企業(yè)網(wǎng)絡(luò)安全能力調(diào)查報(bào)告

2023企業(yè)網(wǎng)絡(luò)安全能力調(diào)查報(bào)告前言新冠疫情爆發(fā)加速了全社會數(shù)字化轉(zhuǎn)型進(jìn)程，遠(yuǎn)程辦公、在線教育、網(wǎng)上直播等行業(yè)高速發(fā)展。隨著數(shù)字經(jīng)濟(jì)時(shí)代到來，云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)

等新興技術(shù)在各行業(yè)深度應(yīng)用，各行業(yè)在生產(chǎn)方式、商業(yè)模式、管理方式等方面發(fā)生深刻變革。網(wǎng)絡(luò)安全事關(guān)國家安全、社會安全，信創(chuàng)風(fēng)口、個(gè)人信息保護(hù)以及等保2.0等政策發(fā)布奠定了網(wǎng)絡(luò)安全行業(yè)發(fā)展基石。而在數(shù)字化轉(zhuǎn)型趨勢下，政企業(yè)務(wù)模式發(fā)生變化，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)呈現(xiàn)多樣化、復(fù)雜化、難預(yù)測化的趨勢，也導(dǎo)致網(wǎng)絡(luò)安全行業(yè)需要探索新的業(yè)務(wù)增長點(diǎn)。因此，安在新榜立足行業(yè)現(xiàn)狀，研究環(huán)境變化對企業(yè)網(wǎng)絡(luò)安全建設(shè)的影響。研究企業(yè)如何應(yīng)對快速變化的互聯(lián)網(wǎng)內(nèi)外部環(huán)境，從而發(fā)現(xiàn)企業(yè)網(wǎng)絡(luò)安全的未來建設(shè)趨勢和新理念，新架構(gòu)，新方法。本報(bào)告僅反應(yīng)當(dāng)前企業(yè)網(wǎng)絡(luò)安全的發(fā)展情況，為關(guān)注中國網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的讀者提供參考。目錄一、調(diào)查概況二、調(diào)查發(fā)現(xiàn)三、小結(jié)問卷樣本概況本次調(diào)研，總瀏覽量1,563人次，獲得反饋樣本1,149份，平均答題時(shí)長5分29秒；反饋樣本涉及全國30個(gè)省市自治區(qū)，其中東部沿海地區(qū)獲得樣本較多；主要的答題設(shè)備為移動(dòng)設(shè)備，其中安卓和IOS系統(tǒng)占比較高。操作系統(tǒng)分布地域分布設(shè)備分布本報(bào)告由安在新榜出品，未經(jīng)授權(quán)，禁止轉(zhuǎn)載被調(diào)查單位分布情況本次調(diào)查，反饋的樣本中，金融、互聯(lián)網(wǎng)、政府、智能制造、教育等行業(yè)樣本量較多；涉及的被調(diào)研企業(yè)中，1000人以上的大型企業(yè)占比29.85%；300人-1000人之間的中型企業(yè)占比28.29%；300人以下的小型企業(yè)占比為41.86%；被調(diào)查企業(yè)的類型中，國資企業(yè)占比23.24%、外資企業(yè)12.71%、民營企業(yè)35.42%、個(gè)體企業(yè)21.24%、政府\社會機(jī)構(gòu)的占比為7.40%；在被調(diào)查的對象中，17.84%的是從事CIO、CTO、CSO、CISO、DPO等職能的網(wǎng)絡(luò)安全高級崗位人員，33.33%的是從事主管、審計(jì)、風(fēng)控、合規(guī)、項(xiàng)目經(jīng)理等職能的網(wǎng)絡(luò)安全中級崗位人員；42.56%的是從事工程師、安全專員、程序員等職能的網(wǎng)絡(luò)安全初級崗位人員。行業(yè)分布大型企業(yè),29.85%中型企業(yè),28.29%小微企業(yè),41.86%國資企業(yè),23.24%外資企業(yè),12.71%民營企業(yè),35.42%個(gè)體企業(yè),21.24%政府/社會機(jī)構(gòu),7.40%企業(yè)規(guī)模

企業(yè)類型 崗位分布高級安全崗位,17.84%本報(bào)告由安在新榜出品，未經(jīng)授權(quán)，禁止轉(zhuǎn)載中級安全崗位,33.33%初級安全崗位,42.56%其他,6.27%目錄一、調(diào)查概況二、調(diào)查發(fā)現(xiàn)三、小結(jié)企業(yè)安全部門畫像調(diào)查顯示，企業(yè)安全部門人員10人以下的占比較高，總計(jì)達(dá)到60.49%；安全部門的成立時(shí)間相對比較均衡，5年以下的占40.81%，5-10年的占37.94%；10年以上的占比21.24%單位的安全部門向董事長或董事會匯報(bào)的占比8.79%，向CEO或總經(jīng)理匯報(bào)的占比11.84%，向副總裁或VP匯報(bào)的占比8.62%，向CIO或CTO匯報(bào)的占比12.97%，而向行政、人事或財(cái)務(wù)匯報(bào)的占比22.54%，向風(fēng)控、審計(jì)或合規(guī)匯報(bào)的占比17.15%,向安保部匯報(bào)的占比15.93%。董事長或董事會,8.79%CEO或總經(jīng)理,11.84%副總裁或VP,

8.62%CIO或CTO,12.97%風(fēng)控、審計(jì)或合規(guī)部負(fù)責(zé)人,17.15%行政、人事或財(cái)務(wù)部負(fù)責(zé)人,22.54%安保部負(fù)責(zé)人,15.93%其他,2.18%匯報(bào)對象1-3年,20.71%3-5年,20.10%5-8年,21.58%8-10年,16.36%10-15年,7.05%15年以上,14.19%部門成立時(shí)長0人,

3.57%1-3人,

18.28%3-5人,

14.62%5-8人,

14.10%8-10人,13.49%10-20人,12.97%20-30人,7.22%30-50人,4.96%50-100人,4.53%100人以上,6.27%部門人員數(shù)量本報(bào)告由安在新榜出品，未經(jīng)授權(quán)，禁止轉(zhuǎn)載行業(yè)安全部門畫像調(diào)查顯示，小型企業(yè)安全部門人員的中位數(shù)是3-5人；中型企業(yè)安全部門人員的中位數(shù)是8-10人；大型企業(yè)安全部門人員的中位數(shù)是10-20人；在行業(yè)比較中，政府、金融、互聯(lián)網(wǎng)、智能制造、智能網(wǎng)聯(lián)/車聯(lián)網(wǎng)等行業(yè)安全部門人員較多。各行業(yè)安全人員數(shù)量分布不同規(guī)模企業(yè)安全人員數(shù)量0100200300400500600大型企業(yè)中型企業(yè)小微企業(yè)100人以上50-100人30-50人20-30人10-20人8-10人5-8人3-5人1-3人0人企業(yè)類型 中位數(shù)大型企業(yè) 10-20人中型企業(yè) 8-10人小型企業(yè) 3-5人100%90%80%70%60%50%40%30%20%10%0%政府金融互聯(lián)網(wǎng)智能制造智能網(wǎng)聯(lián)/車聯(lián)網(wǎng)醫(yī)療交通/物流貿(mào)易建筑地產(chǎn)教育100人以上50-100人30-50人20-30人10-20人8-10人5-8人3-5人1-3人0人本報(bào)告由安在新榜出品，未經(jīng)授權(quán)，禁止轉(zhuǎn)載企業(yè)安全挑戰(zhàn)調(diào)查顯示，安全部門比較關(guān)注來自決策層的要求，其中突發(fā)安全事件的應(yīng)急處置和數(shù)字化轉(zhuǎn)型是當(dāng)下主要面臨的挑戰(zhàn)；而安全部門自身最關(guān)注的價(jià)值，主要表現(xiàn)在滿足監(jiān)管要求、重要節(jié)點(diǎn)的安全保證工作零事故以及防御了多少安全攻擊等方面；不同行業(yè)在關(guān)注安全部門價(jià)值上略有不同，政府、金融等行業(yè)比較關(guān)注大領(lǐng)導(dǎo)的肯定；互聯(lián)網(wǎng)、智能網(wǎng)聯(lián)/車聯(lián)網(wǎng)、地產(chǎn)、建筑等行業(yè)主要關(guān)注滿足監(jiān)管要求安全部門關(guān)注的價(jià)值來自決策層的挑戰(zhàn)33.68%26.02%25.85%23.76%22.98%20.02%19.84%13.66%突發(fā)安全事件的應(yīng)急處置數(shù)字化轉(zhuǎn)型決策層要求太高與有限資金投入的挑戰(zhàn)外部紅頭文件的處罰上市的合規(guī)要求開發(fā)安全隱私保護(hù)尋找合適解決方案集成的挑戰(zhàn)其他 0.61%35.42%30.64%28.98%26.46%20.63%17.75%17.41%15.49%10.10%9.40%7.75%滿足監(jiān)管要求重要節(jié)點(diǎn)的安全保證工作零事故防御了多少網(wǎng)絡(luò)安全攻擊發(fā)現(xiàn)了多少漏洞量化風(fēng)險(xiǎn)處置結(jié)果有效性度量與管理評審安全感打造各部門滿意度大領(lǐng)導(dǎo)的肯定重復(fù)問題發(fā)生率平均事件處理時(shí)間其他 0.70%100%90%80%70%60%50%40%30%20%10%0%政府金融互聯(lián)網(wǎng)智能制造智能網(wǎng)聯(lián)/車聯(lián)網(wǎng)醫(yī)療交通/物流貿(mào)易建筑地產(chǎn)教育重復(fù)問題發(fā)生率平均事件處理時(shí)間大領(lǐng)導(dǎo)的肯定各部門滿意度安全感打造有效性度量與管理評審量化風(fēng)險(xiǎn)處置結(jié)果滿足監(jiān)管要求不同行業(yè)主要挑戰(zhàn)的差異本報(bào)告由安在新榜出品，未經(jīng)授權(quán)，禁止轉(zhuǎn)載溝通與協(xié)作的挑戰(zhàn)調(diào)查顯示，企業(yè)安全部門在日常工作中主要協(xié)作的部門包括運(yùn)維部門、數(shù)據(jù)部門、風(fēng)控部門等；其中比較難溝通與協(xié)作的部門包括審計(jì)部門、支持部門、營銷部門等；為因?qū)@種溝通的挑戰(zhàn)，大家

認(rèn)為最有效的方式還是加強(qiáng)安全意識和文化建設(shè)，以獲得相關(guān)部門的理解。溝通難度較高的部門安全主要的協(xié)作部門提高安全部門能力的方法本報(bào)告由安在新榜出品，未經(jīng)授權(quán)，禁止轉(zhuǎn)載企業(yè)安全能力自評在對企業(yè)網(wǎng)絡(luò)安全危害的調(diào)查中，公司核心商業(yè)機(jī)密泄露被認(rèn)為是公司網(wǎng)絡(luò)安全的最大危害；在對自身安全能力的自評中，11.31%企業(yè)認(rèn)為當(dāng)前安全建設(shè)仍然空白；27.15%的企業(yè)認(rèn)為自身以局部建立了安全體系；29.68%的企業(yè)認(rèn)為自身已經(jīng)建設(shè)了完備的安全體系；另外有24.63%的企業(yè)認(rèn)為自身已建立較成熟的安全免疫力；7.22%的企業(yè)開始將自身的安全能力外溢，向外提供安全服務(wù)。網(wǎng)絡(luò)安全對公司最大的危害企業(yè)安全能力自評基本空白,11.31%本報(bào)告由安在新榜出品，未經(jīng)授權(quán)，禁止轉(zhuǎn)載局部建立安全體系,27.15%完備的安全體系,29.68%安全能力外溢,7.22%較成熟的安全免疫力,

24.63%20%10%0%30%40%50%60%100%90%80%70%政府金融互聯(lián)網(wǎng)智能制造智能網(wǎng)聯(lián)/車聯(lián)網(wǎng)醫(yī)療交通/物流貿(mào)易建筑地產(chǎn)教育其他安全能力外溢較成熟的安全免疫力完備的安全體系局部建立安全體系基本空白各行業(yè)安全水平自評情況企業(yè)安全能力自評本報(bào)告由安在新榜出品，未經(jīng)授權(quán)，禁止轉(zhuǎn)載我們將安全能力的5個(gè)級別轉(zhuǎn)換成量化的數(shù)值進(jìn)行分析，基本空白=1分；局部建立安全體系=2分；完備的安全體系=3分；較成熟的安全免疫力=4分；安全能力外溢=5分；加權(quán)分析對各行業(yè)安全水平進(jìn)行比較，得出智能網(wǎng)聯(lián)/車聯(lián)網(wǎng)、互聯(lián)網(wǎng)、政府、金融等行業(yè)安全能力相對成熟。行業(yè)安全水平政府3.01金融2.96互聯(lián)網(wǎng)3.12智能制造2.89智能網(wǎng)聯(lián)/車聯(lián)網(wǎng)3.39醫(yī)療2.33交通/物流2.58貿(mào)易2.48建筑2.50地產(chǎn)2.88教育2.74各行業(yè)安全水平自評情況行業(yè)安全能力自評我們將安全能力分為業(yè)務(wù)風(fēng)險(xiǎn)控制、數(shù)據(jù)安全治理、安全運(yùn)營管理、端點(diǎn)安全、應(yīng)用開發(fā)安全、邊界安全等6個(gè)維度進(jìn)行分析，發(fā)現(xiàn)政府在安全運(yùn)營管理和端點(diǎn)保護(hù)領(lǐng)域相對短板；互聯(lián)網(wǎng)企業(yè)在端點(diǎn)保護(hù)上相對是短板；智能制造企業(yè)在業(yè)務(wù)風(fēng)險(xiǎn)控制、數(shù)據(jù)安全治理、端點(diǎn)保護(hù)、邊界保護(hù)上都相對較弱；智能網(wǎng)聯(lián)/車聯(lián)網(wǎng)企業(yè)在業(yè)務(wù)風(fēng)險(xiǎn)控制、端點(diǎn)保護(hù)上相對較弱；醫(yī)療、交通/物流、貿(mào)易、建設(shè)、地產(chǎn)、教育等行業(yè)，總體安全建設(shè)在各方面仍然存在較大缺失。業(yè)務(wù)風(fēng)險(xiǎn)控制數(shù)據(jù)安全治理安全運(yùn)營管理端點(diǎn)保護(hù)應(yīng)用開發(fā)安全邊界保護(hù)政府3.003.042.972.943.063.10金融3.233.153.173.233.233.10互聯(lián)網(wǎng)3.073.093.052.933.043.03智能制造2.922.963.002.983.152.86智能網(wǎng)聯(lián)/車聯(lián)網(wǎng)2.943.063.122.943.093.24醫(yī)療2.632.702.562.782.482.37交通/物流2.892.822.732.912.712.58貿(mào)易2.402.102.602.172.432.26建筑2.952.742.892.712.682.66地產(chǎn)2.692.562.633.062.442.69教育2.502.722.752.642.762.76業(yè)務(wù)風(fēng)險(xiǎn)控制數(shù)據(jù)安全治理安全運(yùn)營管理端點(diǎn)保護(hù)應(yīng)用開發(fā)安全邊界保護(hù)政府金融互聯(lián)網(wǎng)智能制造智能網(wǎng)聯(lián)/車聯(lián)網(wǎng)醫(yī)療交通/物流地產(chǎn)貿(mào)易教育建筑各行業(yè)安全水平雷達(dá)圖本報(bào)告由安在新榜出品，未經(jīng)授權(quán)，禁止轉(zhuǎn)載決定企業(yè)安全能力的要素決定企業(yè)安全能力的要素調(diào)查顯示，決定企業(yè)安全能力的要素主要包括人力儲備、安全生態(tài)、安全技術(shù)等方面；而影響或阻礙企業(yè)安全能力的發(fā)展主要在于人力水平和管理水平。由此可知，目前，人員短缺是各單位安全部門的發(fā)展安全能力的主要限制因素。企業(yè)安全能力的阻力本報(bào)告由安在新榜出品，未經(jīng)授權(quán)，禁止轉(zhuǎn)載網(wǎng)絡(luò)安全預(yù)算占IT預(yù)算比例企業(yè)網(wǎng)絡(luò)安全預(yù)算情況調(diào)查顯示，安全預(yù)算占IT預(yù)算小于3%的企業(yè)占比為38.1%；3%-4%的企業(yè)占比為16%；4%-5%的企業(yè)占比16.4%；5%-7%的企業(yè)占比15.5%；總體看來，企業(yè)的網(wǎng)絡(luò)安全預(yù)算有所增加。比較各行業(yè)安全預(yù)算情況，金融、互聯(lián)網(wǎng)、智能制造等行業(yè)安全預(yù)算較多；貿(mào)易行業(yè)安全預(yù)算最少。各行業(yè)預(yù)算比較0%10%20%30%40%50%60%70%100%90%80%政府金融互聯(lián)網(wǎng)智能制造智能網(wǎng)聯(lián)/車聯(lián)網(wǎng)醫(yī)療交通/物流貿(mào)易建筑地產(chǎn)教育10%以上9%-10%8%-9%7%-8%6%-7%5%-6%4%-5%3%-4%2%-3%1%-2%不到1%本報(bào)告由安在新榜出品，未經(jīng)授權(quán)，禁止轉(zhuǎn)載影響預(yù)算多少的因素預(yù)算獲取與分配在對影響企業(yè)預(yù)算的因素進(jìn)行調(diào)查中，合規(guī)建設(shè)、自研開發(fā)、安全事件、安全團(tuán)隊(duì)能力培養(yǎng)是主要可以影響安全預(yù)算多少的因素；當(dāng)前安全部門的安全預(yù)算主要投入在安全運(yùn)營管理、端點(diǎn)安全等方面。當(dāng)前預(yù)算主要投資的領(lǐng)域本報(bào)告由安在新榜出品，未經(jīng)授權(quán)，禁止轉(zhuǎn)載安全建設(shè)主要依靠安全建設(shè)的方式和目標(biāo)在對企業(yè)安全建設(shè)的依賴路徑調(diào)查中，調(diào)查顯示內(nèi)部自研為主，采購為輔是企業(yè)安全建設(shè)的主要方式；當(dāng)前企業(yè)重點(diǎn)的安全建設(shè)任務(wù)主要包括安全事件應(yīng)急、APP安全建設(shè)、交易和支付安全保障、等級保護(hù)合規(guī)等；當(dāng)前的主要任務(wù)本報(bào)告由安在新榜出品，未經(jīng)授權(quán)，禁止轉(zhuǎn)載當(dāng)前的主要挑戰(zhàn)安全建設(shè)的挑戰(zhàn)和壓力調(diào)查顯示，為開展上述安全建設(shè)，當(dāng)下安全部門最大的挑戰(zhàn)是經(jīng)費(fèi)有限和專業(yè)人員不足；而面臨的最大壓力是技術(shù)的快速發(fā)展與自身能力不足導(dǎo)致的沖突。當(dāng)前的主要壓力本報(bào)告由安在新榜出品，未經(jīng)授權(quán)，禁止轉(zhuǎn)載安全部門的定位安全部門的價(jià)值定位與話語權(quán)提升在對安全部門在企業(yè)中價(jià)值定位的調(diào)查中，37.8%的用戶認(rèn)為內(nèi)外部數(shù)據(jù)及情報(bào)職能是企業(yè)安全部門最好的定位；而要提高安全部門在企業(yè)中的受重視程度，最好的方法是開展高層網(wǎng)絡(luò)安全培訓(xùn)以及全員的安全意識宣傳；有效提高管理層對安全重視的方法28.63%26.02%25.50%25.41%23.50%22.19%21.93%高層網(wǎng)絡(luò)安全培訓(xùn)監(jiān)管發(fā)布的紅頭文件同行業(yè)網(wǎng)絡(luò)安全情況差距分…讓管理層體驗(yàn)暴露的網(wǎng)絡(luò)安…近期安全事件案例集風(fēng)險(xiǎn)評估報(bào)告發(fā)起咨詢項(xiàng)目讓外部專家訪…其他

0.26%提升話語權(quán)的主要工作本報(bào)告由安在新榜出品，未經(jīng)授權(quán)，禁止轉(zhuǎn)載網(wǎng)絡(luò)安全趨勢企業(yè)網(wǎng)絡(luò)安全趨勢調(diào)查顯示，人工智能進(jìn)入網(wǎng)絡(luò)安全工具成為未來兩年用戶企業(yè)的最大共識；而數(shù)據(jù)合規(guī)使用是未來兩年企業(yè)面臨的最大威脅；未來兩年企業(yè)的網(wǎng)絡(luò)安全威脅36.55%29.59%26.28%18.45%15.58%15.06%14.19%11.75%11.23%10.10%8.70%8.44%6.27%6.01%6.01%5.57%5.40%5.40%4.87%4.87%4.79%4.79%4.79%4.61%4.44%3.22%人工智能進(jìn)入網(wǎng)絡(luò)安全工具個(gè)人信息保護(hù)問題IT供應(yīng)鏈的安全，部署信創(chuàng)產(chǎn)品零信任網(wǎng)絡(luò)訪問(ZTNA)保護(hù)云原生應(yīng)用網(wǎng)絡(luò)空間測繪（資產(chǎn)探查）量化風(fēng)險(xiǎn)評估及自動(dòng)化基于風(fēng)險(xiǎn)的漏洞管理平臺DevSecOps攻防競賽平臺或服務(wù)的采用員工監(jiān)控技術(shù)ChatGPT用于安全隱私計(jì)算本報(bào)告由安在新榜出品，未經(jīng)授權(quán)，禁止轉(zhuǎn)載企業(yè)愿意嘗試以下哪些領(lǐng)域的自主創(chuàng)新研究企業(yè)安全自研調(diào)查顯示，目前企業(yè)愿意在數(shù)據(jù)治理、隱私計(jì)算、云安全托管等方面加大投入開展自主創(chuàng)新研究；而開展方式主要會選擇與同業(yè)伙伴聯(lián)合開發(fā)。自主創(chuàng)新研究的方式本報(bào)告由安在新榜出品，未經(jīng)授