2023企业网络安全能力调查报告 前言 新冠疫情爆发加速了全社会数字化转型进程,远程办公、在线教育、网上直播等行业高速发展。随着数字经济时代到来,云计算、大数据、物联网等新兴技术在各行业深度应用,各行业在生产方式、商业模式、管理方式等方面发生深刻变革。 网络安全事关国家安全、社会安全,信创风口、个人信息保护以及等保2.0等政策发布奠定了网络安全行业发展基石。而在数字化转型趋势下,政企业务模式发生变化,网络安全风险呈现多样化、复杂化、难预测化的趋势,也导致网络安全行业需要探索新的业务增长点。 因此,安在新榜立足行业现状,研究环境变化对企业网络安全建设的影响。研究企业如何应对快速变化的互联网内外部环境,从而发现企业网络安全的未来建设趋势和新理念,新架构,新方法。 本报告仅反应当前企业网络安全的发展情况,为关注中国网络安全产业发展的读者提供参考。 目录 一、调查概况 二、调查发现三、小结 本次调研,总浏览量1,563人次,获得反馈样本1,149份,平均答题时长5分29秒;反馈样本涉及全国30个省市自治区,其中东部沿海地区获得样本较多; 主要的答题设备为移动设备,其中安卓和IOS系统占比较高。 地域分布设备分布操作系统分布 本次调查,反馈的样本中,金融、互联网、政府、智能制造、教育等行业样本量较多; 涉及的被调研企业中,1000人以上的大型企业占比29.85%;300人-1000人之间的中型企业占比28.29%;300人以下的小型企业占比为41.86%; 被调查企业的类型中,国资企业占比23.24%、外资企业12.71%、民营企业35.42%、个体企业21.24%、政府\社会机构的占比为7.40%; 在被调查的对象中,17.84%的是从事CIO、CTO、CSO、CISO、DPO等职能的网络安全高级岗位人员,33.33%的是从事主管、审计、风控、合规、项目经理等职能的网络安全中级岗位人员;42.56%的是从事工程师、安全专员、程序员等职能的网络安全初级岗位人员。 大型企业, 29.85% 小微企业, 41.86% 中型企业, 28.29% 政府/社 会机构,7.40% 个体企 业,21.24% 国资企 业,23.24% 民营企 业,35.42% 外资企 业,12.71% 其他, 6.27% 高级安 全岗位,17.84% 初级安 全岗位,42.56% 中级安 全岗位,33.33% 行业分布 企业规模 企业类型 岗位分布 目录 一、调查概况 二、调查发现 三、小结 调查显示,企业安全部门人员10人以下的占比较高,总计达到60.49%;安全部门的成立时间相对比较均衡,5年以下的占40.81%,5-10年的占37.94%;10年以上的占比21.24% 单位的安全部门向董事长或董事会汇报的占比8.79%,向CEO或总经理汇报的占比11.84%,向副总裁或VP汇报的占比8.62%,向CIO或CTO汇报的占比12.97%,而向行政、人事或财务汇报的占比22.54%,向风控、审计或合规汇报的占比17.15%,向安保部汇报的占比15.93%。 安保部负 责人,15.93% 其他, 2.18% 董事长或 董事会, 8.79%CEO或总 经理,11.84% 风控、审 计或合规部负责人,17.15% 行政、人事或财务部负责人,22.54% 副总裁或 VP,8.62% CIO或CTO, 12.97% 15年以上, 14.19% 1-3年, 20.71% 10-15年, 7.05% 8-10年, 16.36% 3-5年, 20.10% 5-8年, 21.58% 50-100人, 4.53% 100人以上, 6.27% 0人,3.57% 1-3人,18.28% 30-50人, 4.96% 20-30人, 7.22% 10-20人, 12.97% 3-5人,14.62% 8-10人, 13.49% 5-8人,14.10% 部门人员数量 部门成立时长 汇报对象 调查显示,小型企业安全部门人员的中位数是3-5人;中型企业安全部门人员的中位数是8-10人;大型企业安全部门人员的中位数是10-20人; 在行业比较中,政府、金融、互联网、智能制造、智能网联/车联网等行业安全部门人员较多。 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 100人以上 50-100人 30-50人 20-30人 10-20人 8-10人 5-8人 3-5人 1-3人 0人 600 500 企业类型中位数 大型企业10-20人 中型企业8-10人 小型企业3-5人 400 300 200 100 100人以上 50-100人 30-50人 20-30人 10-20人 8-10人 5-8人 3-5人 1-3人 0人 0 大型企业 中型企业 小微企业 政府 金融 互联网 智能制造 智能网联/车联网 医疗 交通/物流 贸易 建筑 地产 教育 不同规模企业安全人员数量 各行业安全人员数量分布 调查显示,安全部门比较关注来自决策层的要求,其中突发安全事件的应急处置和数字化转型是当下主要面临的挑战; 而安全部门自身最关注的价值,主要表现在满足监管要求、重要节点的安全保证工作零事故以及防御了多少安全攻击等方面; 不同行业在关注安全部门价值上略有不同,政府、金融等行业比较关注大领导的肯定;互联网、智能网联/车联网、地产、建筑等行业主要关注满足监管要求 满足监管要求 35.42% 重要节点的安全保证工作零事故 30.64% 防御了多少网络安全攻击 28.98% 发现了多少漏洞 26.46% 量化风险处置结果 20.63% 有效性度量与管理评审 17.75% 安全感打造 17.41% 各部门满意度 15.49% 大领导的肯定 10.10% 重复问题发生率 9.40% 平均事件处理时间 7.75% 其他0.70% 突发安全事件的应急处置 33.68% 数字化转型 26.02% 决策层要求太高与有限资金投入 的挑战 25.85% 外部红头文件的处罚 23.76% 上市的合规要求 22.98% 开发安全 20.02% 隐私保护 19.84% 寻找合适解决方案集成的挑战 13.66% 其他0.61% 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 重复问题发生率 平均事件处理时间大领导的肯定 各部门满意度安全感打造 有效性度量与管理评审 量化风险处置结果 满足监管要求 来自决策层的挑战 安全部门关注的价值 不同行业主要挑战的差异 政府金融互联网 智能制造智能网联/车联网 医疗交通/物流 贸易建筑地产教育 调查显示,企业安全部门在日常工作中主要协作的部门包括运维部门、数据部门、风控部门等;其中比较难沟通与协作的部门包括审计部门、支持部门、营销部门等; 为因对这种沟通的挑战,大家认为最有效的方式还是加强安全意识和文化建设,以获得相关部门的理解。 安全主要的协作部门 沟通难度较高的部门 提高安全部门能力的方法 在对企业网络安全危害的调查中,公司核心商业机密泄露被认为是公司网络安全的最大危害; 在对自身安全能力的自评中,11.31%企业认为当前安全建设仍然空白;27.15%的企业认为自身以局部建立了安全体系;29.68%的企业认为自身已经建设了完备的安全体系;另外有24.63%的企业认为自身已建立较成熟的安全免疫力;7.22%的企业开始将自身的安全能力外溢,向外提供安全服务。 安全能力 外溢,7.22% 较成熟的安全免疫力,24.63% 基本空白, 11.31% 局部建立 安全体系,27.15% 完备的安 全体系,29.68% 网络安全对公司最大的危害企业安全能力自评 政府 金融 互联网 智能制造 智能网联/车联网 医疗 交通/物流 贸易 建筑 地产 教育 其他 我们将安全能力的5个级别转换成量化的数值进行分析,基本空白=1分;局部建立安全体系=2分;完备的安全体系=3分;较成熟的安全免疫力=4分;安全能力外溢=5分;加权分析对各行业安全水平进行比较,得出智能网联/车联网、互联网、政府、金融等行业安全能力相对成熟。 100% 90% 80% 70% 60% 50% 40% 30% 安全能力外溢 较成熟的安全免疫力完备的安全体系 局部建立安全体系 基本空白 20% 10% 0% 各行业安全水平自评情况 行业 安全水平 政府 3.01 金融 2.96 互联网 3.12 智能制造 2.89 智能网联/车联网 3.39 医疗 2.33 交通/物流 2.58 贸易 2.48 建筑 2.50 地产 2.88 教育 2.74 我们将安全能力分为业务风险控制、数据安全治理、安全运营管理、端点安全、应用开发安全、边界安全等6个维度进行分析,发现政府在安全运营管理和端点保护领域相对短板;互联网企业在端点保护上相对是短板;智能制造企业在业务风险控制、数据安全治理、端点保护、边界保护上都相对较弱;智能网联/车联网企业在业务风险控制、端点保护上相对较弱;医疗、交通/物流、贸易、建设、地产、教育等行业,总体安全建设在各方面仍然存在较大缺失。 业务风险控制 边界保护 数据安全治理 应用开发安全 安全运营管理 端点保护 各行业安全水平自评情况 各行业安全水平雷达图 业务风险控制 数据安全治理 安全运营管理 端点保护 应用开发安全 边界保护 政府 3.00 3.04 2.97 2.94 3.06 3.10 金融 3.23 3.15 3.17 3.23 3.23 3.10 互联网 3.07 3.09 3.05 2.93 3.04 3.03 智能制造 2.92 2.96 3.00 2.98 3.15 2.86 智能网联/车联网 2.94 3.06 3.12 2.94 3.09 3.24 医疗 2.63 2.70 2.56 2.78 2.48 2.37 交通/物流 2.89 2.82 2.73 2.91 2.71 2.58 贸易 2.40 2.10 2.60 2.17 2.43 2.26 建筑 2.95 2.74 2.89 2.71 2.68 2.66 地产 2.69 2.56 2.63 3.06 2.44 2.69 教育 2.50 2.72 2.75 2.64 2.76 2.76 政府 金融 互联网 智能制造 智能网联/车联网 医疗 交通/物流地产 贸易教育 建筑 调查显示,决定企业安全能力的要素主要包括人力储备、安全生态、安全技术等方面;而影响或阻碍企业安全能力的发展主要在于人力水平和管理水平。由此可知,目前,人员短缺是各单位安全部门的发展安全能力的主要限制因素。 决定企业安全能力的要素企业安全能力的阻力 政府 金融 互联网 智能制造 智能网联/车联网 医疗 交通/物流 贸易 建筑 地产 教育 调查显示,安全预算占IT预算小于3%的企业占比为38.1%;3%-4%的企业占比为16%;4%-5%的企业占比16.4%;5%-7%的企业占比15.5%;总体看来,企业的网络安全预算有所增加。 比较各行业安全预算情况,金融、互联网、智能制造等行业安全预算较多;贸易行业安全预算最少。 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 10%以上 9%-10% 8%-9% 7%-8% 6%-7% 5%-6% 4%-5% 3%-4% 2%-3% 1%-2% 不到1% 网络安全预算占IT预算比例各行业预算比较 在对影响企业预算的因素进行调查中,合规建设、自研开发、安全事件、安全团队能力培养是主要可以影响安全预算多少的因素; 当前安全部门的安全预算主要投入在安全运营管理、端点安全等方面。 影响预算多少的因素当前预算主要投资的领域 在对企业安全建设的依赖路径调查中,调查显示内部自研为主,采购为辅是企业安全建设的主要方式; 当前企业重点的安全建设任务主要包括安全事件应急、APP安全建设