第2章 白队任务清单
2.1 安全运营体系建设
当前的网络安全现状使网络安全运营面临安全基础能力成熟度不够成熟、安全工作目标不清晰、安全运营工具建设难度大,以及安全运营人员人才不足等一系列问题。网络安全运营的建设需要从多视角管理,在安全运营体系建设方面,从服务、管理和技术三方面来规划。
(1)网络安全运营服务体系包含安全合规及监管服务、等级保护测评及风险评估、合规性检查和指导。安全合规及监管服务需满足安全标准建设的要求,明确安全管理要求、安全技术标准和安全运营标准;等级保护测评需要执行的工作内容包含等级保护测评、风险评估、合规整改;合规性检查过程中确保进行合规检查和监督指导。
安全运营服务包含安全基线评估加固、运维管理和安全审计、系统上线安全检查、安全事件分析、重点时期攻防演练、安全应急响应处置、互联网资产发现、全流量风险分析、应用失陷检测、安全事件及态势监测、安全策略优化服务、安全产品运行服务、威胁情报预警、漏洞生命周期管理、重点时期安全检查、重大事件安全通告。
(2)安全运营管理体系需要明确关键定义,再根据组织现状确定管理组织架构,确保满足组织网络安全运营机制可顺利流转。
(3)安全运营技术体系建设针对视图层、功能层、数据层和基础层进行体系化建设。视图层包含安全可视化、资产态势、脆弱性安全态势、数据安全态势、安全事件态势、攻击态势、安全防护态势和威胁态势。在功能层需要对资产、漏洞、基线、知识库、策略、事件及安全编排进行管理。数据层是对数据源、数据接入、数据处理、数据治理、数据服务进行管理。基础层围绕物联网安全技术体系、云计算环境安全技术体系、大数据安全技术体系、应用系统安全技术体系和安全态势感知技术体系规划建设。
2.2 安全合规管理
合规管理就是在一个相对明确的法规、制度和要求下,为达到标准而进行的一系列活动的集合。根据行业地位和企业性质,在国家相关法律法规的指导下,建立自身的合规机制,熟悉安全标准和等级保护2.0,协助企业规范化工作,配合公安部、工业和信息化部、互联网信息部等国家机关和其他国家单位的国家检查。
安全合规管理体系
安全合规管理体系中GRC(Governance,Risk and Compliance)理念尤为重要。GRC即公司治理、风险管理和合规审查。它以企业的各种经营活动为基础,以战略为中心,以流程为管理基础,通过绩效管理和风险内控管理措施,对各项业务管理流程进行管理和控制,确保战略与业务目标的管理方法和工具的统一。
为了有效解决当前安全合规面临的问题和挑战,未来的合规平台将通过系统管理、安全矩阵管理、执行管理、合规检查、合规风险评估等功能模块实施和支持安全合规、监督生命周期过程管理。
国际上广泛接受和应用的信息安全管理体系认证标准有ISO 27001、ISO 20000、CSA-STAR。这些认证标准以风险管理为核心,通过定期评估风险和相应的控制措施,有效保证了组织信息安全管理体系的持续运行。
2.3 资产管理
在公司财务中,资产管理是确保公司的有形资产和无形资产得到维护、核算与管理的过程。其中资产信息与人力、物力、财力和场地等资源相结合,通过有效的管理可以实现高效的资产管理和企业运营。
资产管理有时被称为库存管理,因为它通常涉及收集详细的硬件和软件库存信息,然后用于决定购买和如何使用资产。拥有准确的资产库存有助于公司更有效地使用资产,并通过重用现有资源避免不必要的资产购买。资产管理还能够使组织降低在过时基础设施的基础上构建新项目的风险成本。
目前,网络中存在离线资产仍在线运行、未办理管理手续就上线、擅自改变资产用途、存在各种安全问题等情况。这会成为企业网络安全的缺陷和恶意入侵的主要目标。精确的资产安全信息管理和控制是信息安全的基础。因此,有必要对资产安全信息进行生命周期管理,对存在安全隐患的系统或组件进行定位。
资产安全信息管理主要包括可生存性和安全指纹信息管理。根据网络服务的具体需求,对指定扫描范围内的所有IP地址进行周期性的生存检测,找到生存资产,然后获取生存资产的指纹信息。将获取的资产指纹信息与历史资产快照进行对比,查看资产指纹信息是否发生变化,并全面分析资产的安全基线和漏洞。
如果没有坚实的计划和精简的流程,就很难从一个地方跟踪和管理所有的硬件资产、软件资产、虚拟资产和非IT资产。资产管理流程的实现可以帮助公司减少额外的维护成本,优化使用许可证,减少未使用的资产数量和安全风险,为审计做好准备,提高其他ITIL流程的效率,使其有效为采购做决定,制订精确的预算,做更多的事情。
总的来说,资产管理可以带给企业的益处有:发现、管理和跟踪所有硬件资产;映射与CMDB的资产关系;管理软件资产,确保软件的标准符合性;跟踪IT资产购买合同。
上面讨论的资产管理最佳实践,涵盖了资产管理流程的大部分内容,从检测资产到将资产管理与其他ITIL流程集成到持续改进的资产管理。企业需要注意那些独特的优势和一些工具提供的开箱即用的特性,以便在商业竞争中获得优势。
2.4 项目管理
管理者通过专业的知识、技能和工具方案,对项目在一定的资源条件下进行管理叫作项目管理。项目管理需要将时间、成本和范围三个制约因素贯彻到企业管理过程中,可以对非项目或准项目进行管理,甚至企业的日常工作同样可以以项目的方式进行。在网络安全行业,项目管理的作用尤为突出,项目对于网络安全企业而言具有巨大的推动力,重大项目的完成不仅可以帮助企业获得利润收益,也能为企业塑造良好的品牌形象,是企业的无形资产。通过项目管理,网络安全企业的技术员工可以获得自身价值的提升。
网络安全企业通过项目管理可以提升项目本身的经济效益,完善的项目体系可以增强客户对企业的满意度,同时在项目管理过程中,可以帮助项目组成员加强综合素质,从而提升企业的整体实力和竞争力。
网络安全企业构建项目管理体系需要明确项目目标,制订项目管理方法,制订项目管理计划,确认项目管理组织结构、项目实施具体安排、项目文档的管理和项目实施进度计划,制定项目绩效考核。在项目管理过程中需要以项目经理为核心,进行全面深入的有效沟通,这样才能确保项目顺利进行。
在网络安全项目管理过程中,因企业运作流程、成本及人员等原因,在项目流程、项目管理备件支持、人员支持,包括项目的管理理念等方面都容易产生问题,所以在建立项目管理体系时,从公司高层的管理观念、内部组织结构、硬件环境、执行流程到人员的培训上都需要严格按照项目管理来进行。
网络安全产业发展迅猛,激烈的国内外市场竞争需要企业从战略高度意识到项目管理的重要性,不断地发展和完善项目管理在企业中的重要作用。通过项目管理促进网络安全企业不断创新,节省企业资源,激发企业员工的能力。
结合网络安全企业的发展现状,建立适合企业战略和业务框架的管理信息系统,逐渐实现项目管理的成熟度,增加项目管理培训,培养项目管理团队文化,将项目管理的理念深刻地贯彻到企业的经营管理理念中。
2.5 人力资源管理
数字经济迅速发展的今天,国际竞争日益激烈,在各种资源竞争中,人力资源是至关重要的资源之一,尤其在知识型的网络安全产业中,需要不断地培养、吸引人才和开发人力资源。因此,增强人才核心竞争力是各企业发展过程中的重要驱动力。
人力资源是能够推动国家经济发展和社会发展的具有劳动能力的人口的总和,企业人力资源即可以推动整个企业发展的所有在岗员工的总体。人力资源由数量和质量构成,人力资源具有能动性、时效性、再生性和社会性的特点。人力资源管理的基本内容包含人力资源规划、工作分析、员工招聘、员工培训和开发、员工使用和人才管理、绩效考评、薪酬管理、员工激励、劳动关系和企业文化建设。
企业战略决定人力资源规划,战略目标的实现也需要依赖于人力资源规划。人力资源规划目标需要实现在企业合适的岗位上有合适的人选,确认在组织目标和个人目标一致的情况下实现人力资源的供给需求平衡,最大限度地发挥人力资源潜力,同时通过分析组织在环境变化中的资源需求,制定相应的对策以满足目标的实现。
在人力资源管理工作中,直线经理的日常工作会涉及部门员工的业绩评价、加薪、举荐等与人力资源相关的工作。在直线部门和人力资源部门的权责划分中,直线管理人员需要对人力资源管理做出决策,人力资源部门在这个过程中的职责是协助和建议,负责招聘、雇用和薪酬等方面的工作,帮助直线经理实现人力资源管理的需求。
员工的培训和开发对组织实现目标非常关键,在网络安全领域更是如此。在完整的网络安全运营培养体系中,技能培训分为初级、中级和高级三个层次,初入网络安全行业的技术人员可以参加初级技能培训,中级技能培训的主要参加群体是中级工程师,高级技能培训的主要参加群体是研究院专家水平的安全工程师。
对应网络安全运营团队培养体系,在培养的方向上也是按照工作内容和职责划分为七个方向,这样可以帮助企业员工快速找准个人定位及发展方向,激发员工的潜能,为员工晋升和绩效管理提供依据,同时可以提升企业在网络安全行业的市场竞争力。
2.6 安全事件管理
随着新兴技术的不断发展,未知的威胁也不断出现,传统的网络安全产品和解决方案难以抵抗未知的网络攻击。在海量的安全事件中,通过一定的流程对各种安全事件进行挖掘和关联,真正解决信息安全事件需要解决的问题是国内外网络安全领域持续关注的热点问题。
信息安全事件管理的目标是组织信息安全战略的重要组成部分,信息安全事件的管理需要通过结构严谨、规划周全的方式对信息安全事件进行全方位的把控,主要目的在于确保信息安全事态能够被及时发现,并得到有效的处理,确认发生的安全事件属于信息安全事件;对已经发生的信息安全事件进行评估,以及时且合理的方式对事件做出相应处理;通过合理的安全防护措施,结合业务连续性计划的相关因素,将信息安全事件对企业的业务运行产生的负面影响降至最低;当信息安全事件结束时,需要及时对事件进行复盘,预防未来类似的事件再次发生,同时需要完善信息安全事件管理方案。总体而言,对信息安全事件进行整合和关联,对安全风险进行动态呈现,对安全事故进行及时响应是信息安全事件管理的目标。
信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备实施故障和灾害性事件,不属于这个范围的信息安全事件概括为其他信息安全事件。
信息安全事件管理包含规划和准备、使用、评审、改进四个阶段。在规划和准备阶段需要制订信息安全事件管理策略,制订信息安全事件管理方案,对公司级系统、服务、网络安全进行风险分析和管理,及时更新策略,建立应急响应小组,发布信息安全事件管理意识简报,并定期开展培训,测试信息安全事件管理方案。在使用阶段需要检测并报告信息安全的事件状态,评估并确定事件是否属于信息安全事件,对信息安全事件做出及时响应,包括进行法律取证分析。在评审阶段需要进一步进行法律取证,总结经验教训,改善信息安全事件管理方案。在改进阶段需要对安全风险分析和管理评审结果、信息安全事件管理的方案进行改进。
信息安全事件管理可以帮助组织提高安全保障水平,降低对业务的负面影响,着重预防信息安全事件,强化调查的优先顺序和证据,有利于预算和资源的合理利用,改进风险分析和管理评审结果的更新,增强组织的信息安全意识,完善信息安全培训的计划材料,为信息安全策略及相关文件的评审提供评审信息。
信息安全事件的管理和审核需要组织内部员工的广泛参与,需要增强员工的信息安全意识。组织应该在信息安全事件管理方案中将关键问题阐述清楚,如管理层的承诺、安全意识、法律法规、运行效率和质量、保证匿名性和保密性、保证可信运行和系统化分类。
信息安全事件管理方案不仅在于和IT技术安全相互补充的信息安全管理措施,同时也需要和IT技术安全相互支撑。建立完善的管理制度、健全的运营制度,加大对信息安全事件的管理,也将有利于提升国家的网络实力,有利于完善国家的法律法规,增强个人信息安全。
2.7 情报管理
在网络安全领域,IP地址或域名是数据。若没有任何额外的分析来提供上下文,它们只是一个事实。在收集和关联各种数据之后,它们有能力洞察某一需求时,便成为情报。
数据和情报的区别在于分析。为了回答问题,分析需要基于一组要求。未经分析,安全行业产生的大部分数据仍然只是数据。然而,同样的数据,一旦按需进行正确分析,就成了情报,因为它包含了回答问题和支持决策所需的一切。IOC在一定程度上被认为是威胁情报的同义词。与IOC相关的搜索和发现过程是信息安全委员会与IT组织计算机安全专业人员职责的主要组成部分。IOC是唯一的数据伪影或签名,它们与安全威胁的存在或应解决的网络入侵密切相关。
模型通常用于构建分析和处理的信息。此外,在智能生成过程中还使用了一些模型。接下来介绍的这两个情报模型主要用来有效地产生和采取行动。第一个是OODA循环,可以用来快速做出对时间敏感的决策;第二个是情报周期,可以用来生成更正式的情报产品,用于各种目的,如情报报告策略或情报规划。情报周期是一种普遍的模式,该模式下各种规模的问题都可以得到解答。然而,需要注意的是,上述步骤并不能自动生成良好的情报。
情报的质量主要取决于两个方面,即来源和分析。在网络威胁情报中,由于情报官员不收集自己的数据,很多时候数据无法处理,因此了解这些信息对情报官员至关重要。目前,正在研究的情报模型主要关注通过某种分析管道的信息逻辑流,与事件分析一样,这种方法并不是建模信息的唯一方法。情报官员可以在不同层次上思考抽象的情报概念,从高度具体的战术级到作战支援的作业级再到非常通用的战略级。
2.8 风险管理
信息安全风险评估是指根据相关的信息安全技术和管理标准,对信息系统和由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评估的过程。它要评估资产面临的威胁,以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值判断安全事件发生对组织造成的影响。
风险管理需要确认的有风险评估框架及流程、风险评估实施、信息系统生命周期各阶段的风险评估及风险评估的工作形式。在风险评估框架和流程中需要确认的有风险要素关系、风险分析原理、实施流程;在风险评估实施过程中需要执行风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施的确认、风险分析及风险评估文档记录;在信息系统生命周期各阶段的风险评估中包含信息系统生命周期概述、规划阶段、设计阶段、实施阶段、运行维护阶段及废弃阶段的风险评估。风险评估有自评估和检查评估两种工作形式。
在风险评估实施前需要确定风险评估的目标和范围、组建合适的评估管理和实施团队、进行系统调研、确定评估的依据和方法。
资产识别、威胁识别、脆弱性识别是风险评估中的重要步骤。资产评估阶段是风险评估中的重要因素,包含计算机硬件、通信设施、建筑物、数据库、文档信息和软件;资产赋值分为保密性赋值、完整性赋值、可用性赋值。安全威胁是导致安全事故和信息资产损失的活动、可能对资产或组织造成意外事件的潜在原因。通过威胁评估手段,一方面可以了解组织信息安全的环境,另一方面也能对安全威胁进行半定量赋值。脆弱性识别是以资产为核心,主要从技术和管理两个方面进行,技术脆弱性和物理层、网络层、系统层、应用层有关;管理的脆弱性需要分为技术管理脆弱性和组织管理脆弱性两个方面。
在完成资产识别、威胁识别、脆弱性识别后,需要以恰当的方法确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对组织的影响。计算环节包括计算安全事件发生的可能性、安全事件发生后的损失及风险值。根据风险计算的方法,计算每种资产面临的风险值,根据风险值的分布情况,给每个等级设定风险值范围,并对风险计算结果进行登记处理。
针对信息系统生命周期各阶段的风险评估,以自评为主,自评估和检查评估相互结合,互为补充。
2.9 知识管理
知识管理是信息技术和管理学交叉的学科,知识管理的目标是对企业所存在的知识进行管理。企业的数据库、知识库甚至是企业员工的大脑都是企业知识存在的位置。企业通过信息和相关的技术,可以高效地掌握和运用知识,实现企业组织机构的创新能力和响应能力,提高企业的生产效率和技能素质,让企业在行业内的竞争力得以增强。
数据、信息和知识三者紧密相连,数据在特定的环境中,和具体的对象相结合会形成信息或知识,信息和事件相结合,联系相关的经验最终形成知识。在企业内部,知识不仅存在于各种数据文档中,也会渗透于企业内部的各种日常工作中。在网络安全领域,知识的管理为企业带来的驱动力和创造力具有重要意义。
从不同的研究视角会对知识产生不同程度的理解和分类。从获取的途径来看,知识可以分为显性知识和隐性知识。所有可以通过文字、图像和符号等信息化的知识称为显性知识,显性知识有具体的载体。隐性知识是不能通过语言或其他形式表现出来的知识,如情感、经验或信仰等。显性知识相当于冰山上的一角,绝大多数的隐性知识在水下。知识管理可以充分挖掘个人和组织的隐性知识,并将知识最大限度地显性化,让知识可以在组织内部进行传播和共享交流,提高团队成员的创新能力和实践能力。
知识管理的难点在于以下几个方面:首先,企业需要重视信息和知识管理;其次,知识管理需要和企业业务深度结合;最后,从隐性知识到显性知识的转换及传播。在知识管理的实施阶段需要遵循的原则是,知识共享是知识管理的基础,注重在团队内部进行有效的快速挖掘,了解组织中的关键技术人才,加强对隐性知识的管理,通过信息技术的使用打破企业内部因地区、产品技术方向而产生的差异。
成功的知识管理需要将知识深刻地与人、处理流程、信息技术和管理相结合。人是知识的创造者,也是知识的管理者,所以人是知识管理的主体。人需要在知识建立、存储和再利用上做出行为上的转变。在处理流程上,需要将不同时期知识管理生命循环所需要的方法技巧具体化。信息技术主要鉴定什么工具及科技可以增强人和处理流程的特性。管理需要沿着人、处理流程及信息技术的特性努力,提供组织的元素从而掌握其完整的精神。
知识管理是动态的过程,包含知识生产、知识共享、知识应用和知识创新,需要建立知识管理的生命周期阶段,进行知识的积累,在确定知识差异后建立新知识,选择信息技术进行知识存储,传播共享知识。
在整个知识生产、知识共享、知识使用和知识创新的过程中,通过现代化的信息技术手段实现人、知识、处理流程和管理的高效运转,完善企业的知识存储,让组织成员便捷地获取知识,提高知识的共享效率,形成智能化的知识共享平台,建立知识共享机制和培训制度,帮助企业提高管理效率,促进企业内部人才素质的提高,有助于提升企业市场竞争力。网络安全企业通过知识的建立,建设企业安全管理在知识和安全之间联系的纽带,实现个体、团队和企业之间安全知识的共享与交流。基于知识管理的基本原理,通过安全知识集约、安全知识运用、安全知识交流和安全知识创新的关联,为网络安全企业的快速发展提供内在驱动。
2.10 安全运营平台建设
安全运营平台包括八个理论模型,下面分别做简要介绍。
(1)PPDR模型:该模型即策略保护检测响应模型,它是在总体安全策略的控制和指导下,在综合运用防火墙、身份认证、加密等防护工具的同时,利用漏洞评估、入侵检测等检测工具,了解和评估系统的安全状态,并通过适当的响应将系统调整到更安全的状态。保护、检测和响应形成了一个完整、动态的安全循环。
(2)ISMS信息安全管理体系:信息安全管理体系是建立信息安全政策和目标的组织,以及在总体或具体层面上实现这些目标所使用的方法。它是直接管理活动的结果,表示为策略、原则、目标、方法、过程、核查表等元素的集合。
(3)ITIL信息技术基础架构库:它是一系列全球公认的信息技术(IT)服务管理最佳实践。它基于行业最佳实践框架,将IT服务管理业务流程应用于IT管理,旨在满足将信息技术应用于商业部门的发展需要。
(4)项目管理:是指在项目活动中运用专门的知识、技能、工具和方法,使项目在有限的资源条件下达到或超过既定的要求和期望的过程。项目管理是对与一系列目标的成功实现有关的活动(如任务)的全面监控,包括计划、调度和维护组成项目的活动的进度。
(5)产品开发管理知识体系:企业知识库可以实现产品和项目的集成管理,为研发设计部门提供统一的知识、数据共享和查询条件,便于研发人员查阅相关资料,了解相关项目的设计要求和规范。信息化使研发设计工作更加科学合理,降低了投资风险并缩短了产品任务周期。
(6)风险管理:项目风险管理系统模型由风险辨识、风险评估、风险分析和风险控制构成,根据此模型可以发现网络安全中的薄弱点及潜在的安全风险,并进行安全风险评估分析,以评估结果确定响应的风险控制措施,从而降低或消除网络安全隐患。
(7)质量管理体系:是指在质量方面指导和控制组织的管理体系。任何组织都需要管理。当管理与质量有关时,它就是质量管理。质量管理是在质量方面指导和控制组织的协调活动,通常包括建立质量方针、质量目标和质量活动,如质量计划、质量控制、质量保证和质量改进。为实现质量管理的原则和目标、有效开展各项质量管理活动,必须建立相应的管理体系。
(8)业务流程管理/价值链:价值链是企业为实现价值目标所支持的过程的抽象表示。它从价值的角度出发,关注价值目标和增值方法。业务流程是企业实际经营的具体反映,是客观的观点。由此可见,价值链分析必须以业务流程为基础,而业务流程分析则以价值链为指导。价值链分析过程是将企业的整个业务流程(价值链)分解为相互关联的单个业务流程,然后将单个业务流程中的多个价值活动(作业)作为分析对象进行分析的过程。
2.11 安全品牌运营
在市场经济快速发展的今天,企业不仅需要依靠核心产品和技术形成竞争优势,而且需要不断保持品牌自身的竞争优势。在B2B行业,同质化的产品和个性化的客户需求使品牌资产显得尤为重要。
B2B公司构建企业品牌形象的重要原则是找准企业自身定位,保持品牌战略的一致性、保持品牌的真实性,围绕企业的核心定位进行持续性的创意和宣传,让社会公众通过品牌视觉形象形成对企业的认知,从而占据社会公众的心智。
随着信息技术和网络技术的不断发展,传播环境也随之不断变化,在信息爆炸的时代,企业需要确定差异化核心价值的品牌体系,包括价值基础、价值确定、价值打造、价值传递和价值管理,避免因为没有聚焦而造成客户选择的心智困扰。
品牌的差异化定位可以通过抢先定位、关联定位、对立定位、分化定位、聚焦定位和重新定位的方式实现。
品牌价值机会的关键在于战略选择的原则,企业在确定自身定位后,可选择兵力原则、防御优势原则进行攻守之战。战略选择的形式在于根据自身状况选择品牌防御战略、进攻战略、侧翼战略或品牌游击战略。
网络安全企业的品牌运营需要在找准定位后通过运营增强品牌定位优势。完整品牌价值理论体系需要由品牌命名、定位广告语、销售话术、品牌视觉锤、聚焦运营配称、进行品牌研发管理、开发品牌精神价值系统等关键环节构建而成。网络安全企业品牌运营需要围绕定位有效提供品牌命名、广告语、销售话术、视觉锤及产品、价格、渠道、研发等营销策略,可以为企业提供完整的品牌识别和感知系统,为企业夺取定位和品类发挥关键作用。
网络安全企业的品牌传播的方式包括口碑传播、社会化媒体传播、内容营销传播、公关传播、品牌广告、体验传播及展览传播,传播的对象是和企业直接或间接利益相关的群体或组织。
尽管国内的网络安全企业数量在科技类领域的占比不算太高,但仍然要注重品牌管理。网络安全企业品牌管理包括品牌资产管理、品牌组合管理、品牌长期管理。
网络安全企业的品牌市场基础小众化,需要结合自身业务及公司发展的不同阶段需要,结合市场形势制定符合自身条件的可持续发展的品牌经营策略,慎重制定和坚持产品与服务所传递的价值主张,保持公司品牌的一致性、清晰性、持续性、可视性、真实性,进行全面化的品牌传播。
2.12 安全行业分析
面对日益严重的网络空间安全威胁,美国、德国、英国、法国等世界主要发达国家纷纷出台国家网络安全战略,明确网络空间的战略地位,并提出将从外交、军事、经济等方面着手,以确保网络空间安全。
我国2017年的信息安全软件、硬件和服务市场规模达41.56亿美元,同比增长23.91%。2012—2017年复合年增长率为20.10%,保持较快增长态势。2017年,在整个信息安全硬件、软件和服务市场中,安全硬件市场占有最大份额,占56.47%,安全软件市场占17.18%,安全服务市场占26.35%。2017年,中国信息安全软件市场规模达7.14亿美元,同比增长14.61%,主要得益于企业用户对安全软件需求的增加和云应用的即时性需求。2017年,我国信息安全硬件市场规模达23.47亿美元,同比增长26.52%,保持较快增长态势,主要得益于政府、军事、金融、电信等行业购买防火墙等产品和统一威胁管理。2017年,我国证券服务市场规模达10.95亿美元,同比增长25.00%。随着云计算和大数据技术的快速发展,安全服务市场将继续快速增长。
近年来,我国信息安全产业快速发展的主要驱动因素有以下几个:国内信息网络和重要信息系统设备的基础水平关系到国家网络安全形势;信息安全需求的提高是推动行业快速发展的根本因素;国家政策支持是信息安全产业发展的重要因素;推进信息安全标准化,促进了信息安全产业的发展;信息技术不断发展创新。
在行业分析中,普遍运用的方法论有PEST分析法、SWOT分析法、波特五力模型、价值链分析法等。
PEST分析法是对宏观环境的分析,“P”是政治(Politics),“E”是经济(Economy),“S”是社会(Society),“T”是技术(Technology)。在分析企业集团的背景时,通常会通过这四个因素来分析企业集团所面临的形势。
SWOT分析法,即基于内外部竞争环境和竞争条件的态势分析,就是列举与研究对象密切相关的主要内部优势与劣势、外部机会与威胁,并以矩阵形式进行列举,然后运用系统分析的思想对各种因素进行整理分析,得出一系列相应的结论,这些结论通常具有一定的决策性。
波特五力模型认为行业内有五种力量决定着竞争的规模和程度。这五种力量共同影响了产业的吸引力和现有企业的竞争战略决策。这五种力量分别是现有竞争对手在该行业的竞争力、潜在竞争者进入的能力、替代品替代的能力、供应商的议价能力及买方的讨价还价能力。
价值链分析法是一系列输入、转换和输出活动的集合。每一项活动都可能产生与最终产品相关的增值行为,从而提高企业的竞争地位。信息技术和关键业务流程的优化是实现企业战略的关键。企业通过信息技术在价值链过程中的灵活运用,发挥信息技术的有效性、杠杆性和乘数效应,从而增强企业的竞争力。
2.13 安全生态运营
网络安全生态学是仿照古代生物生态学的数学模型,它定量描述了黑客、红客和用户的生存与环境之间的关系,解释了一些宏观现象,为保障网络空间安全提供了战略参考。安全生态的现状主要总结为以下三点。
第一,网络安全产业没有良好的生态环境。网络安全产业具有技术多样性和同质竞争的特点。此外,大多数人对网络安全的认识还处于初级阶段。中国大多数网络安全公司基本上都处于解决生存问题的阶段,没有能力部署资源共建良好生态环境。
第二,攻防不平等将长期存在。我国网络安全建设的目的不仅是应对国内的安全攻击和黑客攻击,更是为了应对全球黑色产业链的挑战。双方在立场和实施方式上存在巨大差异,应该继续增加攻击者的成本,同时增加惩罚的力度和手段。
第三,威胁会升级。十年前,威胁主要针对硬件服务器、软件操作系统和高价值企业;今天的威胁主要针对数据、健康和生命;未来的威胁将针对国家、社会和政治层面。
网络安全生态也是一个生态圈,其核心是人。人的力量是无限的,是动态的。每个人的潜力都不可低估。因此,关注网络安全生态系统关乎人的动态发展,而关注人则是通过挖掘和管理每个人的潜在力量来帮助公司实现自己的安全,通过对网络安全生态系统成员画像的分析,挖掘出不同层次的可用资源。