2019-2020政企机构网络安全建设发展趋势研究报告.docx

2019-2020政企机构网络安全建设发展趋势研究报告 目 录 主要观点 . 1 第 一章 企 业级 安 全软 件 装机量 大 增 . 2 第 二章 源 码安 全 审计 日 益受到 重 视 . 3 第 三章 网 络威 胁 情报 实 现多样 赋 能 . 4 第 四章 网 络安 全 运营 中 心发挥 实 效 . 6 第 五章 系 统安 全 漏洞 得 到广泛 关 注 . 8 第 六章 态 势感 知 支撑 新 型监管 机 制 . 10 第 七章 网 络实 战 攻防 演 习积极 开 展 . 12 主要观点 企业级终端安全软件装机量快速增长 。企业级终端安全软件的装机量，是衡量国家政企安全建设整体发展水平的重要标志之一。自 2016 年以来，企业级终端安全软件的装机量一直呈现持续高速增长状态，到 2019 年上半年，装机量已达 1.05 亿。大型政企机构的终端安全管理范围从办公系统扩展到业务系统，是企业级终端安全软件装机量快速增长的主要原因。 源代码安全审计保障的作用日趋显现。 通过源码安全审计， 可以及早发现各类安全漏洞、威胁，节省大量安全建设成本。 据估计，大型软件项目引入源代码安全审计，可节约 5%-20% 的后期安全维护费用，减少 10%-50%的系统安全漏洞。 网络威胁情报逐步成为安全防御标配 。网络威胁情报基于各 类设备的联动、丰富场景的应用，实现对网络安全的多样赋能。自 2017 年至 2019 年，使用威胁情报的大中型政企机构的比例逐年增加，超过 80%的受访者认为威胁情报提升了安全能力。 网络安全运营平台提升监测响应效率 。网络安全运营平台的使用，是一个机构网络安全建设 “ 现代化 ” 的重要标志。 48.5% 的部委机关和 56.3%的中央企业已经部署和使用了安全运营中心。安全运营中心能够大大提高机构内部的安全管理效率： 安全事件的平均响应时间，从 3 年前的平均 3 天左右，降低到现在 1 小时以内。 系统安全漏洞修复平均周期大幅缩短 。安全漏洞的修复响应速度，是一个政企机构安全建设水平的重要参考指标。安全漏洞正在日益受到大中型政企机构运营者的高度关注。政企机构的持续投入吸引着越来越多白帽子为其定向挖洞。同时， 漏洞的平均修复周期也已经从 2016 年的 35 天，下降到现在 的 16 天。 态势感知已成为安全监管的重要手段 。态势感知系统，是现 代网络安全监管的核心支撑手段之一。截止目前，已有超过 30 个省级监管机构和超过 200 个市、县级执法监管机关建立 了网络安全态势感知系 统。全国各地还有超过 20 个行业信息中心或行业监管机构建设了网络安全态势感知系统。态势感知系统将监管机构对安全事件的发现与响应周期从 3 年前的 37 天缩短到 1 小时以内。 网络实战攻防演习有力促进安全建设 。网络实战攻防演习， 是新形势下大中型政企机构网络安全保护工作的重要组成部分。在过去的 3 年里，通过演习，攻防双方的技术都实现了巨大的进步，演习越来越接近实战化。 第一章 企业级安全软件装机量大增 终端安全是网络安全的基础，特别是对大中型政企机构而言， 终端安全更加重要。企业级终端安全软件的装机量，是衡量国家 政企安全建设整体发展水平的重要标志之一。 图 1 给出了 2016 年以来，在全国范围内，大中型政企机构的企业级终端安全软件的装机量变化情况。可以看出，企业级终端安全软件的装机量一直呈现持续高速增长状态， 2018 年较 2017 年增长超过 33.6%，而到了 2019 年上半年，装机量已达 1.05亿。据不完全统计，企业级终端安全软件平均每天约可拦截恶意程序对大中型政企机构的网络攻击 5521 万次。 图 1 企业级终端安全软件在大中型政企机构中的装机量变化趋势示意图 导致企业级终端安全软件装机量迅速增长的主要原因是：很多大中型机构的终端安全管理范围已经从办公系统扩展到业务系统，原本在隔离状态下 “ 裸奔 ” 的业务终端机也开始全面部署安全软件。业务终端机安全防护的加强，极大的促进了企业级终端安全软件的全面部署。 第二章 源码安全审计日益受到重视 源代码是构成信息系统的基石。对源代码进行安全审计，可以在系统实现阶段就发现大量的安全漏洞和潜在威胁隐患，可节 约 5%-20%的后期安全维护费用，减少 10%-50%的系统安全漏洞。 尤其是大中型政企机构的信息系统，往往规模庞大，涉及大量定 制开发、外包开发、开源软件集成、第三方组件使用等，并且开 发人员水平参差不齐、开发管理任务复杂、开发语言种类繁多， 对信息系统的安全性带来较多挑战。通过源码安全审计，可以及 早发现各类安全漏洞和威胁隐患，节省大量安全建设成本及软件运维成本。 中华人民共和国网络安全法正式颁布实施以来，国家对包括政企机构的网络安全监管日益完善，不管是网络安全等级保 护制度还是行业监管制度，都对信息系统开发管理、源码安全审计做出了规范要求，源码安全审计作为信息系统安全建设的重要 组成部分，日益受到大中型政企机构的重视，在安全建设过程中， 对源码进行安全审计的机构比例不断提高。 第三章 网络威胁情报实现多样赋能 网络空间安全形势日趋复杂，情报窃取、网络犯罪、网络恐怖主义破坏等重大网络安全事件层出不穷，大中型政企机构成为 APT 攻击的重点，威胁情报通过各类设备的联动、丰富场景的应用，实现对网络安全的多样赋能。 知名咨询机构 SANS 调查指出，自 2017 年至 2019 年，消费威胁情报的大中型机构或企业比例逐年增加，目前 92%受访者已 经或即将使用威胁情报，超过 80%的受访者认为威胁情报提升了 网络安全能力。 近年来，网络空间威胁情报在国内逐步落地，逐渐成为数据驱动安全时代的标配，具体到政企机构，网络威胁情报的分析与 共享符合我国网络安全法第 29 条、 39 条的规定，而等级保护 2.0 对二到四级系统则明确提出威胁情报的要求。 图 2 国家网络空间威胁情报共享开放平台功能界面示意图 图 2 所示的综合国家网络空间威胁情报共享开放平台 (China National cyberspace Threat Intelligence Collaboration， CNTIC) 的监测与分析结果显示，针对我国大型政企机构的网络攻击处于持续活跃状态，威胁中国的 APT 组织近 40 个。 第四章 网络安全运营中心发挥实效 新一代的网络安全运营中心 （以下简称安全运营中心 ） 是现代政企机构网络安全运营管理的关键系统，也是一个机构网络安全建设 “ 现代化 ” 的重要标志，能够极大的提升安全监测与安全响应的效率。安全运营中心功能界面示意图如图 3 所示。 图 3 网络安全运营中心功能界面示意图 从技术角度看，安全运营中心是一套基于大数据架构的网络安全监测与响应系统，将海量的威胁情报及与本地安全数据、安全产品相结合，运用大数据、机器学习与可视化等新技术对多维的网络安全数据进行分析处理，为一个机构的安全管理者提供威胁的持续监测、检测、响应和预警等安全功能，有效提升积极防御和态势感知能力。 据不完全统计，自 2016 年以来，全国各地大中型政企机构， 已经累计采购并投入使用的安全运营中心 2680 余套。投 资规模高达 53.9 亿元。其中， 2018 年是投入高峰。投产的安全运营中心达到 1000 套，投资规模达 20.3 亿元。预计 2019 年全年，全 国各地在安全运营中心总投产规模将较 2018 年增长 30%。增长情况示意图如图 4 所示。 图 4 新一代网络安全运营中心在大中型政企机构投产使用增长示意图 从机构性质来看，目前，全国 66 个部委机关中，至少已有 32 个部署使用了安全运营中心，使用率为 48.5%。同时，在 96 家中央企业中，已有 54 家全面部署或局部使用了安全运营中心， 使用率为 56.3%。此外，全国还有 150 家公检法司机构， 330 多个各地各级政府及事业单位部署使用了安全运营中心。 对使用单位的调研显示，安全运营中心的投入使用，确实大大提高了机构内部的安全管理效率：安全事件的平均响应时间， 从 3 年前的平均 3 天左右，降低到现在 1 小时以内。 据不完全统计显示，在大中型政企机构中，安全运营中心平 均每周协助全国各地监管机构处置重大网络安全事件 2 万余次。