自从中央财经领导小组第十二次会议,习近平总书记强调,供给侧结构性改革的根本目的是提高社会生产力水平,落实以人民为中心的发展思想以后,供给侧改革就变成了大家口中的高频词。搜索引擎给出解释说,供给侧结构性改革就是从提高供给质量出发,用改革的办法推进结构调整,扩大有效供给,提高供给侧对需求变化的适应性、灵活性,提高全要素生产率,更好满足需求,促进经济发展。在网络安全领域,网络安全厂商也都在这方面做进了各种研究,绞尽脑汁地考虑如何去改革自己,但要是需求侧根本没有那么大的需求,威胁侧改革就快成了伪命题。
实际上,近年来,我国的网络安全产品技术水平已经有了突破性的进步了,在主动防御、安全自动化与安全智能、大数据安全、工控安全与支付安全等领域正在逐渐缩小与国际先进水平的差距,并在以量子通信为代表的部分学术领域走在了国际前列,很多也都进入了Gartner魔力象限。加之国家对网络安全事业的重视和《网络安全法》的推出等,虽给网络安全行业带来了利好,但网络安全市场规模的增长却并不是很明显。网络安全厂商普遍的头痛之处就是需求侧并没有像市场所显示的那样,有那么大的需求量,可以说,网络安全供给侧的进步,并没有为中国网络安全市场带来想象中那么大的影响。安全市场蓝景真的只是说说而已吗?
需求侧的需求动力到底在哪成了问题的关键。对于这个问题,启明星辰首席战略官(CSO ) 潘柱廷很兴奋的对笔者就网络安全行业介绍了他的“三棱锥”看法模型。
(图:网络安全行业三棱锥)
从潘柱廷提出的“三棱锥”模型来看,不难发现,网络安全领域一共就有几个要素,分别是需求侧,供给侧,威胁侧和监管侧,问题的关键就如上文所说,供给侧不断地改革升级,想要提高需求侧的需求量,可需求侧总是表现出“麻木不仁”,供给侧改革成了“单相思”,对需求侧产生强刺激作用的实际上是威胁侧,也就是我们常常说的网络攻击。
网络攻击的发生必然伴随着经济利益的损失,这对需求侧的刺激是比较大的一个方面,但也正是因为网络攻击会带来经济等方面的损失,所以我们并不希望攻击真的发生。这可以用师生关系来比喻,两者在日常教学中看似一对矛盾体,但是当用人单位出现的时候,师生其实是“利益共同体”,这“用人单位”,就是威胁侧了。以对APT攻击防护的研究作为例子,安全厂商的防护技术的不断进步,基于等级保护、大数据分析、树型结构的防御产品层出不穷,但这对产业的进步影响并不明显,供给侧也就是我们安全厂商的新技术、新产品并没有给乙方企业带来需求的增量,需求和供给倒成了一对矛盾。
产业的优化不能靠着威胁侧的刺激来改革,行业自然就会考虑到监管侧重要性。监管侧一方面是引导供给侧向正确的方向发展进步,另一方面是则是对需求侧施加监管压力。说到监管侧对需求侧的监管,我们一般想到的都是合规和等保等硬性要求,但实际上,监管侧的监管能力基本上停留在2003年中办发的27号文(《国家信息化领导小组关于加强信息安全保障工作的意见》)上。时至今日,云计算、大数据等技术的不断推陈出新,合规要求根本就覆盖不了目前的网络安全全领域,各大企业和厂商为了完成合规工作,会采购一些最基本的网络安全产品,这并不能有效抵御目前变幻莫测的网络攻击。潘柱廷根据启明星辰在网络安全一线的实战经验,表示:“大部分企业机构的思想还停留在只要能通过政府合规要求就行了的阶段。”所以,他提出:“合规要求何时能够作为企业机构网络安全部署的下限来实施?”的想法,这就需要监管侧能够提高等保合规要求,并提高其对各领域安全防护能力的针对性。企业服从监管侧的管理和合规要求,总归是比因攻击蒙受损失以后再考虑安全部署的重要性要“划算”的多。
到这儿,通过前面的赘述,想必大家都有了自己的看法。笔者也十分获益于潘柱廷的“三棱锥”模型。简单总结一下吧。
(图:三棱锥模型的启发)
1.安全厂商应该积极了解需求侧需求,针对不同行业提供不同的网络安全防护产品;而需求侧也应多与供给侧沟通交流,帮助安全厂商掌握需求,让安全厂商能够沿着正确方向来提升技术水平,开发出优秀的产品,让改革不再是“单相思”。
2.监管者对企业机构应加强监管,提高等保合规要求,以及其针对性;而需求侧也应服从监管者的监管,同时在等保合规要求之上“拔高”,根据自身的网络基础设施和业务情况,追求更高的网络安全防护水平。
3.其实需求侧和供给侧的矛盾才应该是网络安全行业最主要的矛盾。网络攻击手法多种多样,造成的损失越来越大,这意味着需求侧应该多了解学习网络安全知识,自主提高网络安全意识,尽力做到主动防御攻击,抵御威胁侧不可控的网络攻击。反过来,威胁侧对需求侧的作用我们也可以设定为攻击检测。这就需要网络安全厂商的协助,同时,监管侧也可以出台相关标准来要求企业机构完成一些网络攻击测试。
4.网络安全厂商应继续坚持研究攻击的新型变种。实际上这一点安全厂商已经做得很好了,目前很多网络安全产品都能做到物有所用、物尽其用。
5.监管侧应该加大对攻击的打击力度。
6.这一点是第2和第5点的基础,供给侧与监管侧应该积极合作,一来广泛教育用户网络安全知识,提高用户网络安全意识,二来,供给侧也可以帮助监管侧加大对攻击犯罪的打击力度。
思考者 大潘
启明星辰首席战略官(CSO ) 潘柱廷
回到供给侧改革将影响经济结构的话题上来,从生产的角度来看,供给侧改革将导致第三产业占比上升,第三产业就是服务产业,潘柱廷也补充提出:“未来网络安全厂商应将网络安全服务加重,才是真正的供给侧改革成功。”这样一来,又可以进一步解决在网络安全行业的人口就业问题。潘柱廷在采访结束时认真的说:“对网络安全行业的研究不能也不会只停留在三棱锥模型这个强调顶点之间关系的分析上,进一步的,我将完善三棱锥这个四面体模型的研究,完善各个面的内部结构和量的分析。”当然,在期待大潘的新研究的同时,大家也可以自行完善对这个四面体模型的理解,将理论升华,让网络安全产业更加健康、完善的发展。
原文发布时间为: 2017年3月21日
本文作者:杨昀煦