纵观全球,以美国为首的发达国家积极推进网络安全产业的发展。在顶层战略方面,美国不断强化网络空间战略部署,积极推进现有产业促进手段实施。在组织机构方面,美国网络安全组织架构逐渐完善,发挥网络安全领域的指挥协调作用。在产业格局方面,网络安全产业规模平稳增长,产业生态圈合作密集,网络安全技术加速创新迭代。
美国是信息和网络技术的先驱国,在美国 诞生了世界上首个互联网络,也涌现出了传输 控制协议 / 网际互联协议(Transmission Control Protocol/Internet Protocol,TCP/IP)、 域 名 系 统 (Domain Name System,DNS)、超文本标记语 言(Hyper Text Markup Language,HTML)、 统 一 资 源 定 位 符(Uniform Resource Locator, URL)等网络通信技术,为互联网结构的确立及 网络空间的形成奠定了基石。 但是,网络设计 的开放性、灵活性和匿名性也令网络威胁出现 并不断发展。
随着全球互联网络的主要构成技术从基本 通信阶段、计算机网络阶段发展到网络空间阶 段,相应的安全防护手段也从通信保密、计算 机安全、网络安全、信息安全保障发展到网络 空间安全。 如通信保密时期的「中间人攻击」、 计算机安全时期的「CIH 病毒」、网络安全时期 的「蠕虫」、信息安全保障时期的「熊猫烧香 病毒」,直至 2010 年后各类勒索软件和各类高 级复杂性威胁不断涌现,攻击和防御双方的技 术之争、资源之争、能力之争白热化,网络安 全产业对于构建防御体系的支撑保障作用也更 加充分展现。
当前,国际秩序面临深度调整,全球科技 竞争格局和产业格局正在加速重构。 美国拥有 庞大的网络安全产业生态系统,涵盖了安全软 件、硬件、服务提供商、咨询公司、培训机构 等各个领域。 这些公司和机构为全球提供了覆 盖各领域的广泛网络安全产品和服务。 本文将 从网络安全发展战略政策、组织架构和产业格 局等方面概括美国网络安全产业发展情况,为 我国应对持续变化复杂的风险威胁、完善网络 安全产业生态圈、推动安全前沿创新技术发展 提供有益借鉴。
1
战略政策
美国是世界上最早制定国家网络安全战略 的国家,也是颁布国家信息产业政策最多的国 家。 美国旨在通过发布网络空间战略,使其行 动和治理理念实现国际传播,为其谋求网络空 间霸权提供法理遵循和规则参考。
1.1 国家战略
美国网络安全顶层战略的递进式完善,共 经历了萌芽期、形成期、成熟期、发展期4个阶段, 相关发展理念也从重新定义国家安全、体系基 本形成、日益成熟演化向持续发展转变。
「萌芽期」即 20 世纪 90 年代初到 2000 年, 这一时期国家安全概念实现外延拓展。 冷战结 束后,美国信息技术飞速发展,新型威胁形态 出现,美国联邦政府开始重新定义国家安全,「防 护(Defense)」成为国家网络空间安全关键词, 同时出现的还有「互联网(Internet)」「网络 (Cyber)」「基础设施(Infrastructure)」等内容。 其中,1997 年,国防小组提出「2010—2020 年 前后对美国信息安全威胁最大的问题是来自信 息战的威胁」。 1999 年底公布的【美国国家安 全 战 略】( National Security Strategy ,NSS) 首 次将网络安全纳入国家安全战略范畴。 2000 年 4 月,美国白宫发布【国家信息系统保护计划 1.0 版】,这是美国政府公开发布确保网络安全 的首份纲领性文件。
「形成期」即 2001—2009 年,这一时期美 国国家网络安全政策体系基本形成。 2001 年, 「 9·11」恐怖袭击事件后,美国对网络环境安 全的认识发生了变化。 基地组织利用(而不是攻 击)遍布全球的通信网络,有效策划了跨国恐怖 袭击,为网络安全带来了「切肤之痛」的危机。 联邦政府在这个建设和完善网络安全战略的机会 窗口,将「控制」作为国家网络空间安全关键 词。 2003 年 2 月,美国白宫发布【确保网络空 间安全国家战略】( National Strategy to Secure Cyberspace ,NSSC),确立了 3 项总体战略目标: 一是阻止关键基础设施网络攻击; 二是减少美 国对网络攻击的脆弱性; 三是在确认网络攻击 发生时,使损害程度最小化、恢复时间最短化。 2008 年 1 月,美国白宫颁布了国家安全总政令 第 54 号令和国土安全总统行政令第 23 号令, 强制性要求政府保障美国网络安全,防止遭受 各种恶意或敌对的网络攻击,同时能够对敌方 实施反制。 这本是一份高度机密的文件,但在「棱 镜门」事件中为斯诺登所披露。 2009 年 6 月, 美国国防部成立网络司令部,将国家网络安全 进一步落实为更具攻击性的「预防性防御」。
「成熟期」即 2010—2016 年,这一时期美 国的网络空间战略的制定和发展导向逐步向全 球网络空间拓展。 随着恐怖主义对美国本土威 胁的逐渐削弱,社交网络新应用在全球取得了 高速发展,同时随着中国等国家的快速崛起, 美国战略重点开始逐渐转移,「塑造与威慑」 成为国家网络空间安全关键词。 奥巴马在竞选 期间即表示要高度重视网络安全,并在上任后 将国家网络安全列为其施政重点。 2015 年 4 月 发 布 的【2015 国 防 部 网 络 空 间 战 略】( DoD Cyberspace Strategy )中首次公开表明,网络空 间行动将成为未来军事冲突中的战术选择之一。 该战略的明确目标是提升网络空间的威慑和进 攻能力,以积极防御和主动威慑的态势应对潜 在敌对行为。
「发展期」即 2017 年至今,指导美国合理 利用信息技术设施,实现安全现代化。 特朗普政 府执政后,陆续签发了有关网络安全的总统令 和网络安全政策文件,「先发制人」成为美国 国家网络空间安全关键词。 2017 年 8 月,美国 国防部将网络司令部从战略司令部下属的二级 司令部升格为一级联合作战司令部。 同年 12 月, 白宫发布的 NSS 2017 版通篇 46 次出现「网络 (Cyber)」一词,超出了以往的同类文件,这 表明网络安全已经上升为国家安全的核心利益。 2018 年 9 月, 白 宫 发 布【2018 年 国 家 网 络 战 略】( National Cyber Strategy ,NCS),这是自 2003 年以来首份完整阐述美国国家网络战略的 顶层战略。 2018 年 11 月,通过改组国土安全部 国家保卫和项目处成立了网络安全和基础设施 安 全 局(Cybersecurity and Infrastructure Security Agency,CISA),主要负责领导关键基础设施 的防护工作以应对当今的威胁,协调多方。
2021 年初,拜登政府上台后,以顶层战略、 机构调整、防御模式等方面为切入点,着眼国 家网络空间安全统筹能力提升,全面推进网络 空间能力提升与发展,「摧毁威胁」成为国家 网络空间安全关键词。 2022 年 10 月 12 日,白 宫发布 NSS 2022 版,其中关于网络空间领域的 内容提到: 「从电力到管道的关键基础设施越 来越数字化,容易受到网络攻击干扰或破坏。 此类攻击已被俄罗斯等国家用来破坏政府服务 民众的能力,以此胁迫民众向政府施压。 因此, 应迅速提高我们的网络复原力,并建立集体能 力,迅速应对攻击,并打击非法使用加密货币 清洗网络犯罪收益的行为。 同时,我们将继续 促进遵守联合国大会认可的国家在网络空间负 责任行为的框架。 」2023 年 3 月 2 日,美国政 府发布 NCS 2023 版,围绕「建立可防御、有弹性、 符合美国价值观的数字生态系统」的愿景,从 「重新平衡保卫网络空间责任」「重新调整激 励措施以进行长期投资」两方面出发,提出实 现美国国家网络安全战略目标的 5 大支柱及具体 27 项举措。 同年 7 月,美国政府公布【国家 网络安全战略实施计划】( NCS Implementation Plan ),为 18 家联邦政府机构设定了最终期限, 推动它们加强网络安全监管、简化监管流程。 实施计划还增加了企业对保护关键基础设施免 受网络攻击的责任。 同月,美国国家网络总监 办公室发布【国家网络人才与教育战略】,提 出将动用数十亿美元的联邦资金,改变政府、 企业、学校和其他组织的人才发展方式。
从阶段性特点来看,美国先后发布的网络 安全战略历经了从保护其关键资产、谋求网络 空间霸权,到先发制人网络攻击,再到预先摧 毁潜在威胁的转变。 在美国网络安全相关国家 安全战略的扎实推进下,其组织架构不断完善、 产业生态密切协同,网络安全企业持续发展 壮大。
1.2 政策法规
「9·11」事件以后,美国在网络安全领域 颁布了多项法规和政策,旨在应对不断增长的网 络威胁和保障国家的信息安全。 包括 2002 年美 国政府颁布的【网络安全增强法】、美国国家 标准与技术研究院(National Institute of Standards and Technology,NIST)于 2014 年发布的【网络 安全框架】、2015 年参议院通过的【网络安全 信息共享法案】【网络安全法】等。 这些法规 和政策的制定表明美国政府对网络安全的重视 程度,并展示了在保护国家信息基础设施和应 对网络威胁方面的积极姿态和决心。
特朗普执政以来,美国政府先后制定并发 布了【信息自由法】【电子邮件隐私法】【美国 自由法案】等,并积极筹划关键基础设施相关 法案。 2018 年 3 月,【澄清域外合法使用数据 法】( Clarify Lawful Overseas Use of Data Act , CLOUD Act)颁布并即刻生效。 CLOUD Act 法案 更新了执法人员查看存储在互联网上的电子邮 件、文档和其他通信内容的规则。
拜登总统上任后,2021 年颁布了【供应链 安全培训法案】以防护网络攻击和供应链安全脆 弱性影响。 【2022 年关键基础设施网络事件报 告法案】要求,在与关键基础设施相关的网络事 件发生的 72 小时内、在被勒索软件勒索付款的 24 小时内,必须上报 。 2022 年 12 月,拜登签 署【量子计算网络安全防范法案】,为联邦政 府应对基于量子计算带来的网络攻击做好准备, 推动数字系统向后量子时代过渡。 2023 年 3 月, 美国参议院引入【限制危及信息和通信技术的 安全威胁出现的法案】; 同年 7 月,美国证券 交易委员会通过了网络安全披露准则的更新与 补充,对注册企业的网络安全风险管理、战略、 治理及事件的披露要求做出进一步的加强和规 范,旨在满足投资者对于注册企业网络安全情 况的信息需求。 同年 8 月,NIST 发布了【网络 安全框架 2.0】草案,旨在帮助组织了解网络安 全风险、减少沟通障碍。
2
组织架构
美国的政府体系中多个部门实体均与网络 空间安全保障相关,包括总统办公厅、内阁各部、 军事机构、情报机构和独立机构在内的联邦机 构及州地方行政机构在国家网络空间安全体系 中发挥各自作用。
2.1 部门总体架构
以部门职责为依据,可将美国网络安全相 关部门划分为发展规划者、行政管理者和高密 级管理者 3 大部分。
美国发展规划者包括国家安全委员会 (National Security Council,NSC)、白宫科技政 策办公室(Office of Science and Technology Policy, OSTP)及行政管理和预算局(Office of Management and Budget,OMB)等。
美国行政管理者包括国防部、国土安全部、 国务院及司法部等立法、执法、行政部门。
美国高密级管理者包括国家情报总监办公 室(Office of the Director of National Intelligence, ODNI)、国家档案与文件署(National Archives and Records Administration,NARA)及中央情报 局(Central Intelligence Agency,CIA)等。
2.2 部门产业职能
为了确保网络安全产业的健康发展,美国 在政府和民间建立了多个组织机构来进行管理、 协调、合作和研究,主要包括:
国家安全局(National Security Agency,NSA): 负责美国政府的网络安全和信息保护。
NIST: 负责制定和推动网络安全标准、最 佳实践和指南,发布网络安全框架等。
联邦调查局(Federal Bureau of Investigation, FBI): 负责调查和打击跨州或涉及重大网络犯 罪的组织。
CISA:负责协调和增强联邦政府对网络安 全和信息安全的保护。
国家科学基金会(National Science Foundation, NSF): 负责提供资金支持和研究资助,推进网 络安全领域的科学和技术创新。
国家网络安全中心(National Computer Security Center,NCSC): 负责帮助政府和民间机构建 立和维护网络安全能力,提供技术支持和咨询。
美 国 网 络 应 急 响 应 队(United States Crisis Emergency Response Team,US-CERT): 负责协 调联邦政府在网络安全事件响应和危机管理方 面的工作。
NSC:负责制定和推动国家网络安全政策和 计划。
信息技术行业协会(Information Technology Association of America,ITAA): 作为业界组织, 致力于推动信息技术和网络安全产业的发展。
美 国 国 家 安 全 研 究 院(National Security Research Institute,NSRI): 负责进行与网络安 全相关的研究和发展,支持新技术的创新和推 广应用。
这些组织机构在促进网络安全技术研究、 信息共享、政策制定和协作方面,为维护美国 的网络安全产业健康发展发挥着重要作用。
3
产业格局
美国形成了完备且稳定的网络安全产业格局, 具有完备的产业体系,拥有国际产业市场的绝对 领导权。 同时,由基础信息巨头公司、网络安全 龙头企业和专业安全厂商提供的软硬件产品及服 务共同构成了美国网络安全市场的绝大部分份额。
3.1 产业结构
美国网络安全产业各环节的参与者主要由 基础信息巨头公司、网络安全产业巨头公司和 专业安全厂商构成,如图 1 所示。
图 1 美国网络安全产业层次结构与主要企业分布
第一层次为基础信息巨头公司,以苹果、 谷歌、IBM、微软、英特尔、Facebook 等为代表, 它们在美国的网络安全产业架构中,扮演着重 要而卓越的角色,为整个生态系统提供了广泛 且坚实的基础。 这一产业以其不可忽视的地位 居于全球供应链之巅,不仅积极进行大规模的 信息聚合和创新,而且还深刻改变了全球用户 的工作和生活方式 。 由于这些企业规模庞大、 市值往往以千亿美元衡量,并持续进行并购, 不断扩容体量,可以称其为信息「寡头」企业。
第二层次为网络安全产业巨头公司,以赛 门铁克、McAfee、趋势科技等为代表,其市值 达到了数十亿甚至数百亿美元。 这些企业从最 初的反病毒软件起家,经过多年的发展和不断 的兼并重组,已经形成了跨多个网络和终端协 议线的安全防护能力,同时其解决方案能力向 虚拟化、大数据、云计算、物联网持续扩展, 将产品和服务销售至全球。
第三层次为专业安全厂商,这是数量最多 的一个群体,它们也被称为独立安全厂商,专 注于系统安全、网络安全或其他安全技术的某 个窄带领域。 其特点为: 除具有单点专注的特 点外,大多不仅服务于美国用户,也坚定地追 求着全球市场 [6]。 这些「独角兽」或「隐形冠军」 企业引导着网络安全创新的话语权。 具有代表 性的厂商企业如表 1 所示。
表 1 一些具有代表性的美国专业安全厂商技术领域分布
3.2 市场与投资
凭借其在信息技术方面的突出优势,美国 已在操作系统、数据库、网络设备等颇具关键 性的网络安全基础领域占据了全球范围内主导 地位,其市场份额遥遥领先于其他国家。 这种 排他性的地位不仅源于美国在技术研发和创新 方面的持续投入和引领作用,还得益于其在相 关产业链的完备性和卓越的商业竞争力,也得 益于产业投资政策的宽松。
从全球网络安全支出来看,北美市场稳定 占据全球市场一半左右,可以说美国网络安全 市场是全球网络安全市场的缩影和写照。 其中, 规模最大的网络安全公司基本都在美国市场完 成规模化和资本化。 其营收主要包括软硬件产 品及维护保障、软件或安全即服务(Security as a Service,SaaS)订阅、数据服务、技术服务、安 全服务等形式。
就规模而言,美国信息安全专业公司的营 收 规 模 较 高, 但 增 速 较 慢。 据 Statista 预 测, 2024 年美国网络安全市场规模将达到 783.1 亿 美元(其中安全服务占据主导地位,市场规模 为 417.3 亿美元),2028 年美国网络安全整体 市场规模将达到 1 138 亿美元,年复合增长率为 9.79%[7]。 随着互联网在全球各国的渗透率不断 提高,网络安全的覆盖范围也将扩大。 网络安 全不仅是 IT 部门的保障任务,还日益成为企业 顶级战略规划的主导部分之一。
从分类格局来看,美国网络安全市场包括 了硬件、软件和服务,整体看,软件市场的占 比在不断提升,增速最高,安全硬件市场主要 是防火墙、入侵检测和防御,随着 IT 基础架构 的演进,其占比在逐步降低。 网络安全已成为 数字化产业(软件)细分领域第三大市场,仅 次于金融科技和企业服务。
从市场集中度来看,无论从产品还是玩家 角度,网络安全都是一个较为分散的市场,作 为一个超过千亿美元级别的市场,没有一个企 业占据超过 10% 的市场份额。 Statista 的同一报 告中显示,在安全软件领域,思科、Palo Alto Networks 和微软名列前三,市场份额分别为 8%、 6%、5%。 从安全软件市场份额来看,排名前 十五的公司里,除 CK 和趋势科技(TrendMicro) 外皆为美国公司,除趋势科技在日本上市外, 其他 14 家皆在美国上市。
从投资来看,美国坚持扶持中小型企业与 大企业战略并举,鼓励风险投资对网络安全企业 的扶持等。 据统计,美国有近一半的风险资本青 睐网络安全产业,强大的风险投资支持了众多的 高科技安全企业蓬勃发展,造就了 StackPath、 SentinelOne、Beyond Identity 等一大批明星企业。
3.3 服务领域
美国网络安全企业按其服务的对象可以分 为: 开放市场领域服务商与专门市场领域服务商。
开放市场领域服务商是指瞄准全球公共网 络安全市场的安全厂商,专门市场领域服务商 则是指面向其政府、国防和其他专业用户特殊 市场的安全厂商,二者各有边界。 开放安全厂 商专注自身所长的领域,研发通用产品,角逐 全球市场。 这些厂商一般会通过开设分支机构 (独资公司、合资公司或代表处)直接触达国 际用户,或经由本地代理商分销转售等形式, 在相关国家落地业务。
专门性市场的存在,有助于美国形成专属 的网络空间安全保障体系,以及服务于国家网 络空间的战略意图,形成高级别对抗能力,包 括尖端的密码技术、数据分析技术、威胁发现 技术、漏洞挖掘技术和服务弹性技术等,这些 技术可以与开放市场中的产品技术相互吸收转 化,由此构成整个产业的可持续发展循环体系。 这些厂商除服务于国防、政府专用网络信息系 统外,在关键基础设施、专用部门、特定网络 等领域也发挥着重要的网络安全能力延伸作用。
总体来看,美国网络安全产业形成了良性 的产业发展模式。 国防承包商及基础安全产业、 IT 安全产业中的龙头企业已经较为固定,同时 在政策上也为创新型中小企业提供了较大的生 存空间。
3.4 发展趋势
为了应对不断复杂深化的网络安全风险威 胁,美国网络安全技术和产品在发展中呈现出 以下趋势。
从广度来看,覆盖了更多、更全面的网络 信息承载单元,如从通用网络设备、计算平台 到专用网络、专用终端,再到物联网边缘的弱 交互信息设备。
从深度来看,将更多流量、数据和行为内 容纳入检测范围,并且强调从看似无关的事件 中挖掘出攻击线索和路径。
从时效性来看,迅速将云计算、大数据、 智能制造、人工智能等前沿信息技术作为防护 主体和对象,最小化脆弱性暴露的时间窗口, 为信息化发展持续保驾护航。
从实施手段来看,同样注重量子、人工智能、 区块链等赋能技术在网络安全产品中的运用, 降低安全成本,提升防御效率。
4
结 语
总体来看,美国网络安全产业在过去的数 十年中实现了飞速发展,牢牢把控了产业演进 方向和市场脉搏。 这与美国政府在战略、组织、 投资、技术等方面的「多管齐下」策略密不可 分。 未来,美国将集中部署实施和积极推进产业 促进手段,通过加大网络安全投入、引导技术创 新方向、强化供应链安全等系列措施,为产业释 放红利,夯实网络安全产业基础。 在产业格局上, 将推动并购、创投市场的活跃,促进网络安全 产业规模增长和产业生态圈的紧密合作。 在网 络安全技术上,将加速创新迭代网络安全技术, 探索新型防护理念、机制,为应对复杂变化的 网络空间风险威胁形成可演进的国家能力。
免责声明: 本文转自胡春卉,原作者信息安全与通信保密杂志社。文章内容系原作者个人观点,本公众号编译/转载仅为分享、传达不同观点,如有任何异议,欢迎联系我们!
转自 丨胡春卉
作者 丨信息安全与通信保密杂志社
研究所简介
国际技术经济研究所(IITE)成立于1985年11月,是隶属于国务院发展研究中心的非营利性研究机构,主要职能是研究我国经济、科技社会发展中的重大政策性、战略性、前瞻性问题,跟踪和分析世界科技、经济发展态势,为中央和有关部委提供决策咨询服务。「全球技术地图」为国际技术经济研究所官方微信账号,致力于向公众传递前沿技术资讯和科技创新洞见。
地址:北京市海淀区小南庄20号楼A座
电话:010-82635522
微信:iite_er
