今日頭條
官方微信
官方抖音
資訊頻道2024年,國家對網絡安全發展作出一系列新部署新要求,網絡安全產業發展勢頭強勁,網絡安全形勢持續向好。展望2025年,網絡安全產業有望迎來新的快速增長階段,零信任安全市場持續擴大,數據安全技術攻關和應用進程加快,關鍵基礎設施安全水平不斷提升。同時,也需處理國家級網絡對抗、新型基礎設施防護體系建設不健全、核心技術創新能力不足、數據要素開發利用及新技術新應用不斷升級帶來的新風險,持續強化我國網絡安全保障能力。
1 對2025年形勢的基本判斷
(1)網絡安全產業有望迎來新的快速增長階段
2024年,我國網絡安全產業增長速度雖有所放緩,但總體上仍保持著穩健的增長態勢。企業方面,2024年上半年,我國30家網絡安全上市企業的總體營業收入達到了155.33億元。隨著網絡安全生態的逐步拓展和市場競爭的加劇,網絡安全廠商向集成化、多元化發展,通過統一協作平臺集成多種網絡安全產品與服務。產品方面,通用網絡安全產品目前仍占據我國網絡安全市場主導地位,占比超過40%,而數據與隱私安全市場在政策推動下也呈現出快速增長態勢。此外,隨著網絡攻擊的日益復雜,用戶對能夠提供更高級的威脅檢測、自動化響應和數據保護功能的網絡安全產品的需求愈發迫切,加速了人工智能技術在網絡安全領域的廣泛應用。
展望2025年,在安全需求擴張、行業應用深化、技術加速創新等多方驅動下,我國網絡安全產業預計將再度步入快速發展的軌道,并在多方面形成新的發展動能。一是隨著“安全”成為繼“質量”之后民眾和用戶對企業的新訴求,越來越多的企業將積極調整其產品與服務的發展方向,通過持續的技術創新、能力整合與跨界協同,不斷擴展其產品的安全能力并提升安全價值,推動我國網絡安全產業規模持續擴大。二是隨著數字化轉型的深入,安全企業將更加注重網絡安全產品與服務的能力整合,一體化、服務化安全運營等將成為網絡安全產業下游市場關注熱點。三是隨著外部威脅的持續升級和網絡架構的不斷演進,人工智能對網絡安全的賦能效應將愈發顯著,網絡安全產品將向智能化、自動化、高度集成及自適應的方向加速發展,致力于為客戶提供更為個性化、定制化的安全防護策略,精準匹配各行業企業的獨特需求。
(2)零信任安全架構將在各行各業加快應用落地
近年來,全球各國紛紛出臺零信任相關戰略,持續加大對零信任等新興技術的投資和研發力度,搶占網絡安全技術制高點。2023年4月,美國網絡安全和基礎設施安全局發布零信任成熟度模型第2版,更新了政府范圍內采用零信任安全架構的關鍵定義和指標,作為聯邦機構轉向零信任架構的“眾多路線圖之一”。2024年4月,國家市場監督管理總局、國家標準化管理委員會發布GB/T43696-2024《網絡安全技術零信任參考體系架構》,該標準是我國網絡安全領域首個規范零信任理念的國家標準。
展望2025年,我國的零信任將保持快速發展的態勢,不斷拓寬應用的邊界,并在重點行業加快應用落地,釋放出獨有的價值,為數字經濟的發展提供安全保障。一方面,零信任技術將從解決部分安全問題向解決整體網絡安全問題發展,向架構性的平臺前進。企業將更加注重零信任理念的實施,這不僅是平臺工具的建設,更是思維文化的變革。另一方面,零信任網絡訪問解決方案“永不信任、持續驗證”的理念刺激市場高速發展。據IDC預計,到2027年,零信任網絡訪問解決方案將成為產品創新力最強的安全技術解決方案。
(3)數據安全技術攻關和應用進程加快
我國數據資源規模快速增長,數據流通交易市場規模逐步擴大,數據安全防護、隱私保護、數據安全監測和檢測需求旺盛,對數據安全技術攻關和應用提出了更高的要求。2024年,除數據加密技術、脫敏技術、標識技術、標記技術、水印技術等傳統技術外,區塊鏈、隱私計算、數據空間、數聯網、數據元件等前沿數據安全技術加速攻關和應用,推進數據“可用不可見”“可控可計量”“可信可溯源”。例如,某互聯網集團正在積極攻關可信密態計算技術,預期在同等安全等級下,能夠將計算等成本控制在明文分布式計算成本的10倍以內。某招商集團基于區塊鏈技術建設了粵港澳大灣區港口物流及貿易便利化區塊鏈平臺,通過推動港口、海關、船公司、船代等多方數據安全共享,將出口貿易中轉時效由5天降低至2天。
展望2025年,數據安全技術應用將進一步成熟,在國家部委的指引下,數據安全技術基礎設施化進程有望加快。近期,國家數據局會同國家發展改革委、工業和信息化部起草的《國家數據基礎設施建設指引(征求意見稿)》提出,數據流通利用設施為跨層級、跨地域、跨系統、跨部門、跨業務數據流通利用提供安全可信環境,包括可信數據空間、數場、數據元件、數聯網、區塊鏈網絡、隱私保護計算平臺等技術設施。該指引指出,將在2024~2026年開展基礎設施技術路線試點試驗。此外,可以預見,數據安全技術應用的發展還將催生出一批專業化、體系化的數據安全技術新產品新服務,為數據安全產業發展帶來機遇。
(4)我國關鍵基礎設施安全能力不斷優化
2024年,隨著新一代信息通信技術的演進發展和應用普及,新型信息基礎設施內涵不斷拓展。以信息網絡為基礎,以新一代信息通信技術創新為驅動,面向高質量發展需要,涵蓋網絡基礎設施、算力基礎設施、新技術基礎設施的關鍵信息基礎設施,正成為未來基礎設施發展的重要趨勢。一方面,我國加速信息技術應用創新步伐,保障關鍵信息基礎設施供應鏈安全。為應對全球信息安全事件頻發、美對我科技領域制裁力度持續加碼,以及地緣政治緊張局勢對全球供應鏈安全造成的沖擊,我國加速信息技術應用創新步伐。另一方面,涵蓋通用算力、智能算力、超級算力與量子算力的“算力”體系,與涵蓋信息通信網、電力傳輸網、能源網、空天地海一體化網等的“網絡”體系逐步向深度融合邁進。算網融合發展帶來的安全問題逐漸引起廣泛重視,業界初步研提了算網安全標準框架,前瞻算網安全發展方向。
展望2025年,產業持續從“規模化推廣”向“深化落地”階段逐步推進。一方面,信創應用加速,筑牢關鍵信息基礎設施根基。黨政、金融、電力、電信等重點行業積極開展信創工作,大規模開展系統改造,加快系統信創化,信創應用場景不斷向醫療、教育、交通等民生領域拓展。信創技術不僅將驅動基礎設施的數字化、智能化轉型,還將促進安全技術與人工智能的深度融合與創新,構建起全方位、多層次的安全防護體系。另一方面,隨著“東數西算”工程推動算力網絡建設全面提速,算力基礎設施不斷完善,算力網絡體系將進一步構建,逐步形成“以網強算,以算促新”的新局面,與此同時,安全邊界將進一步泛化,針對算網的安全風險也將級聯擴大,任意環節、任意維度的攻擊帶來的安全風險影響倍增。
2 需要關注的幾個問題
(1)國際環境刺激國家級網絡對抗持續加劇
近年來,地緣政治競爭加劇,全球網絡空間安全形勢錯綜復雜。隨著網絡空間作為大國博弈重要戰場的地位日益深化,地緣政治對網絡空間安全的影響將越來越大,國家級網絡攻防對抗日益凸顯其破壞性。一是關鍵信息基礎設施安全風險日益凸顯。國家間針對關鍵信息基礎設施的高烈度網絡攻擊頻發,網絡安全事件呈現組織化、規模化、集團化特征。近年來安全漏洞不斷增長,尤其國家級黑客組織不斷利用零日漏洞進行攻擊,網絡漏洞武器化趨勢明顯。二是軟件供應鏈攻擊風險加劇。近年來,全球性供應鏈攻擊事件不斷爆發,2024年“眾擊”軟件升級引發多國信息基礎設施異常。據Gartner預測,到2025年,全球45%的組織將會遭受一次或多次軟件供應鏈攻擊,尤其是開源軟件漏洞沿供應鏈傳播,使得供應鏈廣度和深度無限延伸。
(2)我國網絡安全產業發展動能仍待釋放
目前,我國需求方“重發展、輕安全”的思想仍根深蒂固,與見效快的信息化投入相比,在網絡安全方面的投入較低。一方面,需求方的網絡安全意識相對薄弱,除了政府、通信、金融行業對網絡安全保障的強制性要求以外,大部分用戶未將網絡安全視為剛需,對網絡安全產品與服務的需求僅是被“合規”所驅使。據IDC數據顯示,我國網絡安全投入占信息化整體投入比例一直低于2%,遠低于全球平均水平3.05%,與美、日等發達國家10%以上的投入比例存在數倍差距,我國網絡安全產業發展需求有待進一步激活與釋放。另一方面,與發達國家相比,我國網絡安全企業的創新能力差距明顯,以企業為主體的創新體系尚未健全。自主創新的芯片、操作系統總體水平與發達國家相比差距較大,根域名安全、工業控制系統安全、芯片安全、云原生安全等安全技術創新緩慢,大數據匯聚場景下的輕量級加密、傳輸等數據安全技術亟需突破。
(3)新型基礎設施防護體系還不健全
隨著網絡開始全面改變人類社會的方方面面,政治、經濟、文化、軍事等各領域都深深植入網絡基因,網絡安全的泛在跨域特性極易導致單點風險成為全局風險,網絡安全風險日益向經濟社會各領域傳導滲透,可謂牽一發而動全身。隨著5G、工業互聯網、車聯網、物聯網等新型基礎設施加速發展,產業數字化進程提速,萬物互聯網同時也帶來萬物不安全,終端設備、信息系統等都可成為攻擊入口,網絡安全風險暴露面不斷增大,并從虛擬空間全面向物理世界蔓延,針對新型基礎設施的網絡攻擊高發頻發、安全漏洞不斷增長,涉及企業量大面廣,大部分工業企業安全防護能力不足,缺乏安全防護有效手段,一旦遭到攻擊則會造成巨大損失;針對工業場景的安全產品和解決方案目前還十分缺乏,工業企業網絡安全人才也十分匱乏,遠不足以應對日益嚴峻的安全形勢。
(4)網絡安全核心技術創新能力有待提升
近年來,在美西方加快推進“重構供應鏈”布局、構建遏制中國網絡安全合作等一系列干預和打壓措施下,我國在半導體、量子計算和人工智能等關鍵技術“脫鉤”風險加大,我國網絡安全產品尚難以完全脫離對國外產品的依賴。同時,與發達國家相比,我國網絡安全企業的創新能力差距明顯,以企業為主體的創新體系尚未健全,如根域名安全、工業控制系統安全、芯片安全、云原生安全等安全技術創新緩慢,大數據匯聚場景下的輕量級加密、傳輸等數據安全技術亟需突破;人工智能、區塊鏈、5G等領域的安全技術雖然在國際上位居前列,但是重場景安全輕底層技術邏輯的現象仍然存在。
(5)數據安全政策法規可操作性仍有待提高
當前,數據安全政策法規體系的“四梁八柱”已經建立,但從落地實操維度審視,部分政策法規條款細則在具體執行環節面臨困境,可操作性層面存在短板,適配復雜現實場景的精準度、指向性不足,導致實踐過程中執行難度較大、執行效果難以充分彰顯,亟需對現有政策法規進一步優化細化、強化配套指引、明晰執行標準,以切實增強其可實施性,筑牢數據安全法治根基。例如,在數據匿名化方面,缺乏細則明晰匿名化的標準,缺少明確匿名化技術手段的指南。在數據跨境流動方面,金融、汽車等細分行業領域的指引不健全;部分自貿區發布的正面清單實際效果有限,部分自貿區發布的負面清單仍有一定的模糊性,無法讓企業直觀判斷是否會觸發數據跨境安全評估等。在數據分類分級方面,上海、江蘇等地正在推進電信和互聯網行業重要數據識別和目錄備案等工作,仍需持續擴大各行業領域、各地區數據分類分級工作力度。
(6)新技術新應用加速融合引發潛在安全風險
一方面,新技術新應用加速融合,帶來未知安全風險。人工智能、量子技術、區塊鏈等新技術新應用涌現極大地拓展了網絡安全治理的邊界,造成網絡安全威脅復雜多變,風險日益嚴峻。人工智能內生安全、衍生安全事件不斷發生,應用拓展帶來技術、隱私與倫理挑戰。量子計算、量子密碼引發信息安全攻防雙方的新矛盾和新博弈。區塊鏈的密碼、智能合約、違法挖礦等問題為監管帶來更多挑戰。另一方面,算網融合快速發展,加劇安全防護能力挑戰。算網技術加速迭代演進,算力網絡面臨的攻擊暴露面呈擴大趨勢,算力復雜的動態連接機制為攻擊者提供更多的攻擊路徑,節點可信度風險進一步增加,同時,云、邊、端側節點安全能力差異化使得安全風險級聯放大。此外,算力網絡協調發展的頂層設計仍不完善,安全管理標準尚待建立,算力網絡生態面臨著底座不牢、缺乏標準話語權等挑戰。
3 應采取的對策建議
(1)全面提升網絡安全攻防能力
一方面,迎合國際發展趨勢,全面加強網安韌性。充分借鑒美西方國家經驗,進一步明晰網絡安全工作責任,推動行業協作,鼓勵政府部門、企業之間以及跨行業的安全信息共享與合作,構建網絡安全協同防護機制,為網絡安全技術攻關、產品研發、應用服務等提供了良好的發展空間。如針對安全風險防控,可嘗試設置獨立的協調管理機構,在各地設置專門的網絡執法、恢復中心等,提升網絡安全運營效率和敏捷性。另一方面,深化網絡安全技術應用試點示范,圍繞人工智能安全、工業互聯網安全、區塊鏈安全等領域,遴選優秀安全技術產品、服務及解決方案,推動開展相關應用性能、特定場景支持情況等實驗驗證,形成產品推薦清單和安全實操指南。
(2)積極培育網絡安全優勢企業
一是建立領軍企業、優勢企業和種子企業培育庫,開展動態化、梯度化、信息化培育,推動企業向精深化、鏈條化、集群化發展。二是鼓勵以資本為紐帶推進資源整合及產業融合,支持引導網絡安全龍頭企業兼并重組。三是鼓勵龍頭企業建立開放性網絡安全技術研發、標準驗證、成果轉化平臺,整合產業鏈上下游企業資源,聚焦產業鏈薄弱環節,開展產學研協同創新研發,補齊短板。四是引導中小型企業向“專精特新”方向發展,與大企業共同構建合理分工、優勢互補的產業生態鏈體系。
(3)加強新型工業化網絡安全保障體系建設
深入研判護航新型工業化網絡安全保障。健全以工業互聯網安全分級分類管理為核心的制度體系,強化工業控制系統網絡安全防護,建立健全車聯網安全管理制度機制,加強風險監測預警,對重要企業和系統定期開展漏洞排查,制定安全事件應急預案,指導企業提升安全意識,加強技術手段建設,切實承擔主體責任。
(4)提升網絡安全技術創新能力
一方面,加強技術創新,提升自主可控能力。開展網絡安全核心技術的自主研發,提升我國國產網絡安全產品質量,加強先進安全產品和技術創新,進一步提高科技轉化運用能力,加強人工智能技術、云計算、區塊鏈等新一代信息技術成果轉化,保證相關技術創新的持續推進。另一方面,面向關鍵信息基礎設施安全防護需求,重點加強主動實時防護、網絡信任體系等技術研發應用,提升安全威脅檢測、預警、響應和處置能力。
(5)加快完善數據安全標準體系
標準是規范數據安全管理和推動數據安全技術要求落地的重要手段,能夠有效提升數據安全政策法規的可操作性。一是按照急用先行的原則,加快制定數據流通匿名化效果評估、匿名化技術使用等標準,制定汽車、金融、人工智能等領域數據跨境流動合規指南,制定細分領域重要數據和核心數據分類指引,制定數據安全服務能力評估指南,制定人工智能數據集標準等。二是加快推進數據安全標準試點貫標工作,以有效驗證標準的可行性及其執行效果,及時發現標準在執行過程中存在的問題與不足,為進一步優化和完善標準體系提供有力依據,確保數據安全政策法規更好落地實施。
(6)強化關鍵基礎設施防護能力
一方面,前瞻布局響應機制,防范新技術安全風險。加強人工智能安全技術和發展,保障人工智能應用關鍵基礎設施的供應鏈穩定與韌性,健全關基應急響應機制;加速融合后量子密碼學(PQC)和量子密鑰分發(QKD)等技術,構建自主可控的量子安全體系;積極探索引入新的監管技術、機構和機制,強化涉及區塊鏈技術應用的監管,防范安全風險。另一方面,構建算網安全生態體系,充分發揮政府部門、企業、第三方組織等各方的能動性,構建算網安全產業開放合作平臺,開展交流論壇、項目推介、實踐比賽、案例評優等活動,做優做大算網安全產業生態圈。
摘自:賽迪智庫《2025中國工業和信息化發展形勢展望系列》
摘自《自動化博覽》2025年1月刊
北京市公安局海淀分局備案號:11010802023656號