数世咨询:《2023年数字安全大事记》发布(下)

攻防
11月前

92fd.jpg

本帖上半部分https://www.dwcon.cn/post/3326


五、技术产品与资本市场篇

1、重要结论

● 数世咨询于2023年将“网络安全三元论”迭代并升级为“以安全能力、数字资产和数字活动为三元素,以数据安全为核心目标,即三元一核的数字安全三元论”,以适应数字中国建设的进程。

● ChatGPT的火爆引发大语言模型的应用普及,国内先后出现了十几家安全企业发布大模型驱动的安全运营相关产品,但目前尚未形成真正的商业收入,尚处于数世咨询定义的市场成熟度中的概念阶段。

● 软件供应链安全开始受到更多用户的关注,但绝大多数用户的需求停留在软件成分分析和应用安全测试的需求。整个软件供应链安全体系的建立还需要相当一段长的时间。

● 国内融资市场,数据安全超越去年的工业互联网安全成为融资额第一的赛道,攻击面管理进阶为安全运营位列第三,密码从去年的第十位跃居第四。零信任、威胁检测与响应、车联网跌出十大赛道。数字靶场、入侵攻击模拟、安全验证合并成为一个新的赛道,持续评估。

● 2023年数字安全资本市场的股权融资再创新低,国内股权融资总额约39亿元,与2022年相比下降45%。与此同时,海外数字安全的股权融资也呈大幅度下降态势。股权融资148笔,与2022年相比下降32%。股权融资总额约为50.45亿美元,与2022年相比下降55%。

2、技术产品

数世咨询于2020年首次提出“网络安全三元论”。三元分别为,网络攻防、信息技术和业务场景。随着数据成为第五大生产要素为典型标志的数字时代来临,数世咨询将“网络安全三元论”进行了更新迭代,并升级为“以安全能力、数字资产和数字活动为三元素,以数据安全为核心目标,即三元一核”的“数字安全三元论”,以适应数字中国建设的进程。

数字安全的三个元素分别为,安全能力、数字资产和数字活动。数字资产是安全能力的保护对象,数字活动是安全能力以及数字资产的服务对象,而数据则是三元论的核心目标。对于这四者关系的深度理解和相关技能掌握是做好数字安全工作的关键。

三元论-2023-3-300x.png

 “三元一核”数字安全三元论

从数字资产、数字活动与安全能力三大元素和位于中心的数据安全共四大维度出发,能力图谱划分出八大方向。每个方向又包含各自一级或子级的细分领域。 

2023大事记09.png

根据“专精特新”的技术先进性和落地可行性,数世咨询提出:

3、2023年度数字安全十大创新项目

(1)数字资产全息图(DAH)—典型厂商:未岚科技

(2)API数据安全(ADS)—典型厂商:青笠科技

(3)持续评估定义安全运营(CEDSO)—典型厂商:360数字安全

(4)大模型驱动的安全运营(LLM-Ops)—典型厂商:绿盟科技

(5)现代WAF(MWAF)—典型厂商:瑞数信息

(6)数据监测与响应(DMR)—典型厂商:云智信安

(7)标签即服务(LaaS)—典型厂商:霍因科技

(8)数字化安全运营工作框架(DSO-SF)—典型厂商:众智维

(9)智能汽车安全(SVS)—典型厂商:为辰信安

(10)企业浏览器(EB)—典型厂商:360数字安全

4、资本市场

据数世咨询统计,2023年国内数字安全企业股权融资70余笔,与2022年相比下降26%。股权融资总额约39亿元,与2022年相比下降45%。

2023大事记10.png
(数世咨询供图,转载请注明来源)

2023大事记11.png
 (数世咨询供图,转载请注明来源)

海外资本市场方面,依据公开的消息,股权融资次数148笔,与2022年相比下降32%。股权融资总额约为50.45亿美元,与2022年相比下降55%。

2023大事记12.png
(数世咨询供图,转载请注明来源)

2023大事记13.png
(数世咨询供图,转载请注明来源)

5、2023年度数字安全十大收并购

(1)思科收购日志搜索厂商Splunk,280亿美元

(2)Open  Text收购IT运维与应用安全厂商Micro Focus,58亿美元

(3)THALES收购应用与数据库安全厂商Imperva,36亿美元

(4)TPG收购Forcepoint的全球政府网络安全业务,25亿美元

(5)Francisco Partners收购云安全厂商Sumo Logic,17亿美元

(6)Crosspoint Capital Partners收购终端安全厂商Absolute Software,8.7亿美元

(7)Palo Alto Networks收购企业浏览器安全厂商Talon Cyber Security,6.25美元

(8)Check Point收购SASE厂商Perimeter 81,4.9亿美元

(9)Travelers收购网络保险提供商Corvus Insurance Holdings,4.35亿美元

(10)Palo Alto Networks收购数据安全厂商Dig Security,4亿美元。

六、国家安全与法规政策篇

1、重要结论

● 2023年,与国家冲突相关的攻击活动愈演愈烈。以俄罗斯和乌克兰,伊朗和以色列,巴勒斯坦与以色列等为代表。攻击手段包括木马、钓鱼、拒绝服务和信息伪造等,攻击对象则包括了通信、电力、交通、金融、政务等重要基础设施。

● 短视频社区平台TikTok先后被美、英、澳、加等国在政府机构的设备上禁用,美国甚至还将其扩大到所有政府承包商的设备上。表面上欧美等是以国家安全的名义,但实际上为了维护自身互联网企业的市场份额,以及对中国互联网企业带来的数字文化传播力的极度担忧。

● 2023年,又是一系列法规政策密集出台的一年。个人信息、数据安全、网络安全认证、密码等重磅规定相继发布。从中可以感到,我们的数字安全制度体系正在逐渐完善。从最顶层的数字中国建设整体布局规划,到等保、数保、个保和关保,再到相关的各项标准和管理办法,已经基本形成了从法规政策到标准办法的一整套制度体系。

2、2023年度国家级网络安全十件大事

2月,西欧最大规模的军事网络战演习(DCM2)在爱沙尼亚举行。包括美国、英国、日本、印度、意大利、爱沙尼亚、乌克兰、加纳、肯尼亚和阿曼等11个国家的34支队伍共750名安全专家参加了此次演习。

2月,美国白宫要求所有联邦机构在30天时间内确保在设备和系统上没有TikTok。美国行政管理和预算办公室称,该要求在“解决该应用程序对敏感政府数据带来的风险方面迈出的关键一步”。6月,美国宇航局、国防部和总务管理局再次将禁止范围扩大到所有政府承包商的设备上。

3月,俄罗斯承包商NTC Vulkan泄露的数千页机密文件,暴露了俄罗斯的全球网络战计划。俄罗斯情报机构如何利用私营公司来计划和执行全球黑客行动。该起泄密事件还暴露了该承包商与俄罗斯联邦安全局、俄罗斯国内间谍机构GOU和GRU以及俄罗斯外国情报组织SVR的密切联系。

5月,美国网络安全和基础设施安全局发布警告,敦促关键基础设施组织将其环境范围扩大到被认为构成高风险的通信设备。根据相关法案,联邦机构不得购买构成国家安全风险的通信设备和服务。联邦通信委员会负责维护此类产品的清单。该清单中包括华为、中兴通讯、海能达、海康威视、大华、中国移动、中国电信、中国联通和太平洋网络公司的电信设备和服务。

7月,欧盟签署了一项个人信息隐私的新协议,旨在缓解欧洲对美国情报机构电子间谍活动的担忧。这份欧盟-美国数据隐私框架,与27个欧盟国家本身的数据保护标准相符。因此可以在合规的情况下,将信息从欧洲转移到美国,而无需增加额外的安全性。

8月,针对武汉市应急管理局地震监测中心网络被植入后门恶意软件一事,调查组发现此次的后门恶意软件符合美国情报机构特征,具有很强的隐蔽性,并且通过恶意软件的功能和受影响的系统判断,攻击者的目的是窃取地震监测相关数据,而且具有明显的军事侦察目的。

8月,美国总统乔﹒拜登签署“关于解决美国在特定国家对某些国家安全技术和产品的投资问题的行政命令”。该令确立了针对美国主体对外投资活动的安全审查机制,限制美国主体在中国进行特定领域的投资活动。

9月,中国国家安全部在官方微信公众号发文指出,美国情报部门凭借其强大的网络攻击武器库,对包括中国在内的全球多国实施监控、窃密和网络攻击,并多次对我国进行体系化、平台化攻击,试图窃取我国重要数据资源。如2009年,特定入侵行动办公室就开始入侵华为总部的服务器并持续开展监控。

2022年9月,又被发现长期持续地对包括西北工业大学在内的国内网络目标实施了上万次恶意网络攻击,控制了数以万计的网络设备,窃取大量高价值数据。对此,我国官方多次敦促美方应深刻反省,停止针对全球的网络攻击窃密行径,停止以各种虚假信息混淆视听。

11月,乌克兰国防部国防情报局声称,由于在网络空间进行了一次成功的复杂特别行动,现已获得俄罗斯联邦航空运输局的大量机密文件,并发布了文件的截图。这种国与国之间公开承认发动网络攻击实属罕见。

12月,美国网络安全和基础设施安全局与欧盟网络安全局签署了一项情报共享协议,以增加跨境信息共享,并进一步打击犯罪分子。根据该协议,美国还将作为第三国更多地参与欧盟范围内的网络安全培训演习。

3、2023年度国内数字安全十大法规政策

1月,工业和信息化部等十六部门联合印发《关于促进数据安全产业发展的指导意见》。到2025年,数据安全产业基础能力和综合实力明显增强。产业生态和创新体系初步建立,标准供给结构和覆盖范围显著优化,产品和服务供给能力大幅提升,重点行业领域应用水平持续深化,人才培养体系基本形成。

2月,中共中央、国务院印发了《数字中国建设整体布局规划》。《规划》指出,“……筑牢可信可控的数字安全屏障。切实维护网络安全,完善网络安全法律法规和政策体系。增强数据安全保障能力,建立数据分类分级保护基础制度,健全网络数据监测预警和应急处置工作体系。”

3月,国家互联网信息办公室公布《网信部门行政执法程序规定》,自2023年6月1日起施行。《规定》规定了网信部门行政执法地域管辖、级别管辖、指定管辖、移送管辖等制度,明确了“一事不二罚”原则。同时,还规范了网信部门行政执法程序,规定了行政处罚的执行与监督。

3月,市场监管总局、中央网信办、工业和信息化部、公安部发布《关于开展网络安全服务认证工作的实施意见》。《意见》指出,网络安全服务认证目录由市场监管总局会同中央网信办、工业和信息化部、公安部根据市场需求和产业发展状况确定并适时调整,现阶段包括检测评估、安全运维、安全咨询和等级保护测评等服务类别。

4月,网信办、工信部、公安部、国家认监委、财政部联合发布《调整网络安全专用产品安全管理有关事项的公告》,要求自2023年7月1日起,列入《网络关键设备和网络安全专用产品目录》的网络安全专用产品(简称网专产品)应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。同时,自2023年7月1日起,停止颁发《计算机信息系统安全专用产品销售许可证》,产品生产者无需申领。

4月,国务院总理李强签发中华人民共和国国务院令第760号,《商用密码管理条例》经2023年4月14日国务院第4次常务会议修订通过并公布,自2023年7月1日起施行。

5月,《信息安全技术 关键信息基础设施安全保护要求》正式实施。该标准提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护三项基本原则。从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等6个方面提出了111条安全要求,为开展关键信息基础设施保护工作需求提供了强有力的标准保障。

9月,《未成年人网络保护条例》经2023年9月20日国务院第15次常务会议通过并公布,自2024年1月1日起施行。

9月,《商用密码应用安全性评估管理办法》经2023年9月11日国家密码管理局局务会议审议通过并公布,自2023年11月1日起施行。

12月,为了规范网络安全事件的报告,减少网络安全事件造成的损失和危害,维护国家网络安全,依据《中华人民共和国网络安全法》等法律法规,国家互联网信息办公室起草了《网络安全事件报告管理办法(征求意见稿)》,并面向社会公开征求意见。

4、2023年度国外数字安全十大法规政策

3月,美国白宫发布《国家网络安全战略》。强调重新平衡保卫网络空间的责任和重新调整激励措施以支持长期投资。基于对“网络空间中的角色、责任和资源”的重新思考,制定了网络安全战略的三条主线:将网络安全的负担从个人、小企业和地方政府,转移到最有能力和最有能力为所有人降低风险的组织来“重新平衡”保卫网络空间的责任;通过在抵御当今的紧迫威胁与同时为有韧性的未来进行战略规划和投资之间取得谨慎平衡,重新调整激励措施以支持长期投资;以协调的方式使用“国家力量的所有工具”,保护国家安全、公共安全和经济繁荣。

3月,美国总统拜登签署了一项限制联邦政府机构使用商业间谍软件的行政令。该行政令美国联邦机构,包括从事执法、国防或情报活动的机构,“操作使用”商业间谍软件。同时指出,不可信的商业供应商和工具也可能对美国政府信息系统的安全性和完整性构成重大风险。

4月,英国在议会提交了新的《数据保护和数字信息法案》修正,该法案被视为英国版的《通用数据保护条例》。此次修改涉及减轻数据跨境义务、消除国际贸易壁垒、鼓励自动化决策等多个方面。

4月,美国网络安全和基础设施局、国家安全局以及其他国家共17家机构发布了一套安全设计原则和方法指南,并于2023年10月进行了一项重大更新。指南建议所有组织机构都将主动管理和缓解风险作为不断发展的软件安全开发实践的一部分。组织机构作为软件供应链中的开发者、供应商或客户等角色,将持续决定这一责任的形式和范围。

4月,五眼联盟国家(澳大利亚、加拿大、新西兰、英国和美国)发布《智慧城市网络安全新指南》。该指南重点关注三个领域:安全规划和设计、主动供应链风险管理和运营弹性。

7月,美国白宫发布《国家网络安全战略》实施计划,其中包含加强国家安全和提高针对重大网络攻击的长期抵御能力的具体举措和要求。该计划制定了超过65项“高影响力举措”,与2023年3月发布的《网络安全战略》的五个支柱相一致:保卫关键基础设施、打击和摧毁威胁行为者、塑造市场力量以推动安全和韧性、投资于有韧性的未来,以及建立合作伙伴关系以实现共同目标。

7月,美国白宫公布了一个新的智能设备网络安全标签计划。新的“美国网络信任标志”盾牌标志将应用于符合特定网络安全标准的产品。白宫表示,该计划根据美国国家标准与技术研究院发布的特定网络安全标准,对产品进行认证和标记。这项自愿性网络安全标签计划预计将于2024年实施,并已得到了包括亚马逊、百思买、思科、谷歌、英飞凌、LG、罗技、高通、三星电子等主流电子产品制造商和零售商的支持。

8月,印度议会上议院通过了《数字个人数据保护法案》。该法案“旨在更好地监管大型科技公司并惩罚数据泄露公司”,将允许政府及其机构在未经企业同意的情况下,访问企业的用户数据和个人的个人数据。

10月,美国总统拜登签署发布《关于安全、可靠和值得信赖的人工智能的行政命令。该行政令旨在为人工智能安全和安全保护建立标准,保护隐私权与促进公平和公民权利,促进创新和竞争,提升了美国在世界各地的领导地位等。

11月,澳大利亚政府发布《2023-2030年澳大利亚网络安全战略行动计划》。该计划分为三个关键阶段,加强基础、扩大影响力和引领前沿,阐明了澳大利亚想成为”世界上网络最安全的国家“这一目标。

结语


也许出乎很多人的意料,2023年,预期的经济拐点并未到来。尽管,国家发布了一系列的政治、经济、民生等一系列重大鼓励政策,但经济形势并未发生较大转向,甚至从许多企业的实际动作来看,对明年经营状况有着更大的担忧。探其原因,大多是因为对未来的期望值过低,因此不敢有所投入,也不愿轻易冒险。



自从“没有网络安全就没有国家安全”的理念提出之后,从2015年开始,数字安全产业进入增长快车道,在8年左右的时间里规模就增长到了近千亿的规模,是过去20多年发展规模的4倍之多,这种增长速度已经是各行各业各领域中的翘楚。从2021开始,虽然增速已经连续减缓三年,但未来重回快速增长的希望仍然很大。

这种希望的信心来源很简单,现实世界与虚拟世界的融合,即数字世界,已是全人类共同的发展趋势。在数字世界中,数字安全是基本需求。在信息化时代,对数字技术的依赖程度很低,至多只是一种提高办公效率的辅助工具。而在万物互联的数字化时代,数据成为生产要素,数字技术超越了降本增效的辅助工具,将会成为数字活动赖以存在并得以发展的前提。这时,数字安全就会成为保障数字资产、服务数字活动的基本需求。

科技文明的发达,必定伴随着对风险的把控。科技进步的背后是高度的系统复杂性,这种高度的系统复杂性,必定伴随着巨大的风险和不稳定性。风险永远存在,因此要时刻对未知有所准备。而资源永远有限,只有将有限的资源投入到最重要的工作上,才是应对风险的合理之道。这就是数字安全人的使命。

冬至阳生,岁回律转。让我们重振精神,砥砺前行。虽有盛极而衰,更有否极泰来。

祝大家新年快乐!

作者
  统计分析师:牛爱民
  媒体分析师:闫志坤
  技术分析师:陈发明
  战略分析师:靳慧超
  综合分析师:刘宸宇
  首席分析师:李少鹏
  分 析 团 队:数世智库  数字安全能力研究院

机构简介
北京数字世界咨询有限公司,中国数字安全领域独立的第三方调研机构,以数字时代为背景,提供数字安全领域的调查、研究与咨询服务。

2023年数字安全大事记》电子版,点击下方链接获取:

【数世咨询】2023年数字安全大事记.pdf




本文为原创内容,版权归#数世咨询#所有。欢迎文末分享、点赞、在看三连!转载请联系后台



— 【 THE END 】—