安全人員的一點思考和想法

05-07

作為一家創業型安全公司的產品負責人，隨著國家網路安全法的頒布和即將落地、隨著網路安全成為國家總體安全戰略布局的重要一部分、隨著信息安全已經成為新形勢下國與國之間博弈的重要棋子，首先內心除了對國家對信息安全重視的信息之外，更多是未來國家隊信息安全領域的強大支持充滿了無限期待。

從中小企業現狀來說，能從事網路安全行業領域的企業，其大部分的中堅力量還是由關鍵的技術人才構成，具備特色的技術和對相關規範的理解，形成了各具特色的可以滿足各種信息安全需求的產品或服務平台，現狀就是在老牌或國字頭領航的信息安全航空母艦周圍，還有著相當龐大規模的各種類型艦船伴隨其前行，航母的力量自不用說，各類小型專業艦艇的影響其實同樣重要，但是，現狀是，這些艦艇要想充分發揮出作用，可能更多還要受到政策、法規、資質的牽絆，縱使你有金箍棒在手，無奈頭上還有緊箍咒，比如，小企業對於一些公開招標的項目、一些可以合作的項目、一些前沿的研究領域，因為這些資金規模、成立時間、產品資質等原因，而無緣，相比較以色列的KIDMA 2.0信息安全發展戰略中對於新生和新興網路安全公司從資金、政策、市場帶動層面的扶持來說，國內在這方面對新創建或小的安全公司在長期發展方面政策的支持、推動、全球資源對接、以及發展資金、市場門檻方面的可執行可操作方面的規範目前還缺少全面有效可參考和執行標準，難以讓以新技術或創新技術為關鍵核心的中小安全企業能夠完全專註於新東西的鑽研和演進，從而導致會出現新技術起步最終淪陷甚至又陷入到傳統安全思維套路中，新技術難以實現真正突破，結果與以色列、美國、甚至一些歐洲國家在信息安全如移動安全、物聯網安全、工控安全、威脅情報分析、事件安全溯源、人工智慧安全等領域無法真正相匹配和抗衡的實力，往往還是處在跟跑狀。這塊如果在政策和規範層面，給予帶有創新機制的中小安全企業參與到更多國家整個安全生態系統建設體系中，那麼上升到國家層面，信息安全行業的百家爭鳴、百家齊放的場景在網信辦為強大帶隊和支持大環境下，定會出現。

從資金層面，信息安全行業屬於彙報周期較長的行業，因為其以技術為導向而且具備一定專業門檻的特性，雖然是為服務於各行業和普通大眾，可因其行業的特殊性，大多人對其無感知、無觸覺，即使已經深受安全威脅侵害，但看不見摸不著的信息安全原因，使其無法從根本獲知信息安全的價值和意義所在，上升一個高度，從目前實際接觸的政府、園區、國企現狀來看，信息安全與其因在政績、功績、績效上的直接掛鉤不明顯，所以在信息安全項目上的項目和資金合作，經常出現一種現象就是高熱清、低投入，對信息安全的認知隨著習主席擔任網信辦組長和網路安全法的即將實施，空前高漲，但是，因為信息安全投入的周期會較長而且短期見不到突出效果，所以，在實際投入上，出現高承諾低落地的狀況，這就出現一些中小企業會滿腔熱情的奔赴在各個展會、園區交流、政府交流、企業交流的現場，宣傳推動信息安全的產品、服務、意識、規劃，但是，這種激情、熱情、專註、執著最後的結果往往不太樂觀，中小企業對政府、園區、企業希望資金扶持會在逐步的推脫中最後無法落地，中小安全企業出現的高時間、高人力、高周期投入最後等來的可能就是無盡的等待。這塊套用萬達集團王健林的一句話「先定一個小目標」，那就是，對於中小安全企業的扶持，參考以色列這個創新國度對安全企業扶持的做法，先給一點小的資金扶持，然後通過伴隨其產品迭代，再從資金和市場資源對接兩方面扶上馬送一程，最後通過將其實力增加後，協助其從更廣泛資本資源方面吸取更大方面資金支持後，形成不僅可以滿足國內，而且具備可以覆蓋和影響全球安全市場的能力，從許諾千畝地的高希望轉變幫其一抔土發展起來的遞進方式，對整個信息安全行業從急功近利轉變為穩紮穩打直至最終超越和引領潮流應該很有幫助。這方面我們可以參考以色列國家的做法，以色列從2016年起，實施升級版的「前進2.0」網路安全產業計劃，預計資助資金為1億新謝克爾。在新計劃中，以色列政府將通過3個路徑扶持網路安全產業發展：對於從事突破性和顛覆性技術研發的企業，首席科學家辦公室從2016年每年精選2～4個申請者給予長達4年的大額補貼，幫助其推進研發;針對急需產品創新和概念驗證的申請者，首席科學家辦公室將給予為期1年的資助，幫助其培養一個國內用戶或兩個國外用戶用於驗證產品概念;而對於更小規模的網路安全企業，首席科學家辦公室推出了「促進網路安全公私合作計劃」，要求申請者自行組合3家以上相關企業，通過建立研發聯合體的方式，打造產業集群，受資助期為兩年。這種階梯型多路徑的資金扶持方案一方面容易落地已操作，一方面可以真正能帶動和推動新型安全技術公司的發展。

信息安全行業的發展，歸根結底，是專業人員和技術體系的發展。信息安全人才的儲備，不同於應用信息技術領域，因為其專業性和特殊性，對信息安全人才的培養已經不僅僅是教育行業的事情，隨著信息安全技術演變速度的加快，該領域的人才培養和發展，不僅僅是技能或技術的教育和培養，更重要的是，安全意識、安全創新、安全生態三方面對人才的培養。有了前面提到的好的政策和好的資金扶持的良好安全環境支撐之外，這三者將會從意識形態、主觀能動、總體戰略三個層次實現國家層面的呈現出金字塔特徵的合理安全人才體系。首先，底層是從事安全意識的安全人才，這方面人才相當於信息安全的掃盲大軍，是構築信息安全基礎的主力部隊，這部分人才一方面可以通過系統的信息安全知識教育著手進行，一方面可以通過對行業內不同領域和性質安全人員的彙集，形成從理論到實踐充分結合的安全意識大軍，實現對局部整體、直到全國層面的信息安全意識培訓、教育、推動，不僅可以服務於國家網路安全宣傳周這樣的全民信息安全意識活動，而且可以針對不同行業進行專業性的針對性服務；其次，人才的中堅力量，一定需要從充滿創新意識的各級教育學校機構、科研院所、專業部門、信息化領先企業、信息安全公司中抽取和形成可以從專業深度到專業廣度、從已知領域到未知領域、從成熟模型到預判技術全面覆蓋的縱深廣度皆有的創新性團隊，形成螺旋式上升創新態勢，既有已有技術作為堅實基礎保證，又有產學研結合的新型安全技術創新發展，理論結合實際，避免空洞無法落地的所謂創新技術出現；最後，安全生態人才的培養將是信息安全行業是否能領軍世界的關鍵要素，此類人才將從如何建立信息安全行業的生態模型著手，結合多行業、多領域、多專業的發展態勢，形成可以自我演進自我推動的安全生態機制和體系，通過將已有技術和安全創新成果相結合，形成安全生態組成因子，實現從物理形態安全、到數據形態安全、到人類行為安全、到物聯互聯安全、到態勢感知安全、到威脅防禦自我構建安全、到工業控制安全、到量子傳輸安全等各形態領域的整體安全生態體系，保證組織局部、指定區域、整體全局的全方位安全生態體系，最終保證國家層面的安全生態體系。國內信息安全行業人才相比較國外，在專業性、創新性、影響力方面，還不夠強大，隨著網信辦主導的網路安全周活動的推進，這方面人才的培養和儲備已經得到了長足發展，如果能結合上述分層次人才培養方式繼續推進，信息安全人才的多樣、創新、領導力，應該能得到長足和持續發展，單個企業或部門做不到全部人才的培養，整體的配合和協同，一定會形成整體性的網路安全人才培養機制。

結合最近的一篇針對以色列的報道，2016年9月28日發布的《2016～2017年全球競爭力報告》，在全部參評的138個國家中，以色列的競爭力名列第24位，較2015年攀升了3個位次。　其中的「前進」計劃是2013年以色列國家網路局和首席科學家辦公室共同推出的網路安全研發促進計劃，旨在資助以色列企業研發網路安全技術解決方案，推進國家網路安全產業發展。這也是以色列國家網路局成立18個月後推出的首個促進網路安全產業化發展的計劃。在「前進」計劃中，以色列政府將發展網路安全產業提升為國家戰略，將其視為「國家經濟增長的新引擎」。在「前進」計劃啟動後的2013年，以色列網路安全相關產品和服務的出口額達到30億美元，佔全球網路安全市場的5%。而到2015年6月計劃結束時，以色列的這一出口額已佔到全球網路安全市場的10%。今年3月，美國科技媒體CSO online統計了全球主要網路安全廠商的數量和分布後，發現以色列目前已成為僅次於美國的世界第二大網路產品和服務出口國。由此可見，信息安全的發展，在政策、資金、人才方面的推動和儲備，受益的不僅僅是所謂安全這個專業領域，更多受益的是國家經濟命脈的各個層面。

最後，作為創業安全公司的一員，對國家在網路安全方向的加大深入，深感欣慰，另外一方面，覺得未來將要擔負的責任和應做事情還有很多，所以，針對政策的扶持、資金的支持、人才的培養這塊有點自己的拙見和想法，希望國家的網路安全行業能夠更多造福於更多的人、事、物，最終是整個安全生態環境。