【专访】四叶草安全童小敏：网络安全服务模式迈向一体化、云化

2021年7月，国家网信办连续发布对滴滴系软件、运满满、货车帮、BOSS直聘等实施网络安全审查的公告，与此同时，多部委亦连续密集出台《数据安全法》、《网络安全产业高质量发展三年行动计划（2021-2023年）（征求意见稿）》等网络安全相关新规。

       一时间，大众的目光被聚焦到了网络安全领域，资本市场亦闻风而动，据了解，A股网络安全板块一度多家企业涨停，网络安全概念指数自5月以来累计涨幅超30%。

       四叶草安全技术副总裁童小敏告诉朋湖网，“政策法规能起到规范、约束作用，让企业在更加安全可控的环境下成长，清晰边界的界定对企业的长期发展、整个行业生态的构建无疑是一件好事。在政策驱动下，网络安全服务行业必将迎前所未有的发展机遇。”

01

政策“护法”、 网络安全驶入发展快车道

       2021年，网络安全工作继续得到政府及相关部门的高度重视，众多网络安全政策法规密集出台，经朋湖网梳理，自4月以来，网络安全领域发布的相关政策文件达到六项之多。 

       其中， 7月12日工信部公开征求对《网络安全产业高质量发展三年行动计划（2021-2023年）（征求意见稿）》（下为《意见》）中明确指出：到2023年，网络安全产业规模超过2500亿元，年复合增长率超过15%。人们对网络安全产业的市场天花板将被打开这一认知已达成共识，7月30日IDC发布的《IDC全球网络安全支出指南》中亦预测，2021年中国网络安全市场投资规模将达到97.8亿美元，并有望在2025年增长至187.9亿美元，五年CAGR约为17.9%，增速持续领跑全球。

      “我们发现，越来越多的企业开始重视并积极地开始逐步构建自身的网络安全防护体系。”童小敏表示，网络安全产业的市场需求会不断增加，在政策与自身发展需求的双向驱动下，整个市场的需求将得到进一步释放。在7月9日的世界人工智能大会上，上海市经信委软件和信息服务业处处长裘薇亦透露，在今年发布的网络安全“十四五”规划当中，将进一步明确政府和公共企事业单位在网络安全上的投入比例不低于10%。

       毫无疑问，在政策的风口上，重点行业领域安全应用全面提速下，网络安全产业将驶入发展快车道。 

02

挑战：人才匮乏下的“网络靶场”实战训练

       现阶段网络安全行业面临着怎样的挑战？

     “从需求层面来上，是人才的匮乏。”童小敏告诉朋湖网，当前网络安全的人才数量远不能满足行业的需求。据相关数据显示，目前我国网络安全人才缺口达150万之多，2027年将达到300万，教育部网络空间安全专业教学指导委员会秘书长封化民曾表示，目前每年网络安全学历人才培养数量不足1.5万。

       为此，四叶草安全打造了网络安全人才培养与创新研究中心，依托四叶草安全服务团队和四叶草安全研究院多年积累的网络安全渗透测试、风险评估和漏洞挖掘与研究经验，结合社会对网络安全人才的知识和技能要求，自主研发了一套全面、专业、完善的网络安全人才培养体系，并积极与多所高校展开合作，不断挖掘、培养和提升网络安全新生代人才，为安全行业输送新人才。

       值得注意的是，对于网络安全行业的人才培养，实战至关重要。在前不久的ISC 2021上，中国工程院院士邬贺铨指出，网络安全人才不仅靠高校的培育，更多要靠实战来锻炼。

      如何进行实战训练？“建立网络靶场”成为行业高频词，其重要性愈发凸显，《意见》中明确提出要“打造网络安全“靶场云”，建设数字孪生靶场，为城市安全能力验证等提供支撑。”

      简单来说，网络靶场即人才的虚拟练兵场，其基于虚拟化技术对真实网络空间中的网络架构、系统设备、业务流程的运行状态及运行环境进行模拟和复现，用最低成本来容错是其最大的特点。

       当前，国际上欧美各国亦正在积极建设网络靶场平台，今年4月，美国陆军便宣布为城市构建定制的便携式网络攻击演习平台，以演练使电信等关键基础设施免受网络攻击。

      “对于四叶草安全而言，我们有着10年的从业经验，在这10年的渗透测试经验总结中，我们发展出了1000+网络安全题库和7000+漏洞素材，从而能够搭建数百个攻防场景，提供真正的网络靶场实战平台。”

       在多年自主研发下，四叶草安全推出了网络攻防实训平台(CLS-ADP)，基于虚拟化技术+SDN技术能够实现网络场景“可绘即可得”，靶场环境以安全服务和渗透评估为依托，以Bugscan为支撑，以CloverSec Labs安全研究院成果转化为源泉。

       童小敏表示，以虚拟化技术为基础，私有云化攻防场景为核心的实战性平台集实验、技能训练、仿真演练、管理考核、场景订制于一体，可用于持续系统化的实战型网络安全人才培养，满足政府、公安、教育、金融、电力等各行业对网络安全人才的培养需求。

       人才是网络安全行业发展的基础，童小敏向朋湖网表示，网络安全的竞争的实质是高层次人才的竞争，但恰恰这一部分的人才是匮乏稀缺的。邬贺铨院士此前同样指出，网络安全本身有着跨学科的属性，特别是企业方面的安全更是IT和OT的结合，如果没有融合的人才，很难应对企业的安全。

      此外，人才分布地区不均衡在一定程度上更凸显了网络安全人才不足的窘境。对于四叶草安全而言，其位置是特殊的，一定程度上，它处在人们所说的数字化人才就业洼地——西北地区。“我们看到了需求，也期望能够为这片地区引进人才、为全国地区培育人才，这是四叶草发展的一个方向。”童小敏如是说道。

03

方向：网络安全服务模式走向一体化、云化

      针对网络安全行业发展现状而言，童小敏表示，网络安全是一个极其碎片化的行业，每一个点都可能成为一个被攻击点，不同的行业不同的规模都有着不同的安全需求场景。

      “将手指力量聚焦在一个针尖上，远比我们摊开五个手指头的力量大很多，专注于垂直场景、细分领域打磨产品能为企业最快带来竞争优势。当然，未来行业一定会走向一体化、全面化。”

       我们也注意到，在工信部发布的《网络安全产业高质量发展三年行动计划（2021-2023年）（征求意见稿）》中亦提到了“发展集约化安全服务、鼓励企业提供集防火墙、用户身份认证、数据安全、应用安全等一揽子整体解决方案。”等建议。

      “整体化、一体化的安全服务模式是市场未来的需求。”童小敏讲道，当发展到一个阶段，向着更全面的领域跃进亦是企业自身发展需要，业务不可能停滞不前，做全做深才能打开市场天花板。

       此外，创新安全能力的模式不止一体化，童小敏表示加强安全企业技术产品的云化能力，推动云化安全产品应用亦是行业发展趋势。

网络安全建设不是一项短期工程，它伴随着企业的终身发展，需要长期持续性的投入运营，并需要专业的运维团队保障后续改进升级等工作。云服务具有便捷、简化流程、降低成本等特点，因此对绝大多数企业而言，以云的方式交付网络安全的构建成为最佳选择。

       据了解，四叶草安全正积极朝着云化的方向演进，而这一步，会与蚂蚁金服一起完成。作为蚂蚁金服安全服务平台的战略合作者，四叶草安全的“感洞（BugFeel）”产品为其平台商户提供了全面全时段的安全检测和监测服务。

      “在业务上，我们是深度融合的。”未来，四叶草安全将会与蚂蚁金服一起探索SaaS平台的部署模式，深化云服务能力。

04

结语

       近些年，越来越多的企业从出于合规采购安全产品走向了注重安全效果能力的转变，网络安全不再是信息化的附庸，在政策利好下，网络安全行业更是迎来了巨大的机会。

      童小敏表示，作为安全行业的开拓者，四叶草安全愿在变幻莫测的市场中以创新变化开新局，迎新机。