信创安全发展白皮书2023

目录 第一章全球信息安全1 1.1国际网络安全发展情况1 1.2我国网络安全发展情况2 1.3我国网络安全发展特点5 1.3.1网络安全建设迎来新合规时代5 1.3.2数据安全治理走向落地5 1.3.3信创安全产品体系更加全面丰富，服务能力更强6 1.3.4供应链安全严峻形势推动安全左移6 1.3.5隐私计算进入产业化时代7 1.3.6漏洞管理将向攻击面管理发展7 1.3.7安全托管：走向本土特色、符合业务需求8 第二章基础硬件安全9 2.1芯片安全状况9 2.2储存安全状况10 2.3整机安全状况11 第三章基础软件安全13 3.1操作系统安全状况13 3.2固件安全状况15 3.3数据库安全状况16 3.4中间件安全状况18 第四章应用安全22 4.1办公软件安全状况22 4.2浏览器安全状况25 4.3云计算安全状况28 第一章全球信息安全 1.1国际网络安全发展情况 互联网快速发展带来了全球经济技术的改革，在过去数年间，全球网络信息安全冲突连续不断，网络信息安全攻击数量逐年增加，其中国家级网络攻击频次不断增加，其攻击手段、力度、强度等都更加多样化。 美国、英国等国家不断完善国内国家安全法律法规，制定相关措施应对国际安全威胁。美国政府发布《国家安全战略临时指南》，提出将网络信息安全列为国家安全首位，通过鼓励公私合作、加大资金投资、加强国际合作、制定网络信息空间全球规范、追求网络攻击责任、施加网络攻击成本等方式，增强美国在网络信息空间中的能力、准备和弹性；英国政府发布《竞争时代的全球英国：安全、国防、发展与外交政策综合评估》，报告将网络信息安全列为核心安全问题，提出将开展有针对性的、负责任的进攻性网络行动，支持英国的国家安全优先事项。 除此之外，各国纷纷加大新兴技术研究，强化零信任等 技术的研发和应用，尤其重视零信任在保障网络信息安全中发挥的重要作用。同时，新冠病毒的大流行也对网络信息安全威胁格局产生了影响，疫情带来了向混合办公模式的持久转变，增加了攻击面，使与疫情有关的网络安全威胁和利用“新常态”正在成为主流。 随着关键基础设施的数字化程度不断提高，越来越多的服务通过网络提供，越来越多的企业正在把业务迁移到云中， 人类对网络的依赖性正在加大。与此同时，对信息安全的重视却要滞后于数字服务的采用，这种落差造成数字业务系统的脆弱性增加，导致网络攻击和数据泄露事件越来越多。强大的网络信息安全产业是全面提升网络安全保障能力的重要基石，国际及社会需要携手合作共同治理，才能构建起和平、安全、开放、合作的网络空间。 1.2我国网络安全发展情况 网络安全作为我国“十四五”规划中“人工智能、大数据、区块链、云计算”等新兴数字产业的前提和保障基石，在我国新型产业战略中的重要地位得到了市场的充分肯定和国家政策的支持。数字经济发展带动了信息数字技术的创新和迭代速度明显加快，对网络安全的需求愈发强劲；云服务、区块链、工业互联网、车联网等数字新技术、新应用带来了新的安全风险。网络安全产业正处于技术转型和结构优化调整阶段，传统的被动防御技术对于关键信息基础设施的防护能力明显不足，“十四五”强调应“加强网络安全基础设置建设，强化跨领域网络安全信息共享和工作协同，提升网络安全威胁发现、监测预警、应急指挥、攻击溯源能力”，通过全面感知、智能协同和动态防护来构建主动防御体系。 我国网络安全市场近五年在数字化转型、国家政策法规、 市场需求等多方因素的推动下实现了快速增长。IDC数据显示预计到2026年，中国网络安全支出规模将达318.6亿美 元。在2022-2026的五年预测期内，中国网络安全相关支出将以21.2%的年复合增长率增长，增速位列全球第一。从行 业终端用户的角度来看，电信、地方政府和银行行业用户在网络安全方面相关支出最多；到2026年，三者支出规模合计 将超192.2亿美元。占比超中国网络安全总支出的六成。除此之外，在各行业安全政策和法律法规的推动下，制造、专业服务、消费者服务等行业也实现了较高增速。其中，制造行业发展迅速，离散制造以22.9%的五年年复合增长率成为行业增速之首，流程制造以22.6%的五年年复合增长率位居行业增速第三。（IDC数据） 从整体看，我国网络安全领域的法律体系是以三部法律为基础的，分别是《网络安全法》、《数据安全法》和《个人信息保护法》，这三部法律共同构建了我国网络安全“三足鼎立”的顶层架构。 国家实施《数据安全法》点明“数据分类分级保护制度”是抵御数据资产遭受威胁的首要工作。大数据的应用场景中安全隐患与日俱增，大数据使得医疗、交通、城市运行和远程教学、办公、会议等涉及隐私和秘密的数据资产在网络中流转，使得控制数据访问权限、防止数据滥用和数据泄露变得更加关键。数据分类分级技术可以帮助组织了解其数据价值，评估风险并实施控制以降低风险，通常应用在数据资产管理、数据安全治理、敏感数据发现和数据安全态势等场景，因此成为多种网络安全应用的关注点。 传统的软件开发采用瀑布式开发或敏捷开发，但开发、 测试、运维的信息通道没有贯通，云原生应用采用微服务架构和容器技术可以实现持续交付，不仅缩短开发周期、提升 开发质量和运维效率，也使应用可以弹性扩展，满足不同体量客户的需求。云原生技术被云服务提供商及其客户广泛使用，因为其具备高生产率和业务敏捷性，但众多新的技术也给云原生安全带了新问题，如云原生应用程序缺少固定边界，并且其架构过于弹性和高度动态，导致难以在外围部署固定的安全设备，暴露出更多的攻击面；横向移动带来的威胁也更难以诊断。传统的边界防护模型已不能满足云原生的安全需求，而云安全主要面向IaaS、PaaS和SaaS层中的云基础架构提供安全防护能力。云原生安全更加关注云原生的数据安全、应用安全、运营安全和计算环境安全，重点要解决的是K8s、ServiceMesh和统一调度等应用面临的安全问题。容器安全、容器编排平台安全、微服务安全、微隔离、动态工作负载等方向提供了多种云原生安全应用场景。这些技术和产品已经有了明显的融合趋势，业内出现了一些最佳实践。目前，国内安全厂商的云原生安全解决方案大多聚焦在容器安全上，秉承安全左移思维，在开发和部署阶段主要采取安全编码、漏洞防护、镜像扫描或基线核查等安全防御手段；针对运营阶段则通过入侵检测等手段保障运营安全。 从云原生蓬勃发展的趋势来看，云安全产品原生化是安 全产品应用的一个重要发展方向，比如很多厂商近期推出的云工作负载平台（CWPP）、云安全态势管理（CSPM）、云访问安全代理（CASB）等云安全工具。 由于网络安全服务产业发展迅速，国内人才培养体系在加速建设当中，网络安全人才短缺问题依旧存在。导致利用 自动化学习技术手段解决网络安全服务人才供需矛盾备受关注，因此网络安全托管和网路安全运营平台成为有力的切入点。网络安全托管可以向客户多种安全运营服务，比如安全产品管理、安全事件监控、威胁情报和检测、、用户行为分析、资产风险管理、数据资产治理等。网络安全企业通过运营平台平台不但可以利用技术优势提供安全运营软件的交付，还可以利用人才优势提供人才支撑保障业务运营。 1.3我国网络安全发展特点 1.3.1网络安全建设迎来新合规时代 2021年我国密集发布网络安全、数据安全行业应用方面的国家法律法规、行业规章、地方政策、技术标准、产业报告等，预计2022年，随着相关配套法规的密集出台，我国企业将会面临更具体的合规要求。企业收集数据后的保管和使用面对增大的安全风险与合规需求，需要认真研判法律法规、监管规定、行业准则、国际标准有关合规管理的新变化，建立健全企业数据合规管理体系。 如何规范数据处理活动，保障数据安全，成为企业面临的重要的课题，数据合规将会发展成独立专业领域，推动对数据汇人才的旺盛需求。 1.3.2数据安全治理走向落地 2021年《数据安全法》、《关键信息基础设施安全保护条例》和《个人信息保护法的实施不仅给企业数据安全提供了重要的法律依据和支撑，对数据合规治理提出了更高、更明 确的要求。 预计2022年，法律和科技结合的数字安全治理将是企业机构巨大的需求增长点。企业应该基于数据应用场景、业务逻辑与数据的流转，从“管理、技术、运行”来开展数据安全的治理与防护工作，以数据安全治理为前提，通过数据安全态势感知进行数据安全运营，从数据资产管理、数据流动态势、数据风险分析、用户行为分析等维度，促进数据安全治理的闭环形成，实现数据安全能力的持续演进。 1.3.3信创安全产品体系更加全面丰富，服务能力更强 2021年，信创产业进入高速发展、全面开花阶段，成为现象级的新风口。信创是为了解决本质安全的问题，通过发展信创产业构建自主的IT产业和生态，使得IT产品和技术安全可控。 但信创安全能力仍需不断提升：目前信创安全普遍以政策驱动为主，真正市场驱动较少，尚未形成规模化发展态势。整体来看，信创安全目前渗透率较低。当前信创产品生态不够成熟，产品销售、服务、维护等能力尚在建设中，相关的国家标准、产品测试规范不够充分，操作系统漏洞、应用程序漏洞隐患未知，仍需加强信创安全技术应用创新的深度，构建信创安全产业生态，保障产品和技术安全可控。预计2022年，信创安全领域将依靠构建更加丰富、全面的产品体系，更强的服务支撑能力，来保障信创网络安全，全面助力安全生态体系建设与信创产业的快速发展。 1.3.4供应链安全严峻形势推动安全左移 目前软件系统自身漏洞已成为黑客攻击和数据泄露等安全事件发生的主要原因之一，供应链安全面临的严峻形势，激发了安全左移需求。“安全左移”是指在软件开发生命周期（SDLC）早期阶段就将安全机制（代码审查、分析、测试等）嵌入，从而防止缺陷产生和尽早找出漏洞，安全左移已经成为DevSecOps的重要部分。 1.3.5隐私计算进入产业化时代 数据采集、存储、流通、使用等环节缺乏规范，数据隐私管理制度不健全，大数据、人工智能等产业的发展存在隐患。2021年，《数据安全法》、《个人信息保护法》相继落地， 《个人信息保护法》明确规定，不得进行大数据杀熟；不得向用户强制推送个性化广告；限制过度收集用户个人信息等。数据安全和隐私保护有了更强有力的法律保障，大大小小的企业开始重视隐私保护，并着手建立企业的隐私保护体系，一些常见的隐私保护工作也被逐步推广。在数据融合应用和隐私保护的双重驱动下，隐私计算等新技术进入产业化时代，隐私保护迎来全新的阶段。 1.3.6漏洞管理将向攻击面管理发展 网络安全工具和方法日新月异，但漏洞管理始终是企业网络安全的致命环节。越来越多的企业通过漏洞管理平台和技术对网络进行及时、全面、自动化的安全评估和保护，降低网络安全风险。国际咨询机构Gartner认为：漏洞管理是在安全脆弱性被利用前，发现并做出修补的关键流程。这个 流程包括定义安全策略、评估、防护、消减和监控等环节。且漏洞管理流程同时还需要完善的管理制度，自动化IT安全漏洞管理平台，执行制度的人，等共同支撑流程的运转，来形成漏洞管理的闭环。 1.3.7安全托管：走向本土特色、符合业务需求 网络安全威胁形势的演变和日益复杂的业务环境驱动着安全托管服务（ManagedSecurityService，MSS）高速增长。IDC在《全球网络安全支出指南》指出，2020年，全球托管安全服务以其超过20%的市场占有率成为了网络安全市场中最大的子市场，未来五年MSS年复合增长预计超过20%。与国外发展成熟度较高的MSS市场相比，中国安全托管服务市场仍处在增长期，具有较大的上升空间。国际权威机构Frost&Sullivan报告显示，2020年大中华区MSS市场年增长率高达20.9%，预计将在2020年至2025年保持强劲的两位数增长率，复合年增长率高达21.4%。 第二章基础硬件安全 2.1芯片安全状况 安全芯片是指符合“可信赖平台模块”标准的芯片，是一个一个可独立进行密钥生成、加解密的运算装置，内部具有独立的处理器和存贮单元，可存储密钥和特征数据，并提供加密和安全认证服务。全