大部分企业在亿元级别以下,利润率微薄。通过网络安全产业促进型立法改善企业生存环境、提升产业活力,目标是打造引领安全产业发展的龙头企业。

(6)中小网络安全企业扶持。在网络安全产业促进型立法中,一方面可以扶持中小型网络安全企业创新成长,推动网络安全产业发展;另一方面可以通过网络安全龙头企业带动产业发展和中小企业成长,增强国内企业在与国外安全厂商对抗中的竞争力。

(7)网络安全人才培养。当前我国网络安全技术人才规模小、专才少,与社会需求之间存在较大的人才缺口。尽管国务院学位委员会、教育部已增设“网络空间安全”一级学科,《网络安全法》引入“支持培养网络安全人才”专条,但是尚需要网络安全产业促进型立法进行细化,使之具有可操作性。

(8)军民融合和协同发展。《国民经济和社会发展第十三个五年规划纲要》列“推进军民深度融合发展”专章,《关于经济建设和国防建设融合发展的意见》则把军民融合发展上升为国家战略。在这一背景下,将相关政策转化为网络安全产业促进型立法,通过特定安排来加强政府部门、军方、企业之间的协作。

(三)我国网络安全产业的政策激励措施

1.我国网络安全产业政策激励措施框架已定

(1)国家互联网信息办公室《国家网络空间安全战略》。2016年12月27日,国家互联网信息办公室发布《国家网络空间安全战略》,阐明了中国关于网络空间发展和安全的重大立场和主张,明确了战略方针和主要任务,是指导国家网络安全工作的纲领性文件。《国家网络空间安全战略》要求,“坚持创新驱动发展,积极创造有利于技术创新的政策环境”;“建立完善国家网络安全技术支撑体系”;“实施网络安全人才工程,加强网络安全学科专业建设”等。

(2)中共中央办公厅、国务院办公厅《国家信息化发展战略纲要》。《国家信息化发展战略纲要》要求从以下方面发展核心技术、做强信息产业:构建先进技术体系、加强前沿和基础研究、打造协同发展的产业生态、培育壮大龙头企业、支持中小微企业创新。

(3)国务院《“十三五”国家信息化规划》。《“十三五”国家信息化规划》要求,到2020年,“数字中国”建设取得显著成效,信息化能力跻身国际前列,核心技术自主创新实现系统性突破,信息基础设施达到全球领先水平,信息经济全面发展,信息化发展环境日趋优化。

(4)工业和信息化部、国家发展改革委《信息产业发展指南》。《信息产业发展指南》确立了2020年基本建立具有国际竞争力、安全可控信息产业生态体系的发展目标。提出了增强体系化创新能力、构建协同优化的产业结构、促进信息技术深度融合应用、建设新一代信息基础设施、提升信息通信和无线电行业管理水平、强化信息产业安全保障能力、增强国际化发展能力7大任务。

(5)工业和信息化部《信息安全产业“十二五”发展规划》。《信息安全产业“十二五”发展规划》明确提出,促进信息安全产业做大做强。在“十二五”期间要实现信息安全产业平稳较快发展,促进产业整体的质量效益全面提升;把骨干企业培育、创新能力提升、核心技术研发作为增强产业核心竞争力的着力点。并从优化发展环境、创新能力建设、骨干企业培育、应用推广力度、标准体系建设、产品规范认证、人才队伍建设等方面明确了保障措施。

(6)工业和信息化部《信息通信行业发展规划(2016-2020年)》。《信息通信行业发展规划》指出,“‘十三五’期间,信息通信业要站在更高层次、更广领域落实网络安全观,进一步加强网络安全管理工作,完善行业网络和信息安全监管体系,创新理念方法,健全机制手段,提升全行业的安全风险防控和保障能力。”《信息通信行业发展规划》将“安全可控”作为信息通信行业发展的一项基本原则,将“网络与信息安全综合保障能力全面提升”作为信息通信行业发展的一个基本目标,将“强化安全保障”作为信息通信行业的发展重点。主要保障措施为:加强财税、金融方面的行业支持力度,完善和落实支持创新的政府采购政策,加强安全相关建设投资政策牵引,推动环评审批流程优化,鼓励引导政府部门、重点企业完善信息通信业人才培养机制,等等。

(7)地方政府的网络安全产业促进政策。成都、深圳、武汉等重点城市,争相出台网络安全产业激励措施,如成都于2016年投资 130 亿建设“成都国家信息安全产业基地”;武汉于2017 年发布《关于支持国家网络安全人才与创新基地发展若干政策的通知》;深圳积极实施5 亿创客基金、两个“互联网+”小镇,“孔雀计划“、政府创新券等优惠政策。

(四)细化网络安全产业政策激励措施

之所以对网络安全产业实施政策激励措施,是因为中国网络安全产业相较于美国等发达国家整体实力偏弱,存在后进入企业难以靠自身单独解决的经济性“设立成本”障碍。而且,由于我国现行政策激励措施具有零星、分散的特点,有些政策激励措施较为原则,可操作性不强,整体而言对网络安全产业的促进力度不足,因此需要在国家层面确定中国网络安全产业优先发展的战略,并从产业投入、企业发展、政府采购、人才培养等方面细化网络安全产业政策激励措施。

1.扩大我国网络安全产业投入

互联网安全产出的外部性和公共品特征,中国互联网安全保障水平相对落后,要求中国必须统筹规划,增加政府和社会的互联网安全投入。相比较欧美等国的网络安全投入逐步增加,我国网络安全产业总体投资不足。2017年,工信部印发《软件和信息技术服务业发展规划(2016-2020年)》,其中提到,我国已成为全球最大的网络市场,然而网络与信息安全市场投入却严重不足。安全产业在软件和信息服务业中占比不足2%,信息安全投入占IT整体投入比重仅在1%-2%之间,均远低于欧美平均水平。争取到2020年,实现产业规模2000亿元,年均增速保持在30%以上,信息安全产业占软件和信息服务业比重逐步提升到3%-5%,信息安全投入占IT整体投入比重提升至8%-10%,接近欧美发达国家水平,带动产业规模在短期内缩小与美国的差距。

一方面,在供给侧,国家应加大对网络安全产品和服务供应者的投入。重点支持关键基础设施信息安全及互联网安全保障能力的提升、重要的研发攻关、企业的创新创业。国家应当考虑制定互联网安全科技攻关规划或者专项,组织和支持企业开发未来5-10年可能成为互联网安全领域的主流技术。在关键信息基础设施安全方面,需要国家直接增加投入,更要重视用法规、政策推动关键基础设施所有者和使用者共同增加投入,要用国家投入及产学研合作、产业联盟等多种方式开发基础共性技术、共用产业技术开发平台和试验基地。资金保障上,鼓励将安全产业纳入国家相应的基金和专项资金支持范围,保障安全产业发展的资金需求。与此同时,应鼓励资本市场进入网络安全产业。[26]因此,我国应加快制定促进网络安全产业发展的产业政策,鼓励地方出台扶持网络安全产业发展的政策措施。

另一方面,在需求侧,国家应扩大对网络安全产品和服务购买者的扶持。如前所述,向个人用户提供免费网络安全产品和服务也属于网络安全产业范畴,并且类似提供良好社会治安一样属于政府应当提供的基础性公共服务。因此,对普通网民和中小企业提供基础性网络安全保障是各级政府的职责,应当采取政府采购等方式,向符合条件的网络安全企业购买服务。对于自行购买网络安全产品和服务的购买者,政府可以通过财政补贴、税收减免等方式给与补偿,以鼓励网民和企业主动购买网络安全产品和服务,积极提高自身网络安全保障能力。这种构想背后的原因在于:每个企业面临的信息安全风险,不仅依赖于自身的安全措施,也常常依赖于其他公司的安全投资,即存在“网络外部性”。

2.支持骨干企业发展和中小企业创新

(1)打造网络安全产业的龙头企业。[27]首先可以对各国网络安全龙头企业的规模进行比较。根据上市公司对外披露的信息,对美国、俄罗斯、中国、英国、以色列、韩国、日本这七国的网络安全企业中已公开上市且年收入排名1-3的企业进行对比。网络安全企业规模分析主要包括员工人数、企业年收入两项指标。

根据下表分析,从网络安全企业的规模比较,美国、以色列、日本位列前三。中国上市网络安全企业中前几名已达到员工人数过千、年收入上亿美元的规模。但中国龙头安全企业与美国龙头企业在营收规模方面仍存在巨大差距。

龙头安全企业规模(根据公开资料整理,2017年6月)

国家

企业名称

员工人数

(大约人数)

企业年收入

(百万美元)

美国

赛门铁克

11,000

3,600

Palo Alto Networks

4,100

1,570

Fortinet

4,600

1,280

俄罗斯

卡巴斯基实验室

3,500

619

中国

启明星辰

3,000

280

绿盟科技

2,000

158

蓝盾股份

1000

223

英国

Sophos

2,600

478

以色列

Check Point Software

4,200

1,741

CyberArk

800

217

Radware

900

217

韩国

AhnLab

900

119

Wins

300

64

Fasoo

260

6

日本

趋势科技

5,600

1,230

注:俄罗斯卡巴斯基实验室属私营企业,虽未上市,但可查到相关数据。数据来源:https://en.wikipedia.org/wiki/Kaspersky_Lab。

诚然,我国迫切需要打造引领网络安全产业发展的龙头企业,保障市场供给。为此,应将改善企业生存环境、提升产业活力作为未来工作重点之一。争取到2020年前,造就一批业务收入亿元或十亿元以上的规模企业,打造3-5家业务收入100亿元的龙头企业,通过龙头企业带动产业发展和中小企业成长,增强国内企业在与国外安全厂商对抗中的竞争力。

(2)扶持网络安全产业中的中小企业。在我国网络安全产业促进政策中,一方面可以扶持中小型网络安全企业创新成长,推动网络安全产业发展;另一方面可以通过网络安全龙头企业带动产业发展和中小企业成长,增强国内企业在与国外安全厂商对抗中的竞争力。

欧美等发达国家网络安全产业政策表明,网络安全产业的发展需要充分市场机制的作用,尤其是中小企业的发展更需要良好的市场环境。我国可以借鉴国外经验,支持互联网安全产业中小企业的创业创新,建立政府支持的技术开发平台支持中小企业技术创新,鼓励中小企业用联盟、协会等方式合作发展。国家可以通过投资基金方式支持中小企业发展,设置推动创新技术向中小企业转移的专项资金支持企业及企业与高校、技术机构联合开发。

3.对民族安全企业实施倾斜采购政策

选取政府采购市场作为突破口,可以迅速促进国内安全企业进入市场,在发展中迅速提升我国安全产业实力。政府采购,对互联网安全的保障和中国互联网产业的发展意义重大。对互联网安全产品和服务的政府采购,要重点支持中国自主可控的中国企业。主要理由:信息安全产业领域采购是特殊领域采购,和一般领域不同,与一般领域供应商不同,有必要按有利于安全原则,尽可能主要向可自主可控的中国企业采购;按“对等待遇”原则,在政府采购和国家重要基础设施领域的采购领域,对那些限制中国企业进入的国家的企业,给予必要的限制。因此,我国在政府采购安全软硬件产品或服务时,应优先考虑民族安全企业的产品及服务,具体做法是建立起统一的网络安全产品及厂商的采购清单,在完善的安全审查制度的基础上,确立政府采购的黑白名单,将民族安全产品优先列入白名单,实施优先采购;对于境外且存在或疑似存在安全隐患的产品列入黑名单,责令政府部门以及各关键单位禁止采购黑名单产品。

与此同时,我们认为,应对网络安全产品和服务提供者设置相应的市场准入门槛。由斯诺登披露的美国“棱镜计划”显示,美国国家安全局在2007年开始就与Apple、Microsoft、Facebook、Twitter 等公司开展合作对全球互联网上的数据流实施动态监听以采集有用信息供情报部门分析。美国包括“八大金刚”在内的私营企业承担着情报共享、攻防技术研发、网络监测、威胁预警、攻击防范和消除等重要职能。显然,网络安全不能依赖外国公司,扶植国内网络安全企业发展是确保国家网络安全的必由之路。在这种背景下,如果不对网络安全服务提供者设置相应的市场准入门槛,将导致我国丧失对网络安全大数据的占有和控制,无法获得威胁态势感知方面的优势,造成我国在网络威胁情报获取上的盲区。如果说网络安全大数据可以用于增强网络威胁态势感知能力,提升国家网络安全水平,反过来,安全大数据也可以很轻易地被犯罪分子甚至敌对国家用于分析系统和空间的漏洞和脆弱性,找到攻击的切入点,尤其是针对国家关键信息基础设施等发动破坏性网络攻击。

4.加快培养网络安全专业人才  

保障网络空间安全已然成为世界各国的战略重点和核心利益,网络安全的关键是人才的较量,是掌握尖端技术专业人才的比拼。只有培养新一代的网络空间安全专业人才和精英人才,打造人才高地,形成一支世界级的网络安全队伍,才能有效应对和化解不断升级的网络安全威胁,并不断提升国家的政治和经济实力。

习近平总书记高度重视互联网人才工作,总书记2016 年4 月在网信工作座谈会的讲话中专门论述了“人才兴网”问题。2016 年6 月,国家发改委、教育部等六部门联合印发《关于加强网络安全学科建设和人才培养的意见》,要求加快网络安全学科专业和院系建设,创新网络安全人才培养机制并完善配套措施。《网络安全法》第2条和第20条也规定,“国家支持培养网络安全人才;采取多种方式培养网络安全人才,促进网络安全人才交流。”可以说,我国网络安全人才培养已经取得一定进展。另一方面,我国网络安全人才培养依然面临一系列问题:一是网络安全人才培养体系不健全;二是网络安全人才规模小;三是网络安全人才专才少。[28]

对我国而言,解决人才缺口问题,首先,加快制定我国网络安全人才培养整体规划,应从高校课程设置着手,在各重点高校增设信息安全相关专业和课程。其次,强化职业教育和人才认证,提升队伍专业水平。再次,在薪酬待遇、科研基金方面向网络安全人才倾斜。鼓励有实力的企业在国外建立安全实验室或引入安全人才。第四,推进网络安全专才培养,实施网络安全人才“千人计划”、“万人计划”、“青年拔尖人才计划”,等等。

[1]《2017年国民经济行业分类(GB/T 4754—2017)》,http://www.stats.gov.cn/tjsj/tjbz/hyflbz/201710/t20171012_1541679.html,2017年12月25日访问。

[2]参见中国信息通信研究院:《网络安全产业白皮书(2017)》,第2-4页。

[3]《世界网络安全发展报告(2016~2017)》,http://ex.cssn.cn/zk/zk_zkbg/201707/t20170726_3591866_7.shtml,2018年1月15日访问。

[4]http://www.chyxx.com/research/201801/605581.html,2018年2月1日访问

[5]《930亿!2018年数据安全行业规模将迎来大爆发》,http://www.sohu.com/a/166693877_360660,2018年2月5日访问。

[6]赵爽:《网络安全产业发展态势与展望》,载《现代电信科技》,2017年第1期。

[7]陈小洪等:《中国互联网安全产业发展研究:战略和基本问题讨论》,电子工业出版社2015年版,第115-116页。

[8]孙伟等:《国际网络安全产品市场发展现状与》,载《国防科技》,2016年第2期。

[9]赵爽:《网络安全产业发展态势与展望》,载《现代电信科技》,2017年第1期。

[10]《产业规模不断扩大我国网络安全产业发展进入新阶段》,http://www.ce.cn/xwzx/gnsz/gdxw/201712/15/t20171215_27274446.shtml,2017年12月5日访问。

[11]中国互联网协会:《2017年中国互联网产业发展综述与2018年产业发展趋势报告》,第19页。

[12]陈小洪等:《中国互联网安全产业发展研究:战略和基本问题讨论》,电子工业出版社2015年版,第118页。

[13]中国信息通信研究院:《网络与信息产业白皮书(2015年)》,第2页。

[14]张松:《特朗普预算改变美国花钱方向》,载《文汇报》2017年5月26日第008版。

[15]中国信息通信研究院:《网络与信息产业白皮书(2015年)》,第3页;《网络产业白皮书(2017年)》,第9页。

[16]洪延青:《从“初创国家”到“网络安全国家”以色列做对了什么》,载《中国经济周刊》2016年第28期。

[17]中国信息通信研究院:《网络与信息产业白皮书(2015年)》,第5页。

[18]中国信息通信研究院:《网络安全产业白皮书(2017年)》,第10-11页。

[19]李媛:《俄罗斯网络安全治理及其启示》,载《中国社会科学报》2017 年3 月27 日第007 版。

[20]李媛:《俄罗斯网络安全治理及其启示》,载《中国社会科学报》2017 年3 月27 日第007 版。

[21]中国信息通信研究院:《网络与信息产业白皮书(2015年)》,第5-6页。

[22]张晓菲等:《国外信息安全从业人员管理的几点研究体会——以美国、英国为例》,载《信息安全与通信保密》2014年第5期。

[23]袁沈钢:《中美网络安全产业对比及启示》,载《中国科学报》2013年9月30日第7版。

[24]http://tech.sina.com.cn/i/2017-07-11/doc-ifyhwehx5667426.shtml,2018年1月10日访问。

[25]《中国网络安全企业50强》(2017年下半年),https://www.sohu.com/a/214261037_490113,2018年1月8日访问。

[26]刘权等:《国内外网络安全产业比较研究》,载《产业经济》2015年第7期。

[27]参考中国网络安全产业联盟:《推动网络安全产业发展壮大课题》研究报告。

[28]唐远清:《习近平互联网治理思想解读与研析》,载《新闻与写作》,2017年第8期。

声明:本文来自360法律研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。