网络安全行业的发展驱动力(1 /2)
网络安全行业的发展驱动力包括合规要求、业务需求、攻防对抗和信息技术。本文探讨了这些因素如何推动行业前进,并分析了中美欧三地的网络安全法规和市场需求。
网络安全行业已经有近30年的历史。是什么力量推动了行业的发展?这些力量将把行业的未来推向何方?
网络安全行业的发展驱动力主要有以下四项:
合规要求
业务需求
攻防对抗
信息技术
前两项因素的影响较为温和,推动行业渐进式发展。而后两项因素则具有破坏性,通常在信息技术剧烈变化的过程中,新一代的网络安全公司会随之诞生。纵观过去的代际划分,攻防对抗和信息技术的进步往往是催生新公司的主要动力。
合规要求
在之前的文章中,我们提到,作为企业软件领域的一部分,网络安全为客户提供的主要价值在于管控风险,而客户在网络安全领域面临的主要风险就是合规风险。因此,合规始终是网络安全行业的主要需求来源。监管较严格且信息化水平较高的行业,例如金融和运营商,都是网络安全行业的重要客户群体。
今天我们不详细讨论各个行业的网络安全规范,只谈普遍适用的网络安全合规。在中国,网络安全监管部门有三个:
中央网络安全与信息化委员会办公室网络安全协调局
公安部网络安全保卫局
工业与信息化部网络安全管理局
这些部门分别从内容、犯罪和行业三个角度对网络安全进行监管。
在法律层面,有四部相关法律:
《网络安全法》于2017年6月1日生效;
《密码法》于2020年1月1日生效;
《数据安全法》于2021年9月1日生效;
《个人信息保护法》于2021年11月1日生效。
对于有着近30年历史的网络安全行业来说,可以看到法律的进展是相对滞后的。最早的《网络安全法》也才生效7年,其下位条例《网络安全等级保护条例》直到今天仍未发布。整体而言,我国的网络安全法律法规才刚刚起步。
欧盟是全球 IT 监管标杆
欧盟一直是全球人权保护和限制大企业的标杆。最典型的例子是2018年生效的一般数据保护条例(GDPR),对收集、处理和存储欧盟个人信息提出了明确要求,经过几年发展,已经成为事实上的全球数据安全保护标准。后续在2022年通过了European Data Governance Act,旨在增强政府和公共数据的利用。今年年初通过了《数据法案》(Regulation on Harmonised Rules on Fair Access to and Use of Data Act),目的是:
“新规定义了在欧盟各个经济部门生成的数据的访问和使用权利,并将使数据共享更加容易,特别是工业数据的共享。
《数据法》将通过明确谁可以从数据中创造价值及在何种条件下创造价值,确保数字环境的公平性。它还将通过解锁工业数据并提供关于数据使用的法律清晰性,刺激一个竞争和创新的数据市场。”
简单地说,欧盟要求物联网(IOT)企业切实提供功能,来实现用户的数据权利。例如,电动牙刷的用户可以将自己的刷牙记录从APP导出并发给牙医,或者授权电动牙刷厂商将数据提供给第三方。
此外,2023年的《网络韧性法案》(Cyber Resilience Act)明确了联网设备的安全责任归最终产品方承担,不可转嫁到供应链。
在AI监管领域,欧盟今年初推出的《AI法案》(AI Act)拔得头筹。该法案将AI应用分为四个等级:不可接受风险、高风险、优先风险和最小风险。其中,不可接受风险的AI系统将被禁止使用,高风险AI系统需要备案,并且在部署前要经过合规评估。
总结来看,欧盟的IT监管思路是人权优先、保护优先,不安全的发展我们不要。
美国没有联邦层面的综合网络安全法律
作为国内事务,美国联邦政府在网络安全方面的立法较少。较为著名的法律包括1996年通过的《健康保险流通与责任法案》(HIPAA),主要监管保险领域的个人信息保护。2022年通过的《关键基础设施网络事件报告法》(Cyber Incident Reporting for Critical Infrastructure Act),对关键基础设施的网络安全事件报告提出了明确要求。但这两部法律都不能算是对网络安全的综合要求。
许多州都有自己的网络安全法律法规,其中最著名的是加利福尼亚州的《消费者隐私法案》(CCPA)。在各大公有云和网络安全厂商的合规模板中,CCPA都是一个重要的参考标准。
中国寻求利用和保护并重
中国管理网络安全的最高机构是中央网络安全和信息化委员会。2016年4月19日,习近平提出:“网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。”这一论述将网络安全提升到了国家安全的高度。
近两年来,重要动向是将数据作为新的生产要素对待。2023年8月21日,财政部发布《企业数据资源相关会计处理暂行规定》;2023年10月25日,国家数据局挂牌成立;2023年12月31日,财政部发布《关于加强数据资产管理的指导意见》;2024年1月4日,国家数据局发布《“数据要素×”三年行动计划(2024—2026年)》。
网络安全价值评估的量化一直是行业的难题。在之前的文章中,我们提到,信息安全的定义是对信息的保密性、完整性和可用性的保持。
在网络空间(cyberspace)中,信息就是数据。数据资产作为无形资产,与专利、商标等知识产权一样,可以评估其价值并纳入资产负债表。这对安全事件潜在损失的定量化,以及防护、评估、监测等网络安全工作的价值数字化大有裨益。
在中国经济换挡升级、加速发展新型生产力的背景下,利用和保护并重的数据要素化,将对网络安全行业未来十年的发展方向和市场规模产生显著影响。
业务需求
网络安全风险是发生在网络空间(cyberspace)中的信息安全风险。网络安全并不是独立存在的,它依赖于信息化的进程。
中国信息通信研究院每年都会发布一版《中国经济数据发展白皮书》,其中会公布数字经济的渗透率。2022年,第一、第二和第三产业的数字经济渗透率分别为44.7%、24.0%和10.5%。也就是说,仍有55.3%的服务业、76.0%的工业和89.5%的农业尚未进行数字化转型。换句话说,还有很大一部分工商服务业尚未提出网络安全需求。
网络安全是数字化转型的基础设施
十几年前,网络安全是IT部门的责任,由基础设施团队负责。在没有单独安全团队时,网络安全责任通常由网络团队承担。随着时间的推移,安全厂商打交道的客户部门逐渐增加,从IT部门的基础设施团队,到测试团队、开发团队,再到内审部门、稽核部门,以及互联网业务部、互联网金融部、营销等部门。越来越多的部门开始数字化转型,也由此产生了网络安全需求。网络安全逐渐从IT部门扩展到各行各业的所有职能部门。
随着IaaS、PaaS的发展,低代码平台的成熟,越来越多的组织从软件购买者转变为代码生产者,网络安全也从组织内的强制者转变为促进者。从设置路障到建立护栏,再到铺设道路,网络安全的目标是让业务跑得又快又好。