网安要闻 | 2024全国两会：关于强化网络安全效能导向建设机制的提案

我国网络安全建设取得了一系列发展成果，整体安全防护和运营能力已经初步形成，防护有效性不断增强。但整体防御能力提升速度仍滞后于威胁行为体攻击能力的发展，对国家级网络攻击的防范能力依然较弱，大量政企机构防御能力不足以有效防范定向勒索攻击等流行威胁。基于我国网络安全投入在信息化投入中的占比显著低于发达国家这一实际情况，一些行业和领域尝试以提升这一占比来增加投入，带动能力改善，但整体看进展未达预期。党的二十大报告要求“提升科技投入效能，深化财政科技经费分配使用机制改革，激发创新活力”。“效能”视角为我们拆解相关问题，提出因应之策提供了一把钥匙。

以信息化投入作为网络安全投入的度量衡存在认知误区

网络安全需要和信息化同步规划、同步建设、同步运行，因此网络安全在财务和统计口径上作为信息化的结构组成，有一定合理性。但将在信息化投入中的占比作为网络安全投入的主要度量衡存在认知偏差，其关键在于错误定义和窄化了网络安全的保障目标——网络安全保障的重点并非IT固定资产投入价值，而是业务和数据资产的全量运行价值。网络安全所防范的风险也不只是IT固定资产风险，而是全局的业务和数据资产风险，并包括向国家安全、社会治理安全与公民个人安全传递的间接风险。业务数据价值和风险，均远高于IT固定资产的价值与风险。与此同时，信息化和网络安全的生命周期特性既有重合伴生的部分，也有不一致之处。信息化建设有鲜明的“大小年”周期特点，而网络攻击风险则持续存在，并随着新的漏洞、新的攻击手段等技术因素和地缘安全变化等宏观因素，会突然变化激增。因此，网络安全投入既要有跟随信息化同步建设的整体性投入部分，也有日常运营的持续性投入部分，更有针对突发性风险隐患的应急性投入部分。以在信息化投入中的占比作为主要度量衡，既导致了对网络安全价值认知和风险认知的弱化，也并不完全匹配网络安全的运行规律，实际上制约了网络安全投入和能力提升。

单纯依靠合规导向无法实现高水平防御

我国当前已经形成了相对完善的合规体系，对关基等重点目标还做了针对性的增项和强化，并辅以阶段性实战化演练来检验建设运行能力。这些工作都是网络安全防御能力规划建设的必备基础工作。但由于缺乏构建动态综合防御体系的明确效能指引，加之实战演练活动中缺乏带有地缘安全背景的底线化的敌情想定分析推演，现有多数资产体系依然不足以应对高级网空威胁行为体的攻击挑战。

网络安全建设过度依赖于责任主体投入能力

“谁建设、谁负责”，“谁负责、谁买单”的责任制确保了每个机构都会落实网络安全工作，成为网络安全投入责任的主体。但与此同时，也需要看到，网络安全建设水平必然受到投入主体的技术能力、运营水平和安全认知的制约，特别是投入能力与投入主体的财务能力高度关联。导致财务能力较弱的单位即使运行着极为重要的信息系统和资产，也没有足够的投入能力，甚至投入为零。并整体上使网络安全水平与行业和区域的整体经济情况高度相关，带来若干缺口短板，导致国家战略安全能力失衡。

构建基于运行价值和风险后果的“新度量衡”

“网络安全和信息化是一体之两翼、驱动之双轮”。网络安全并不是信息化的从属性和依附性元素，需要以保障全量资产价值和全局风险控制作为网络安全的独立效能目标。完善信息资产的运行价值评估和被攻击侵害影响的直接、间接风险后果量化评估方法，为网络安全投入的合理测算提供了更完整的依据。

建立效能导向建设机制，牵引关基安全建设向高限落实

建议相关部门提供方法体系赋能，协助关基机构和重点单位构建有效的“敌情想定”，根据其资产业务和数据特点，叠加到国际形势和地缘安全竞合中，分析其可能面临的威胁来源方向，根据不同威胁行为体的攻击意图、攻击能力、攻击方式、攻击技术、在历史攻击活动中导致的危害与后果等，综合分析所需要的投入以及预期的建设效果，构建以效能为导向的投入框架指引。

建立以责任主体投入为主、机动弹性赋能辅助的多元投入保障机制

在进一步强化关基单位、政企机构效能导向，加强自身投入的同时，还需正视，单纯依靠每一个政企机构的自我投入能力，防范高级网空威胁行为体的活动依然有很大困难，机构自身很难承载对全量资产最大化提升防护等级所需的运行成本。因此，需要完善国家、地方和行业层面的弹性防御和赋能机制，包括国家和行业区域层面的托管运营机制、安全监管与托管协同互动机制、安全产品资源战略储备机制、安全人力资源紧急动员机制、威胁情报共享和联合运行机制等。以集约化方式构建可以在防御目标快速部署、机动设防、动态调整的防御赋能体系，在达成防御效能的同时，也降低了被赋能机构的整体投入压力。