2021中国企业 数字安全建设白皮书

2021中国企业 数字安全建设白皮书 奇安信行业安全研究中心 中国信息安全研究院网络安全研究所 2021.4.27 目 录 主要观点 ............................................................................................................................... 3 第一章 从国家“十四五”规划纲要看网络安全发展趋势 .............................................. 4 第二章 中国企业数字安全建设成熟度模型 .................................................................... 6 第三章 重点行业企业安全建设成熟度 ........................................................................... 8 一、 企业规模 ................................................................................................................................. 8 二、 战略和组织 ............................................................................................................................. 9 三、 流程和监管 ........................................................................................................................... 11 四、 技术与服务 ........................................................................................................................... 12 五、 人才和能力 ........................................................................................................................... 14 六、 合规建设 ............................................................................................................................... 16 第四章 数字经济发展典型案例 .................................................................................... 18 一、 智能交通 ............................................................................................................................... 18 二、 智能能源 ............................................................................................................................... 19 三、 智能制造 ............................................................................................................................... 19 四、 智慧医疗 ............................................................................................................................... 20 五、 智慧政务 ............................................................................................................................... 21 附录 奇安信行业安全研究中心 .......................................................................................... 22 附录 中国信息安全研究院网络安全研究所 ........................................................................ 23 主要观点 交通行业与政府已处于深度数字化依赖状态，网络安全工作已成为数字经济底盘。 网络安全成熟度模型可以通过战略和组织、流程和监管、技术与服务、人才和能力以及合规建设五个维度；及青铜、白银、黄金、钻石、王者五个等级，定量描述一个企业/行业的网络安全成熟度。并从中发现企业/行业的短板。 在本次调研的五个行业中，能源行业与政府机构的成熟度最高；制造业成熟度最低，主要由于其“合规建设”方向的达标情况较差。 第一章 从国家“十四五”规划纲要看网络安全发展趋势 “中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要”（以下简称《纲要》）经第十三届全国人民代表大会第四次会议审查批准，正式发布。 《纲要》指出，“十四五”社会发展的主要方向可归为经济发展、创新动力、民生福祉、绿色生态和安全保障五大类和20个指标。其中未来五年数值变动最大的指标之一：数字经济核心产业增加值占GDP比重从7.8%提升到10%。加快数字发展，建设数字中国，未来五年中国的数字经济、数字社会和数字政府的浪潮不会停止，数字技术和实体经济将深度融合，催生出大量的新产业和新模式。《纲要》中列出了七大数字经济产业与十大数字应用的场景。七大数字经济产业分别为：云计算、大数据、物联网、工业互联网、区块链、人工智能、虚拟现实（VR）和增强现实（AR）。催生出的十大数字化应用场景分别为：智能交通、智慧能源、智能制造、智慧农业及水利、智慧教育、智慧医疗、智慧文旅、智慧社区、智慧家居和智慧政务。 然而，产业数字化的融合与发展在带来了极大便利的同时，也带来了数字化转型中最典型和关键的风险——网络安全风险。 加快数字化发展，是2021年政府工作报告中“十四五”时期的主要目标任务之一。数据安全作为数字化和数字经济发展的根基，其实战防护作用和发展驱动效应日益显著。数字化进程深入推进，数字经济已经成为我国经济和社会发展提质增效、转型升 级的新引擎，已经成为常态化疫情防控下统筹经济发展的重要力量。《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》中也强调，要坚定维护国家政权安全、制度安全、意识形态安全，全面加强网络安全保障体系和能力建设。 未来五年，继续推进数字产业化和产业数字化，维护和保障水利、电力、供水、油气、交通、通信、网络、金融等关键基础设施安全稳定运行，需要政府、产业、智库等协同努力，尤其是网络安全企业需要发挥创新主体优势，促进网络安全技术与产业持续发展，为达成“十四五”目标奠定安全基石。 第二章 中国企业数字安全建设成熟度模型 加快数字化发展，是2021年政府工作报告中“十四五”时期的主要目标任务之一。数据安全作为数字化和经济发展的根基，其实战防护作用和发展驱动效应日益显著。 为了更好地了解大中型企业数字安全建设情况，奇安信行业安全研究中心对政府机构事业单位、交通运输、能源（石油石化、电力水利）、医疗卫生和制造业这五大行业中抽取了35家有代表性的企业进行调研，其中政府机构占20%，交通运输占11.4%，能源（石油石化、电力水利）占37.1%，制造业占8.6%，医疗卫生占22.9%。 调研结果包含企业数字化投入、安全运维投入以及安全部署情况等大量有价值的信息，供大家参考。 本白皮书针对网络安全公司最关心的几个问题，参考第三方机构“数字化成熟度报告”，同时结合网络安全特点选取了五个维度，设置了五个等级进行研究。其中，五个维度分别为：战略和组织、流程和监管、技术与服务、人才和能力以及合规建设。五个等级根据其数字安全建设程度分为：青铜（1分）、白银（2分）、黄金（3分）、钻石（4分）和王者（5分）。下图为中国“企业数字安全建设成熟度模型”。 第三章 重点行业企业安全建设成熟度 从行业数字安全建设情况来看，各行业数字安全成熟度多为中等偏上水平。其中，人才和能力整体水平在五个维度中较高。能源行业整体成熟度更高，接近钻石等级（4分），但制造业由于合规建设方面缺口较大，导致整体水平处于五个行业的下游。各行业成熟度如下图所示： 下面我们具体从企业规模、战略和组织、流程和监管、技术与服务、人才和能力、合规建设等各个维度进行分析。 一、 企业规模 本次调研对象包含五大行业不同规模的企业。通过调研结果可以发现，目前我国很多行业都处于“深度数字化依赖”状态，其数字化建设程度与基础设施建设规模运行相匹配，而并非与员工人数相匹配。 从企业人均办公终端数量来看，交通运输行业人均终端数最多为1.7个/人；其次为政府机构事业单位与制造业1个/人；医疗卫生行业人均终端最少，仅为0.5个/人。 从企业人均服务器数量来看，交通运输行业人均服务器最多为1.4个/人；其次为政府机构/事业单位1个/人；制造业与医疗行业最少，仅为0.1个/人，平均每十人共用一个服务器（含虚拟机）。 二、 战略和组织 随着全球经济全面进入数字化转型期，我国也提出了“数字中国”“网络强国”等一系列与数字化转型紧密相关的战略部署，将数字化转型作为重要发展战略与经济驱动力。数字化转型是在信息化降低了政企机构运行成本的基础上，进一步将信息技术与政企机构业务运行、管理流程融合在一起，形成新的业务运行模式。 从企业“十四五”期间数字化/信息化建设投入来看，20%的企业投入在200万-500万；17.1%的企业会在数字化/信息化建设投入500万-1000万，另外投资超过1个亿的企业共占企业总数的31.4%。具体分布如下图所示： 从企业十四五期间网络安全规划投入来看，投资与规划均必不可少。37.1%的企业规划将数字化/信息化建设的2%-5%用来投入网络安全建设；14.3%的企业规划将数字化/信息化建设的5%-10%用来投入网络安全建设。在调研的35家企业中，只有 17.1%的企业不清楚或根本没有明确的网络安全规划目标，具体分布如下图所示，同时，有超过4成企业制定了1-2年的数字化安全建设规划。 三、 流程和监管 数字化转型的脚步不断加快，企业从原始的线下手动逐步向核心流程自动化甚至全流程自动化进行转变，数字化办公等一系列应用系统的快速开发与迭代，其安全性、可靠性也面临着比从前任何时候都更加严峻的挑战。企业数字化转型与网络安全管理过程中是否有明确的制度及量化考核的指标是企业数字安全建设成熟的一个重要评价标准。 从制度及指标来看，接受调查的企业中，80%的企业有系统的管理要求，这其中有半数企业（即40%的企业）在