全国政协委员、联盟理事长肖新光：三份提案聚焦网络安全产业发展和能力建设

全国政协委员、中国网络安全产业联盟（CCIA）理事长肖新光同志在2024年全国两会提交的大会提案《关于强化网络安全效能导向建设机制的提案》、《关于加强网络安全的共性能力建设推动产业转型升级的提案》、《关于建设全量执行体分析国家安全基础设施的提案》全文。

关于强化网络安全效能导向建设机制的提案

全国政协委员 肖新光

我国网络安全建设取得了一系列发展成果，整体安全防护和运营能力已经初步形成，防护有效性不断增强。但整体防御能力提升速度仍滞后于威胁行为体攻击能力的发展，对国家级网络攻击的防范能力依然较弱，大量政企机构防御能力不足以有效防范定向勒索攻击等流行威胁。基于我国网络安全投入在信息化投入中的占比显著低于发达国家这一实际情况，一些行业和领域尝试以提升这一占比来增加投入，带动能力改善，但整体看进展未达预期。党的二十大报告要求“提升科技投入效能，深化财政科技经费分配使用机制改革，激发创新活力”。“效能”视角为我们拆解相关问题，提出因应之策提供了一把钥匙。

二、问题

一是以信息化投入作为网络安全投入的度量衡存在认知误区。网络安全需要和信息化同步规划、同步建设、同步运行，因此网络安全在财务和统计口径上作为信息化的结构组成，有一定合理性。但将在信息化投入中的占比作为网络安全投入的主要度量衡存在认知偏差，其关键在于错误定义和窄化了网络安全的保障目标——网络安全保障的重点并非IT固定资产投入价值，而是业务和数据资产的全量运行价值。网络安全所防范的风险也不只是IT固定资产风险，而是全局的业务和数据资产风险，并包括向国家安全、社会治理安全与公民个人安全传递的间接风险。业务数据价值和风险，均远高于IT固定资产的价值与风险。与此同时，信息化和网络安全的生命周期特性既有重合伴生的部分，也有不一致之处。信息化建设有鲜明的“大小年”周期特点，而网络攻击风险则持续存在，并随着新的漏洞、新的攻击手段等技术因素和地缘安全变化等宏观因素，会突然变化激增。因此，网络安全投入既要有跟随信息化同步建设的整体性投入部分，也有日常运营的持续性投入部分，更有针对突发性风险隐患的应急性投入部分。以在信息化投入中的占比作为主要度量衡，既导致了对网络安全价值认知和风险认知的弱化，也并不完全匹配网络安全的运行规律，实际上制约了网络安全投入和能力提升。

二是单纯依靠合规导向无法实现高水平防御。我国当前已经形成了相对完善的合规体系，对关基等重点目标还做了针对性的增项和强化，并辅以阶段性实战化演练来检验建设运行能力。这些工作都是网络安全防御能力规划建设的必备基础工作。但由于缺乏构建动态综合防御体系的明确效能指引，加之实战演练活动中缺乏带有地缘安全背景的底线化的敌情想定分析推演，现有多数资产体系依然不足以应对高级网空威胁行为体的攻击挑战。

三是网络安全建设过度依赖于责任主体投入能力。“谁建设、谁负责”，“谁负责、谁买单”的责任制确保了每个机构都会落实网络安全工作，成为网络安全投入责任的主体。但与此同时，也需要看到，网络安全建设水平必然受到投入主体的技术能力、运营水平和安全认知的制约，特别是投入能力与投入主体的财务能力高度关联。导致财务能力较弱的单位即使运行着极为重要的信息系统和资产，也没有足够的投入能力，甚至投入为零。并整体上使网络安全水平与行业和区域的整体经济情况高度相关，带来若干缺口短板，导致国家战略安全能力失衡。

三、建议

一是构建基于运行价值和风险后果的“新度量衡”。“网络安全和信息化是一体之两翼、驱动之双轮”。网络安全并不是信息化的从属性和依附性元素，需要以保障全量资产价值和全局风险控制作为网络安全的独立效能目标。完善信息资产的运行价值评估和被攻击侵害影响的直接、间接风险后果量化评估方法，为网络安全投入的合理测算提供了更完整的依据。

二是建立效能导向建设机制，牵引关基安全建设向高限落实。建议相关部门提供方法体系赋能，协助关基机构和重点单位构建有效的“敌情想定”，根据其资产业务和数据特点，叠加到国际形势和地缘安全竞合中，分析其可能面临的威胁来源方向，根据不同威胁行为体的攻击意图、攻击能力、攻击方式、攻击技术、在历史攻击活动中导致的危害与后果等，综合分析所需要的投入以及预期的建设效果，构建以效能为导向的投入框架指引。

三是建立以责任主体投入为主、机动弹性赋能辅助的多元投入保障机制。在进一步强化关基单位、政企机构效能导向，加强自身投入的同时，还需正视，单纯依靠每一个政企机构的自我投入能力，防范高级网空威胁行为体的活动依然有很大困难，机构自身很难承载对全量资产最大化提升防护等级所需的运行成本。因此，需要完善国家、地方和行业层面的弹性防御和赋能机制，包括国家和行业区域层面的托管运营机制、安全监管与托管协同互动机制、安全产品资源战略储备机制、安全人力资源紧急动员机制、威胁情报共享和联合运行机制等。以集约化方式构建可以在防御目标快速部署、机动设防、动态调整的防御赋能体系，在达成防御效能的同时，也降低了被赋能机构的整体投入压力。

关于加强网络安全的共性能力建设

推动产业转型升级的提案

全国政协委员 肖新光

产业共性能力是产业体系中跨越主体和领域广泛使用，并对产业具备枢纽或支撑作用的关键环节。产业现代化的关键往往是依托共性能力和技术，形成链式分工协同和广泛生态。例如计算机产业中的CPU和操作系统、互联网产业中的互联网平台、新能源汽车产业中的电池和电机等，都是促成相关产业实现现代化的共性能力。

网络安全是国家重要战略新兴产业，具有鲜明的新质生产力潜质，但从共性能力和现代产业视角观察，也能发现产业存在的问题。

二、问题

一是横向生长、低质竞争，背离现代产业运行模式。网络安全领域本身有需求细分特点，叠加于历史上的行业壁垒、复杂的产品资质体系等因素，导致市场供给形态由大量碎片化赛道组成。有效安全价值的效能要素尚未成为市场竞争的主导要素，关系和渠道依然占据关键作用。由于效能导向不足，最低价中标成为主要的竞争手段。由于难以取得价值深耕和差异性创新带来的溢价，规模型企业普遍走向横向生长模式：既忽略自身能力栈的支撑能力，无节制拓展自身产品赛道幅宽，片面追求适配场景全覆盖，有限研发能力被迅速摊薄，又依托于廉价、开源的能力获取，来进一步支撑产品幅宽和能力栈补齐，导致整体供给能力一定程度上处于“样样通，样样松”的状态，不仅检测防护能力参差不齐，甚至有些产品自身的代码安全工程能力也十分低下，反而造成了安全隐患。

二是共性能力频谱不清晰，在战略对位上存在结构性盲点。我国网络安全共性能力建设已经有很多特色和亮点，网安标准体系、国家漏洞库建设都比较成熟，行业最佳实践等工作也不断进步。但从共性能力体系全局来看，对标世界先进国家，依然还有较大提升空间。例如，在公共安全方法框架体系方面缺少类似CSF、D3FEND的结构性框架，在威胁模型和知识体系方面缺少类似MITRE ATT&CK的共性知识体系，在系统配置加固等微观安全策略层面缺少类似STIG这样的共性策略集合等。虽然国内产业界进行了部分的理念推广和实践跟进，但由于外方的相关封锁，有的不具备完整引进消化的可能性，有的和国内场景的适配度不够。我们面临的综合风险与挑战，也决定了我们需要建设自己完整的公共能力体系。

三是缺乏对共性能力创新主体的正向激励和保障。现代产业的共性能力广泛赋能产业场景，有较高开发门槛，需要规模化团队长期投入，需要持续创新和快速运行迭代。需要极高的研发和运营成本。网络安全产业的关键共性能力是威胁检测能力。以反病毒引擎研发维护为例，需要检测与识别的恶意代码总量，已经超过5万个家族、1500万个变种，覆盖超过百亿样本空间，日均新增超过200万个。需要大规模算力和规模性人力，才能有效支撑其研发和持续更新。但网络安全关系型市场的属性特点，导致价值分配以客户界面和直接供应商为主导，加之上游安全能力是被前端产品封装的隐性价值，在价值链视角缺失的情况下，对于承担关键性研发和运营成本的创新主体，很难形成对等的回馈和保障。

三、建议

一是推进网络安全产业的结构转型。中国网络安全产业要成为真正的新质生产力，应积极强化共性能力建设，依托共性能力引擎，塑造分工协同、良性竞争的网安产业生态，按照现代产业体系的大分工和大协同发展范式完成现代产业范式破局。建议对网络安全产业进行合理的布局规划引导，鼓励专精、扶持优势能力发展，抑制低效投入，促进合理分工，引导网络安全行业有序协同发展。

二是梳理共性能力需求频谱，建立共性能力链规划。深入研究网络空间的国家安全共性能力需求，对标分析发达国家共性知识与能力建设现状，与一体化国家战略体系和能力建设要求对齐，构建包括共性方法、共性技术、共性知识、共性平台在内的功能能力价值链，重点围绕安全规划方法框架、威胁和安全能力知识图谱、公共安全算力平台等进行建设，确立公共资源的运营主体。通过专项投入支持等方式，弥补我国网络安全能力体系中的共性能力差距。

三是对供给高水平共性能力的创新主体进行激励和保障。积极展开领域共性能力应用现状和共性能力创新主体调研，了解创新主体面临的困难和问题。围绕下一代安全引擎、安全加固内核、安全芯片等共性能力进行重点支持，鼓励对AI安全等新场景研发共性安全能力，降低AI领域创业安全成本。对运营共性安全能力的平台建设在建设资金、用电、带宽等方面，给予算力中心建设一致的补贴。强制推进软硬件产品供应链透明化，实现上游能力供应方在最终客户场景的“露出”，反向推动产品厂商选择能力型供应方，既有利于供应链安全治理，也强化了共性能力创新主体的责任感和荣誉感。

关于建设全量执行体分析国家安全基础设施的提案

全国政协委员 肖新光

执行体是网络空间运行的基础对象。在网络对抗过程中，攻击武器和作用对象也基本都是执行体。其形态多样、格式复杂、数量异常庞大。IT场景中操作系统文件、驱动文件、应用软件、脚本等文件执行体和固件等非文件执行体总数已经难以统计。仅从恶意执行体（恶意代码）来统计，其规模已经超过五万个家族、一千五百万个变种、对应实际文件样本已达百亿数量级，日新增未知风险对象达百万量级。攻击运用方式也层出不穷，利用如免杀构造、内存攻击、基于正常软件的攻击构造、RoP攻击（基于代码复用的内存攻击）、供应链植入、签名证书窃取等手段，不断挑战和穿透反病毒引擎、可信验证等基础安全机制，试图绕过安全防护，构造安全风险。这些攻击都归因于执行体。

我国多数政企机构已构建了基本防护能力；有数千家网络安全企业为政企机构提供安全产品和服务；具有自主能力的网络安全企业，自行建设威胁分析体系和支撑平台，依托自动化和人工闭环协助客户应对威胁。但从实际效果来看，不仅APT攻击、定向勒索屡屡造成严重风险，一般性病毒、蠕虫感染传播事件也非常常见。这种原因是多方面的，但其中之一就是，无论政企防护场景还是网络安全厂商侧，都处于各自为战的状态。面对威胁执行体的井喷式增长和系统应用环境的日趋庞大复杂，没有有效的协同、组织、支撑、共享、赋能体系、机制和基础设施，导致无法形成合力。

习近平总书记在中央财经委员会第十一次会议上提出“要加强国家安全基础设施建设，加快提升应对极端情况的能力。”让我们思考网络空间中的国家安全基础设施，要解决怎样的问题，具备怎样的能力，运行于什么样的形态？

二、问题

一是从理论上缺少将信息系统运行和网络攻击执行实现范式整合的一致认知。尽管信息系统运行和网络攻击，都无法脱离执行体的运行和作用过程，但还缺少公认的将两者实现范式提炼和统一的范式级别理论成果。

二是防护场景特别是主机系统环境日趋复杂，缺少执行体治理的有效支撑能力。安全防护的支点已经重归云、端为主的主机系统一侧，从有效的系统防护环境塑造来看，用户已经不能简单的依托恶意检测和可信验证达成目标。需要逐步实现对IT环境中执行体的全量识别和精细管控，塑造运行基线。但其识别代价难以承担，管控手段尚不成熟。

三是对海量执行体对象进行完整采集、分析、鉴定、信誉计算超出单一主体的资源协调能力或经济投入能力。操作系统和应用软件高度碎片化，加之软件供应链和来源体系高度复杂，安全厂商很难实现更完整的采集覆盖。在利用大模型平台强化威胁检测分析方面，网络安全企业多数难以独立承载算力体系的建设成本。

三、建议

建议发挥国家顶层战略设计和大规模投入优势，在新形势下打造高水平、集约化的全量执行体分析国家安全基础设施。提出如下建议：

一是支持面向整合信息系统基础运行和威胁运行的统一范式研究。网信办、科技部等部门，支持产学研联合开展执行和执行体专项理论研究，直面网络安全对抗的第一性原理，深入研究基于代码运行逻辑下的系统运行和网络攻击交互作用，探索运行对抗本质，厘清执行体对象概念内涵与运行机理以及对应的执行体治理方法框架，并与现有安全理念和框架体系进行范式化整合，形成清晰化的安全范式。

二是支持面向执行体识别分析的共性能力建设和治理实践试点。由网信部门组织调研在关基防护、大规模威胁自动化分析等场景中，执行体治理的复杂度和必要性，研讨执行体治理理念的安全价值，对支撑执行体治理的有效能力供给和最佳实践予以支持和鼓励。

三是构建面向执行体分析国家安全基础设施。建议网信主管部门牵头总体统筹，将以威胁执行体为主的全量执行体识别、信誉计算、全量特征工程资源作为国家战略能力；协同其他相关部委机构，摸清主流企事业机构威胁分析基础平台建设现状，以基础条件好、有积极参与意愿、已经形成基础算力规模、数据资源和特征工程能力的分析平台，作为分布式协同节点；并以现有超算资源为基础打造大规模存算资源支撑的中心枢纽工程，吸引产学研机构参与，结合自身技术特点开展重点攻关专项任务，推进相关垂直大模型研究与应用。形成任务调度、形式化描述标准、信誉查询接口等相关标准体系，完成多元主体、分布运行、任务统筹、数据共享的新型国家安全基础设施运行机制。通过开放的接口数据，为政企场景安全、供应链安全和其他安全场景实施以执行体治理为支点的有效安全治理提供服务。形成网络空间新型国家安全设施的运行价值。