资源描述
2021中国企业
数字安全建设白皮书
奇安信行业安全研究中心
中国信息安全研究院网络安全研究所
2021.4.27
目 录
主要观点 3
第一章 从国家“十四五”规划纲要看网络安全发展趋势 4
第二章 中国企业数字安全建设成熟度模型 6
第三章 重点行业企业安全建设成熟度 8
一、 企业规模 8
二、 战略和组织 9
三、 流程和监管 11
四、 技术与服务 12
五、 人才和能力 14
六、 合规建设 16
第四章 数字经济发展典型案例 18
一、 智能交通 18
二、 智能能源 19
三、 智能制造 19
四、 智慧医疗 20
五、 智慧政务 21
附录 奇安信行业安全研究中心 22
附录 中国信息安全研究院网络安全研究所 23
主要观点
交通行业与政府已处于深度数字化依赖状态,网络安全工作已成为数字经济底盘。
网络安全成熟度模型可以通过战略和组织、流程和监管、技术与服务、人才和能力以及合规建设五个维度;及青铜、白银、黄金、钻石、王者五个等级,定量描述一个企业/行业的网络安全成熟度。并从中发现企业/行业的短板。
在本次调研的五个行业中,能源行业与政府机构的成熟度最高;制造业成熟度最低,主要由于其“合规建设”方向的达标情况较差。
第一章 从国家“十四五”规划纲要看网络安全发展趋势
“中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要”(以下简称《纲要》)经第十三届全国人民代表大会第四次会议审查批准,正式发布。
《纲要》指出,“十四五”社会发展的主要方向可归为经济发展、创新动力、民生福祉、绿色生态和安全保障五大类和20个指标。其中未来五年数值变动最大的指标之一:数字经济核心产业增加值占GDP比重从7.8%提升到10%。加快数字发展,建设数字中国,未来五年中国的数字经济、数字社会和数字政府的浪潮不会停止,数字技术和实体经济将深度融合,催生出大量的新产业和新模式。《纲要》中列出了七大数字经济产业与十大数字应用的场景。七大数字经济产业分别为:云计算、大数据、物联网、工业互联网、区块链、人工智能、虚拟现实(VR)和增强现实(AR)。催生出的十大数字化应用场景分别为:智能交通、智慧能源、智能制造、智慧农业及水利、智慧教育、智慧医疗、智慧文旅、智慧社区、智慧家居和智慧政务。
然而,产业数字化的融合与发展在带来了极大便利的同时,也带来了数字化转型中最典型和关键的风险——网络安全风险。
加快数字化发展,是2021年政府工作报告中“十四五”时期的主要目标任务之一。数据安全作为数字化和数字经济发展的根基,其实战防护作用和发展驱动效应日益显著。数字化进程深入推进,数字经济已经成为我国经济和社会发展提质增效、转型升级的新引擎,已经成为常态化疫情防控下统筹经济发展的重要力量。《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》中也强调,要坚定维护国家政权安全、制度安全、意识形态安全,全面加强网络安全保障体系和能力建设。
未来五年,继续推进数字产业化和产业数字化,维护和保障水利、电力、供水、油气、交通、通信、网络、金融等关键基础设施安全稳定运行,需要政府、产业、智库等协同努力,尤其是网络安全企业需要发挥创新主体优势,促进网络安全技术与产业持续发展,为达成“十四五”目标奠定安全基石。
第二章 中国企业数字安全建设成熟度模型
加快数字化发展,是2021年政府工作报告中“十四五”时期的主要目标任务之一。数据安全作为数字化和经济发展的根基,其实战防护作用和发展驱动效应日益显著。
为了更好地了解大中型企业数字安全建设情况,奇安信行业安全研究中心对政府机构事业单位、交通运输、能源(石油石化、电力水利)、医疗卫生和制造业这五大行业中抽取了35家有代表性的企业进行调研,其中政府机构占20%,交通运输占11.4%,能源(石油石化、电力水利)占37.1%,制造业占8.6%,医疗卫生占22.9%。
调研结果包含企业数字化投入、安全运维投入以及安全部署情况等大量有价值的信息,供大家参考。
本白皮书针对网络安全公司最关心的几个问题,参考第三方机构“数字化成熟度报告”,同时结合网络安全特点选取了五个维度,设置了五个等级进行研究。其中,五个维度分别为:战略和组织、流程和监管、技术与服务、人才和能力以及合规建设。五个等级根据其数字安全建设程度分为:青铜(1分)、白银(2分)、黄金(3分)、钻石(4分)和王者(5分)。下图为中国“企业数字安全建设成熟度模型”。
第三章 重点行业企业安全建设成熟度
从行业数字安全建设情况来看,各行业数字安全成熟度多为中等偏上水平。其中,人才和能力整体水平在五个维度中较高。能源行业整体成熟度更高,接近钻石等级(4分),但制造业由于合规建设方面缺口较大,导致整体水平处于五个行业的下游。各行业成熟度如下图所示:
下面我们具体从企业规模、战略和组织、流程和监管、技术与服务、人才和能力、合规建设等各个维度进行分析。
一、 企业规模
本次调研对象包含五大行业不同规模的企业。通过调研结果可以发现,目前我国很多行业都处于“深度数字化依赖”状态,其数字化建设程度与基础设施建设规模运行相匹配,而并非与员工人数相匹配。
从企业人均办公终端数量来看,交通运输行业人均终端数最多为1.7个/人;其次为政府机构事业单位与制造业1个/人;医疗卫生行业人均终端最少,仅为0.5个/人。
从企业人均服务器数量来看,交通运输行业人均服务器最多为1.4个/人;其次为政府机构/事业单位1个/人;制造业与医疗行业最少,仅为0.1个/人,平均每十人共用一个服务器(含虚拟机)。
二、 战略和组织
随着全球经济全面进入数字化转型期,我国也提出了“数字中国”“网络强国”等一系列与数字化转型紧密相关的战略部署,将数字化转型作为重要发展战略与经济驱动力。数字化转型是在信息化降低了政企机构运行成本的基础上,进一步将信息技术与政企机构业务运行、管理流程融合在一起,形成新的业务运行模式。
从企业“十四五”期间数字化/信息化建设投入来看,20%的企业投入在200万-500万;17.1%的企业会在数字化/信息化建设投入500万-1000万,另外投资超过1个亿的企业共占企业总数的31.4%。具体分布如下图所示:
从企业十四五期间网络安全规划投入来看,投资与规划均必不可少。37.1%的企业规划将数字化/信息化建设的2%-5%用来投入网络安全建设;14.3%的企业规划将数字化/信息化建设的5%-10%用来投入网络安全建设。在调研的35家企业中,只有17.1%的企业不清楚或根本没有明确的网络安全规划目标,具体分布如下图所示,同时,有超过4成企业制定了1-2年的数字化安全建设规划。
三、 流程和监管
数字化转型的脚步不断加快,企业从原始的线下手动逐步向核心流程自动化甚至全流程自动化进行转变,数字化办公等一系列应用系统的快速开发与迭代,其安全性、可靠性也面临着比从前任何时候都更加严峻的挑战。企业数字化转型与网络安全管理过程中是否有明确的制度及量化考核的指标是企业数字安全建设成熟的一个重要评价标准。
从制度及指标来看,接受调查的企业中,80%的企业有系统的管理要求,这其中有半数企业(即40%的企业)在有系统管理要求的同时也拥有强制的指标考核。17.1%的企业只有简单的管理要求,但没有系统成文的相关文件。具体分布如下图所示:
四、 技术与服务
安全设备的部署及相对应的威胁发现能力可以在一定程度上展现企业的数字安全建设成熟度。在接受调研的企业中,所有企业均部署了本地安全防护,11.4%的企业没有部署云安全防护,11.4%的企业没有部署威胁感知系统。具体分布如下:
从本地安全防护部署来看,97%的企业部署了防病毒系统,排名第一;94.3%的企业部署了IDS/IPS系统,位列第二;71.4%的企业部署了终端准入系统,排名第三。其他本地安全防护部署情况如下图所示:
从威胁感知系统部署情况来看,88.6%的企业部署了流量监测设备;45.7%的企业部署了蜜罐系统(网络安全中的一种入侵诱饵,目的是引诱黑客前来攻击,并收集黑客相关的证据和信息,为反制提供基础);31.4%的企业部署了邮件威胁感知系统。具体分布如下图所示:
数字化转型势必会使政企机构的IT系统呈现多系统并行、系统类型多样的状态,各种安全措施也会越来越多。因此,面向实战化的全局态势感知体系作为网络安全防护体系的“中枢”,可实现全天候、全方位感知网络安全态势,增强网络安全防御能力和威慑能力。
从云安全服务的部署来看,近七成企业会部署虚拟化安全防护,62.9%的企业会部署Web应用安全云防护,37.1%的企业会部署云主机防护。具体分布如下图所示:
另外,还有超过90%的企业部署了防火墙与堡垒机,82.9%的企业部署了WAF。
五、 人才和能力
网络攻防是一场人与人的对抗。隐藏在各种网络攻击行为后面的从来都是人——拥有网络攻击能力、渗透能力的黑客,利用各种攻击工具、创新方法,对目标网络进行渗透和攻击。视图仅仅依靠安全设备和产品实现对信息系统和数据资产的保护,并不现实。只有将具备网络安全能力的人员或团队与先进的产品和技术、完善的制度流程相互配合,才能达到最佳的防护效果。
从实战攻防演习参与的程度来看,超过半数的企业多次参加实战攻防演习,也有20%的企业由于各种原因还没有参加过实战攻防演习。
从企业部门与人员设置来看,82.9%的企业有明确网信领导小组或网络安全管理部门,也有很多企业虽未设置管理部门但设有安全运维人员。调研显示,5.7%的企业拥有超500人的安全运维团队(含企业自营人员、信息化厂商及安全服务商等外包人员),11.4%的企业拥有201人-500人的安全运维团队。但有6成企业安全运维人员均不足50人。具体分布如下图所示:
六、 合规建设
根据Canalys的最新报告显示,在2020年数据泄露的记录比过去15年的总和还要多。受全球大形势影响,新技术手段被应用于更多的场景,大量个人信息被收集利用从而导致个人隐私泄露风险与日俱增,因此也不断有个人隐私数据泄露事件被曝光。与此同时,随着CCPA的正式实施以及国内的《数据安全法》《个人信息保护法》《网络安全等级保护基本要求》(后简称《等保条例》)等国家标准、法规草案的相继推出,安全合规正在大幅提升政企数字化系统以及个人信息的安全性。本报告以等保落实情况为评判标准。
在网络等级划分上,《等保条例》将遭受破坏后对公民、法人和其他组织合法权益产生特别严重损害的信息系统定为等保三级。调研显示,34.3%的企业有2-5个系统为等保三级以上;20%的企业有11-50个系统为等保三级以上;与此同时,还有11.4%的企业拥有100个以上等保三级系统。具体分布如下图所示:
从具体落实情况来看,74.3%的受调研企业设有重要信息系统安全管理的清单、定级、备案、测评文档,94.3%的企业有文件明确规定网络安全管理员(或网络安全员)的工作职责。
第四章 数字经济发展典型案例
一、 智能交通
重大交通工程是国家战略性、先导性、关键性重大基础设施,是国民经济大动脉、重大民生工程和综合交通运输体系骨干。近年来,新一代信息技术的快速发展为智能交通提供了强大支撑。目前,国内智能交通行业逐渐从起步期走向快速发展阶段。
2020年2月,某运输公司发现流量监控设备发出服务器失陷的危急告警,于是向安服团队发起应急请求。
应急人员分析流量监控设备,发现该公司内网中有20余台服务器出现失陷告警,其中两台重要服务器被植入后门。并且在多台服务器上发现FRP代理、CobaltStrike上线脚本、漏洞利用工具的使用痕迹,经分析,发现攻击者使用FRP代理对内网服务器进行过SQL注入漏洞攻击。
通过进一步的人工排查,发现该公司内部员工曾将个人VPN账号信息上传到GitHub中,导致数据泄露。攻击者利用该员工账号登录VPN对该公司某重要服务器发起攻击,并利用Redis未授权访问漏洞获得权限,上传FRP代理工具、MS17-010等漏洞利用工具,进行内网横向渗透,成功入侵内网20余台服务器。
二、 智能能源
能源作为人类赖以生存的重要物质基础,在社会发展和文明演进过程中始终扮演着重要的角色。寻找可靠、可负担、可持续的现代能源供应一直是人类发展的重要目标。
某大型能源企业内部攻防演练期间,攻击队利用集团下属便利店官方网站的sturts2漏洞攻击入侵其下属便利店,并以此作为跳板利用管理员权限试图进入集团总部内网。但由于集团总部装有服务器行为管理产品RASP插件,此插件及时发现了本次攻击行为,发出告警,从而及时阻止了攻击队进入集团目标系统。
三、 智能制造
近几年,全球技术创新活跃,以数字化、智能化为核心的新一轮工业革命席卷全球。智能化是制造业的发展方向,智能制造已成为全球各国新的竞争高地。随着智能制造时代的到来,一场针对制造业数字化、自动化和智能化的战争开始打响。
在2020年某省组织的一次攻防演练中,某大型烟草公司下设分公司A被攻击队找到突破口并攻进系统,获取并利用相关权限,又成功找到另一地级市分公司B的漏洞,进而成功进入企业数据中心,拿下目标系统。
B公司虽然已经使用了某安全公司提供的试用产品,也在遭到攻击时发出了告警,但由于企业自身安全能力不够,没有专业的运维人员,也没有实用的防御产品,还没有提前制定应急流程,导致只能眼睁睁地看着系统遭受攻击。攻防演练结束后,该企业立即寻找专业安全企业搭建安全环境,购买安全产品,并招聘了安全运维人员。
四、 智慧医疗
我国幅员辽阔,各地区经济发展水平存在差异,医疗卫生信息化建设程度不均是我国医疗卫生行业信息化发展的基本现状。我国医疗服务发展目前正处在从“信息化”向“智慧化”过渡的关键阶段,智慧医疗在提高医疗质量和效率、优化区域间医疗资源配置、改善人民群众看病就医感受等方面具有积极意义。而医疗健康信息互联互通,医疗机构间信息交换、整合与共享则是实现智慧医疗的必要条件。
在现代医院信息化建设中,移动办公作为常见的场景,例如,移动查房、移动护理,面临的安全问题也不容小觑。2020年,在某次攻防演练过程中,虽然某医院有成体系的信息系统,但由于基础安全建设不到位,特别是移动设备管理不到位,且弱口令问题严重,导致攻击队在攻防演练过程中较轻松地通过某私连WiFi热点的内部专用设备打入了医院内部,并且获取了数据中心管理员最高权限。
五、 智慧政务
近年来,我国不遗余力地推进数字政府的部署,并在数字政府的制度、技术与模式上努力创新探索,以期实现更高程度的智慧政务。
智慧政务的全面推行可集中海量数据,虽然可极大地方便人民群众,但也会令政府工作、公民隐私、国家安全等面临更加严峻的信息安全挑战。2020年,在某次攻防演练中,某省级政务服务平台被攻击者获取数据库权限并攻破内网多个重要数据库,甚至进入了当地公安系统。经演练后溯源,攻击者通过该平台子域名下的反序列化漏洞进入内网主机,利用弱密码提权,拿到内网GitHub代码仓库内的运维账号和密码,从而掌握数据库权限及内网多台重要数据库,最终攻击者还在内网横向渗透登录了该省政务内网平台并获得了大量账号信息。
附录 奇安信行业安全研究中心
奇安信行业安全研究中心(以下简称中心)是奇安信集团旗下,专注于行业网络安全研究的机构,为政府、公安、军队、保密、交通、金融、医疗卫生、教育、能源等行业客户及监管机构提供专业安全分析与研究服务。
中心以奇安信集团的安全大数据、全球威胁情报大数据为基础,结合前沿网络安全技术、国内外政策法规,以及两千余起应急响应事件的处置经验,全面展开行业级、领域级、国家级网络安全研究。
中心自2016年成立以来,已累计发布各类专业研究报告一百余篇,共计三百余万字,在勒索病毒、信息泄露、网站安全、APT、应急响应、人才培养等多个领域的研究成果受到海内外网络安全从业者的高度关注。
同时,中心还联合各个专业团队,主编出版了多本网络安全图书专著,包括《走近安全》《走进新安全》《透视APT》《应急响应》《应急响应技术实战指南》《工业互联网安全:百问百答》、《内生安全:新一代网络安全框架》等,为网络安全知识的深度传播做了重要的贡献。
附录 中国信息安全研究院网络安全研究所
中国信息安全研究院网络安全研究所(简称:中国信安网安所)成立于2021年3月,是中国信息安全研究院(简称:中国信安)旗下主要研究机构。
中国信安网安所是中央网信办、国家发改委、工信部、国资委、中国电子信息产业集团等单位网络安全工作的重要支撑单位,主要从事网络安全行业标准制订、产业研究、战略规划研究、重大项目策划与组织、网络安全产业前沿探索与孵化等业务。依托于中国信安国家级双创示范基地,充分发挥大数据分析与应用技术国家工程实验室网信智能中心、国家保密科技测评中心电子信息产业系统测评实验室等多个科研载体的作用,中国信安网安所将致力于成为我国网络安全领域具有战略支撑作用的一流新型科研机构。
未来,中国信安网安所会持续跟踪国内外网络安全乃至网信领域的最新动态,在标准制订、产业研究、情报咨询、人才培养等领域持续发力,打造网络安全行业知名品牌。
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
