19bg0022 20中型政企机构网络安全建设发展研究报告

2019 大中型政企机构网络安全建设 发展趋势研究报告 奇安信行业安全研究中心 中国软件评测中心网络安全中心 中国科学院信息工程研究所网络安全评测研究室 新华经参研究院 2019 8 主要观点 企业级企业级终端安全软件装机量终端安全软件装机量快速快速增长增长 企业级终端安全软件 的装机量 是衡量国家政企安全建设整体发展水平的重要标 志之一 自 2016 年以来 企业级终端安全软件的装机量一直 呈现持续高速增长状态 到 2019 年上半年 装机量已达 1 05 亿 大型政企机构的终端安全管理范围从办公系统扩展到业 务系统 是企业级终端安全软件装机量快速增长的主要原因 源代码安全审计保障源代码安全审计保障的作的作用日趋显现 用日趋显现 通过源码安全审计 可以及早发现各类安全漏洞 威胁 节省大量安全建设成本 据估计 大型软件项目引入源代码安全审计 可节约 5 20 的后期安全维护费用 减少 10 50 的系统安全漏洞 网络网络威胁情报威胁情报逐步成逐步成为为安全安全防御防御标配标配 网络威胁情报基于各 类设备的联动 丰富场景的应用 实现对网络安全的多样赋 能 自 2017 年至 2019 年 使用威胁情报的大中型政企机构 的比例逐年增加 超过 80 的受访者认为威胁情报提升了安全 能力 网络安全网络安全运营平台运营平台提升监测响应提升监测响应效率效率 网络安全运营平台的 使用 是一个机构网络安全建设 现代化 的重要标志 48 5 的部委机关和 56 3 的中央企业已经部署和使用了安全运营 中心 安全运营中心能够大大提高机构内部的安全管理效率 安全事件的平均响应时间 从 3 年前的平均 3 天左右 降低 到现在 1 小时以内 系统系统安全安全漏洞漏洞修复修复平均平均周期大幅缩短周期大幅缩短 安全漏洞的修复响应 速度 是一个政企机构安全建设水平的重要参考指标 安全 漏洞正在日益受到大中型政企机构运营者的高度关注 政企 机构的持续投入吸引着越来越多白帽子为其定向挖洞 同时 漏洞的平均修复周期也已经从 2016 年的 35 天 下降到现在 的 16 天 态势态势感知已成为安全监管感知已成为安全监管的的重要手段重要手段 态势感知系统 是现 代网络安全监管的核心支撑手段之一 截止目前 已有超过 30 个省级监管机构和超过 200 个市 县级执法监管机关建立 了网络安全态势感知系统 全国各地还有超过 20 个行业信息 中心或行业监管机构建设了网络安全态势感知系统 态势感 知系统将监管机构对安全事件的发现与响应周期从 3 年前的 3 7 天缩短到 1 小时以内 网络网络实战攻防演习实战攻防演习有力有力促进安全建设促进安全建设 网络实战攻防演习 是新形势下大中型政企机构网络安全保护工作的重要组成部 分 在过去的 3 年里 通过演习 攻防双方的技术都实现了 巨大的进步 演习越来越接近实战化 目 录 研究背景研究背景 1 第一章第一章 企业级安全软件装机量大增企业级安全软件装机量大增 2 第二章第二章 源码安全审计日益受到重视源码安全审计日益受到重视 3 第三章第三章 网络威胁情报实现多样赋能网络威胁情报实现多样赋能 4 第四章第四章 网络安全运营中心发挥实效网络安全运营中心发挥实效 6 第五章第五章 系统安全漏洞得到广泛关注系统安全漏洞得到广泛关注 8 第六章第六章 态势感知支撑新型监管机制态势感知支撑新型监管机制 10 第七章第七章 网络实战攻防演习积极开展网络实战攻防演习积极开展 12 1 研究背景 大中型政企机构是网络安全保护的重中之重 也是国内网络 安全建设投入最大 应用新技术 新产品最多的机构 2016 年 以来 国内大中型政企机构的网络安全建设已经取得了长足的进 步 本报告将主要从企业级终端安全软件 源代码安全审计 网 络安全运营 网络安全监管 网络安全漏洞响应 网络威胁情报 应用及网络实战攻防演习等方面 分析了当前国内大中型政企机 构网络安全建设的进步与发展趋势 第一章 企业级安全软件装机量大增 终端安全是网络安全的基础 特别是对大中型政企机构而言 终端安全更加重要 企业级终端安全软件的装机量 是衡量国家 政企安全建设整体发展水平的重要标志之一 图 1 给出了 2016 年以来 在全国范围内 大中型政企机构 的企业级终端安全软件的装机量变化情况 可以看出 企业级终 端安全软件的装机量一直呈现持续高速增长状态 2018 年较 2017 年增长超过 33 6 而到了 2019 年上半年 装机量已达 1 05 亿 据不完全统计 企业级终端安全软件平均每天约可拦截恶意 程序对大中型政企机构的网络攻击 5521 万次 图 1 企业级终端安全软件在大中型政企机构中的装机量变化趋势示意图 导致企业级终端安全软件装机量迅速增长的主要原因是 很 多大中型机构的终端安全管理范围已经从办公系统扩展到业务 系统 原本在隔离状态下 裸奔 的业务终端机也开始全面部署 安全软件 业务终端机安全防护的加强 极大的促进了企业级终 端安全软件的全面部署 3 第二章 源码安全审计日益受到重视 源代码是构成信息系统的基石 对源代码进行安全审计 可 以在系统实现阶段就发现大量的安全漏洞和潜在威胁隐患 可节 约 5 20 的后期安全维护费用 减少 10 50 的系统安全漏洞 尤其是大中型政企机构的信息系统 往往规模庞大 涉及大量定 制开发 外包开发 开源软件集成 第三方组件使用等 并且开 发人员水平参差不齐 开发管理任务复杂 开发语言种类繁多 对信息系统的安全性带来较多挑战 通过源码安全审计 可以及 早发现各类安全漏洞和威胁隐患 节省大量安全建设成本及软件 运维成本 中华人民共和国网络安全法 正式颁布实施以来 国家对 包括政企机构的网络安全监管日益完善 不管是网络安全等级保 护制度还是行业监管制度 都对信息系统开发管理 源码安全审 计做出了规范要求 源码安全审计作为信息系统安全建设的重要 组成部分 日益受到大中型政企机构的重视 在安全建设过程中 对源码进行安全审计的机构比例不断提高 第三章 网络威胁情报实现多样赋能 网络空间安全形势日趋复杂 情报窃取 网络犯罪 网络恐 怖主义破坏等重大网络安全事件层出不穷 大中型政企机构成为 APT 攻击的重点 威胁情报通过各类设备的联动 丰富场景的应 用 实现对网络安全的多样赋能 知名咨询机构 SANS 调查指出 自 2017 年至 2019 年 消费 威胁情报的大中型机构或企业比例逐年增加 目前 92 受访者已 经或即将使用威胁情报 超过 80 的受访者认为威胁情报提升了 网络安全能力 近年来 网络空间威胁情报在国内逐步落地 逐渐成为数据 驱动安全时代的标配 具体到政企机构 网络威胁情报的分析与 共享符合我国网络安全法第 29 条 39 条的规定 而等级保护 2 0 对二到四级系统则明确提出威胁情报的要求 图 2 国家网络空间威胁情报共享开放平台功能界面示意图 图2所示的综合国家网络空间威胁情报共享开放平台 China National cyberspace Threat Intelligence Collaboration CNTIC 5 的监测与分析结果显示 针对我国大型政企机构的网络攻击处于 持续活跃状态 威胁中国的 APT 组织近 40 个 第四章 网络安全运营中心发挥实效 新一代的网络安全运营中心 以下简称安全运营中心 是现 代政企机构网络安全运营管理的关键系统 也是一个机构网络安 全建设 现代化 的重要标志 能够极大的提升安全监测与安全 响应的效率 安全运营中心功能界面示意图如图 3 所示 图 3 网络安全运营中心功能界面示意图 从技术角度看 安全运营中心是一套基于大数据架构的网络 安全监测与响应系统 将海量的威胁情报及与本地安全数据 安 全产品相结合 运用大数据 机器学习与可视化等新技术对多维 的网络安全数据进行分析处理 为一个机构的安全管理者提供威 胁的持续监测 检测 响应和预警等安全功能 有效提升积极防 御和态势感知能力 据不完全统计 自 2016 年以来 全国各地大中型政企机构 已经累计采购并投入使用的安全运营中心 2680 余套 投资规模 高达 53 9 亿元 其中 2018 年是投入高峰 投产的安全运营中 心达到 1000 套 投资规模达 20 3 亿元 预计 2019 年全年 全 7 国各地在安全运营中心总投产规模将较 2018 年增长 30 增长 情况示意图如图 4 所示 图 4 新一代网络安全运营中心在大中型政企机构投产使用增长示意图 从机构性质来看 目前 全国 66 个部委机关中 至少已有 32 个部署使用了安全运营中心 使用率为 48 5 同时 在 96 家中央企业中 已有 54 家全面部署或局部使用了安全运营中心 使用率为 56 3 此外 全国还有 150 家公检法司机构 330 多 个各地各级政府及事业单位部署使用了安全运营中心 对使用单位的调研显示 安全运营中心的投入使用 确实大 大提高了机构内部的安全管理效率 安全事件的平均响应时间 从 3 年前的平均 3 天左右 降低到现在 1 小时以内 据不完全统计显示 在大中型政企机构中 安全运营中心平 均每周协助全国各地监管机构处置重大网络安全事件 2 万余次 第五章 系统安全漏洞得到广泛关注 系统安全漏洞是影响大中型政企机构信息系统安全性的决 定性因素之一 当前 各个机构都加大资源投入 建立专业队伍 全面深入的挖掘系统中存在的安全漏洞 及时有效对已披露的安 全漏洞开展应急响应 对安全漏洞的响应速度 是一个政企机构安全建设水平的重 要参考指标 响应速度慢 漏洞修复周期长 会大大增加信息系 统被攻击的概率 同时也侧面反应了机构内部安全管理 安全运 营的不足 反之则意味着一个机构对安全工作的高度重视及安全 工作的高效开展 综合国内各大漏洞响应平台数据显示 自 2016 年以来 大 中型政企机构的信息系统安全漏洞的平均修复周期大幅缩短 统 计数据显示 在 2016 年 从一个安全漏洞被报告给相关机构 到该机构确认修复该漏洞 平均约需 35 天的时间 而到了 2019 年上半年 平均修复周期已经缩短到了 16 天 图 5 大中型政企机构网络安全漏洞平均修复周期变化示意图 9 图 5 给出了 2016 年以来 系统安全漏洞平均修复周期的变 化情况 安全漏洞修复周期的持续下降 与 网络安全法 及配套政 策法规的落地实施关系密切 同时也反映出大中型政企机构的管 理者们对网络安全工作越来越重视 相关机制越来越完善 为了及时发现本机构信息系统中的安全漏洞 降低信息系统 被攻击的概率 大中型政企机构越来越多的采用商业委托的定向 漏洞挖掘服务 下表给出了自 2016 年以来 某知名第三方漏洞 响应平台接受政企机构商业委托开展漏洞挖掘的基本情况 其中 包括委托机构覆盖的行业数量 提出委托的机构数量 以及最终 挖掘漏洞数量的变化情况 表 1 大中型政企机构商业委托漏洞挖掘项目历年变化 年份年份 20162016 20172017 20182018 20192019 上半年上半年 覆盖行业覆盖行业数数 9 14 14 15 委托机构委托机构数数 32 60 124 155 漏洞收集漏洞收集数数 2378 3908 7499 9574 从表 1 可以看出 委托机构的数量和漏洞收集的数量都呈现 出逐年快速增长的态势 且 2019 年上半年委托服务的机构数量 和漏洞收集数量 就都已经超过了 2018 年全年的成绩 这充分 的证明了大中型政企机构的管理者对漏洞挖掘工作的认可与重 视 第六章 态势感知支撑新型监管机制 网络安全态势感知系统 是现代网络安全监管的核心支撑手 段之一 是综合运用安全大数据和可视化等新兴安全技术建设的 针对所辖范围内各类机构网络安全状况进行实时监测的监管平 台 网络安全态势感知系统可以有效提升监管效率 大幅提升安 全事件的预警 检测与响应速度 网络安全态势感知系统的功能 界面示意图如图 6 所示 图 6 网络安全态势感知系统功能界面示意图 2016 年的 4 19 讲话 首次正式提出了 全天候全方位 感知网络安全态势 的重要精神 在这一精神的指导下 3 年多 以来 网络安全态势感知系统得到了大规模的应用 据不完全统计 截至 2019 年初 除了全国性的网络安全态 势感知系统之外 由各省级监管机构建设的省级网络安全态势感 知系统已经超 30 个 并有超过 200 个地市 县级的执法监管机 关建立了网络安全态势感知系统 此外 全国各地还有超过 20 个行业信息中心或行业监管机构建设了本行业所辖范围内的网 络安全态势感知系统 截至 2019 年 6 月 还有近 20 个省级监管 机构和 70 余个市级监管机构正计划投资建设网络安全态势感知 系统 预计 2019 年末 2020 年 网络安全态势感知系统在全国 范围内的大规模建设还将持续进行 11 对使用单位的调研显示 网络安全态势感知系统的应用 大 大的提高了安全监管的成效 重大安全事件的平均发现与响应时 间 从 3 年前的 3 7 天 降低到现在的 1 小时以内 自 2016 年 以来 全国各地应用的网络安全态势感知系统至少已累计监测并 验证重大网络安全事件超过 1 万次 协助各地监管机构生成超过 5000 份监管类网络安全事件通报 支撑完成了上百次网络安全 重点保障活动 第七章 网络实战攻防演习积极开展 网络实战攻防演习 是新形势下大中型政企机构网络安全保 护工作的重要组成部分 演习通常是以实际运行的信息系统为保 护目标 通过有监督的攻防对抗 最大限度地模拟真实的网络攻 击 以此来检验信息系统的实际安全性和运维保障的实际有效性 2016 年以来 在国家监管机构的有力推动下 网络实战攻 防演习