2019 大中型政企机构网络安全建设 发展趋势研究报告 h t i g m o c . 5 b u 奇安信行业安全研究中心 中国软件评测中心网络安全中心 中国科学院信息工程研究所网络安全评测研究室 新华经参研究院 2019.8 主要观点  企业级终端安全软件装机量快速增长。企业级终端安全软件 的装机量，是衡量国家政企安全建设整体发展水平的重要标 志之一。自 2016 年以来，企业级终端安全软件的装机量一直 呈现持续高速增长状态，到 2019 年上半年，装机量已达 1.05 亿。大型政企机构的终端安全管理范围从办公系统扩展到业 务系统，是企业级终端安全软件装机量快速增长的主要原因。 m o c . 5  源代码安全审计保障的作用日趋显现。通过源码安全审计， 可以及早发现各类安全漏洞、威胁，节省大量安全建设成本。 据估计，大型软件项目引入源代码安全审计，可节约 5%-20% 的后期安全维护费用，减少 10%-50%的系统安全漏洞。 b u  网络威胁情报逐步成为安全防御标配。网络威胁情报基于各 类设备的联动、丰富场景的应用，实现对网络安全的多样赋 h t i g 能。自 2017 年至 2019 年，使用威胁情报的大中型政企机构 的比例逐年增加，超过 80%的受访者认为威胁情报提升了安全 能力。  网络安全运营平台提升监测响应效率。网络安全运营平台的 使用，是一个机构网络安全建设“现代化”的重要标志。48.5% 的部委机关和 56.3%的中央企业已经部署和使用了安全运营 中心。安全运营中心能够大大提高机构内部的安全管理效率： 安全事件的平均响应时间，从 3 年前的平均 3 天左右，降低 到现在 1 小时以内。  系统安全漏洞修复平均周期大幅缩短。安全漏洞的修复响应 速度，是一个政企机构安全建设水平的重要参考指标。安全漏 洞正在日益受到大中型政企机构运营者的高度关注。政企机 构的持续投入吸引着越来越多白帽子为其定向挖洞。同时，漏 洞的平均修复周期也已经从 2016 年的 35 天，下降到现在的 16 天。  态势感知已成为安全监管的重要手段。态势感知系统，是现 代网络安全监管的核心支撑手段之一。截止目前，已有超过 30 个省级监管机构和超过 200 个市、县级执法监管机关建立 了网络安全态势感知系统。全国各地还有超过 20 个行业信息 中心或行业监管机构建设了网络安全态势感知系统。态势感 知系统将监管机构对安全事件的发现与响应周期从 3 年前的 m o c . 5 3~7 天缩短到 1 小时以内。  网络实战攻防演习有力促进安全建设。网络实战攻防演习， 是新形势下大中型政企机构网络安全保护工作的重要组成部 分。在过去的 3 年里，通过演习，攻防双方的技术都实现了 b u 巨大的进步，演习越来越接近实战化。 h t i g 目 录 研究背景 .............................................................................. 1 第一章 企业级安全软件装机量大增 ................................. 2 第二章 源码安全审计日益受到重视 ................................. 3 第三章 网络威胁情报实现多样赋能 ................................. 4 第四章 网络安全运营中心发挥实效 ................................. 6 m o c . 5 第五章 系统安全漏洞得到广泛关注 ................................. 8 第六章 态势感知支撑新型监管机制 ................................10 第七章 网络实战攻防演习积极开展 ................................12 h t i g b u 研究背景 大中型政企机构是网络安全保护的重中之重，也是国内网络 安全建设投入最大，应用新技术、新产品最多的机构。2016 年以 来，国内大中型政企机构的网络安全建设已经取得了长足的进步。 本报告将主要从企业级终端安全软件、源代码安全审计、网 络安全运营、网络安全监管、网络安全漏洞响应、网络威胁情报 m o c . 5 应用及网络实战攻防演习等方面，分析了当前国内大中型政企机 构网络安全建设的进步与发展趋势。 h t i g 1 b u 第一章 企业级安全软件装机量大增 终端安全是网络安全的基础，特别是对大中型政企机构而言， 终端安全更加重要。企业级终端安全软件的装机量，是衡量国家 政企安全建设整体发展水平的重要标志之一。 图 1 给出了 2016 年以来，在全国范围内，大中型政企机构 的企业级终端安全软件的装机量变化情况。可以看出，企业级终 端安全软件的装机量一直呈现持续高速增长状态，2018 年较 m o c . 5 2017 年增长超过 33.6%，而到了 2019 年上半年，装机量已达 1.05 亿。据不完全统计，企业级终端安全软件平均每天约可拦截恶意 程序对大中型政企机构的网络攻击 5521 万次。 h t i g b u 图 1 企业级终端安全软件在大中型政企机构中的装机量变化趋势示意图 导致企业级终端安全软件装机量迅速增长的主要原因是：很 多大中型机构的终端安全管理范围已经从办公系统扩展到业务 系统，原本在隔离状态下“裸奔”的业务终端机也开始全面部署 安全软件。业务终端机安全防护的加强，极大的促进了企业级终 端安全软件的全面部署。 第二章 源码安全审计日益受到重视 源代码是构成信息系统的基石。对源代码进行安全审计，可 以在系统实现阶段就发现大量的安全漏洞和潜在威胁隐患，可节 约 5%-20%的后期安全维护费用，减少 10%-50%的系统安全漏洞。 尤其是大中型政企机构的信息系统，往往规模庞大，涉及大量定 制开发、外包开发、开源软件集成、第三方组件使用等，并且开 发人员水平参差不齐、开发管理任务复杂、开发语言种类繁多， m o c . 5 对信息系统的安全性带来较多挑战。通过源码安全审计，可以及 早发现各类安全漏洞和威胁隐患，节省大量安全建设成本及软件 运维成本。 《中华人民共和国网络安全法》正式颁布实施以来，国家对 b u 包括政企机构的网络安全监管日益完善，不管是网络安全等级保 h t i g 护制度还是行业监管制度，都对信息系统开发管理、源码安全审 计做出了规范要求，源码安全审计作为信息系统安全建设的重要 组成部分，日益受到大中型政企机构的重视，在安全建设过程中， 对源码进行安全审计的机构比例不断提高。 3 第三章 网络威胁情报实现多样赋能 网络空间安全形势日趋复杂，情报窃取、网络犯罪、网络恐 怖主义破坏等重大网络安全事件层出不穷，大中型政企机构成为 APT 攻击的重点，威胁情报通过各类设备的联动、丰富场景的应 用，实现对网络安全的多样赋能。 知名咨询机构 SANS 调查指出，自 2017 年至 2019 年，消费 威胁情报的大中型机构或企业比例逐年增加，目前 92%受访者已 m o c . 5 经或即将使用威胁情报，超过 80%的受访者认为威胁情报提升了 网络安全能力。 近年来，网络空间威胁情报在国内逐步落地，逐渐成为数据 b u 驱动安全时代的标配，具体到政企机构，网络威胁情报的分析与 共享符合我国网络安全法第 29 条、39 条的规定，而等级保护 2.0 h t i g 对二到四级系统则明确提出威胁情报的要求。 图 2 国家网络空间威胁情报共享开放平台功能界面示意图 图 2 所示的综合国家网络空间威胁情报共享开放平台(China National cyberspace Threat Intelligence Collaboration，CNTIC) 的监测与分析结果显示，针对我国大型政企机构的网络攻击处于 持续活跃状态，威胁中国的 APT 组织近 40 个。 h t i g 5 b u m o c . 5 第四章 网络安全运营中心发挥实效 新一代的网络安全运营中心（以下简称安全运营中心）是现 代政企机构网络安全运营管理的关键系统，也是一个机构网络安 全建设“现代化”的重要标志，能够极大的提升安全监测与安全 响应的效率。安全运营中心功能界面示意图如图 3 所示。 h t i g m o c . 5 b u 图 3 网络安全运营中心功能界面示意图 从技术角度看，安全运营中心是一套基于大数据架构的网络 安全监测与响应系统，将海量的威胁情报及与本地安全数据、安 全产品相结合，运用大数据、机器学习与可视化等新技术对多维 的网络安全数据进行分析处理，为一个机构的安全管理者提供威 胁的持续监测、检测、响应和预警等安全功能，有效提升积极防 御和态势感知能力。 据不完全统计，自 2016 年以来，全国各地大中型政企机构， 已经累计采购并投入使用的安全运营中心 2680 余套。投资规模 高达 53.9 亿元。其中，2018 年是投入高峰。投产的安全运营中 心达到 1000 套，投资规模达 20.3 亿元。预计 2019 年全年，全 国各地在安全运营中心总投产规模将较 2018 年增长 30%。增长 情况示意图如图 4 所示。 m o c . 5 b u 图 4 新一代网络安全运营中心在大中型政企机构投产使用增长示意图 从机构性质来看，目前，全国 66 个部委机关中，至少已有 h t i g 32 个部署使用了安全运营中心，使用率为 48.5%。同时，在 96 家中央企业中，已有 54 家全面部署或局部使用了安全运营中心， 使用率为 56.3%。此外，全国还有 150 家公检法司机构，330 多 个各地各级政府及事业单位部署使用了安全运营中心。 对使用单位的调研显示，安全运营中心的投入使用，确实大 大提高了机构内部的安全管理效率：安全事件的平均响应时间， 从 3 年前的平均 3 天左右，降低到现在 1 小时以内。 据不完全统计显示，在大中型政企机构中，安全运营中心平 均每周协助全国各地监管机构处置重大网络安全事件 2 万余次。 7 第五章 系统安全漏洞得到广泛关注 系统安全漏洞是影响大中型政企机构信息系统安全性的决 定性因素之一。当前，各个机构都加大资源投入、建立专业队伍， 全面深入的挖掘系统中存在的安全漏洞，及时有效对已披露的安 全漏洞开展应急响应。 对安全漏洞的响应速度，是一个政企机构安全建设水平的重 要参考指标。响应速度慢，漏洞修复周期长，会大大增加信息系 m o