陈兴跃：网安人才缺口超百万，建议“政产学研用资”共育队伍

共话网络安全

随着数字经济的发展，网络安全已成为关系国家安全和发展以及广大人民群众切身利益的重大问题，而强大的网络安全技术产业实力更是保障我国网络空间安全的根本基石。在此背景下，如何提升我国网络安全产业结构和发展质量，增强各级管理部门、网络运营者的安全意识和投入力度，培养网络安全人才成为社会关注焦点。

在2022年广东省网络安全宣传周举办之际，南方都市报专访中国网络安全产业联盟首任秘书长、全国信息安全标准化技术委员会总体组专家、天融信科技集团副总裁陈兴跃博士。其认为，我国网络安全产业进入“快速成长期”阶段，但网络安全人才还十分缺乏，目前缺口总量超100万人。

据了解，今年广东省网络安全宣传周由省委网信办牵头会同省委宣传部、省委编办、省教育厅、省公安厅、省国资委、省广电局、省政务服务数据管理局、省总工会、团省委、省妇联、省通信管理局、人民银行广州分行主办，广东省互联网业联合会、南方都市报、N视频联合承办，持续到9月11日。

网安领域形成相对完善的顶层法律框架

南方都市报（以下简称南都）：从产业视角，你如何看待我国近年来在网络安全领域取得的成果？

陈兴跃：近年来，我国在网络安全领域取得的一个突出成果是完成了许多整体规划层面的建设任务，随着《网络安全法》、《密码法》、《数据安全法》、《个人信息保护法》等法律法规的出台和施行，网络安全领域形成了一套相对完善的国家顶层法律框架。其后，相关标准、行业规范、行政管理规范等配套文件逐步落实，为加速实施网络强国战略、促进数字经济发展保驾护航。这对网络安全产业是重大利好。

南都：此前你多次谈到，全社会包括各级网络运营者、互联网公司都存在安全意识与投入不足的问题。随着这些法律法规实施，情况是否有所改善？

陈兴跃：我认为总体来说有明显改善。一方面是因为国家对关键信息基础设施的安全问题愈发重视。在《关键信息基础设施安全保护条例》施行后，在国家网信部门统筹协调下，国务院公安部门负责指导监督关键信息基础设施安全保护工作。关键信息基础设施涵盖公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的重要网络设施、信息系统等，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益。国家电网、云计算平台、大型网络平台、大型水利枢纽设施等都属于关键信息基础设施范畴，相关保护工作是重中之重。

另一方面随着国家网络安全立法体系化工作的基本完成，配套法规、技术标准等正在迅速颁布。全国信息安全标准化技术委员会已发布300多项国家标准。以前大家可能有意识，但不知道怎么做，有了这些法律、法规、国家标准、行业规范等的指引，就能有效避免之前有安全意识但不知如何去做的困惑。比如《数据安全法》施行后，许多重点行业出台了包括数据分类分级等数据安全保护的具体规范要求。

南都：数据显示，广东的安全服务厂商数量排在全国前列。你如何评价广东的网络安全产业发展水平？

陈兴跃：根据此前调研结果，我国网络安全企业主要分布在北上广，北京最密集，广东近年来发展势头比上海更好，不仅有多家上市网络安全企业，一些中小型安全企业发展也不错。

本地有较多数量、较高质量的安全服务厂商，有利于提高实地处置网络安全问题的效率。应急响应和保障恢复能力在发生网络安全事件时十分重要，只有快速有效地处置才能避免情况恶化，让损失最小化。当用户的重要信息系统、基础网络被攻击时，当商业机密、公民个人信息泄露时，本地网络安全服务专业人员及时响应，有利于迅速处置问题，这对当地的信息化建设和数字经济发展都会提供助益。

由于安全要求和部分网络体系架构的特性，并非所有情况下都可以远程提供安全服务。由于很多场所的关键系统不接外网，需进入核心机房进行处置，能否前往现场操作就显得十分重要。

历史“欠账”太多成网安建设主要问题

南都：工信部数据显示，2021年我国网络安全产业总体规模突破2000亿元，产业综合实力快速提升。目前我国网络安全建设处于什么水平？

陈兴跃：我国网络安全建设起步时间较早，1994年正式接入国际互联网后，1995年首家网络安全企业成立。但历史上，我们对网络安全建设的重视程度和投入不够，在大规模开展信息化建设的同时，对网络安全基本是“零投入”。因此，我国网络安全建设面对主要问题之一是历史“欠账”太多。

参照产业生命周期理论和模型，结合网络安全企业的特点，我将网络安全产业生命周期划分为萌芽期、初步发展期、快速成长期、成熟期、衰退期或蜕变发展期五个主要阶段。在我看来，美国网络安全产业已处于产业生命周期的“成熟期”阶段，而我国网络安全产业已超越“初步发展期”阶段，刚进入“快速成长期”阶段。

我要强调的是，网络安全产业主要由网络安全企业和相关专业服务机构构成，它是维护国家网络空间安全、保障信息社会健康发展的基础和重要力量。总体而言，由于大量历史“欠账”和新的网络安全能力建设要求，我国网络安全产业的实力相对较弱，目前难以满足数字经济发展的基本要求。我国现在是网络大国，还要向着网络强国迈进。

可以这么讲，维护网络空间主权和国家安全、保障全社会信息化健康发展和全民数字权益的迫切需求，与目前相对较弱的网络安全产业基础和整体实力之间的矛盾，是我国网络安全技术产业发展面临的主要矛盾。

南都：今年信通院发布白皮书显示，我国网络安全产业结构和发展质量有待提升，如存在缺乏高端网络安全产品、安全服务发展滞后等问题。你怎么看？

陈兴跃：我国网络安全产业结构确实存在一些关键问题。一方面相比于美国、以色列等国家的头部安全企业，我国的高端安全技术产品在技术指标、创新度等方面与其有明显差距，在部分细分的新技术产品类型上也存在空白。另一方面，网络安全产业分为产品和服务两大部分，我国存在重产品、轻服务的现象，而国外多是服务性收入高于产品收入。

服务为什么重要？网络安全企业向客户提供产品、技术和解决方案，其核心目的是对客户赋能，提高客户的网络安全防护和保障能力。网络安全的核心是攻防对抗，攻防对抗的实质是人与人的较量。单纯的技术产品和解决方案交付，很难应对快速迭代的攻击技术和场景，需要有网络安全服务作为支撑。例如及时对病毒库、威胁情报库进行更新，软件优化升级，必要时还需要安全专家的直接介入进行处置，对异常网络行为及时作出判断等。

我认为可以从三方面提高网络安全产业的供给水平。首先，行业龙头企业应该更多地联合产业的合作方打造整体安全能力，包括客户、上下游、同行等，努力营造良好的产业发展生态；其次，网安企业需持续加大研发投入力度，积极开发新技术、新产品。针对IT新技术和新技术应用场景提供强大的安全保障能力；此外，要充分认识到网络安全系统性、整体性的特征，努力打造总体安全能力，特别是为新IT技术重点应用场景和重点行业提供有针对性的安全解决方案。

南都：中小微企业对我国经济和社会发展有着十分关键的作用，但其数字安全问题却常被忽略。有企业报告显示，我国超九成中小微企业正面临严峻的数字安全威胁，其中多数无法自行解决问题。网络安全公司可以怎样帮助中小微企业渡过难关？

陈兴跃：首先要明确的事实是，中小微企业总体规模较小，特别是那些初创型企业还处于生存期，主体业务不太稳定，让其对网络安全进行大投入不太现实。

因此，我认为网络安全公司应降低提供安全保障服务的门槛，针对中小微企业打造一系列低成本的安全服务解决方案。借助于云计算、虚拟化、大数据技术，通过产品+服务的组合，提供高性价比的解决方案，从而降低中小微企业的网络安全建设门槛。

另外，我建议大力推进网络安全保险业务，加快出台相关管理规范和技术标准。网络安全保险产品要能够覆盖大、中、小企业，帮助其降低安全风险、业务风险和财务风险。保险公司与合作网络安全企业在中小微企业购买保险时会对其进行安全检查，及时发现其存在的网络安全问题，指导企业开展安全建设或规避安全风险。在投保企业发生网络安全事故时，保险公司按约进行理赔，从而减少企业的损失。

我国网安人才缺口总量超过百万

南都：网络安全人才是行业发展的重要支撑。据你观察，当下我国网络安全人才供给情况如何？

陈兴跃：我国网络安全人才是严重缺乏的，目前网络安全人才的缺口总量超100万人，且每年以1.5万人速度递增，供求很不平衡。人才严重缺乏的原因和此前在网络安全教育领域的投入不足有很大关系——网络空间安全专业2015年才被增设为一级学科。

不过，该学科近年来发展速度很快。2019仅42所高校成立网络空间安全学院或网络空间安全研究院，到2021年已有215所高校设立287个网络安全类专业。根据教育部高等学校网络空间安全专业教学指导委员会的数据，2016年高校学历教育培养的包括本科、硕士、博士在内的网安相关专业毕业生仅约8000人，2021年加上职业学院快速增长到约2.4万人。

南都：我国网络安全人才培养呈现出哪些特点？

陈兴跃：我国网络安全人才培养呈现出五大特点：

一是人才结构立体化，以“金字塔”结构形式呈现。最顶端是复合型领军人才和高精尖技术专家，中层是应用创新型人才和实战型攻防人才，底端是安全服务支撑人才和专业运维保障人才，人数从上至下逐渐递减。

二是更新速度快，培养体系庞杂。每当有新的信息技术出现，随之诞生的还有新的安全威胁和安全保障要求，这对教师、教材、学生、实验实训环境等提出了较高要求。

三是覆盖面广。网络安全是一个系统性的知识结构和专业体系，一个人不可能把整个领域研究透彻，它会细分为多个相关专业。

四是交叉融合。网络安全专业是比较典型的交叉性学科，比如某高校网络空间安全学院开设了法学专业。同时，该学科与其应用场景关系也非常紧密，还具有典型的行业特征。以电商业务为例，如果没有支付数据、商品数据、订单物流数据以及用户数据等，业务根本无法开展，此时数据安全就与业务息息相关。

五是注重理论与实践相结合。新技术不仅要有理论支撑，还要能解决实际问题，因此网络空间安全专业是增设在工学门类下，而非理学。该学科要求学生具备很强的实践能力和应用创新能力。

南都：网络安全企业在壮大我国网安人才队伍方面可以做些什么？

陈兴跃：从企业角度看，我认为应该加强“政、产、学、研、用、资”各方协同联动，建立网安人才供给、培养、检验、聚集、输出的新机制，让网络安全人才培养“活”起来，充分发挥产业力量，努力打造具有中国特色的网安人才培养新生态。

具体而言，政府应出台网络安全人才政策、机制，营造人才培养发展大环境；在产业方面，要持续提升从业者的职业发展能力，企业需保障安全能力输出和资源对接，提供专业师资、专业课程和实训平台等。高校要设立网络安全专业，共建网络空间安全学院，加速人才培养和科研创新；研究机构则应打造网络安全技术研究院，汇聚高端人才，孕育行业技术领军人才。

此外，政府机构、企事业单位等应为网络安全人才提供就业与实践支撑，培养大量实战型、实操性网络安全人才；就资本而言，其应支持网络安全专业和学院建设、人才培养和创新孵化。

出品：南方都市报 南都大数据研究院 京沪新闻中心

统筹：邹莹 凌慧珊

采写：南都记者 樊文扬 设计：刘寅杉