网络安全是总体国家安全观的重要组成部分，是信息时代国家安全的战略基石。没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。建设网络强国，切实维护国家网络安全，需要强有力的网络安全产业作为依托和保障。加密软件
我国网络安全产业的定义及范围
社会各界对网络安全产业的认识并不统一
2018年4月20日，习近平总书记在全国网络安全和信息化工作会议上指出“积极发展网络安全产业，做到关口前移，防患于未然”，这是“网络安全产业”概念首次出现在国家层面的官方公开表述中，这也标志着大力发展网络安全产业正式成为全国的共识。但是，对于什么是网络安全产业，以及网络安全产业覆盖范围及其特点，学术界、产业界和地方政府各有不同的看法，至今尚未形成标准、统一的认识。
例如，美国著名研究机构g将网络安全定义为数字化转型中的网络安全,突显“数字安全”的重要性；赛迪顾问认为，网络安全产业主要是为重点行业及企业级用户提供保障网络可靠性、安全性的产品和服务；中国信息通信研究院认为，网络安全产业主要从国家网络安全、关键信息基础设施保护、打击网络犯罪等网络安全防御角度出发，重点覆盖面向国家关键信息基础设施和重要行业领域，“互联网+”重点领域，企业级用户的网络安全技术、产品和服务。而产业界和一些地方政府在实践中则更多立足于我国的基本国情，认为从根本上提高我国网络安全水平的技术、产品和服务都应属于网络安全产业范围。
总体看来，现有认识大多集中于传统意义上的网络安全产业，即使有所发展也主要结合新兴技术、热点领域或重点行业在应用场景维度上进行扩充，客观上存在着一定程度的定义笼统含糊、细分领域重叠、边界划分不清等问题，这就导致相关主管部门在测算产业规模、制定产业政策、引导产业发展时缺少明确的理论体系作为指引，而不同认识、不同口径必将造成产业混乱从而影响产业发展，亟须在理论上予以廓清和统一。
立足国情全面认识我国的网络安全产业
笔者认为，基于产业本质和我国当前国情，网络安全产业是指应用于信息网络或系统，保障其在正常实现系统设计功能的同时，免受内外部攻击、破坏、信息窃取、不当使用等恶意行为的技术、产品和服务的总和。这是充分考虑国内不同的认识和实践情况、针对我国网络安全产业的迫切需要和重点领域所做出的定义。在这个定义下，我国网络安全产业所覆盖的范围可包含狭义和广义两个层面，其中狭义层面又可进一步细分为通用、专用和自用等子领域，具体如图所示。
图 我国网络安全产业范围
通用安全，即为当前主流学术界所普遍认为的网络安全产业，是一个完全由竞争驱动的开放式市场，主要以产品和服务形式存在，可应用于所有网络和信息系统。其中产品一般以软硬件形式存在，通常可分为身份访问控制、防御检测、安全扫描、数据安全、安全管理、内容安全等子类；服务则是为加强网络安全、对抗安全攻击而提供的安全服务，通常可分为安全集成、咨询与教育培训、安全智能、安全运维等子类。通用安全应用于新兴信息技术或行业领域，即为目前通常意义上的“新兴安全”，如大数据安全、工业互联网安全等，但这些所谓的“新兴安全”本质上只是网络安全产业的具体应用场景，与网络安全产品和服务不在一个维度上，不能作为网络安全产业分类的标准。
专用安全，是指应用于保密、密码、国家安全、军队安全、舆情分析等特殊领域、特定场景下的网络安全产品和服务，这些产品和服务虽然进入市场，但一般需经严格的认证或许可，具有很强的监管属性。此类安全一般有各自的行政主管部门，已形成完整而专业的标准规范体系，有明确的产业指导政策，有的还制定了法律予以规范和支持。
自用安全，主要指网络和信息系统的所有者利用自身力量、针对自身系统所进行的安全能力建设，这些能力针对特定系统甚至融入特定系统，一般不进入市场，而仅仅计入系统所有者的成本。因此，自用安全虽然是网络安全产业的一部分，但由于没有进入市场，故常常被产业界所忽略。在关键信息基础设施所在行业，如金融、能源、通信、交通等，以及国内的骨干互联网企业，都建设了独立的网络安全团队，他们自主研发网络安全产品、开展日常网络安全服务，满足自身网络安全需求。此外，政府部门和企事业单位为服务自身网络安全需求而组建的规模不等的技术团队，也属于此类范畴。需要说明的是，部分企业在保障自身安全的同时，利用所形成的安全能力，也开始以单独产品或作为其他产品的组件对外输出服务，进而形成了“从自用到市场”的发展模式。据了解，阿里、腾、美团、滴滴等互联网企业每年在网络安全保障方面的投入多则上百亿、少则近十亿，而阿里、腾等企业也在对外提供独立安全服务，或作为安全组件嵌入其他产品方式对外提供服务，目前已进入市场并实现了盈利。
无论是通用安全、专用安全还是自用安全，都是以组件或模块形式附加于网络系统之上，以防御姿态发挥保障网络系统安全作用，在“硬件有后门、软件有漏洞”现象普遍存在且主要基础软硬件掌握在国外厂商的情况下，其本质只能是在别人打好地基的建筑上进行修修补补，无法解决这些基础软硬件本身所固有的安全问题，只是狭义上的网络安全。
从美国“棱镜门”事件到“勒索病毒”，再到委内瑞拉大面积断网、南美多国电网瘫痪、美伊网络战爆发等，近年来的无数事件表明，漏洞和后门一旦被敌对组织、敌对势力所掌握，即可成为其随时发动网络攻击的有力武器，国家安全始终面临着严重威胁和挑战。而在中兴“卡脖子”和华为“实体清单”事件中，美国方面以己度人，在没有任何证据的情况下声称使用中兴、华为的产品必然不安全，从反面证明了其生产的基础软硬件产品必然存在只有其单方面掌握的漏洞和后门。当前，美国遏制我国的战略日趋明确、行动日趋升级，使用他们的产品客观上造成了“我之短板、敌之利器”的不利局面，在这种情况下，“网络安全产业”的覆盖范围就不能简单照搬西方国家特别是美国所定义的范畴，而要从当前我国具体国情和国际形势出发，跳出狭义网络安全产业的局限，引入广义网络安全产业的理念,将基础安全也包含在内。
基础安全，是指应用范围广、应用数量大或者应用于关键行业领域的底层基础软硬件产品，如核心电子器件、高端通用芯片及基础软件产品等。需要强调的是，基础安全的范围要在严格论证的基础上加以限定，防止当前在一些地方实践中已显现苗头的“凡属it产品均与网络安全挂钩、均认定为网络安全产业，网络安全产业与it产业划等号”的倾向出现。必须大力发展已认定的基础安全产业，掌握核心技术，实现底层基础软硬件产品自研、自产、自用，这样既可保障国内信息技术产业的供应链安全，又能有效解决网络安全的基础性问题，实现矛和盾的一体化，从根本上扭转当前我国在网络安全领域的极端被动局面。
基础安全既是一个符合我国国情的特有概念，同时也是一个阶段性概念。当国产底层基础软硬件发展成熟并在国内各领域广泛普及使用时，当前由于使用国外产品所带来的底层安全问题将不复存在，相关产业也将回归其it产业的本质，不再属于网络安全产业的范畴。据了解，国家已充分认识到基础安全的重要性，已经或将要采取措施大力发展相关产业，因此下面讨论的“网络安全产业”针对的是狭义网络安全产业范畴。
网络安全产业的特点
正确认识网络安全产业，有必要分析其所具有的特点。总体看来，网络安全产业具有如下3个特点。
一是伴生性。网络安全产业是伴随it产业的发展而诞生并不断发展的。it产业发展的初期，用户考虑的主要是功能和性能，这个时候基本不存在安全问题，但随着技术的快速发展，相关应用深入各个行业领域，特别是随着互联网的快速普及，网络安全问题开始出现并日趋凸显，网络安全产业诞生并不断发展壮大。从单机系统到大型互联网应用，从消费互联网到工业互联网，it产业的每一步发展都暴露出更多的安全风险，相应也就催生出应对这种风险的技术、产品和服务，进而逐步发展成为产业。正是由于这种伴生性和滞后性的特点，在网络安全产业发展的初期，人们习惯性将其视为it产业的一部分（持这种观点的人即使到现在也仍然存在），直到其重要性和产业规模达到一定程度后才取得了独立的产业地位。
二是附加性。用户建设信息系统是为了实现预期的特定目标，但这不是网络安全产业的责任。网络安全产业从不独立存在，它往往附加于信息系统之上，作用对象是信息系统本身，辅助其不受干扰地实现系统功能，同时不会出现除设计目标之外的其他问题。在产品形态上，早期以标准化、模块化的产品外附于网络系统为主，然后面向网络系统的综合安全服务比重逐步增加甚至超过半数，而随着信息系统重要性、复杂度、数据量、用户量、并发量等因素的变化，嵌入式技术、专属化服务的业态开始出现，成为多数关键集成设施或大型系统的首要选择。但无论产业形态如何变化，网络安全产业附加于it产业的本质属性都不会改变。
三是综合性。确保网络安全看似是一个单一目标，但实现起来必须考虑方方面面的综合性因素。在技术安全方面，无论需要保障信息系统的规模大小、功能多少、是否复杂，均需从物理安全、数据安全、通信安全、运行安全、边界安全等方面进行全面防护，任何一点防护不到位，“木桶效应”就可能导致系统全面失守，近年来，云计算、大数据、物联网、人工智能新一代信息技术的大规模应用进一步加大了技术防范的难度。在业务安全方面，重点是账户体系、交易体系和业务流程，如授权是否恰当、关键操作是否需要二次验证、业务流程之间是否存在逻辑冲突等，这需要更多从业务视角和社会学视角来考虑问题。业务安全一旦出现问题，在当前黑灰产猖獗的情况下往往会给企业造成重大损失，国内外发生的一些典型案例（如日本7）在这方面提供了深刻的教训。因此，既要保障技术安全，也要保障业务安全，这对网络安全行业的从业者提出了更高的要求。
网络安全产业存在的主要问题
市场需求不足，用户潜力尚待激发
我国的网络安全产业市场需求尚未完全释放，主要体现在以下几个方面。
一是安全投入不足。用户往往以“合规需求”为原则，非内生型需求驱动力不足，导致安全投入不连续、不到位、效果不佳等。
二是重视程度不够。用户认为网络安全投入不直接产生经济价值，面对网络安全威胁时存在侥幸心理或采取事后补救方式。
三是“独立”地位不突出。网络安全往往作为信息化建设的附加需求，预算编制、招投标采购等环节往往让位于信息化建设，导致经费投入不足，难以正视安全需求。
四是需求释放不足。工业互联网、智能制造、区块链、物联网、5g等新兴技术的广泛应用还需时日，配套的安全需求也未完全激发。
创新能力严重不足，供给发展动能不足
我国信息化技术和网络安全技术发展起步较晚，整体创新能力严重不足，主要表现在以下几个方面：一是关键核心技术缺失，产品的稳定性及可靠性等问题得不到根本性解决，远落后于美国等网络强国，特别是高端芯片、半导体、操作系统等基础软硬件的发展；二是企业研发投入占比较低，鉴于企业资本的逐利性和利益的驱动，企业对基础研发自主创新投入不够，重视不足，导致市场产品低水平重复、同质化无序竞争严重；三是技术壁垒较高，安全技术的实现策略、实现方法等都需要投入大量的人力物力财力，创新成本很高，多数企业难以支撑；四是产业结构配置不合理，“重产品轻服务”“劣币驱逐良币”等问题凸出，安全服务市场占比不足三成，发展缓慢且艰难。
产业政策供给不足，现有政策有待细化
在网络安全相关的宏观政策方面，存在行业发展指导缺失，政策的深度、广度和落实效果与全球网络安全强国相比存在很大差距，存在以下几方面问题。
一是行业地位方面，在国家政策方面，网络安全产业未能作为独立产业对待，往往作为信息产业、双软企业的一部分，“独立性”的行业地位突出不足；二是政策体系方面，网络安全产业未能完整体现，没有专门针对促进网络安全产业发展的政策，缺少全产业链发展相关的指引；三是政策内容方面，我国网络安全产业相关政策中国家宏观引导较多，实质性引导偏少，缺少具体细致的产业政策和政府需求；四是政策解读方面，缺少企业解读、落实政策的有效机制，企业普遍对国家宏观政策、产业政策等关注度不够，理解力不强，不善于争取政策支持或援引规定拓展自身业务，影响政策实施效果。
人才缺口较大，供需严重失衡
随着网络安全产业的发展，整个行业面临着人才缺口持续扩大、供需严重失衡、安全人才流失等多方面问题，已经发展成为制约产业发展的重要因素，主要体现在以下几个方面。
一是人才缺失，网络安全技术门槛偏高、院校培养力度不大、人才培养针对性不强和激励措施不尽合理等，人才培养速度远远不能满足需求。二是供需错位，当前从业人员中从事运营与维护、技术支持、管理、风险评估与测试的相对较多，从事战略规划、架构设计、网络安全法律等人员的短缺情况突出。三是人才流失，缺少重点贡献企业补偿机制，企业难以担负起与金融、互联网等相同高度的薪酬待遇，网络安全人才发展空间受限，缺乏覆盖完整职业生命周期且为业界普遍认可的职业发展路线，网络安全人才跳槽和转行现象凸显。
关于网络安全产业发展的建议
针对网络安全产业存在的问题，我们可从以下几方面入手，推进产业发展。
一是加强产业政策引导。加强网络安全政策引导与落实，做好中央、地方以及行业的网络安全规划和配套政策支持。利用国家级战略、重大重点科技专项、国家级产业基金等，持续加大网络安全领域投资，支持国家网络安全重大项目研发、重点专项逐步实施，并引导社会资本投入，进一步激发网络安全需求增长，构建产业创新发展良好环境。
二是加大市场需求供给力度。以《网络安全法》的出台实施为契机，制定推动配套政策落实的细化方案，激发网络安全市场需求，明确信息化建设中网络安全投入占比，开展建设关键基础设施安全防护示范工程，加快网络安全产品创新升级，提高企业网络安全意识，提升对安全服务质量的要求，遏制低价竞争。
三是攻坚突破关键核心技术。以国家网络安全保障需求为核心驱动力，支持企业、高校、科研机构等进行技术创新，攻坚突破网络安全方向的关键核心技术，完善网络安全基础防护体系，加强人工智能、商用密码等核心安全技术研究，推进网络安全关键技术标准制定。
四是完善产业配套支撑服务。加强金融扶持，通过构建完整的资本市场融资体系，吸引天使投资、风险投资等投向网络安全产业；充分发挥安全产业咨询平台和行业力量。鼓励政府智库、新闻媒介、咨询机构密切跟踪安全技术产品发展趋势，开展年度安全产品、技术评奖活动，提高新兴技术企业品牌影响力，推动建立政府主导、多方参与的安全产业社会信用体系，推动安全产业持续健康发展。
五是充分发挥产业集聚效应。加快建设网络安全产业集聚高地，吸引网络安全高端资源和创新要素集聚园区，组织科研院所、高校、基础电信企业、相关大型科技型国企入驻园区，引导互联网企业、网络安全优势企业等加速落户园区，扩大示范带动效应。
六是优化人才培养体制机制。优化人才培养体制机制，完善创新人才选拔和培养机制，利用网络教育、技术竞赛，产业与高校、科研院所及其他行业联合等方式，培养创新型、复合型人才，打造多层次的人才梯队。