作者：孫明亮 位華 王琰

黨的十八大以來，以習近平同志為核心的黨中央高度重視、大力推進網(wǎng)絡安全和信息化工作。習總書記在中央網(wǎng)絡安全和信息化領導小組第一次會議上強調，“要維護網(wǎng)絡空間安全以及網(wǎng)絡數(shù)據(jù)的完整性、安全性、可靠性，提高維護網(wǎng)絡空間安全能力?！?在網(wǎng)絡安全和信息化工作座談會上，他再次指出“網(wǎng)絡安全和信息化是相輔相成的。安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進?！本W(wǎng)絡安全工作涉及面廣、專業(yè)性強，發(fā)展專業(yè)化、高水平的網(wǎng)絡安全服務，是提升整體國家網(wǎng)絡安全能力的重要方向之一。

網(wǎng)絡安全是實現(xiàn)網(wǎng)絡強國戰(zhàn)略的四梁八柱之一，網(wǎng)絡安全服務業(yè)則是網(wǎng)絡安全事業(yè)前行的基礎，為網(wǎng)絡強國目標提供技術、人才、資源的支撐。網(wǎng)絡安全服務業(yè)能力水平關乎整個國家網(wǎng)絡強國戰(zhàn)略實現(xiàn)的進程，是能否實現(xiàn)彎道超車的重要因素之一，而在這一過程中網(wǎng)絡安全服務機構能力的建設是基礎中基礎。

一、 網(wǎng)絡安全服務機構現(xiàn)狀及存在問題

近年來，各類網(wǎng)絡威脅不斷加劇，帶動了市場對網(wǎng)絡安全產(chǎn)品和服務需求的持續(xù)增長；同時，云計算、大數(shù)據(jù)、人工智能、移動網(wǎng)絡及其社交媒體的快速發(fā)展給信息系統(tǒng)架構帶來了巨大變化，網(wǎng)絡安全迎來挑戰(zhàn)的同時也為網(wǎng)絡安全建設拓展出新的發(fā)展空間，我國的網(wǎng)絡安全服務業(yè)也得到了快速發(fā)展。

1.創(chuàng)新型網(wǎng)絡安全服務企業(yè)迅猛發(fā)展，積極搶占發(fā)展事業(yè)的“橋頭堡”

在網(wǎng)絡安全上升為國家戰(zhàn)略之后，網(wǎng)絡安全服務業(yè)呈現(xiàn)快速發(fā)展態(tài)勢，在“大安全”產(chǎn)業(yè)鏈上，創(chuàng)業(yè)型企業(yè)開始走向精細化、專業(yè)化。創(chuàng)業(yè)者根據(jù)自己的一技之長和市場所需，作為一個特殊的專業(yè)細分領域，通過小步快走的產(chǎn)品不斷滿足市場的發(fā)展需求。隨著行業(yè)生態(tài)的不斷成熟，如何用好、用活行業(yè)內部資源，在行業(yè)內部形成精準、細分的專業(yè)分工，同時在不同環(huán)節(jié)之間形成無縫對接，這可能是未來網(wǎng)絡安全服務業(yè)的最佳發(fā)展形態(tài)。

2.非傳統(tǒng)安全服務機構謀定后動，紛紛下好網(wǎng)絡安全事業(yè)的“先手棋”

大型系統(tǒng)集成經(jīng)驗豐富的公司，隨著服務領域用戶的安全意識及安全需求的提高，逐步介入網(wǎng)絡安全領域。信息化建設和網(wǎng)絡安全建設同步規(guī)劃、同步實施的政策性要求，已不僅僅停留在策略上，成為信息化建設的必要條件。

行業(yè)應用型機構則將行業(yè)的業(yè)務應用與網(wǎng)絡安全進行有機融合。這一趨勢在政府、能源、電信、金融等關鍵信息基礎設施行業(yè)的網(wǎng)絡安全保障中尤為明顯，特別是在細分專業(yè)領域開展網(wǎng)絡安全服務研究和實施工作，占領熟悉行業(yè)業(yè)務的優(yōu)勢，將網(wǎng)絡安全保障工作開展的更細、更專。

3.大型互聯(lián)網(wǎng)企業(yè)多措并舉，卯足干勁涉足網(wǎng)絡安全服務

在“互聯(lián)網(wǎng)+”成為國家戰(zhàn)略的情況下，網(wǎng)絡安全發(fā)展獲得源源不斷的推動力。傳統(tǒng)安全企業(yè)加速投資并購，豐富產(chǎn)品線并彌補市場空白；小型企業(yè)發(fā)揮技術優(yōu)勢，聚焦于細分專業(yè)領域；國內互聯(lián)網(wǎng)龍頭企業(yè)加強在安全領域的布局，締造更安全的互聯(lián)網(wǎng)生態(tài)。無論是互聯(lián)網(wǎng)巨頭還是網(wǎng)絡安全領域的龍頭企業(yè)，目前都是通過投資收購、并購等多管齊下的方式進行安全戰(zhàn)略布局，彌補自身在相關安全垂直領域的空缺。

4.大而全的安全服務企業(yè)與小而專的安全服務企業(yè)求同存異、差異并存

當前，新技術新應用層出不窮、創(chuàng)新發(fā)展，為全球的網(wǎng)絡安全市場帶來了新的需求。網(wǎng)絡安全服務業(yè)細分子域眾多，完全依靠內生長效率相對較低，通過并購方式為代表的外延發(fā)展可以迅速地進入新的子領域，并實現(xiàn)優(yōu)勢互補，發(fā)展協(xié)同效應。規(guī)模較大的企業(yè)出現(xiàn)并購熱潮，增強了全面網(wǎng)絡安全服務的需要。同時，社會上對網(wǎng)絡安全服務的單點化需求，一大批企業(yè)體量較小、單項技術服務能力突出的企業(yè)也得到市場的很好認可，出現(xiàn)大而全的安全企業(yè)與優(yōu)勢特色明顯的中小規(guī)模企業(yè)差異化并存的情況。

5.網(wǎng)絡安全服務機構存在的問題

1)網(wǎng)絡安全服務強調“符合性”，缺乏“有效性”判斷

網(wǎng)絡安全已經(jīng)上升為國家安全的一部分，關鍵信息基礎設施的可靠性和安全性與國計民生息息相關。多個關鍵信息基礎設施行業(yè)仍在強調信息系統(tǒng)安全的“符合性”，忽視了服務的“有效性”評估。世上沒有完全相同的兩片樹葉，忽視信息系統(tǒng)間的差異性，會降低對信息系統(tǒng)風險的識別度，帶來重大安全隱患。信息系統(tǒng)的安全可靠才是我們網(wǎng)絡安全保障的終極目標。過分強調“符合性”的結果，往往會使系統(tǒng)安全服務流于形式。

2)網(wǎng)絡安全服務企業(yè)的管理體系落地性較差

隨著市場的規(guī)范化和國際化，服務機構認識到管理體系對提高服務質量、改善經(jīng)營管理、促進經(jīng)濟效益的作用，然而現(xiàn)實情況阻礙管理體系的有效運行。認證行為變成了只是為了單純的獲得一紙證書，體系只是流于形式，既不能創(chuàng)造經(jīng)濟效益，也不能改善管理。

3)網(wǎng)絡安全服務機構專業(yè)人才缺乏，隊伍建設有待進一步提升

根據(jù)相關研究數(shù)據(jù)顯示，我國網(wǎng)絡安全人才遠遠無法滿足網(wǎng)絡強國的發(fā)展需求，這一問題在網(wǎng)絡安全服務機構中表現(xiàn)得尤為突出。人才稀缺、技術隊伍不穩(wěn)定、技術骨干頻頻“跳槽”、技術隊伍整建制被其他企業(yè)挖走的現(xiàn)象，在網(wǎng)絡安全服務業(yè)屢見不鮮，這直接制約企業(yè)的發(fā)展和技術能力的提升。

網(wǎng)絡安全人才總量遠遠不夠，企業(yè)人才結構也不能滿足快速發(fā)展的需要。網(wǎng)絡安全是一個特殊敏感的領域，從業(yè)者需要熟知網(wǎng)絡安全的發(fā)展脈絡，但真正做到兼具見識廣度和技能深度的安全人才卻少之又少。網(wǎng)絡安全領域專業(yè)型、復合型、領軍型人才的大幅短缺，導致企業(yè)間低水平競爭激烈，而面對互聯(lián)網(wǎng)業(yè)不斷出現(xiàn)的新技術、新領域網(wǎng)絡安全問題缺乏整體有效地解決方案，嚴重制約了整個網(wǎng)絡安全服務業(yè)的發(fā)展。

4)網(wǎng)絡安全服務資源參差不齊，瓶頸效應反映明顯

隨著國家政策的不斷支持及市場發(fā)展需要的不斷擴大，我國網(wǎng)絡安全服務機構得到長足發(fā)展。大批網(wǎng)絡安全服務機構在追逐市場經(jīng)濟價值的同時，對于自身基礎安全服務資源的水平能力與安全性仍關注不足，大量開源、未經(jīng)安全性驗證工具還在我們安全服務機構中應用，導致安全服務存在未知風險和潛在隱患。安全服務團隊的能力建設不足，再加上服務團隊技術人員不穩(wěn)定等因素的存在，致使安全服務機構的技術研究、理論基礎不扎實，能力提升存在現(xiàn)實瓶頸。

二、網(wǎng)絡安全服務機構的能力建設

網(wǎng)絡安全服務機構的服務能力由技術、管理、資源等綜合因素構成，它直接影響國家網(wǎng)絡安全服務水平和網(wǎng)絡空間治理的工作成效，因此，提高網(wǎng)絡安全服務機構的能力建設需要政府、網(wǎng)絡安全服務需求方和網(wǎng)絡安全服務機構等攜手并進、共同發(fā)力。

1.構建全方位、立體式的網(wǎng)絡安全服務保障體系

網(wǎng)絡安全是保障國家安全、社會穩(wěn)定的關鍵。服務機構應該依據(jù)服務對象、國家法律法規(guī)和相關行業(yè)標準的特點，結合本機構的實際情況建立具有全面性、穩(wěn)定性、及時性的機構網(wǎng)絡安全服務保障體系。網(wǎng)絡安全服務保障不能完全依靠安全產(chǎn)品，也不能停留在“三分技術、七分管理”的概念上，應建立以風險分析、策略制定、設計、實施、維護、改進等環(huán)節(jié)構成的閉環(huán)控制的網(wǎng)絡安全保障模型。在網(wǎng)絡安全保障模型基礎上，采取技術、管理、基礎資源等安全保障措施，開展適合服務對象的具體安全服務，將風險控制到可接受的范圍和程度，從而實現(xiàn)業(yè)務發(fā)展的安全使命。

網(wǎng)絡安全是“矛”與“盾”的持續(xù)較量，風險是動態(tài)存在的，為了抵御不斷變化的威脅，網(wǎng)絡安全技術水平應蹄疾步穩(wěn)、卓越提升，網(wǎng)絡安全服務機構要不斷將新的技術手段、應用等融入網(wǎng)絡安全服務保障系當中，滿足網(wǎng)絡安全服務過程中不斷提升的網(wǎng)絡安全需求。

建立高效、健全、可執(zhí)行的網(wǎng)絡安全管理體系。避免體系建立與應用割裂，讓體系運行的理念深入人心，只有全體員工熟悉理解標準，才能主動自覺地按標準及工作程序去執(zhí)行，建立的體系才能有效運行，不斷完善，持續(xù)改進。

構成網(wǎng)絡安全服務機構能力的因素不僅是技術、管理，對基礎安全服務資源能力的提升同樣重要。在安全服務過程中，人是安全服務資源最重要的，應建立人員能力提升機制，對安全服務人員進行內部、外部培訓，不斷提升技能；安全服務工具的安全可控，避免使用開源、未經(jīng)安全性驗證的安全工具等?；A安全服務資源構成了滿足網(wǎng)絡安全服務安全需求的基本要素，發(fā)揮了作為在網(wǎng)絡安全服務過程中支撐技術、管理等要素的作用。

2.加快《網(wǎng)絡安全法》配套法律法規(guī)與戰(zhàn)略政策的部署落地

《網(wǎng)絡安全法》發(fā)布實施后，我國在網(wǎng)絡安全、網(wǎng)絡安全法律、法規(guī)領域邁出了重要一步，為我國網(wǎng)絡安全服務行業(yè)的發(fā)展起了巨大的推動作用，使我們的安全服務領域有法可依、規(guī)范服務。針對網(wǎng)絡安全法的實施，我們需要盡快建立更加細化的配套法律、法規(guī)措施服務網(wǎng)絡安全市場，使網(wǎng)絡安全服務行業(yè)在法律的框架約束下健康發(fā)展，網(wǎng)絡安全服務機構在法律的規(guī)范下以提升安全服務能力、輸出高水平的安全服務而獲得市場的認可。

針對目前存在的問題，政府需盡快推出行之有效的網(wǎng)絡安全服務相關標準及行業(yè)規(guī)范，從政策、標準層面對網(wǎng)絡安全服務進行標準化的定義，對安全服務需達到的服務水平進行相關基線的定性、定量等的指標。標準和規(guī)范的制定完成不是終點，而僅僅是標準生命周期的第一步，其科學性、適用性和可操作性是需要持續(xù)的驗證和逐步完善的。加大對各方，各領域的標準和規(guī)范的宣貫與推廣工作，建立有效的機制，鼓勵和便于收集標準及規(guī)范使用中的意見和建議。

加快國家對網(wǎng)絡安全專業(yè)人才戰(zhàn)略的落地實施。政府、企業(yè)高校和社會都應高度關注和重視，大力創(chuàng)建網(wǎng)絡安全科技人才健康成長的外部環(huán)境,加快人才培養(yǎng)的速度和力度,改革人事分配制度,營造優(yōu)秀人才脫穎而出的社會環(huán)境,有效改變網(wǎng)絡安全科技人才短缺的現(xiàn)狀。將《國家網(wǎng)絡空間安全戰(zhàn)略》中“實施網(wǎng)絡安全人才工程，加強網(wǎng)絡安全學科專業(yè)建設，打造一流網(wǎng)絡安全學院和創(chuàng)新園區(qū)”落到實處、落在關鍵處。網(wǎng)絡安全服務機構內部還需進一步重視人才培養(yǎng)和人才獎勵機制的建設。合理調配和使用人才，加強人才梯隊的科學化發(fā)展。挖掘網(wǎng)絡安全優(yōu)秀人才、留住網(wǎng)絡安全專業(yè)特才，使人才有歸屬感、成就感，進而為人才的科學發(fā)展搭建良好的孵化平臺。

3.網(wǎng)絡安全服務需求方及第三方機構亟待建立科學的服務能力評價體系

網(wǎng)絡安全服務需求方是通過供求關系角度促進網(wǎng)絡安全服務機構提升能力的重要環(huán)節(jié)。它們結合本行業(yè)、本單位業(yè)務特點建立科學的網(wǎng)絡安全服務能力評價方法。一方面是對滿足本單位網(wǎng)絡安全服務需求負責，另一方面是對網(wǎng)絡安全服務行業(yè)服務提供機構能力的提升發(fā)揮了重要的市場“風向標”作用。

無論網(wǎng)絡安全服務需求方還是第三方機構在建立網(wǎng)絡安全服務機構能力評價方法的時候，一定要科學意識到機構網(wǎng)絡安全服務能力不是技術、管理、硬件基礎資源等因素當中任何一點能單獨決定的，而是上述因素共同決定的。第三方機構作為對網(wǎng)絡安全服務機構服務能力的評價方，更應該建立科學的、行之有效的評價體系為行業(yè)做出公正、公開、公平的評價結果，服務能力的評判也不應該是“符合性”的，而應該是“有效性”的。第三方的評價結果直接影響網(wǎng)絡安全服務機構的市場效應，進而影響機構對自身服務能力提升的推動；影響服務需求方對安全服務機構的選擇。

網(wǎng)絡安全服務需求方也可以通過與第三方共同合作，評價體系共享、評價結果共享的方式獲得適合的網(wǎng)絡安全服務機構，這樣利用市場供需、第三方綜合評判雙重因素的構建，推動網(wǎng)絡安全服務機構能力的整體躍升。

以中國信息安全測評中心為例，多年來依據(jù)國際成熟安全標準SSE-CMM、結合國家標準GB/T30271，及行業(yè)內的最優(yōu)安全實踐形成了科學的網(wǎng)絡安全服務機構能力評價理論體系，從服務機構的技術能力、管理能力、基礎資源能力綜合出發(fā)，以服務“有效性”為評判標準，為國內近千家網(wǎng)絡安全服務機構能力進行測評，評價結果公開、公正、公平得到行業(yè)內的廣泛認可。此評價體系為第三方機構和網(wǎng)絡安全服務需求方提供了服務能力評價的理論依據(jù)，評價結果為國內關鍵信息基礎設施行業(yè)所認可（部分行業(yè)利用此體系建立了本行業(yè)網(wǎng)絡安全服務機構評價體系），為網(wǎng)絡安全服務機構的能力提升起到了巨大推動作用。依據(jù)中國網(wǎng)絡安全測評中心體系應用調研數(shù)據(jù)顯示，應用此體系的網(wǎng)絡安全服務機構服務能力提升明顯，行業(yè)認可度升高，提升市場業(yè)務收入在10%左右。

三、結語

隨著國家戰(zhàn)略政策的扶持和市場需求的不斷擴大，我國網(wǎng)絡安全服務得到空前發(fā)展，未來前景喜人。在這樣的大趨勢和大背景下，網(wǎng)絡安全服務機構的能力水平將直接關系網(wǎng)絡強國戰(zhàn)略目標的實現(xiàn)、網(wǎng)絡空間治理工作成效以及社會的長治久安、民眾的安定福祉。未來，不斷強化網(wǎng)絡安全服務機構能力建設是我們國家網(wǎng)絡安全事業(yè)發(fā)展中至關重要的關鍵環(huán)節(jié)，下好網(wǎng)絡安全服務的“先手棋”，開創(chuàng)網(wǎng)絡強國的“中國夢”。

版權聲明：凡注明“來源：中國西藏網(wǎng)”或“中國西藏網(wǎng)文”的所有作品，版權歸高原（北京）文化傳播有限公司。任何媒體轉載、摘編、引用，須注明來源中國西藏網(wǎng)和署著作者名，否則將追究相關法律責任。