2021中国企业数字安全建设白皮书.pdf

2021 中国企业 数字安全建设白皮书 奇安信 行业安全 研究中心 中国信息安全研究院网络安全研究所 2021.4.27 目 录 主要观点 . 3 第一章 从国家 “ 十四五 ” 规划纲要看网络安全发展趋势 . 4 第二章 中国企业数字安全建设成熟度模型 . 6 第三章 重点行业企业安全建设成熟度 . 8 一、 企业规模 . 8 二、 战略和组织 . 9 三、 流程和监管 . 11 四、 技术与服务 . 12 五、 人才和能力 . 14 六、 合规建设 . 16 第四章 数字经济发展典型案例 . 18 一、 智能交通 . 18 二、 智能能源 . 19 三、 智能制造 . 19 四、 智慧医疗 . 20 五、 智慧政 务 . 21 附录 奇安信行业安全研究中心 . 22 附录 中国信息安全研究院网络安全研究所 . 23 主要观点 交通行业与政府已处于深度数字化依赖状态，网络安全工作 已成为数字经济底盘。 网络安全成熟度模型可 以通过战略和组织、流程和监管、技 术与服务、人才和能力以及合规建设五个维度；及青铜、白银、 黄金、钻石、王者五个等级，定量描述一个企业 /行业的网络安 全成熟度。并从中发现企业 /行业的短板。 在本次调研的五个行业中，能源行业与政府机构的成熟度最 高；制造业成熟度最低，主要由于其“合规建设”方向的达标情 况较差。 第一章 从国家“十四五”规划纲要 看网络安全发 展趋势 “中华人民共和国国民经济和社会发展第十四个五年规划 和 2035 年远景目标纲要”（ 以 下简称纲要）经第十三届全国 人民代表大会第四次会议审查批准，正式发布。 纲要 指出，“十四五”社会发展的主要方向可归为经济 发展、创新动力、民生福祉、绿色生态和安全保障五大类和 20 个指标。其中未来五年数值变动最大的指标之一：数字经济核心 产业增加值占 GDP 比重从 7.8%提升到 10%。加快数字发展，建设 数字中国，未来五年中国的数字经济、数字社会和数字政府的浪 潮不会停止，数字技术和实体经济将深度融合，催生出大量的新 产业和新模式。纲要中列出了七大数字经济产业与十大数字 应用的场景。七大数字经济产业分别为：云计算、大数据、物联 网、工业互联网、区块链、人工智能、虚拟现实（ VR）和增强现 实（ AR） 。催生出的十大数字化应用场景分别为：智能交通、智 慧能源、智能制造、智慧农业及水利、智慧教育、智慧医疗、智 慧文旅、智慧社区、智慧家居和智慧政务。 然而，产业数字化的融合与发展在带来了极大便利的同时， 也带来了数字化转型中最典型和关键的风险 网络安全风险。 加快数字化发展，是 2021 年政府工作报告中“十四五”时期 的主要目标任务之一。数据安全作为数字化和数字经济发展的根 基，其实战防护作用和发展驱动效应日益显著。数字化进程深入 推进，数字经济已经成为我国经济和社会发展提质增效、转型升 级的新引擎，已经成为常态化疫情防控 下统筹经济发展的重要力 量。中共中央关于制定国民经济和社会发展第十四个五年规划 和二三五年远景目标的建议中也强调，要坚定维护国家政权 安全、制度安全、意识形态安全，全面加强网络安全保障体系和 能力建设。 未来五年， 继续推进 数字产业化和产业数字化，维护和保障 水利、电力、供水、油气、交通、通信、网络、金融等关键基础 设施安全稳定运行，需要政府、产业、智库等协同努力，尤其是 网络安全企业需要发挥创新主体优势，促进网络安全技术与产业 持续发展，为达成“十四五”目标奠定安全基石。 第二章 中国企业数字安全建设成熟度模型 加快数字 化发展，是 2021 年政府工作报告中“十四五”时 期的主要目标任务之一。数据安全作为数字化和经济发展的根 基，其实战防护作用和发展驱动效应日益显著。 为了更好地了解大中型企业数字安全建设情况，奇安信行业 安全研究中心对政府机构事业单位、交通运输、能源（石油石化、 电力水利）、医疗卫生和制造业这五大行业 中 抽取 了 35 家有代表 性的企业进行调研，其中政府机构占 20%，交通运输占 11.4%， 能源（石油石化、电力水利）占 37.1%，制造业占 8.6%，医疗卫 生占 22.9%。 调研结果包含企业数字化投入、安全运维投入以及安全部署 情况 等大量有价值的信息，供大家参考。 本白皮书针对网络安全公司最关心的几个问题， 参考第三方 机构“数字化成熟度报告” ， 同时结合网络安全特点选取了 五个 维度，设置了五 个等级 进行研究 。其中，五个维度分别为：战略 和组织、流程和监管、技术与服务、人才和能力以及合规建设。 五个等级根据其数字安全建设程度分为：青铜（ 1 分）、白银（ 2 分）、黄金（ 3 分）、钻石（ 4 分）和王者（ 5 分）。下图为中国“企 业数字安全建设成熟度模型”。 第三章 重点行业企业安全建设成熟度 从行业数字安全建设情 况来看，各行业数字安全成熟度多为 中等偏上水平。其中，人才和能力整体水平在五个维度中较高。 能源行业整体成熟度更高，接近钻石等级（ 4 分），但制造业由 于合规建设方面缺口较大，导致整体水平处于五个行业的下游。 各行业成熟度如下图所示： 下面我们具体从企业规模、战略和组织、流程和监管、技术 与服务、人才和能力、合规建设等各个维度进行分析。 一、 企业规模 本次调研对象包含五大行业不同规模的企业。 通过 调研结果 可以发现，目前我国很多行业都处于“深度数字化依赖”状态， 其数字化建设程度与基础设施建设规模运行相匹配，而并非与员 工人数 相匹配。 从企业人均办公终端数量来看，交通运输行业人均终端数最 多为 1.7 个 /人 ； 其次为政府机构事业单位与制造业 1 个 /人； 医 疗卫生行业人均终端最少 ， 仅为 0.5 个 /人。 从企业人均服务器数量来看，交通运输行业人均服务器最多 为 1.4 个 /人；其次为政府机构 /事业单位 1 个 /人；制造业与医 疗行业最少，仅为 0.1 个 /人，平均每十人 共 用一个服务器（含 虚拟机）。 二、 战略和组织 随着全球经济全面进入数字化转型期，我国也提出了“数字 中国”“网络强国”等一系列与数字化转型紧密相关的战略部署， 将数字化转型作为重要发展战略与经济驱 动力。数字化转型是在 信息化降低了政企机构运行成本的基础上，进一步将信息技术与 政企机构业务运行、管理流程融合在一起，形成新的业务运行模 式。 从企业“十四五”期间数字化 /信息化建设投入来看， 20% 的企业投入在 200 万 -500 万； 17.1%的企业会在数字化 /信息化 建设投入 500 万 -1000 万，另外投资超过 1 个亿的企业共占企业 总数的 31.4%。具体分布如下图所示： 从企业十四五期间网络安全规划投入来看，投资与规划均必 不可少。 37.1%的企业规划将数字化 /信息化建设的 2%-5%用来投 入网络安全建设； 14.3%的企 业规划 将 数字化 /信息化建设的 5%-10%用来投入网络安全建设。在调研的 35 家企业中，只有 17.1%的企业不清楚或根本没有明确的网络安全规划目标，具体 分布如下图所示，同时，有超过 4 成企业制定了 1-2 年的数字化 安全建设规划。 三、 流程和监管 数字化转型的脚步不断加快，企业从原始的线下手动逐步向 核心流程自动化甚至全流程自动化进行转变，数字化办公等一系 列应用系统的快速开发与迭代，其安全性、可靠性也面临着比从 前任何时候都更加严峻的挑战。企业数字化转型与网络安全管理 过程中 是否有 明确的制度及量化考核的指标是企业数字安全 建 设成熟的一个重要评价标准。 从制度及指标来看，接受调查的企业中， 80%的企业有系统 的管理要求，这其中有半数企业（即 40%的企业）在有系统管理 要求的同时也拥有强制的指标考核。 17.1%的企业只有简单的管 理要求，但没有系统成文的相关文件。具体分布如下图所示： 四、 技术与服务 安全设备的部署及相对应的威胁发现能力可以在一定程度 上展现企业的数字安全建设成熟度。在接受调研的企业中，所有 企业均部署了本地安全防护， 11.4%的企业没有部署云安全防护， 11.4%的企业没有部署威胁感知系统。具体分布如下： 从本地安全防护部署来看， 97%的企业部署了防病毒系统， 排名第一； 94.3%的企业部署了 IDS/IPS 系统，位列第二； 71.4% 的企业部署了终端准入系统，排名第三。其他本地安全防护部署 情况如下图所示 ： 从威胁感知系统部署情况来看， 88.6%的企业部署了流量监 测设备； 45.7%的企业部署了蜜罐系统（ 网络安全中的一种入侵 诱饵，目的是引诱黑客前来攻击，并收集黑客相关的证据和信息， 为反制提供基础 ）； 31.4%的企业部署了邮件威胁感知系统。具体 分布如下图所示： 数字化转型势必会使政企机构的 IT 系统呈现多系统并行 、 系统类型多样的状态，各种安全措施也会越来越多。因此，面向 实战化的全局态势感知体系作为网络安全防护体系的“中枢”， 可实现全天候、全方位感知网络安全态势，增强网络安全防御能 力和威慑能力。 从云安全服务的部署来看，近七成企业会部署虚拟化安全防 护， 62.9%的企业会部署 Web 应用安全云防护， 37.1%的企业会部 署云主机防护。具体分布如下图所示： 另外，还有超过 90%的企业部署了防火墙与堡垒机， 82.9% 的企业部署了 WAF。 五、 人才和能力 网络攻防是一场人与人的对抗。隐藏在各种网络攻击行为后 面的从来都是人 拥 有网络攻击能力、渗透能力的黑客，利用 各种攻击工具、创新方法，对目标网络进行渗透和攻击。 视图 仅 仅依靠安全设备和产品实现对信息系统和数据资产的保护，并不 现实。只有将具备网络安全能力的人员或团队与先进的产品和技 术、完善的制度流程相互配合，才能达到最佳的防护效果。 从实战攻防演习参与的程度来看，超过半数的企业多次参加 实战攻防演习，也有 20%的企业由于各种原因还没有参加过实战 攻防演习。 从企业部门与人员设置来看， 82.9%的企业有明确网信领导 小组或网络安全管理部门，也有很多企业虽未设置管理部门但设 有安全运维人员。 调研显示， 5.7%的企业拥有超 500 人的安全运 维团队（含企业自营人员、信息化厂商及安全服务商等外包人 员）， 11.4%的企业拥有 201 人 -500 人的安全运维团队。但有 6 成企业安全运维人员均不足 50 人。具体分布如下图所示： 六、 合规建设 根据 Canalys 的最新报告显示，在 2020 年数据泄露的记录 比过去 15 年的总和还要多。受全球大形势影响，新技术手段被 应用于更多的场景，大量个人信息被收集利用从而导致个人隐私 泄露风险与日俱增， 因此也 不断有个人隐私数据泄露事件被曝 光。与此同时，随着 CCPA 的正式实施以及国内的数 据安全法 个人信息保护法网络安全等级保护基本要求（后简称等 保条例）等国家标准、法规草案的相继推出，安全合规正在大 幅提升政企数字化系统以及个人信息的安全性。本报告以等保落 实情况为评判标准。 在网络等级划分上，等保条例将遭受破坏后对公民、法 人和其他组织合法权益产生特别严重损害的信息系统定为等保 三级。调研显示， 34.3%的企业有 2-5 个系统为等保三级以上； 20%的企业有 11-50 个系统为等保三级以上；与此同时，还有 11.4%的企业拥有 100 个以上等保三级系统。具体分布如下图所 示： 从具体落实情 况来看， 74.3%的受调研企业设有重要信息系 统安全管理的清单、定级、备案、测评文档， 94.3%的企业有文 件明确规定网络安全管理员（或网络安全员）的工作职责。 第四章 数字经济发展典型案例 一、 智能交通 重大交通工程是国家战略性、先导性、关键性重大基础设施， 是国民经济大动脉、重大民生工程和综合交通运输体系骨干。 近 年来，新一代信息技术的快速发展为 智 能 交通提供了强大支撑 。 目前，国内 智能 交通行业逐渐从起步期走向快速发展阶段。 2020 年 2 月，某运输公司发现流量监控设备发出 服务器失 陷的危急告警 ，于是向安服团队发起应急请 求。 应急人员分析流量监控设备，发现该公司内网中有 20 余台 服务器出现失陷告警，其中 两台重要 服务器被植入后门 。并且在 多台服务器上发现 FRP 代理、 CobaltStrike 上线脚本 、 漏洞利 用工具 的 使用痕迹， 经分析，发现 攻击者 使用 FRP 代理对内网服 务器进行 过 SQL 注入漏洞攻击。 通过进一步的人工排查，发现该公司内部 员工曾将个人 VPN 账号信息上传到 GitHub 中，导致数据泄露 。 攻击者利用该员工 账号登录 VPN 对 该公司某重要 服务器发起攻击，并利用 Redis 未 授权访问漏洞获得权限，上传 FRP 代理工具、 MS17-010 等漏洞 利用工具，进行内网横向渗透，成功 入侵内网 20 余台服务器 。 二、 智能能源 能源作为人类赖以生存的重要物质基础，在社会发展和文明 演进过程中始终扮演着重要的角色。寻找可靠、可负担、可持续 的现代能源供应一直是人类发展的重要目标。 某大型能源企业内部攻防演练期间，攻击队利用集团下属便 利店官方网站的 sturts2 漏洞攻击入侵其下属便利店，并以此作 为跳板利用管理员权限试图进入集团总部内网。但由于集团总部 装有服务器行为管理产品 RASP 插件，此插件及时发现了本次攻 击行为，发出告警，从而及时阻止了攻击队进入集团目标系统。 三、 智能 制造 近几年，全球技术创新活跃 ， 以数字化、智能化为核心的新 一轮工业革命席卷 全球 。智能化是制造业的发展方向，智能制造 已成为全球各国 新的竞争高地 。随着智能制造时代的到来，一场 针对制造业数字化、自动化和智能化的战争开始打响。 在 2020 年某省组织的一次攻防演练中，某大型烟草公司下 设分公司 A 被攻击队找到突破口并攻进系统，获取并利用相关权 限，又成功找到另一地级市分公司 B 的漏洞，进而成功进入企业 数据中心，拿下目标系统。 B 公司虽然已经使用了某安全公司提供的试用产品，也在遭到 攻击时发出了告警，但由于企业自身安全能力不够， 没有专业的 运维人员，也没有实用的防御产品，还没有提前制定应急流程， 导致只能眼睁睁地看着系统遭受攻击。攻防演练结束后，该企业 立即寻找专业安全企业搭建安全环境，购买安全产品，并招聘了 安全运维人员。 四、 智慧医疗 我国幅员辽阔，各地区经济发展水平存在差异，医疗卫生信 息化建设程度不均是我国医疗卫生行业信息化发展的基本现状。 我国医疗服务发展 目前 正处在从“信息化”向“智慧化”过渡的 关键阶段， 智慧医疗在 提 高 医疗质量和效率、优化 区域间医疗资 源配置、改善人民群众看病就医感受等方面具有积极意义 。而医 疗健康信息互联互通，医疗机构间 信息交换、整合与共享则是实 现智慧医疗的必要条件。 在现代医院信息化建设中，移动办公作为常见的场景，例如， 移动查房、移动护理，面临的安全问题也不容小觑。 2020 年， 在某次攻防演练过程中，虽然某医院有成体系的信息系统，但 由 于 基础安全建设不到位，特别是移动设备管理不到位，且弱口令 问题严重，导致攻击队在攻防演练过程中较轻松地通过某私连 WiFi 热点的内部专用设备打入了医院内部，并且获取了数据中 心管理员最高权限。 五、 智慧政务 近年来，我国不遗余力地推进数字政府的部署，并在数字政 府的制度、技术与模式上努力创新探索，以期实现 更高程度的智 慧政务。 智慧政务的全面推行可集中海量数据，虽然可极大地方便人 民群众，但也会令政府工作、公民隐私、国家安全等面临更加严 峻的信息安全挑战。 2020 年，在某次攻防演练中，某省级政务 服务平台被攻击者获取数据库权限并攻破内网多个重要数据库， 甚至进入了当地公安系统。经演练后溯源，攻击者通过该平台子 域名下的反序列化漏洞进入内网主机，利用弱密码提权，拿到内 网 GitHub 代码仓库内的运维账号和密码，从而掌握数据库权限 及内网多台重要数据库，最终攻击者还在内网横向渗透登录了该 省政务内网平台并获得了大量账号信息。 附录 奇安信行业安全研究中心 奇安信行业安全研究中心（以下简称中心）是奇安信集团旗 下，专注于行业网络安全研究的机构，为政府、公安、军队、保 密、交通、金融、医疗卫生、教育、能源等行业客户及监管机构 提供专业安全分析与研究服务。 中心以奇安信集团的安全大数据、全球威胁情报大数据为基 础，结合前沿网络安全技术、国内外政策法规，以及两千余起应 急响应事件的处置经验，全面展开行业级、领域级、国家级网络 安全研究。 中心自 2016 年成立以来，已累计发布各类专业研究报告一 百余篇，共计三百余万字，在勒索病毒、信息泄露、网站安全、 APT、应急响应、人才培养等多个领域的研究成果受到海内外网 络安全从业者的高度关注。 同时，中心还联合 各个专业团队，主编出版了多本网络安全 图书专著，包括走近安全走进新安全 透视 APT 应急 响应应急响应技术实战指南 工业互联网安全 ： 百问百答、 内生安全 ： 新一代网络安全框架等，为网络安全知识的深度 传播做了重要的贡献。 附录 中国信息安全研究院 网络安全研究所 中国信息安全研究院网络安全研究所（简称：中国信安网安 所）成立于 2021 年 3 月，是中国信息安全研究院（简称：中国 信安）旗下主要研究机构 。 中国信安网安所是 中央网信办、国家发改委、工信部、国资 委、 中国电子信息产业集团等单位网络安全工作的重要支撑单 位， 主要从事 网络安全行业标准制订、 产业研究、战略规划研究、 重大项目策划与组织、 网络安全 产业前沿探索与孵化等业务。 依 托于 中国信安国家级双创示范基地， 充分发挥 大数据分析与应用 技术国家工程 实验室 网信智能中心、国家保密科技测评中心电子 信息产业系统测评实验室等多个科研载体 的作用，中国信安网安 所将致力于 成为我国 网络安全 领域具有战略支撑作用的一流新 型科研机构 。 未来，中国信安网安所会持续跟踪国内外网络安全乃至网信 领域的最新动态，在标准制订、产业研究、情报咨询、人才培养 等领域持续发力，打造网络安全行业知名品牌。