南方都市报专访华为马烨：网安企业要和政策制定组织多协同

华为数据通信产品线安全产品领域总裁马烨

马烨：随着《网络安全法》、《数据安全法》等法律法规出台，对合规提出很多新要求。国家层面出台激励政策同时，在大力推动网络安全建设。除了网络等保合规外，各行各业会将网络安全纳入自身网络建设统筹考虑，如医疗行业关心系统漏洞等问题。

内外部形势的变化，对数字化基础网络有了更高要求。尤其是数字化程度不断加深，要求国家经济建设需要往更高技术含量方向发展。数字化带来了最好、高效的计算方法，企业在数字化过程中的系统整合、数字资产增多，对网络安全要求也更高，毕竟生产系统一旦被勒索，对企业是巨大损失。

再说，网络安全产品要起到实际防护效果，对网络安全产业企业也提出新要求。网络安全防护体系是立体的，涉及终端、边界，涉及生产系统之间防护，使用哪些网络安全产品，系统有没有适时升级，都会对网络安全产生一定影响。

马烨：广东作为中国经济发展引擎，有深圳大疆等技术龙头企业，对技术变化有非常敏锐的感知。相对于其他区域企业，能够看到技术趋势怎么走，抓得住变化，甚至走在技术变化之前。这是广东企业明显的特点与优势。

广东互联网企业对于客户需求把握清晰。例如，腾讯在云服务、终端的新布局，中小企业扎实的网络安全工作，包括上网行为管理、维权接入、日志管理，把利用性做得非常具体。而且，非常注重、投入技术研发，技术创新，大疆无人机操作系统、欧拉操作系统等，用技术创新推动技术与市场的发展，把市场与技术紧密结合，通过市场与技术双轮驱动产业。同时，很务实，贴近客户的实际场景，把产、学、研连接在一起，形成闭环的方案，服务于整体业务要求。

华为本身产业链比较宽，有云空间、端的各类产品，我们的优势是可以把网络、云和端完整连接在一起，形成组合方案。非常注重技术研发投入，芯片、操作系统、人工智能等战略不是一朝一夕走的，需要多代打磨。比如操作系统的漏洞、风险大多来自自身，如果能统一，自身漏洞防控效果更好，对入侵的未知路径感知更快。现在，很多安全问题通过合规手段无法化解，需要依靠人工智能。

我们在全球部署产品都是同一套系统、软件，海量部署使产品和解决方案得到充分验证，包括遇到各种各样网络威胁行为，积累了丰富处置经验。通过认知威胁，使应对方案的实战效果更好。我们的产品、解决方案安全可靠，海外有一些知名企业，VPN被侵入导致重大损失。在网络安全实战演习时可以看到，第一道被攻破的就是小偷进家时的门锁，门锁就是网络安全的产品。可见，网络安全产品自身的安全可靠非常重要。我们也要关注供应链不足，要面对未来各种不确定因素，特别是关键基础设施的网络建设，要尽量使用供应链可靠的产品。

广东发展优势产业有很肥实的土壤。

马烨：广东总体经济体量非常好，这是优势，有更多能力来构建产业，发展优势产业就有很肥实的土壤。在中国，未来网络安全是一个规模数千亿的大产业。如果产业能够走出去，在全球就会形成一个更大的产业空间，对于广东而言也是很好的经济增长点。利用大湾区特大型城市圈，建设一个完整网络安全防御体系，从大体系到小的网络产品，组建整套生态体系，带动网络安全企业快速成长。

放眼国内，网络安全行业仍然处于起步阶段，主要原因包括：一是业务板块碎片化。网安设备、数据安全、终端等，各种技术碎片化，没有统一标准。网络安全产品大多数伴生于网络软件、大型企业的业务系统，缺少网络安全产品突出的企业。二是网络安全企业实力不够强。相较于微软、谷歌、亚马逊，独立的安全企业OKTA、IBM等行业标杆，这些企业任何一家每年销售额与国内企业体量差距非常大。三是技术研发不够。产品碎片化后，企业为了生存都是希望短时间内把产品做得很宽，但没有专攻，这样更难投入资金做研发。四是企业注重防护能力，但产品本身不够安全可靠，内生韧性、可用性不够。

目前国内排名前十名的网络安全企业，基本上没有在海外有销售，有的只是单点技术产品，相对全球网络安全产业而言几乎不可见。我们的企业只有参与全球这种竞争，才能把产业做得更健康，更领先。国内网络安全产品大部分还是依托海外商用系统，用商用芯片、大数据平台等开源的系统上做开发，有很大风险。一棵大树长出来，肯定需要土壤，广东就是能够长出大树的土壤，借助于大湾区、广东的经济建设，带动网络安全产业的成长。经济要内外双循环，除了注重内循环，还要扩大开放，海外的空间是非常大的。

马烨：我觉得企业分为两种，一种是像华为这类网安企业，另一种是用户企业。对于用户企业而言，要把安全体系建设好，关键是领先的决定。安全工作三同步原则包括同步规划、同步组织实施、同步运作投产，在运维上做好顶层设计。比如制造业、教育、医疗等，企业做资金、业务领域规划的时候，需要考虑到执行阶段流程业务、数据暴露面、可能的威胁感知，将业务部门需要的数据服务、人员组织管理、规章制度，纳入整体框架设计。

需要考虑企业的网络芯片，面对未来变化时系统如何做到快速升级，系统搭建如何让它实际跑起来。中大型企业还要考虑网络安全体系，包括自身安全管理平台建设，让系统运维智能化。中小企业需要考虑系统构建以后，运维是否可以托管。随着云技术发展，把企业单点运维集中上云，依靠云上专家系统提供运维服务，通过集约化网络运维服务，解决中小企业建设问题，是未来网络安全建设的方向之一。

对于网络安全企业而言，要和网络安全政策制定组织更多协同。无论监管方、建设方还是使用者，需要有完整的标准，不仅仅是满足担保、合规。此外，监管机构的手段、方法需要更精准，关注标准化产品的开发，对于企业而言也是投资费效比最高、能够支撑产业发展的举措。

马烨：我觉得网络安全人才培养，首先需要政策制度，要有教育体系，做好课程内容，需要有相应支持。需要职业培训体系，比如华为在做的安全培训体系以及数据通信培训体系，与职业机制挂钩，通过政策牵引，从学校再到社会化，全方面培养人才。

具体而言，在学校层面，除了课程设置，应给学生更多自信学习环境，各高校之间进行更多趋势演练，提高学生的网络安全技能。例如华为大学设有对应职业认证培训体系，可以与学校衔接起来，通过学校教育体系，再到企业的职业认证，做好职业化培养。建议企业与高校之间紧密配合，企业可以把一些课题释放给高校学生去做，高校也让更多网络安全专业学生积极参与企业实习，形成较好的学习到实践经验积累。

在政府层面，网络安全方面专家浓度更高，通过引进优秀人才，进行职业培养。比如深圳人社局做的安全职业培训，课程偏向实战化，帮助企业培训网络安全职业人才。

至于网络安全建设需要急迫解决的问题，就是怎么让中国网络安全企业做大做强，提升技术，缩小与国际网络安全企业的差距。我们网络安全企业，与美国等国家网络安全头部企业差距仍然较大，包括原创技术、应用系统等。在美国，从国家标准制定，到安全理念落地，政府设立很多课题牵引企业去做。

我感觉当前网络安全建设最大痛点是无论体量还是技术、研究，仍然存在较大差距，需要快速弥补，一方面是更好构筑自己的网络安全防线，另一方面做好网络安全产业升级。例如大湾区特大型城市群建设，必然需要网络安全治理，需要对应网络安全管理中心、网络安全防护中心，可以释放很多课题，交由广东企业来做，从而带动广东网络安全企业快速成长，把网络安全产品做好了，就可以复制到全国，往全世界去推广。

出品：南都大数据研究院

采写：南都记者 袁炯贤（受访者供图）