专访 | 中国网络安全企业的核心竞争力指标相比美国差距悬殊全面促进个人信息保护

近日，《个人信息安全规范》国家标准全文发布，在个人信息保护方面，对互联网企业提出了更高、更细致的要求。在中国网络安全产业联盟秘书长陈兴跃眼里，受到这个将于今年5月1日正式实施的推荐性国家标准影响的，除了活跃在人们视线里的互联网企业之外，还有他所熟悉的、默默在背后提供支持的网络安全公司。对它们来说，这是一次难得的机遇。

陈兴跃认为，全面促进个人信息保护，除了国家多作为、个人提升保护意识，也需要网络安全企业提供产品技术和服务支持。

因此，为了让网络安全产业在中国信息化发展中，从以前的配角角色成长为重要的支撑角色，他试图搭建起一座座“桥梁”，打通产业上下游，推进产学研用的协同，促进中外网络安全产业技术交流合作，让中国网络安全产业联盟成为聚集产业资源的平台。

各规模互联网企业都有网络安全需求

隐私护卫队：网络安全企业和大家熟知的互联网企业是什么关系？

陈兴跃：

网络安全企业构成了产业联盟成员单位的主要部分，它们以提供网络产品和服务为主营业务，并获取网络安全业务收入。换句话说，支撑信息化社会、提供专业化网络安全产品技术和服务保障的企业叫“网络安全企业”。

互联网企业则是以互联网为平台提供服务的企业。大中型互联网企业通常也具备一定的网络安全保障能力，但这种能力是服务于企业自有业务平台和客户的，并不对社会提供。互联网企业也大都会采购网络安全企业的产品和服务，为其互联网业务平台和客户提供网络安全保障。

随着中国信息化的高速发展，以及《网络安全法》的出台，都要求身为网络运营者的互联网企业提供足够的安全保障。但是，

让每个企业都成为安全专家是不现实的，也不符合社会化分工的发展规律

，因此互联网企业对网络安全企业有了很大诉求。

隐私护卫队：不同规模的互联网企业对网络安全有哪些不同的诉求？

陈兴跃：

大型互联网企业的客户数据量大、敏感数据多，对它们来说，网络安全是所有工作的前提。一旦出现安全事件，影响会很大，需要重点防护。所以通常大型互联网公司在这方面投入还是比较多的，也比较重视。

但大企业的安全保障重点还是围绕自身业务，在专业化方向和能力上重点发展。这是由于网络安全技术门类非常宽泛，没有企业能够做到面面俱到。实际上，围绕大型互联网企业的需求，网络安全企业会针对性地提供一些产品和方案，帮助其强化体系化的防护能力。

但对中小互联网企业来说，自身业务的变化频率非常高，而且大部分还处在快速发展期，确实缺乏足够的自有专业能力来保障网络安全。但是《网络安全法》对网络运营者的安全责任提出了明确的要求，这就要求中小互联网企业在资源相对有限的情况下，平衡好业务发展诉求和网络安全要求。从实践情况和网络安全能力建设的规律出发，在业务初期就高度重视网络安全，在管理体系中强化网络安全意识，在业务和技术架构设计中充分考虑网络安全的相关要素。这种方式的效益与投入比是最高的。

另一方面，

网络安全公司也应该多提供面向中小企业的网络安全服务保障方案

。这些方案在性价比上一定要有优势，尽量采用整体打包的方式，让它们的使用门槛大幅度降低。这有利于中小企业尽可能多的采用网络安全产品和服务，也能有效提升中小企业在网络安全方面的保障能力。

中国网安产业增速快前期“欠账”多

隐私护卫队：现在中国网络安全产业的规模大概有多大？

陈兴跃：

根据联盟统计测算，2016年中国网络安全产业规模约为354亿元，较2015年增长25%，预计2017年达到453亿元。近三年，中国网络安全产业的年复合增长率都超过20%，预计在未来10年，甚至更长的时间内，都将继续保持高速增长势头。权威咨询公司 Gartner 发布的数据显示，2016年全球网络安全市场总规模为816亿美元，近几年的年增长率基本在7%到9%之间。

隐私护卫队：跟国外比处于什么水平？

陈兴跃：

在产业增速上，我们在全世界算是比较领先的。但是

全社会网络安全建设的历史投入不够，“欠账”太多，产业规模还很小

。

举一个例子，2015年，中国整个网络安全产业的规模还不如美国一家网络安全公司——赛门铁克公司（Symantec）。美国在网络安全产业上全球领先，中国还处在追赶者地位。2017年，在由Cybersecurity Ventures 发布“网络安全创新500强”企业名单中，美国占380多席，中国仅占9席。随着我国网络安全产业的快速增长，可以预期差距将逐步缩小，中国将在越来越多的细节技术产品领域接近和赶上美国，整体产业格局将会发生变化。

部门“破碎化”管理拉高企业发展门槛

隐私护卫队：目前网络安全产业能否满足互联网企业的快速发展需要？

陈兴跃：

中国的网络安全产业规模和自主能力不足，需要大幅提升。制约产业发展最基本的原因是全社会的网络安全意识不够，毕竟有安全意识才会有基础的投入保障。管理也有待改善。网络安全行业虽然不大，但是主管部门多，俗称“九龙治水”，

各部门都有各自的网络安全认证和检测，导致重复认证、检测的情况，这就人为地把本来就不大的市场 “破碎化”了

。

“一个池塘养不出一条龙”。

同理，一个“破碎化”的市场，难以孵化出大型企业。中小企业的资源聚集能力和使用效率都有限，自身生存都成问题，还怎么要求它大规模投入研发？所以说，缺少龙头企业，产业的能力肯定上不去。这是网络安全产业生态的问题。

另一方面，我国网络安全企业的盈利能力普遍较弱。人均收入和人均利润是体现企业经营情况和核心竞争力最重要的财务指标，对比中外的网络安全上市企业、中外互联网巨头企业，在这两个指标上，赛门铁克、谷歌、阿里基本相当，而国内网络安全企业与它们相比差距还很悬殊。

本来盈利就不多，还要重复检测认证，进一步加重了企业经营负担。

从我们对近百家网络安全企业的专项调研数据来看，企业为获取认证、检测投入的直接和间接费用约占同期利润的10%。

好在《网络安全法》在第二十三条明确提出推动安全认证和安全检测结果互认，相信这种局面能够逐渐改善。

隐私护卫队：现在有所好转了吗？

陈兴跃：

2014年2月27日，中央网络安全和信息化领导小组的成立，体现了国家在战略层面对网络安全给予的高度重视。随着国家相关战略规划、法律法规的陆续出台，网络安全产业迎来了战略发展机遇期。《网络安全法》的实施使得网络安全领域有一个国家级大法作为指导，它和相关配套法规、标准的贯彻实施将极大地推动全社会网络安全责任落实和提升全民网络安全意识。网络安全产业近几年的高速发展就是效果的显现，产业“井喷式”发展也得到了投资界积极关注，我对产业未来发展前景非常乐观。

隐私护卫队：在你看来，网络安全产业结构应该如何优化？

陈兴跃：

有几个方面。首先要快速的上规模。不仅指产业总规模，还包括产业中的领头企业需要快速成长为大型企业。去年中国最大的网络安全企业收入突破了30亿人民币。我估计3至5年内就会出现收入达到百亿级的公司。如果我国能有多家百亿级安全企业，整个产业的支撑能力会上一个很大的台阶。

以前，在中国的信息化建设里，网络安全往往只是配角。2015年中国网络安全投入在信息化投资中的占比是6.6‰，而全世界大约是百分之二点几到百分之三，整整差了好几倍。一方面，我们的历史“欠账”很多，另一方面，欧美国家在现阶段的投入强度还比我们大。为了让网络安全在信息化建设中由配角变成重要的支撑角色，

我国网络安全产业需要具有强大的集成能力、技术能力和服务能力的网络安全大型集成商，把产业整个带起来

。

另外，产业需要出现一批“独角兽”企业。比如在移动安全、物联网安全、虚拟化与云安全这些细分领域，需要出现有很强自主创新能力的安全公司。未来网络安全一个很重要的发展方向是和用户的核心业务相结合。比如很多数字化的业务，安全防护是基础和前提，应该跟数字化的主业相融合。这样一来，市场需求会大很多，市场规模也会得到大的增长。当安全企业足够大的时候，它的安全能力就会提升，创新投入也会加大，产业就能进入良性发展的状态。

相对完整的自主产业体系是发展优势

隐私护卫队：除了互联网企业，公众的个人信息保护意识也在觉醒。对网络安全产业产生了什么影响？

陈兴跃：

的确，公众的安全意识正在慢慢形成和逐步加强。这得益于国家的大力宣传，和一些公众安全事件和典型案例产生的社会影响，比如代价惨痛的“徐玉玉案”和波及面很大的“WannaCry”勒索病毒事件。公众安全意识增加促使互联网企业在用户侧加大安全保障投入，从而提升整体网络安全能力，在内部管理上也更加规范，抗攻击、防范网络风险的能力也相应提升。

另外，经过这几十年信息化的发展，

在主要的网络安全细分技术领域，都活跃着本土的网络安全公司，这是很多国家和地区所没有的

。相对完整的产业体系和技术生态，将成为中国网络产业未来发展的一个非常大的优势。

隐私护卫队：在个人层面，网络安全产业起到什么作用？

陈兴跃：

在互联网公司面前，个人用户是弱势群体。我觉得还是需要国家多作为、主管部门多尽职，同时个人的安全意识要加强。去年中央网信办等四部委联合开展隐私条款专项工作，前不久《个人信息安全规范》国家标准发布，这类法律法规建设、市场秩序整治、标准制定的相关工作近期开展了很多，都是个人不可能做到的，需要主管部门来推动。

除了政府履责、全民提升安全意识，还需要网络安全企业在技术层面上给予支持和配套保障。举个例子，现在越来越多的 APP开始采取指纹、虹膜这些生物特征信息，有的还跟身份证号码进行了关联。这些个人敏感信息一旦泄露，就可能造成严重后果。怎么才能通过安全的方式采集、传输、存储这些数据？

我认为发展专业化的、有安全保障能力的第三方电子认证服务平台和服务商很有必要。

“互联网世界没有绝对的安全”。网络安全可以理解为是投入和风险之间的一个平衡。前面提到中小企业要做到个人信息不流失需要投入，但是企业资源却有限。怎样在自身投入有限的情况下，提高企业的安全能力，我觉得这是最需要网络安全企业和互联网公司共同做的事。这会对未来改善个人信息保护、特别是防范个人信息流失起到积极作用。

隐私护卫队：

公众自身在个人信息保护方面要注意什么？

陈兴跃：

个人信息保护的意识非常重要。业界有三个基本原则：首先是“不了解，不安装”。比如不要随意下载来源不明的APP，不要乱点各种平台的抽奖链接。这些不明应用和链接很多都是为了获取个人信息，有的甚至会含有恶意代码，直接侵入手机，获取个人身份、金融账户等重要信息。

其次是“安装后，勤更新”。操作系统和应用程序安装之后，不管在手机还是在电脑上，一定要及时更新。以去年的“WannaCry”勒索病毒为例，如果系统及时打了补丁，就能够避免病毒侵入。即使在是内部局域网，也要及时更新。

第三个是“不需要，就删除”。有的人在手机里装很多APP，但装完之后也不用。这会消耗终端设备的硬件资源，导致手机的运行速度变慢，有些APP还可能会偷偷获取你的个人信息。所以，不用的APP就要坚决删除。

隐私投诉小程序上线咯