2017年6月1日，《中华人民共和国网络安全法》(以下简称《网络安全法》)正式施行，对提升我国网络安全水平、保护公众利益、加速网络安全产业发展发挥了重要作用。《网络安全法》发布之后，我国网络空间安全的立法进程不断加快, 2021年相继出台《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》，加上《电子签名法》《网络产品安全漏洞管理规定》《网络安全审查办法》等一系列网络安全相关法律法规、规章制度相继发布，一套以人民安全为宗旨、以政治安全为根本、国家安全为总体牵引，网络、数据、个人信息和关键信息基础设施保护“3法1条例”互补衔接、各有关法律法规为综合支撑的中国特色网络安全法律法规体系基本形成。

一、《网络安全法》与国资监管政策的融合

任何一部法律对社会主体作用的发挥，必定是与具体行业或领域的业务场景及发展改革的接力交融。就在《网络安全法》发布后，国务院国资委压茬出台了《关进一步加强中央企业网络安全工作的通知》（国资厅发综合﹝2017﹞33号）和《中央企业经营业绩考核办法》等相关政策文件，正式将《网络安全法》有关内容有机融入国资监管工作。

二、《网络安全法》与国资国企发展改革

国有企业是国民经济战略支撑力量，是党执政的政治、经济基石，也是关键信息基础设施主要运营者和国家网络安全和信息化发展建设的主力军，国企发展改革是关系国民经济全局的重大课题。因此，《网络安全法》在国资央企的落地实施，必然要受到国企发展改革政策的影响。从实际情况来看，与其它市场主体相比，国企落实《网络安全法》存在“3重叠加”效应。

一是网络安全管理模式存在体制性与市场性的叠加。一方面，坚持党的领导、强化党对网络工作的领导，是国有企业与其它市场主体网络安全管理模式最为本质的区别，国有企业必须坚决贯彻落实《党委（党组）网络安全工作责任制实施办法》，运用体制性方法对网络安全工作进行管理；另一方面，网络安全实际业务又要与其它市场主体一视同仁，按照客观技术规律建设和市场化招标采购，充分借助市场化的资源配置优势，推进网络安全工作管理集约、高效。

二是网络安全支撑能力存在自足性与补充性的叠加。一方面，国企央企规模大、范围广、条线多，必须要建立自己的运维管理团队，但当人数达到一定规模时，团队运营成本与人均劳动生产率提升存在较大冲突，因此往往以成立网络安全子公司作为能力支撑来破解此问题，除集团主业为网络安全的少数国企外，还有大部分央企拥有自己的网络安全团队支撑。另一方面，由于网络安全涉及的场景和技术庞杂，任何一家国有企业都无法做到全链条、全场景覆盖，仍然有半数左右中央企业采用网络安全外包服务作为支撑。

三是网络安全演进发展存在局部性与全局性的叠加。一方面，强化国有经营性企业的集中统一监管是党中央既定政策，国资监管“一盘棋”深入推进，每个国有企业都是“一盘棋”的节点，天然与其它节点存在横向和纵向的联系。从长期战略来看，不同节点、不同区域、不同行业的国有企业网络安全能力水平必然存在发展不平衡、不充分的问题，自然要引出国资国企网络安全能力水平整体提升的问题。另一方面，深化国有企业改革、推行政企分开，将经营权下放到国有企业集团总部，又使得每家国有企业都要根据基础现状和自身需求，采取符合自身发展规律的战略战术，有效制定自身网络安全工作策略，与国资监管部门和行业监管部门政策相对齐。

三、国资国企落实《网络安全法》面临的严峻挑战

近日，国内某头部互联网公司内部遭到钓鱼邮件攻击事件火遍全网。攻击者以公司财务部的名义发布一个《关于发布最新工资补贴通知》告诉大家领取工资补贴的办法，不少员工点击链接后被盗取银行卡密码。该公司随后发布声明：“5月18日凌晨，部分员工邮箱收到诈骗邮件。经调查，实为某员工使用邮件时被意外钓鱼导致密码泄露，进而被冒充财务部盗发邮件。”

从事件披露的信息来看，该互联网公司对钓鱼事件的防控是具备相当能力的，但该钓鱼邮件使用的武器是经过精心部署的，也具有相当的防御规避能力和心理认知影响能力。可以预见，未来全球网络空间安全的挑战会进一步严峻。特别俄乌冲突事件爆发，是二战结束以来欧洲地缘政治的重大变化，也是冷战结束以来最大的国际事件，也是网络战在现代战争中的中正式投入实战运用。未来，围绕网络空间安全为主题的国家级博弈将更为突出、攻防对抗更为激烈、数字经济安全保障要求不断提升，全球网络空间安全形势将进一步演变。

事实上，自2022年2月24日俄乌冲突爆发以来，俄乌网络战从前期网络军事行动对抗，升级到国家关键信息基础设施攻防、民众战争潜力动员、产业链经济贸易制裁、网络社会舆论认知引导等多维度、多领域的全面对抗。俄乌冲突表明，网络空间是战争前哨，它在物理战争之前就已经开战，同时也是决定战争胜负的主战场之一，各方在网络战场上的争夺程度丝毫不亚于热战。俄罗斯与乌克兰在网络空间的较量已经全方位展开，既有针对互联网基础设施、军用指挥控制系统、民用关键基础设施的攻击，也有针对全球舆论的信息战、混合战。可以说，两国在网络空间中的攻防，不仅对于战争走势有全局性的影响，也将对未来全球网络空间的安全形势带来难以估量的影响。

在此之前，全球大多数国家的关键基础设施的网络安全防御还是处于应对黑客组织攻击的层级，但都没有上升到战备层面。可以肯定，自俄乌冲突之后，世界各国必将参考俄乌将网络作战进一步迈向实战化，将国家网络安全防御等级提升到战备层级，以确保在面对国家级的大规模攻击下，依旧能够正常提供服务。根据网络战平战不分的特点，全球网络空间的网络侦查、系统控制活动会将更加频繁。随着后俄乌时代和后疫情时代的来临，网络武器泄露或以经济利益为目的的勒索病毒、网络钓鱼事件将会越来越多，“攻击即服务”、“勒索即服务”将会越来越多，给国资国企做好网络安全工作带来极大挑战。

四、“运营即服务”助力国资国企落实《网络安全法》

本质上，网络安全产业的市场规模是和法律赋予信息所有者的责任成正相关关系，即网络安全责任越大，网络安全市场规模也就越大。我国密集发布了相当多的网络安全法律法规，随着它们的进一步细化落实，必将深刻影响“十四五”期间网络安全市场的发展进程和方向。未来几年，得益于《数据安全法》《个人信息保护法》等多部重要法律法规的实施，这一趋势将会继续延续下去。而同时，世界各国都面临着网络安全人才短缺、供给不足的问题。为了解决网络安全服务人才的供需矛盾，各种自动化学习技术手段（如机器学习和人工智能）和相关产品正在不断研制以帮助提高网络安全服务的效率。在此背景下，“网络安全运营”理念脱颖而出。可以预见，未来几年，“网络安全运营”将会激发网络安全最大效能，大幅提升网络安全的生产力。

一是网络安全需求由合规驱动向“合规驱动+业务驱动+事件驱动+价值驱动”多维度延伸。“3法1条例”（《网络安全法》《数据安全法》《个人信息保护法》和《关键信息基础设施保护条例》）正式发布，《党委（党组）网络安全工作责任制实施办法》正式公开，多部委联合行动成为常态，国家一流网络安全学院、网络安全先进个人和先进网络安全集体评选如火如荼开展，网络安全需求已从传统的合规要求，向以合规为基础的业务数字化安全保障、安全责任落实和个人职业发展需要等多维度延展，大幅充实了网络安全需求的内涵。

二是网络安全供给由单一商品形态向“政策联动-产品整合-服务交付-策略优化”的运营形态转变。安全市场热炒的端点安全XDR、流量安全、云安全、零信任、人员培训演练和综合态势管理平台等单品解决方案已接近饱和，用户需求满意度对传统“堆盒子”、“堆人头”产生钝化，由单一能力供给、单一主体合作参与和单一维度验收等 “有没有”问题，向网络安全政策咨询、业务融合、事件响应和责任落实等方面一揽子综合集成“好不好”的问题转变,加上国资国企“3重叠加”效应的放大，网络安全“运营即服务”（Operation as a Server，OaaS）作为网络安全产业新形态呼之欲出。

下一步，中资网安将加快推动“国资国企网络信息安全在线监管平台”的建设和能力提升，充分发挥国资国企“网络安全运营中心”职能，持续完善“监、防、控、评、管”一体化网络安全保障体系，以OaaS作为战略发力点，为国资国企做好网络安全运营和赋能，全面支撑国资国企应对《网络安全法》实施的各类挑战。