2026-01-08 02:14:43 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文探讨网络安全高质量发展路径，指出产业升级需安全护航。作者批评重审批轻处罚的合规及捂盖子文化，提出合规准入、实战激励、行业公开、保险闭环及监管回归等策略，建议通过市场化手段与法规引导结合建立良性循环，并呼吁减少形式主义标准。 综合评分： 86 文章分类： 安全建设,政策法规,安全运营,解决方案

cover_image

为十五五期间网络安全高质量发展建言献策

原创

读者投稿

安全喵喵站

2026年1月7日 08:30 广东

对，我又来了。前面几年，发过2篇言辞内容比较尖锐的文章，希望推动网络安全监管机构在网络安全治理上的改变和提升。有点小小遗憾，改变不大。不过没事，既然是国家公民，就有继续建言献策的责任义务。咱们安全人员要日拱一卒，不但在单位里面要拱，对咱们的监管机构也要拱一拱。正好最近和不少朋友交流了一圈，也看了些访谈和文章，有些思想的碰撞和集成，所以以下内容不完全是我原创，我就是整合了一下。

前几年发的2篇内容链接在此。

https://mp.weixin.qq.com/s/ukFg_L4eBzZGH_SOF2BnvQ

https://mp.weixin.qq.com/s/4gMrmlFu30Ew1R3Zlb-rPg

一、网络安全行业为什么要高质量发展

二十届四中全会说的“坚持统筹发展和安全”，还明确要求“加强包括网络、数据、人工智能等在内的新兴领域国家安全能力建设”，为什么这么提？

1、发展在前，安全在后。意味着在未来一个较长的阶段，发展优于安全。为什么？因为经济要高质量发展，国际产业链分工地位和话语权要提升，金融领域定价权要提升，人民物质和精神文化日益提升的需求要满足，都依赖于经济实力和国家地位的提升。在百年未有之大变局的背景下，越是发展得好，越能帮助我们取得有利的地位。

2、发展和安全要统筹协调。这意思就是：不能先乱后治，这样成本太高；也不能因为追求绝对安全而固步自封、闭关锁国、缩手缩脚。在某些领域、某些行业、某些地区，甚至要考虑安全要适度领先于发展，为什么？因为只有适度领先的安全水平，才能保障我们在发展阶段中赢来的些许优势、核心能力。一个直观的例子，芯片制造行业我们正在积极突破，这个时候如果不事先做好严密的安全防护、秘密保护、人才保护，我们的发展优势和巨大投入很可能毁于一旦。

3、网络安全是大安全领域的一部分，网络安全要和数据安全、AI安全、内容安全、意识形态等等领域统筹协调发展。

4、国内的网络安全水平整体不高，除了前面2篇我提到的监管单位的治理措施有所缺失之外，根子上还有一个原因，就是因为国内的产业企业，总体上普遍处于国际产业链分工的中低端，说直白一点就是附加值低，质量一般，靠便宜取胜的多，没啥核心技术和关键人才需要保护的，因此对网络安全、数据安全一直不重视、低投入，导致从源头就缺少网络安全产业良好发展的驱动力。我记得今年看过一篇报道分析，里面有句话（原文忘了），大概意思就是说“过去20-30年，我们的经济发展更多的还是靠低水平扩张，无论是地方政府还是企业，拿到投资就是用于扩张规模、降低成本，而不是提高质量、形成核心竞争力、提高售价；现在西方说中国的出海企业在当地是生产力过剩导致的低价倾销，根源也是在此”，真是一针见血。这句话的意思我跟几个制造业的兄弟交流过，大家基本是认同这个观点的。但是在当前的大局面下，肯定是不能再这么干了，我们必须要转型，往产业链高端转型，就必须要具备高端技术、高端人才、核心竞争力，这些就需要安全（尤其是网络安全）的保驾护航。同时，这几年国内的企业都在纷纷出海，海外对于网络安全、数据合规、质量的要求普遍更高，由此就会倒逼国内企业提升自己的产品质量、构建核心竞争力，无形中就会倒逼网络安全要提高水平、做高质量。

二、什么是网络安全行业的高质量发展

这几年，国内还有一种观点很流行，说“国家要的是网络安全要做好，没说网络安全产业、网络安全企业要挣钱，你网络安全产业、网络安全企业不挣钱关国家什么事？”这句话，当段子说说也就罢了，如果当真、那就真是扯淡了。如果这个产业发展的不好，网络安全企业不挣钱，做的都是孬产品，那国家、社会、企业、个人的网络安全怎么能做好？

说实话，我也只是这个行业中的一个小兵，并不具备行业、产业的全面视角和思维，但如果要定义网络安全行业的高质量发展特征，我觉得至少应该有这几个：

1、甲方从业人员做起来不累，能把绝大部分精力用于建设和运营，在单位里面能抬得起头，地位和话语权能大过采购。

2、厂商从业人员做起来有成就感，能把时间精力和费用用于帮客户解决问题，而不是用于做客户关系。

3、有良性的人才培养和流转通道，高校毕业生的能力与行业单位需求匹配度超过70%。

4、风险投资能挣着钱，行业的风险投资、初创企业积极、蓬勃。

5、整体产品、服务的能力水平与国外没有代差，在各个品类上均有与国外头部企业可以PK的头部企业。

6、行业文化、氛围以良性竞争、专业分工为主，互相帮助的多，恶意、低价竞争少。监管机构敢于扛责任，行业不再以追责、不出事为导向。

三、网络安全产业如何高质量发展

我跟很多人讨论过这个问题，最后还是一个基本逻辑：甲方市场、需求引导为主，厂商产品、服务创新为辅，形成市场化运作为主、监管为辅的良性循环。

我上面提到的，网络安全产业的高质量发展，一方面需要等待国内企业在国际产业链分工上的地位提升，这是被动提升，一方面需要从产业自身角度、主动提升方面做点什么？如何形成良性的甲方市场、需求？讨论了很多，大家还是普遍认同用蚂蚁集团首席技术官韦韬总的16字建议来回答这个问题：“合规准入，实战激励，行业公开，保险闭环”。大家去搜视频号“小贝说安全”，里面有具体阐述，我就着自己的理解也说说、再加一句“监管回归”。

1、“合规准入”是基础要求

#

企业必须首先满足基本的安全合规底线，才能获得参与市场竞争的准入资格；不合规的应给予处罚措施。这样的举措，可以保证市场的企业都有一个基本的安全底线，不至于太差。合规管理部门也能够通过修订合规要求，逐步地抬高底线，进而达到提升全社会网络安全水平的目标。

那再接着问，中国的合规是什么规？从普遍性上来说应该是等保，但是等保显然有几点缺失：（1）这套规范有其合理性，但以IT系统为主体，缺乏系统化视角、体系化要求，部分要求与实际脱节，和NIST标准这些既有高屋建瓴又有具体落地的标准相比，还有较大差距（别的不说，咱监管机构连网络安全、网络与信息安全、网络数据安全、数据安全的名词都造了一堆、都不能统一，别说其他的了）；（2）等保并没有全社会推行，执法力度严重依赖于本地公安的资源配备，公安和市场服务机构光是做检测、备案就已经忙的不亦乐乎了，哪里有能力做检查、做处罚；而且国内的处罚力度太轻，根本起不到处罚的效果。

我在讨论这个话题的时候，很多人也提出了这么一个问题：美国的网络安全行业也是以合规为主体的，咱们中国的网络安全行业也是合规为主体的，为什么别人做得好、网络安全水平总体较高，我们就不行？大致的答案是这样的：

（1）美国的合规是诉讼制，如果有人起诉你，你得向律师这样的专业人士自证清白；国内的合规是面向监管、面向检查机构，以行政审批、过关考试为主，以应付为主、最小化暴露信息为主（大家想想，如果监管机构来检查，国内的被检查单位肯定是能不说就不说，再者说了，国内像金管局人行这么专业的监管机构似乎不太多）；

（2）一旦诉讼失败或违规，美国的处罚力度非常大；国内再怎么弄都还是洒洒水；

（3）美国要求出事之后要向公众披露，国内要求出事要向监管披露。

所以看出来差别了吧？人家是广大专业人士 + 信息公开，咱们是监管机构 + 家丑不可外扬，在机制上就有重大差异和缺失，人家交的是保险费，我们交的是保护费。因此，我们应该从这个机制上就推动调整，这需要监管机构主要实施，监管思路要变化，监管机构自身能力要提升。

2、“实战激励”持续抬高上限

#

指在合规基础上建立激励措施，鼓励企业主动发现和解决安全问题，通过实战提升防御能力；自主发现和解决问题的，能够对国家、社会、行业做出贡献的（比如发现了重大漏洞、重大攻击行为、提炼了威胁情报的），应该多奖励。

这一条与“合规准入”组合使用，本质上体现了企业里面经常使用的管理思维：“一个事情想做好，就不应该是追责导向，而应该是激励导向”，在当下这个行业性命题中，我们认为也是这样。这不是说不追责，而是说不能只追责、没有奖励，不能说追责罚款的多、奖励只是洒洒水。本质上，这样的管理思维是由人性决定的。看看这几年监管机构也没少罚钱、处罚，为什么这几年网络安全水平没有显著的提升？根本原因之一就是现在都在追责，于是导致愿意做事、愿意做好网络安全的人畏手畏脚，甚至不愿做创新、不愿扛责任。

咱们的监管机构尤其要学会担责任、扛责任，而不是做甩手掌柜。这几年，每逢过年过节，监管机构都会发个文，要求做好保障、做好安全监控和响应，从我一个从业者感觉到的意思就是“话我都说了，出了事跟我可就没关系了”。我觉得更可笑的一点，每逢国际活动、重大赛事，都要搞重保，不客气地说，这就是劳民伤财、面子工程。第一，网络安全不可能不出事，这是客观规律决定的；第二，重保活动中出了事你只处罚当事单位，那为啥没有参照消防安全事故一样从下到上一撸到底呢（至少我们从公开信息上看不到）？第三，重保重保就是重要活动保障嘛，全运会现在国内国外都没多少人看、还搞重保，那这个“重要活动”是咋定义的呢？与其搞重保，不如搞7*24演练，不提前通知开展演练，检验真实水平，用真实水平说话，搞的好的奖励，持续性搞得不好的重罚。

至于怎么奖励，我补充几条

（1）重奖。

（2）及时奖励。别总等到年底再奖励，应该发现一个、奖励一个。

（3）单位对底层干活的人主要奖物质，由中央和省、地监管机构、行业协会、地方行业组织对单位、单位高层领导奖荣誉。如果实在没有物质奖励，那就都奖励荣誉也行，只要公平公正公开。

（4）公开奖励。将奖励的对象向全行业、社会公开，起到一个示范效应。对于每年的网络安全实网攻防演练，应该有奖有罚，把做得好的、持续性做的差的TOP10 都拿出来晾晒一下，别总搞黑箱。

3、“行业公开”建立安全文化

#

这也是我多年前的呼吁，打破当前“捂盖子”的安全文化，推动安全事件信息在广泛范围内的共享互通，促进全行业经验积累、能力提升。

这个事情做起来其实没啥成本，而且因为也可以促全行业的能力提升、效果贼好，说实话我也没搞明白咱们监管机构为啥不愿做、要捂盖子。说“家丑不可外扬”是咱们的文化，那你作为监管机构揭的也是行业机构的丑，有啥不可外扬的？咱也没搞明白《国家网络安全事件报告管理办法》运行之后，监管机构收到事件报告会怎么运用，整个机制是不透明，那这样监管机构的运作也是不受监督的，我是不是可以理解事件的报告、总结、改进机制其实是有缺失的？

4、“保险闭环”实现市场化闭环

#

这句话说的是，要求企业通过网络安全保险转移风险，在发生安全事件时既能保障对用户的赔偿，又能降低自身经营损失。

为什么这么说？

首先，网络安全领域不可能不出事，这是客观规律。任何一个说网络安全不能出事的领导，这个领导应该被撤掉。

其次，既然一定会出事、造成损失和影响，那么就需要企业采取措施、控制网络风险。从风险管理的角度看，控制风险有很多种手段，降低、规避、接受、转移。企业常规采取的各种防护、运营措施，本质上都是降低、规避、接受。但现在缺少“转移”风险的有效手段，应该补足。

第三，从控制网络安全风险的ROI曲线来看，当风险控制到一定程度之后，再往后的RIO会急剧降低，比如企业现在已经是80、90分水位了，如果再加大投入提高5-10分的水位，往往是极其不经济的做法。这时最合理的做法是通过网络安全保险转移风险，通过有限的保费应对这部分风险可能带来的损失。这是市场经济环境下的、讲ROI的理性做法。现在的监管导向是通过“无限追责”、“羞辱性追责”等方式加强网络安全重视程度，本意是好的，但是用行政手段而不是用市场化行为、经济责任去引导，就会导致企业开展网络安全工作是“面向监管”的应付、应对式，而不是为企业自身经营负责、对用户负责的结果式，这种导向必须要扭转过来。

同样的，这样的要求会引导企业，如果你不想投钱在安全建设上，那就必须投钱在网络安全保险上，这样发生安全事件之后可以保障对用户的赔偿，以及降低自身经营损失。同时，由于网络安全保险行业有比较成熟的网络安全风险度量体系，可以对企业的网络安全风险开展量化评估，并能用财务语言与公司高层、财务部门、技术部门开展对话，也能很好地促进企业网络安全风险决策和网络安全工作开展。

具体操作上，我认为可以这样做：通过立法立规的形式，先建立to C行业的网络安全事件赔偿机制。既然已经有事件报告机制了，那就先把对用户的赔偿机制建立起来，要求企业发生事件之后必须对用户进行赔偿，或者用户可以通过集体诉讼或类似方式索赔。To C行业可以先从金融、互联网、电商、汽车、智能硬件行业做起来。然后逐步过渡到To B行业。这样就可以建立起网络安全效果的市场化导向。

5、监管机构回归本位

#

本章开头我就说了，网络安全行业要想高质量发展，就应该进入市场化运行为主、监管为辅的良性循环。那么，前面说了那么多市场化运行的举措，监管机构应该怎么做？

1、九龙治水的情况要改改。虽然我也知道很难改，但是还是要改，企业经营治理都讲“力出一孔，利出一孔”，为啥放在国家网络安全治理层面还是要九龙治水呢？这很不服众啊。所以你也不能怪企业网络安全工作经常要在合规、IT、安全之间打架，也不能怪人家职责不清了。至于怎么改，超出我能力和职责范畴了，你们得自己商量。

再有一个很有意思的现象，这几年供应链安全很火，也确实很重要，然后一所、三所都成立了供应链安全的机构，对外都宣称自己是权威的，让行业机构很是为难；再往里细究，做的还都只是软件供应链安全，那硬件、数据、服务、知识、人、协议标准这些领域的供应链安全怎么办，似乎没人管？专业性、全局性在哪里？

2、网络安全监管机构应立足本位，回归“制定法规机制、引导行业良性发展，参与重大事件的处置和改进，对重点工作对象开展检查和奖惩，对市场、行业重大不良行为予以纠正”定位上来。比如上面我提到的，制定合规准入和奖惩机制，制定事件公开机制，制定强制赔偿机制。再比如，行业现在恶性竞争的厉害，500万预算投1万的标，类似情况屡见不鲜，发改委、财政部也都出台了反内卷的意见，那行业监管机构要紧密跟上啊，干这种事情要逐出行业，这才是监管机构（包括各类行业协会、自律组织）应该做的正事。

3、网络安全监管机构要尽可能避免下场干活，充分发挥市场化机制的作用。我举个例子，银行保险由金管局建了个威胁情报共享平台，证券期货行业由证监会下属单位建了个威胁情报共享平台，半逼半请地让行业机构参与、报送。事情的出发点是好的，也确实因为行业共享威胁情报，在行业内部通报、处置，帮助行业机构降低了很多风险。只是实际在台下，行业机构还是有不少怨言的，一方面是行业机构增加了不少投入，一方面是投入和回报相比不对等、监管机构共享的情况报往往时效性不够，碍于你是监管机构也是有怨不敢言。其实这个事情也不是非监管机构做不可，完全有市场化运作的方式，就邀请（或同意）几个头部的威胁情报厂家进来，行业机构愿意接入就可以减免每年的情报服务费，不愿意接入就每年收取情报服务费，通过类似的市场化、经济手段来调节风险是最有效的方式。

四、关于写标准

最后，想对行业从业人员发出一点呼吁。

这几年我也参与了一些标准制订的工作，但坦率地说，就我看到的情况而言，高质量、实用的标准真是不多，一只手都数的过来。而且由于国标、行标门槛越来越高，大家越来越多转向团标、企标，实际质量是惨不忍睹；然后标准发布之后也不推广落地，不知道这些标准发布了有啥用。偏偏很多机构的能人、骨干纷纷参与到标准的编写工作中来，每次署名都署一堆。

我找人略微了解了一下，大概有几个原因：

1、对公司有好处。金融行业对于参与编写标准的企业有考核加分，在行业评价中有帮助。企业如果发布、编写的标准多，行业里面影响力大。

2、对个人有一定好处。大家可以在评职称、晋升的时候，有拿得出手的东西。

但是如果仔细琢磨琢磨，我们现在这个做法，是不是跟高校要求老师发表论文才能评职称、晋升是一个性质？我们自己一方面鄙视陷阱，一方面又在落入这个陷阱，着实有点可悲。

所以，呼吁网络安全从业人员多干点实事，少弄点虚头巴脑的东西。如果真要写标准，就写精品，写真正能用、有先进性和引领性的标准，写促进行业发展、水平提升的标准。

关注「安全喵喵站」，后台回复关键词【报告】，即可获取网安行业研究报告精彩内容合集：

《网安供应链厂商成分分析及国产化替代指南》，《网安新兴赛道厂商速查指南》，《2023中国威胁情报订阅市场分析报告》，《网安初创天使投资态势报告》，《全球网络安全创业加速器调研报告》，《网安创业生态图》，《網安新興賽道廠商速查指南·港澳版》，**《台湾资安市场地图》，《全球网络安全全景图》，《全球独角兽俱乐部行业全景图》，《全球网络安全创业生态图》

话题讨论，内容投稿，报告沟通，商务合作等，请联系喵喵 [email protected]。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全喵喵站读者投稿《为十五五期间网络安全高质量发展建言献策》