《赛迪顾问：2024年网络安全行业趋势洞察报告（11页）.pdf》由会员分享，可在线阅读，更多相关《赛迪顾问：2024年网络安全行业趋势洞察报告（11页）.pdf（11页珍藏版）》请在三个皮匠报告上搜索。

1、IT趋势2024面向数智时代的网络安全：融合创新、归本质2024年网络安全行业趋势洞察生成式ai能否重塑网络安全行业格局？.以身份为中心的安全该如何定义?网络安全保险能否被市场广泛关注?数据要素流通中的安全防护能否掀起新一轮荆舞-股票代码:HK02176-OCID赛迪顾问官 网：满天星：心GCID赛 迪 顾 问y思维创造世界发展背景及环境2023年是国家“十四五”中期评估之年，也是网络安全法施行的第六年。在这一年，政策方面，中国网络安全政策逐渐向各领域拓展，更注重实效与数 据安全保护。安全态势方面，数据泄露与勒索事件频发，网络攻击逐渐形成一 定的行业倾向。需求方面，中国网络安全市场受疫情影响增

2、速放缓，但政企机 构网络安全投入占比逐年增加。投融资方面，数据安全、攻击面管理等领域引 领投资热潮。【政策环境：网络安全政策更加细化落地并注重实际效能】2023年，中国 网络安全政策法规主要涵盖数据跨境安全、关键信息基础设施保护、网络安全 保险、密码应用、测试认证、重点领域应用等方面。从发布特点上看，一是政 策逐渐向云、工控等新兴技术领域以及金融、交通等行业应用领域扩展；二是 网络安全从单纯满足合规到现在的更注重能力提升，关键信息基础设施安全保 护体系和风险防范能力显著增强；三是数据安全审查、密码应用、数据跨境流 动等制度不断健全，数据安全治理和个人信息保护能力持续提升。2023年中国网络安全

3、领域主要政策法规序号发布时 间发布机构发布政策12023.1工业和信息化部等十六部门关于促进数据安全产业发展的指导意见22023.2国家互联网信息办公室个人信息出境标准合同办法32023.2中共中央、国务院数字中国建设整体布局规划42023.2中国证券监督管理委员会证券期货业网络和信息安全管理办法52023.3国家市场监督管理总局等四部门关于开展网络安全服务认证工作的实施意见62023.4关于调整网络安全专用产品安全管理有关事项 的公告国家互联网信息办公室等五部门72023.5国务院商用密码管理条例82023.5交通运输部公路水路关键信息基础设施安全保护管理办法92023.7工业和信息化部、国

4、家金融监督 管理总局关于促进网络安全保险规范健康发展的意见102023.7国家互联网信息办公室等四部门关于调整V网络关键设备和网络安全专用产品 目录的公告112023.8国家认证认可监督管理委员会关于修订网络关铤设备和网络安全专用产品安 全认证实施规则的公告122023.9中央网络安全和信息化委员会办 公室云计算服务安全评估专业技术机构数据来源：赛迪顾问整理，2024.01-2024年网络安全行业趋势洞察一2023年中国网络安全领域主要政策法规数据来源：赛迪顾问整理，2024.01发布时 间发布机构发布政策132023.10国家密码管理局商用密码检测机构管理办法142023.10_国家密=码管

5、理局_商用密码应用安全性评估管理办法152023.10国务院未成年人网络保护条例【安全态势：数据泄露与勒索依旧频发，网络攻击行业指向性增强】2023年，数据泄露、勒索软件、黑客攻击等网络安全事件层出不穷，特别是数据泄露与勒索愈演愈烈，大型企业数据和个人隐私数据备受威胁。LockBit、BlackCat等勒索软件频频现身，不仅对全球知名企业实施攻击，也直接威胁到 个人隐私安全，从全球范围内的网络冲突到个人数据泄露，网络安全风险日益 严峻。此外，各类网络攻击也在长期的攻击活动中逐渐形成一定的行业倾向性,“黑灰产”攻击组织开始结合自身特点和目的，将攻击目标具有指向性的瞄准 不同行业，比如针对中国的A

6、PT攻击主要利用安全漏洞、钓鱼攻击等实施入侵,目标涉及政府、金融、科研、能源、通信等领域的关键信息基础设施和重要信 息系统等。2023年中国网络安全领域重点安全事件梳理序号发生时间安全事件2023年1月台湾华航遭黑客攻击，多位名人会员信息被曝光22023年2月坚决打击网上借“胡某宇事件”造谣传谣、恶意营销炒作行为32023年3月黑客论坛上“在售”宏160 GB敏感数据42023年5月华硕路由器全球大规模宕机、断网52023年6月台积电遭遇LockBit勒索软件组织的黑客攻击，被勒索7000万美元62023年6月_超过10万个ChatGPT账户被恶意软件窃取72023年6月卡巴斯基曝光史上最复杂

7、苹果系列APT攻击一一三角测量行动82023年7月_武汉市地震监测中心遭境外网络攻击_92023年9月知网(CNKI)被依法作出网络安全审查相关行政处罚102023年9月_烟台网警打掉特大网络黑客犯罪团伙，涉案资金30亿元_112023年11月工行在美全资子公司遭遇勒索攻击事件122023年11月麒麟勒索病毒声称对中国汽车巨头延锋网络攻击负责132023年11月中国台湾大江生医集团236.3GB数据于暗网泄露142023年12月BlackCat将台湾中国石化添加到其Tor泄露网站的受害者名单中，泄露数据41.9GB数据来源：赛迪顾问整理，2024.01心GCID赛 迪 顾 问y思维创造世界【需

8、求环境：中国网络安全市场增速放缓】近三年来，政企客户整体IT投 资的需求持续下降，中国网络安全市场随之增速放缓，2023年，整体市场规模 达到998.3亿元，同比增长8.5%。随着行业数字化建设的加快和网络安全需求 的变化，安全产品向软件形态与服务转型成为不可逆转的趋势，网络安全软件 产品及安全服务市场需求增长迅速。从行业结构分布上来看，2023年，政府仍 旧是销售额占比最大的行业市场，电信、金融行业齐头并进，市场规模相差无 几。此外，制造、能源、交通等行业对网络安全的重视程度逐年增加，网络安 全投入逐步上涨，增速较快。图12018-2023年中国网络安全市场规模及增长数据来源：赛迪顾问，20

9、24.01图2了2023年中国网络安全市场产品结构图32023年中国网络安全市场行业结构数据来源：赛迪顾问，2024.01数据来源：赛迪顾问，2024.01-2024年网络安全行业趋势洞察一【投融资环境：网络安全领域投融资趋于理性】2023年，ChatGPT横空出 世，让网络攻防进入智能化对抗时代，数据安全、安全运营、工控安全等领域 在AI场景下的需求持续增加。但由于对未来市场环境预期的不明确，大部分资 本仍持保守观望态度，中国网络安全市场投融资热度明显下降。从投资赛道上 来看，数据安全领域被投厂商最多，涉及金额最大，主要涵盖云数据安全、数 据备份、数据存储等细分方向，此外，资产与漏洞管理、B

10、AS等细分赛道也同 样备受关注。从投资轮次上来看，2019年以前主要集中在A轮之前，2019年以后主要集中在A到C轮，可以看出网络安全领域投资的成熟度逐渐提升。图45018-2023年中国网络安全行业投资情况投资总额（亿元）一事件数（件）数据安全开发安全安全服务云安全资产与漏洞管理密码应用与管理威胁检测与响应安全运营 工控安全 零信任隐私计算 其他 物联网安全身份与访问管理 网络靶场数据来源：赛迪顾问，2024.01数据来源：赛迪顾问，2024.01图62018-2023年中国网络安全行业投融资轮次情况数据来源：赛迪顾问，2024.01OCID赛 迪 顾 问思维创造世界发展研判趋势一 2024

11、年中国网络安全市场仍然保持低速增长S32024年，行业用户用于安全方面的投入将面临缩减，中国网络安全市场增速较 慢，仍然保持10%以下的增长率，市场规模将达到1092.1亿元。其中，工控安 全、数据安全、身份安全、安全运营等相关产品及服务将保持较快增长速度,传统的安全硬件产品的市场占比将持续下降。趋势二车联网等新兴领域的安全将备受关注随着车联网、5G/6G、工业互联网、物联网等新兴领域的发展成熟，传统的网 络安全产品不能完全解决新领域、新架构的安全问题，因此亟需专用网络安全 技术产品的创新研发，网络安全逐渐向车联网安全、工控安全等多场景延伸拓展。例如，在车联网的云端、通信端以及车载端部署不同的

12、解决方案来保障智 能网联汽车整体的安全；在工控安全领域部署工控防火墙、工控审计、工控 IDS等专用的工控安全产品；物联网安全领域则需要全面考虑物联网终端、网 关、平台等关键基础环节的安全等。趋势三以业务为中心的安全建设趋势将更加明显在数字化转型的推动下，企业业务数字化以及数据价值化不断显现。由于企业 数字化业务场景丰富，应用环境繁杂，业务网络安全风险复杂多变，已知的防 控手段难以防控最新的业务风险，单点防御的网络安全技术无法应对持续多变 的业务环境。因此，网络安全建设要与业务系统深度融合，以业务为中心，构 建基于行业特征与具体业务场景的网络安全防护体系，为业务提供全流程、可持续的安全保障。趋势

13、四碎片化的安全产品将通过平台来进一步整合随着企业业务的复杂性不断提升，原来碎片化的安全能力开始向集约化、整合化、-2024年网络安全行业趋势洞察一平台化转换，不同产品方案进行整合，通过平台的搭建，将离散、碎片的安全 能力最小化、组件化集成于平台之中，更好地匹配业务逻辑和特性，真正实现 安全能力整合的要求。此外，孤立的安全产品对应了很多不同的安全供应商，不同供应商之间的产品存在难以协同、接口众多的情况，使得系统更容易出现 漏洞，从而产生更多的暴露面。因此，当企业建设了安全平台型产品之后，其对应的安全供应商之间也会进行整合，从而降低安全风险，提升安全运营效率。趋势五零信任等网络安全新理念不断成熟近

14、年来，云计算、大数据等新兴技术与实体经济加速融合，企业IT架构从建设 到运营发生极大变革，零信任、攻击面管理、WAAP、有效性验证、网络韧性等网络安全新理念也应运而生并不断成熟。例如零信任理念经过多年的发展供应链侧的零信任能力生态逐渐成熟，零信任方案和产品给企业带来的价值开始凸显，远程办公、远程运维、多分支机构互连成为企业对零信任的主要使用 场景。此外，攻击面管理的思路也逐渐向持续暴露面管理演变，旨在站在攻击 者的视角管理企业暴露风险面并且进行持续控制和改善。趋势六数据共享流通的安全将成为数据安全关注焦点对数据安全而言，2023年是极其重要的一年。从年初的工业和信息化部等十 六部门关于促进数据

15、安全产业发展的指导意见发布到“数据二十条”落地，以及数字中国建设整体布局规划正式出台等等，都标志着数据要素、数据 流通、数据安全等成为全年关注热点。特别是，随着国家数据局的正式挂牌，预计未来相关数据流通交易、数据安全保护等市场将掀起新一轮热潮。因此，如何实现数据的共享交易流通、如何建立起各行业的跨境数据安全保护机制以及如何以持续运营的思路开展数据安全治理工作等,都将成为未来的重点方向趋势七生成式AI给网络安全带来的机遇与挑战并存2024年，生成式AI如何应用到安全攻防领域，以及由大模型带来的安全问题等OCID赛 迪 顾 问思维创造世界都将成为行业热点。比如将生成式A1应用到威胁分析和响应领域，

16、通过对网络 流量、安全告警等数据进行深入且实时的安全分析，以AI安全助手作为工具，协助安全专家甄选出真实有效的威胁告警，并生成相应的响应策略，从而大幅 降低安全运营难度，提升安全运营效率与能力水平。与此同时，随着生成式AI 的普及，越来越多的企业需要更先进的AI风险与安全管理工具来更好掌控大模 型的使用情况，检测大模型自身安全风险、服务商风险以及大模型使用过程中 产生的数据泄露风险、数据跨境风险、用户及设备风险、业务安全风险等，因 此，AI大模型风险管理也将成为行业趋势热点。趋势八企业在未来安全建设过程中应优先考虑身份安全未来，以身份为中心的安全设计思路将变得十分重要，特别是在分布式、去中 心

17、化、模块化的网络架构之下，传统网络边界正向以身份为新的安全边界转化。企业在安全建设过程中将身份置于安全设计的中心，可以在安全攻击事件发生 时，主动识别数据使用者的相关合法身份信息，并进行提权等。未来，身份安 全也将不再局限于身份验证，而是由被动地识别变为主动的检测和响应。因此,与身份安全相关的扩展IAM、零信任、身份威胁检测与响应等会逐渐成为新的 行业热点。趋势九开源生态中对透明软件供应链安全的需求会增加在当前DevOps等开发模式下，应用程序中大部分代码是被“组装”而不是被“开发”出来的。有超过95%的组织在关键业务系统中都主动或被动地使用了 开源软件（OSS）资产；应用软件80%90%的代

18、码也来自开源组件。因此，开 源安全已成为软件供应链安全问题日益增长的重要因素。软件供应链攻击即攻 击者通过攻击软件项目的供应商或依赖关系来破坏软件项目。供应链的透明度 则能使组织全面了解他们的软件来自哪里、起到哪些作用以及是如何开发的等 等，这些信息可以帮助组织识别潜在的安全风险并采取适当的措施来缓解，未 来，实现软件供应链安全透明度的创新技术将成为市场关注热点。-2024年网络安全行业趋势洞察一网络安全保险将成为商业风险管理的重要组成趋势十H随着网络威胁复杂性和频率的增加，越来越多的企业通过网络安全保险降低数 据泄露和网络攻击导致的财务损失，网络安全保险将成为商业风险管理策略的 重要组成部分

19、。将网络安全保险纳入企业风险管理的最后一环，可以作为中小 企业网络安全建设的“增值服务”,以“保险+风险管控+服务”的方式，为客 户提供核保体检、风险监控、事故鉴证等服务。OCID赛 迪 顾 问思维创造世界需关注问题及建议1,数字中国全面布局推动数字安全屏障构建2023年，中共中央、国务院印发了数字中国建设整体布局规划，指出建设 数字中国是数字时代推进中国式现代化的重要引擎，是构筑国家竞争新优势的 有力支撑。数字中国建设已经成为抢抓新一轮国际竞争的先机、抢占未来发展 制高点的重要战略任务，这就更加要求我们处理好安全和发展的关系，坚持以 安全保发展、以发展促安全，筑牢可信可控的数字安全屏障。切实

20、维护网络安 全，完善网络安全法律法规和政策体系。不断增强关键信息基础设施保护能力,将安全防护前置并贯穿产品和技术的全流程，夯实信息基础设施的安全底座。推动政府、企业、社会组织以及全体网民广泛参与到网络安全防护当中，全面 构筑维护网络安全的统一防线。2,网络安全法律法规配套仍需细化加强近年来，中国网络安全政策频频出台，建立了从网络安全等级保护、关键信息 基础设施安全保护、网络安全审查、云计算服务安全评估、数据出境安全管理、生成式人工智能服务管理等一系列重要的安全制度，制定发布300多项网络安 全领域国家标准，网络安全法律体系建设日趋完善，法律法规的操作性、规范 性不断增强。尽管网络安全的顶层政策

21、法规已经较为健全，但相应的配套落地 措施、需要明确的重点问题、监管及执行机构部门设置等则需要时间来进一步 细化和落实，需要制定一系列更为细致的配套办法、措施、制度等为网络安全 建设及监管来提供实践指导。3、生成式人工智能应用带来的安全问题亟待解决2023年，生成式人工智能技术快速突破，工具应用遍地开花。在生成式人工智 能爆发的同时，也引发了学界对数据安全乃至国家安全的忧虑。首先，生成式 人工智能语料库的聚合、流动和分析带来前所未有的数据安全风险，这些风险-2024年网络安全行业趋势洞察一带来的威胁包括但不限于数据主权、个人信息安全、意识形态安全、网络安全 等方面，甚至危及国家安全。此外，生成式人工智能的恶用和滥用风险，恶意 分子借助生成式AI工具可以更容易地进行诈骗、身份假冒、网络攻击等违法犯 罪活动。面对生成式人工智能的风险挑战，我们建议从监管到技术方面构建全 面治理体系。在监管层面，成立专门的监管机构，完善法律法规体系，实现对 人工智能应用的全面监管。在技术层面，以风险管控、算法透明原则、多层次 的数据管理保障、生成内容的检测识别等对生成式人工智能进行全生命周期的 防护治理。