当前，国家安全的内涵和外延比历史上任何时候都要丰富，时空领域比历史上任何时候都要宽广，内外因素比历史上任何时候都要复杂，网络安全威胁日益倾向于以深度渗透、长期窃密和战略控制为目标，给国家政治安全、经济安全带来严重挑战，风险种类日益增多，安全威胁不断增强，漏洞数量持续增长，攻击节奏逐步加快，安全事件频发多发。如何构建起共建共治共享的网络安全生态，切实筑牢网络安全屏障，推动网络安全进入高质量发展新阶段，成为一项重要而紧迫的新课题。

　　一、践行新理念

　　习近平总书记指出，高质量发展，是创新成为第一动力、协调成为内生特点、绿色成为普遍形态、开放成为必由之路、共享成为根本目的的发展。面对网上意识形态斗争尖锐复杂的形势，面对我国网络安全整体防护能力还不够强的现实，面对少数国家极力谋求网络空间军事霸权对我国国防安全带来的威胁，网络安全生态建设成为推动网络安全高质量发展的短板。为此，做好新时代网络安全工作，必须践行新发展理念，将网络安全作为一个系统，将多种要素有机整合在一起，坚持开放协作、共筑防线、共建生态，实现互通有无、互相促进，协同发力。

　　第一，共建网络安全防线。网络安全是一个整体，同时也是一个动态和持续的过程，随着大数据和人工智能技术的发展，网络安全防护的定义已经从简单的保护基础网络层安全，上升到保护网络空间的高度。要具备体系化安全建设思维、视野和格局，从过去的“单打独斗”到“协同作战”，设计“安全共担、多方共建、分段实现、两端兼顾”的解决方案，整合政府、企业、社会组织、广大网民多方力量，共同参与，共同维护，共建网络安全防线。

　　第二，共治网络安全环境。网络安全是共同的，而不是孤立的，也不是一个简单的技术问题，而是由多种因素综合决定的。维护网络安全是全社会共同的责任，没有谁能独善其身，共建共治才能筑牢安全屏障。加强政府与个体、技术与法律、国内与国外的协同治理，既要明确政府部门的监管责任，又要抓住企业主体责任，更要调动起网民维护网络安全的积极性，构建多元参与、多方共治、良性互动的网络安全治理格局。

　　第三，共享网络安全生态。网络安全事关广大人民群众在网络空间的安全和利益，无论是制定网络安全法律政策标准还是加强网络安全的管理，都要坚持以人民为中心的立场，让人民成为网络安全的参与者、建设者、受益者，在共享网络安全发展成果上有更多获得感。通过开展网络安全进社区、进校园、进企业、进家庭等活动，增强广大人民群众网络安全意识，在全社会形成人人学安全、懂安全、重安全的良好氛围。

　　二、正视新问题

　　当前，信息技术革命日新月异，以移动互联网、物联网、云计算、大数据、区块链等为核心的新技术新应用迅猛发展，使生活更为便捷、经济更加繁荣、文化更加多样、社会更加进步，同时也带来了新的网络威胁和安全挑战。

　　第一，云计算和大数据带来的挑战。随着移动互联网的迅猛发展，储存在网络空间内的各类数据量呈现爆发式增长，同时存在资源开放共享程度低、安全性有待加强等问题。云计算和大数据的广泛应用，一是造成数据大集中，导致攻击者的目标更加明确，数据和公民个人信息泄露的风险正逐步提高。二是数据量呈非线性增长，造成多种应用同步运行、频繁无序使用，数据类别存放错位、数据存储管理混乱等情况。三是为恶意的攻击行为和互联网黑灰产的犯罪活动提供了更加高效的技术手段。互联网黑灰产从业者通过各种渠道收集数据，为网络诈骗、定向攻击提供了更加高效的手段。此外，大数据的价值低密度性，使得安全分析工具很难聚焦在价值点上，黑客可以将攻击隐藏在大数据中，给安全服务提供商的分析造成很大困难。

　　第二，物联网发展带来的隐患。物联网成为新型互联网的重要组成部分乃至基础架构，物联网安全极大扩展了网络安全空间。物联网产业快速发展，但物联网设备本身缺乏较为完善的安全机制，导致物联网设备逐渐成为黑客攻击的目标，黑客通过利用物联网设备这一薄弱环节，也可以渗透到重要信息系统。一方面，攻击物联网设备以侵犯公民隐私的行为层出不穷；另一方面，通过控制数以万计的物联网设备发起拒绝服务攻击的事件也越来越多。由于物联网设备要求小体积、低功耗、常在线的特点，其自身的处理能力和内存很难做到与个人计算资源一样强大，导致物联网设备很难采取强加密、认证等技术来保护自身安全，而且设备长期连接互联网，时时面临着各种威胁。在这种情况下，应进一步加强网络空间测绘能力，也就是网络资产的探测与识别能力，将传统的关键信息基础设施资产监测扩大到物联网、工控设备等层面上来，摸清资产底数，掌握风险隐患。

　　第三，人工智能技术普及带来的隐患。人工智能技术的普及与逐渐成熟，对网络与信息安全将产生深远影响，既赋能安全防御，又赋能智能攻击，人工智能的安全是未来重要的发展方向。目前，在技术研究领域，已经出现利用人工智能开发的自动攻击系统，且已经在人类挑战赛中取得名次。该技术同样可被恶意攻击者利用，产生更加高效、广泛的安全威胁。由于人工智能大多都是基于深度神经网络模型开发，其很难从根本上避免样本攻击导致的安全风险。因此，在安全生态体系规划中既要充分利用人工智能作为维护网络安全的技术手段，对抗恶意攻击者及互联网黑灰产的违法犯罪活动，又要采取负样本对抗等技术避免由于人工智能自身的安全缺陷而导致的新风险。

　　三、构建新生态

　　全面数字化转型促使网络安全问题从传统IT时代过渡到万物互联时代，与之相对应的理念、技术、防御、产业也要与时俱进。要重新审视网络安全现状、特征与趋势，从意识安全、技术创新、标准规范、威慑防护、产业支撑、人才培养、政策扶持、法治保障等方面着力，构建网络安全生态。

　　（一）意识安全

　　意识安全是网络安全的总开关。一方面，人是整个安全体系最为薄弱、最不可控的环节，也是安全的重要尺度。很多安全事件都是因为人员安全意识薄弱导致的，只有从意识上筑牢安全防线，才能切实维护网络安全。另一方面，网络意识形态安全是网络安全的重要内容，事关党的前途命运，事关国家长治久安，事关民族凝聚力和向心力，只有思想观念不受冲击、没有危害，实现意识形态安全，才能确保国家政治安全。必须把维护网络意识形态安全放在构建网络安全生态的首要位置，牢牢掌握网络意识形态工作领导权。一是加强网络安全宣传教育。以国家网络安全宣传周集中宣传为依托，统筹利用各类传播媒介，多领域、分层次、广覆盖开展常态化的社会宣传，支持创作更多的高质量网络安全科普读物，开展形式多样的网络安全技能和知识竞赛，强化网络安全意识，普及网络安全知识，培育网络安全文化。二是紧盯重点人群。加强青少年网络素养教育，开展“网络安全知识进课堂”活动，将网络安全纳入学校教育教学内容，运用漫画、动漫等喜闻乐见的形式科普网络安全知识，让更多的青少年树立网络安全意识，自觉防范网络安全风险，依法上网、文明上网、安全上网。三是抓住关键少数。领导层面是否拥有正确的网络安全观至关重要，其视野格局、重视程度直接决定了网络安全工作的力度。落实好网络安全法和网络安全工作责任制，明确行业主管部门和企业的网络安全防护责任，对安全责任落实不到位、要求执行不到位的情况，通过约谈问责、监督整改、行政处罚等管理手段，强化运维单位的安全责任，充分发挥主观能动性，提高风险抵御能力。

　　（二）技术创新

　　互联网领域发展变化非常快，要密切跟踪技术发展的演进，充分利用新技术提升网络安全治理能力。一是强化新技术应用。进入大安全时代，数据极其庞大，安全防护手段要与大数据存储和应用安全需求同步升级更新，避免出现大数据存储安全防护的漏洞。利用大数据提供全息数据呈现，尽量多地对行为和数据进行记录、存储、分析、挖掘、关联和分享，使网络安全防护从“主观主义”“经验主义”等方式向数据驱动的精准治理方式转变。要在互联网安全、区块链安全、人工智能安全、5G安全等方面加大研发力度，提前谋划，有效防范不断变化的安全风险，努力做到防患于未然。二是加强技术防护手段建设。要统筹规划推进网络安全技术防护手段建设，加强攻防两端的资源统筹与技术手段建设，加快引导传统网络安全防御技术的转型升级，加强对构建安全生态所需基础性技术的支持，如威胁情报、综合态势分析，安全大数据等。推动核心技术发展的生态圈建设，打造技术生态圈。建设知识产权池，推进知识产权共享，强化技术衔接和配合，做好体系化的技术布局。三是激发企业创造活力。加大对企业的引导、支持力度，让企业成为技术研发创新的重要力量。以国家网络安全保障需求为核心驱动力，支持和引导电信和互联网企业及高校、科研机构等加大核心技术研发投入力度，全面加强网络安全核心技术自主创新，重点加强对工业互联网、人工智能、大数据等新领域安全技术的突破，为实现真正的网络安全打牢根基。

　　（三）主动防御

　　传统网络安全防护思路重在防御，主要以被动防御为导向，从边界安全理念出发构建网络安全治理体系，其防护更多的是聚焦在网络边界层面，难以适应新安全时代的需求。主动防御就要建立集态势感知、协同联动、快速响应等特点为一体的网络安全防护体。一是从事后补救到主动防御转变。仅仅依靠事后补救起不到对网络攻击的威慑作用，难以实现对网络安全的有效保障。要建立一套相对完善和契合自身业务特性的安全体系，配备具有专业安全能力的团队力量。二是从单兵作战到协同发力转变。随着网络攻击日趋复杂、隐蔽，传统、单一的安全保障与防御体系无法适应当前的网络环境，必须从系统和整体的角度把握和应对，整合多种技术手段，注重协同防御。其中，威胁情报共享是构建安全生态的前提，大数据是构建安全生态系统的动力，综合态势分析是安全生态系统的重要标志。加强同网络基础运营商、互联网接入服务商、互联网数据中心等企业的深度合作，利用大数据、人工智能等技术从顶层设计，建立高效、便捷、全覆盖的跨界合成作战机制和一体化运作模式。三是从被动防护向主动防护转变。建立信息综合分析机制，汇聚研判行业、企业网络安全信息，及时掌握网络安全态势和发展趋势，提高网络安全情报信息能力。综合运用大数据、态势感知等技术手段，对当前情况全面掌握，对未来态势进行预测，提前知道风险在哪里，是什么样的风险，什么时候发生风险，准确把握网络安全风险发生的规律、动向、趋势，有效应对新的网络安全威胁。

　　（四）标准体系

　　无规矩不成方圆，标准是技术和产业发展的基础，也是构建网络安全生态的重要规范。网络安全标准化是国家网络安全保障体系建设的重要组成部分，在保障网络空间安全、推动网络治理体系变革方面发挥着基础性、规范性、引领性作用。一是明确标准属性。安全生态标准体系化梳理能够客观展现标准化工作整体布局。目前，网络安全标准还缺乏体系性，各个行业建立的信息安全标准类型多样，角度不一，各有侧重点，全国信息技术安全标准化技术委员会的标准体系框架混合了标准属性和标准研究内容两种分类方式，将信息安全标准分为基础标准、技术与机制、管理标准、测评标准、密码技术、保密技术，将网络与信息安全标准分为业务与应用类、网络类、终端类、基础类和管理类。要从基础类、要求类、指南类和测评类等类别对网络信息安全标准的属性进行明确和划分。二是完善标准框架。总体来看，现有的信息安全标准体系框架缺少针对安全生态的统一规划和指导，随着信息技术的演进变革与融合创新，新的网络业务和服务类型(如CDN、云服务等)、网络技术(如5G、SDN等)的出现，使得标准研究对象不断增多，标准体系日渐庞大。同时，类似于云计算、大数据、物联网、工业互联网等自成体系的技术领域，其信息安全标准基本涵盖了安全生态中所有涉及的资源类别。网络安全标准体系的建设要通过制定并完善标准框架来定性定量网络安全的方方面面，系统化地指导网络安全行业、企业发展。只有充分划定好框架、范围和标准，网络安全工作才可以被细化、被定量地评估，而不至于只停留在纸面上无法落实；才可以统一口径，而不至于各说各的各做各的。三是规范标准立项。缺少已有标准的体系化梳理导致目前标准立项工作相对无序。我国信息安全标准化体系框架制定发布后，基础性的标准体系梳理工作做得还不够，标准立项申请者很难通过自身力量了解掌握信息安全标准全局性信息，仅从自身需求出发提出标准立项申请，导致扎堆、重复申报等乱象。通过对安全生态的各个环节、各种要素进行整理，形成统一的安全生态标准体系化大框架，确定已设立的不同安全体系化框架在大框架中的相对位置，及时发现同一类别的标准在不同的体系框架中是否存在重复、冲突等问题，从而及时启动相应的标准修订、废止工作。

　　（五）人才培养

　　网络安全的本质是攻防两端的对抗，人才是制胜关键。随着我国信息化建设的不断发展与深入，特别是人工智能、云计算、物联网等新技术应用的拓展，对跨领域、多技能的复合型安全技术人才的需求也日益强烈，网络安全人才成为制约网络安全生态构建的瓶颈。一是创新培养模式。落实习近平总书记关于建一流网络安全学院的重要指示，通过中央网信办和教育部组织开展的一流网络安全学院建设示范项目，培养更多的网络安全人才。推动高等院校与科研院所、行业企业协同育人，定向培养实战型和工程型网络安全人才，形成网络安全人才培养、技术创新、产业发展的良性生态链。二是拓宽培养渠道。建设协同创新中心，发挥企业在技术研发、创新创业、实战演练等方面的优势，在课程设置、实验室建设、实践教学、师资共享等方面合作，发挥高校在理论研究、师资队伍、教育教学等方面的优势，支持高校、企业开展网络安全的职业培训，发现选拔网络安全的技术高手。各高校及科研机构应加强在输出精通信息安全理论和技术的尖端人才队伍的同时，对非信息安全专业的学生进行普及性教育。三是完善配套措施。采取特殊政策，创新网络安全人才评价机制，以实际能力为衡量标准，不唯学历，不唯论文，不唯资历，突出专业性、创新性、实用性，聚天下英才而用之。在重大改革项目中加大对网络安全学科专业建设和人才培养的支持。建立灵活的网络安全人才激励机制，利用社会资金奖励网络安全优秀人才、优秀教师、优秀标准等，资助网络安全专业学生的学习生活，让做出贡献的人才有成就感、获得感。

　　（六）产业支撑

　　维护网络安全，建设网络强国离不开强有力的产业支撑。网络安全企业的发展，离不开良性循环的产业生态。随着互联网的普及和新技术新业务的快速发展应用，网络安全业务的需求快速增长，网络安全态势感知、监测预警、云安全服务等新技术、新服务不断涌现，以产品为主导的产业格局正在向“产品和服务并重”转变。一是把握重大机遇。网络安全事关国家安全，并作为顶层设计列入国家战略规划，在政策有利导向和行业因素的驱动下，产业结构的生态化调整将加速网络安全产业的变革，推动网络安全产业生态构建，促进网络安全市场蓬勃发展。国家实施一系列信息化建设项目，离不开网络安全的规划设计和建设运行，对网络安全产业的发展是一个极大的促进。根据安全生态产业发展的状况，确立网络安全产业的战略目标和战略重点，避免低水平重复竞争。二是优化产业结构。按照生态经济原理和生态建设规律，构造高效、和谐的产业结构，使多个生产体系或环节之间通过系统的耦合和物质、能量的多级利用，实现高效的产出和资源的持续利用。打造产业生态圈，完善创新链、产品链、价值链，强化产业链上下游衔接互动，聚集安全产业生态各方力量联合开展安全技术、安全标准和产业研究，秉持技术赋能、标准驱动、生态共建、产业共赢的理念，共同推动安全技术与服务的应用落地。有计划、有步骤、多层次引导实施产业集群生态体系建设，平衡要素之间的竞争协同进化机制和共生协同进化机制，完善安全生态产业的系统结构、进化机制和治理机制，提高安全产业的创新绩效。三是提升服务能力。网络安全企业应专注提升产品研发与服务客户的能力，接轨国际信息安全市场，加强行业内外的交流与合作，持续探索前沿技术。挖掘安全需求和明确安全目标，然后根据设定的安全目标进行分阶段的安全体系规划和建设，通过持续的安全运营来发现问题，不断完善进化，达到逐步提升安全能力的目的。加大产品维护投入，根据行业特点与用户反馈不断打磨产品，使其满足不同行业下的诸多业务场景，帮助解决实际难题。

　　（七）政策扶持

　　国家在科研和产业方面部署系列规划，有效带动网络空间安全技术与产业的发展，要认真落实国家有关网络安全的规划、政策文件，打造政策生态圈。一是在技术研发上给予支持。实施网络空间安全重点科技专项，聚焦网络安全紧迫技术需求和重大科学问题，聚合产学研用各方力量开展研究，对前沿性和关键技术领域部署研究。对于信息安全行业坚持技术创新的公司及其产品，相关部门可给予适当的鼓励与优惠政策。二是在产业发展上给予支持。加强网络安全产业统筹规划和整体布局，加大对信息安全产业示范基地的支持，激励企业开展技术创新研发，培育扶持一批在国内外有竞争力影响力的网络安全企业，形成具有一定规模、相互配套的网络安全产业集群。引导支持优秀的网络安全龙头骨干企业和技术服务机构与国内外高等院校、科研院所合作，推进产学研用融合一体。完善金融财税、国际贸易、人才等资本环境，特别是把适应自主创新的多层次投资体系建起来。三是发挥法治的保障作用。构建网络安全生态需要改善网络空间的法治环境，充分发挥法律法规的规范、引导和保障作用。大力宣传网络安全法，增强广大网民网络空间的法治意识，明知责任义务。建立完善关键信息基础设施保护、网络安全审查、数据跨境安全评估、个人信息保护等相关工作制度，严厉打击网络攻击、网络诈骗等各类网络违法犯罪活动，保护公民法人和其他组织的合法权益。

（作者王沛栋为河南省互联网信息研究中心副研究员）