《数世咨询:中国数字安全产业年度报告(2024)(76页).pdf》由会员分享,可在线阅读,更多相关《数世咨询:中国数字安全产业年度报告(2024)(76页).pdf(76页珍藏版)》请在三个皮匠报告上搜索。
1、 北京数字世界咨询有限公司 2024.6中国数字安全产业年度报告(2024)公开版 北京数字世界咨询有限公司 2024.6中国数字安全产业年度报告(2024)公开版以安全能力、数字资产和数字活动为三元素,以数据安全为核心目标,即三元一核的“数字安全三元论”。“数字安全三元论”由“网络安全三元论”(数世咨询于 2020 年提出)更新迭代而来,旨在匹配数字中国建设的进程,保障数字基础设施稳定、可持续运行,保障数据有效流动、激发数据要素价值。报告编委首席分析师:李少鹏综合分析师刘宸宇战略分析师:靳慧超市场分析师闫志坤技术分析师:陈发明统计分析师牛爱民分 析 团 队:数世智库数字安全产业研究院版权声明
2、本报告版权属于北京数字世界咨询有限公司。任何转载、摘编或利用其他方式使用本报告文字或者观点,应注明来源。违反上述声明者,数世咨询将保留依法追究其相关责任的权利。数字安全是指,在全球数字化背景下,合理控制个人、组织、国家在各种活动中面临的数字风险,保障数字社会可持续发展*的政策法规、管理措施、技术方法等安全手段的总和。这里的风险,不再局限于围绕数字化资产的攻防对抗,还包括了数字资产所承载业务的稳定性、连续性和健康性。这里的安全不再特指有意还是无意,天灾还是人祸,保安还是保险,而是更为广义的安全状态(SecSafe)。*世界环境与发展委员会出版的我们共同的未来报告中,将可持续发展定义为:“既能满足
3、当代人的需要,又不对后代人满足其需要的能力构成危害的发展。”数世咨询,2023 年 11 月目录前言 1第一章统计标准 2一、统计口径 3二、统计范围 3三、统计方法 4四、术语解释 4第二章数字安全 市场 6一、市场规模 7二、业务分类 8三、客户分布 9四、数字安全十大省份及城市 10第三章数字安全 企业 13一、收入水平 14二、上市企业 14三、新质 中国数字安全百强 17目录1、新质百强 192、实力百强 203、年度成长力十强 214、年度创新力十一强 21四、从业人员 22第四章数字安全 技术24一、数字安全的内涵与定义 25二、数字安全三元论与能力图谱 26三、数字安全年度十佳
4、案例 29某金融客户综合移动应用安全开发平台案例 30全省一体化数据基础平台-数据分级分类案例 33某市“一网共享”数据安全治理管控平台开发和数据安全运营案例 36JMC 江铃集团多品牌全车型态势感知+入侵检测防御系统案例 39瑞数数据安全和反勒索在高精制造业的实践应用案例 42集度汽车数据安全案例 45山东某政府数据中心密码资源池建设案例 48智能制造企业数据勒索攻击智能检测与响应典型案例 51某大型央企办公网终端安全新防线案例 54保险行业某大型集团零信任一体化终端安全项目 57目录第五章数字安全 资本60第六章数字安全九大态势63一、新质生产力之于数字安全 64二、安全大模型应用尚在早期
5、 64三、数据流通需要先做数据治理 64四、数字安全的目标主体是数字世界 65五、出海有机会但仍需谨慎投入 65六、全行业减员促进安全服务外包 65七、北交所拥堵 港交所或成新目标 66八、整体产业下滑有望形成去泡沫化 66九、数字安全产业的两大基本面未变 67结语 68 中国数字安全产业年度报告(2024)1前言数世咨询于 2020 年开始倡导数字安全的概念,从“保护数字世界需要数字安全”的朴素想法,到“以网络安全为基础手段,以数字安全为核心目的”的深度思考,再到“以安全能力、数字资产和数字活动为三支点,以数据安全为核心”的数字安全三元论。数世咨询已经形成了一整套包含了理念、概念、方法论、逻
6、辑框架和技术框架的认知体系。上述这些内容,离不开每年数百家机构、数千人次和上万小时的调查研究工作。而产业年度报告,既是这些调查研究工作的成果,也是后续所有调查研究工作的基础。基于连续多年积累的产业调研能力和行业经验,经过大量的现场沟通、访谈,梳理、整理,统计工作之后,数世咨询分析师团队撰写完成中国数字安全产业年度报告(2024),以客观地反映我国数字安全产业的真实状况,为国家主管部门、研究机构、行业用户,以及广大数字安全企业和相关从业者提供有价值的参考。北京数字世界咨询有限公司2024 年 6 月 2第一章统计标准“一套清晰明确并来源于实践的统计标准,其意义甚至要大于统计工作本身。因为没有统计
7、标准,统计工作就是空中楼阁。”数世咨询 2022.6 中国数字安全产业年度报告(2024)3本报告的统计标准包括,统计口径、统计范围、调查方法和术语解释,供业界相关人员参考与指正。一、统计口径 本报告的统计口径有两大类,一类是公开财报的上市企业,以财报披露的营收额为准。另一类是未上市的公司,以年度的营收开票额为准。本报告包括三种整体市场规模的统计数字,即数字安全行业总收入、数字安全业务(含集成)总收入和数字安全业务(去集成)总收入。如无特别指出,本报告所有提及的数字安全市场规模是指“数字安全业务(含集成)总收入”。统计数据的时间跨度为 2023 年 1 月 1 日至 2023 年 12 月 3
8、1 日。二、统计范围基于数世咨询核心团队 20 年的国内安全企业调研工作的经验积累,本报告根据原厂能力、营收水平和业务类型,选择了 800 余家在公开市场上具有一定知名度的数字安全企业做为本报告的基础调查对象。本报告的统计范围为中国内地的企业,不包括香港、澳门和台湾地区内。本报告的基础调查对象为 800 余家经营数字安全业务且具备原厂能力的企业,不包括专门从事分销、代理、代售业务的企业,不具备解决方案能力的集成商,以及非企业主体,如研究所、测评中心、高校学院等。在 800 家基础调查对象中,本报告以 1000 万元左右的数字安全业务年营收额为底限,选取了 400 余家企业作为统计对象。信创领域
9、中,如芯片、操作系统、数据库、中间件、服务器、个人电脑、办公软件等非安全类产品不在本报告统计之内。4三、统计方法 在调研方面,本报告主要通过企业问卷调查、公开资料收集、日常交流访谈三种形式开展调研工作。在统计方面,本报告采用的是供给侧的角度,将统计对象,即 400 余家数字安全企业的年营业收入、业务类型、从业人员、地区行业收入等数字进行计算后,从各种不同的维度进行展现。在收入方面,数字安全业务收入在企业总收入中占比小于 50%的企业,只统计数字安全业务收入,不统计该企业的非安全业务收入。反之,占比大于等于 50%的企业,则统计其非安全业务并将其计入数字安全行业收入。在收入划分方面,弃用软件与硬
10、件收入的划分方法,将两者合而为一并且与“软件即服务”收入一并计入到安全产品收入。四、术语解释数字安全:数字安全是指,在全球数字化背景下,合理控制个人、组织、国家在各种活动中面临的数字风险,保障数字社会可持续发展的政策法规、管理措施、技术方法等安全手段的总和。数字安全业务:以企业主体出售数字安全产品、人员服务、解决方案产生的经营收入。数字安全企业:理论上一切具有数字安全业务的企业都可称之为数字安全企业,但在本报告的统计对象中则只包含了数字安全业务占企业总收入 50%及以上,或者数字安全业务年收入达 1000 万元以上,且具备原厂能力的企业。原厂能力:自身具备数字安全产品、方案定制、安全服务的能力
11、,而非单 中国数字安全产业年度报告(2024)5纯的中间转售。数字安全企业从业人员:与数字安全企业签订劳动合同的正式员工。数字安全技术或网络安全技术:本报告中一般是指数字安全企业所提供的产品、服务、方案的其中一种、两种或总和。并购:兼并和收购。本报告中是指并购双方或多方相互之间的股权转移,而不是以扩大再生产为目的的增资。6第二章数字安全市场“民营企业普遍规模小预算少,国企客户预算减少且执行率低,政府部委预算大幅度削减,是近三年来的典型特征。简而言之,安全预算紧缩是常态”数世咨询 2024.6 中国数字安全产业年度报告(2024)7一、市场规模2023 年度,国内数字安全业务(含集成)总收入为
12、973.7 亿元,较 2022 年度下降 0.76%。与上年度 7.14%的增长率相比,下降 7.9 个百分点。数字安全集成业务收入 157.39 亿元,较 2022 年度下降 21.19%。(注:按照数世咨询的统计惯例,本报告将“数字安全业务(含集成)总收入”定义为默认语境下的数字安全市场规模)2023 年度,国内数字安全业务(去集成)总收入为 816.31 亿元,较 2022年度增长 39.53 亿元,增长率为 4.46%。与上年度-1.87%的增长率相比,上升 6.33 个百分点。2023 年度,国内数字安全行业总收入为 1061.44 亿元,较 2022 年度增长1.3%。与上年度 6
13、.97%的增长率相比,下降 5.67 个百分点。图 2-1国内数字安全市场规模(2020-2023)自 2021 年起,国内数字安全产业的增长率连创新低。从 2020 年增长率29.9%的历史最高点,下滑到 2021 年的 18.6%。2022 年增长率仅为 7.14%,2023 年则为-0.76%,首次出现负增长,不过增长率下滑的速度有所减缓。结合近几年的经济形势和目前的产业情况来看,虽然下滑速度有所减缓,但在2024 年整体产业规模将会进一步缩水已成大概率事件。8图 2-22017-2027 年国内数字安全市场规模重要结论 2023 年度,国内数字安全市场规模为 973.7 亿元,增长率为
14、-0.76%,连续三年出现历史新低,并首次出现负增长。结合近几年的经济形势和目前的产业情况来看,虽然增长率下滑速度有所减缓,但在 2024 年整体产业规模进一步缩水已成大概率事件。根据多种因素、条件和指标,数世咨询预计 2026 年度数字安全产业规模才能突破千亿元大关。二、业务分类依据数世咨询的统计惯例,自 2022 年开始年度报告将数字安全业务分为三大类:一是软硬件、设备及 SaaS 订阅收入,即安全产品收入;二是以人天计费的安全服务收入;三是安全集成收入。(注:解决方案与三者均有交叉,因此不做单独统计)。中国数字安全产业年度报告(2024)9图 2-32020-2023 年 安全产品、安全
15、服务、安全集成占比重要结论 2024 年,安全产品收入约占总收入的 65%,安全服务收入约占总收入的 17%,安全集成收入约占总收入的 18%。安全服务占比明显上升,安全产品与安全集成业务均有所下降。集成业务下降的主要原因有二。一是大型安全厂商将集成业务更多的转化为安全服务或 OEM 业务,二是某些集成业务占比较大的企业收入下降的幅度较大。三、客户分布根据本报告 400 家统计对象客户数据的不完全统计,数字安全产业的核心客户群为,政府部委、国防/军工/公安、金融、运营商和能源等五大领域。10图 2-4国内数字安全客户行业分布情况(2023)图 2-5国内数字安全客户行业分布情况(2022)重要
16、结论 行业属性方面,能源、运营商行业在客户占比有所上升,金融行业连续两年下降,公安、政府部委的占比连续三年下降。机构属性方面,民营企业普遍规模小预算少,国企客户预算减少且执行率低,政府部委预算大幅度削减,是近三年来的典型特征。简而言之,安全预算紧缩是常态。中国数字安全产业年度报告(2024)11四、数字安全十大省份及城市按照数字安全企业总部所在城市的数字安全企业营收排序,超过 20 亿元的有九座城市,分别为北京、深圳、杭州、成都、上海、苏州、南京、汕头、济南、福州和广州。按照数字安全企业总部所在省份的数字安全企业营收排序,超过 20 亿元的有八个省份,分别为北京、广东、浙江、江苏、四川、上海、
17、福建和山东。(注:因汕头市只有一家规模较大的数字安全企业,故未将汕头列入十大数字安全城市)图 2-6十大城市数字安全营收与 GDP 之比图 2-7十大数字安全城市12 图 2-8十大省份数字安全营收与 GDP 之比 图 2-9十大数字安全省份重要结论 从各城市数字安全企业收入占城市GDP的比例来看,除北京和杭州以外,其他八座城市均有很大的提升空间,尤其以上海、苏州、福州、广州四座城市为甚,有着 1000 倍上下的比率。按城市统计,仅北京一座城市的数字安全企业营收就占到十座城市总和的 50。按照省份统计,北京则占到十大省份总和的 46。中国数字安全产业年度报告(2024)13第三章数字安全企业数
18、字安全产业的本质是企业级服务,只要是普及性的服务就一定是碎片化的。因此,在自身擅长的领域深耕,合理调配现有资源,以实现“滚雪球”式的稳健增长,才是企业级服务市场的正道。摘自中国数字安全产业年度报告(2023 14一、收入水平2023 年的数字安全业务(含集成)年收入,在本报告 400 余家统计对象中,有2家企业营收在40亿以上,占比11.15%。有8家企业收入在20亿至40亿之间,占比 24.57%。7 家达到 10 亿元以上,占比 9.70%;19 家企业在 5 至 10 亿之间,占比 13.94%;143 家企业在 1 至 5 亿之间,占比 30.99%;225 家企业在 1 亿元以下,占
19、比 9.65%。图 3-1国内数字安全企业收入区间重要结论 1 亿元以上营收且非三大交易所上市的企业 140 余家,其中 3 亿元以上营收的企业有二十余家,这些企业将是未来沪深上市的候选者。其余一百多家企业,将主要集中在北交所的排队上。二、上市企业2023 年度,具有明显数字安全业务属性的企业,在沪深上市的共有 51 家。其中,数字安全企业 36 家,非安全企业 15 家。在新三板挂牌的公司,具有明显数字安全业务属性的企业有 31 家,其中,数字安全企业 29 家,非安全企业2 家。(数世咨询定义的数字安全企业为,数字安全业务在总营收中占比大于等于 中国数字安全产业年度报告(2024)1550
20、%,或者绝对值超过 5 亿元人民币的企业)图 3-2具有明显数字安全业务属性的上市企业收入分类另据今年 5 月数世咨询发布的2023 数字安全上市企业航线图,对 34家沪深上市数字安全企业的统计,净利润总和连续二年亏损,2023 年亏损总额达 19.75 亿元。图 3-32020-2023 年数字安全上市企业三项指标16 图 3-42023 中国数字安全上市企业航线图 中国数字安全产业年度报告(2024)17重要结论 从上市企业收入分类中可以明显看出,沪深两市的企业以产品销售为主,而新三板企业服务与集成并重,而仅有安全业务属性的非安全公司,则以集成业务为主。数字安全上市企业总营收增长率持续下降
21、的主要原因有三:一是重点行业用户的安全预算不断下降,并且出现高预算低执行的情况;二是项目采购及项目确认周期变长;三是经济疲软的大背景下,作为主要支撑新增客户的民营经济增长乏力。从业人员总人数历史首次下降,虽然下降只有不到 5 个百分点,但根据数世咨询的实际统计,全行业的实际裁员率约在 15%左右。据此推断,2024年的全行业净利润,有可能扭亏为盈回到正值。左江科技停牌。意味着继蓝盾股份退市之后,即将出现历史上第二家退市的安全企业。值得提出的是,这两家企业在停牌前的研发占比均超过其营业收入。数世咨询认为,15%-50%的研发占比是科技创新类上市企业的基本区间。低于此区间,意味着该企业严重创新乏力
22、。高于此区间,则存在较大的经营风险。研销比(销售成本除以研发成本)大于 100%的企业共 15 家,均为主流或传统安全厂商。研销比位于 50%至 100%之间的企业共 12 家,均为以销售软件或硬件标品为主的企业。研销比小于 50%的企业有 5 家,或为技术前沿或为销售资源类的厂商。研销比过低者则意味着出现了严重的经营问题,如今年停牌的左江科技和去年退市时的蓝盾。18三、新质 中国数字安全百强为突出新质生产力,更为公平地反映不同发展阶段的企业竞争力和创新力,本年度中国数字安全百强,对参选企业的评比维度和展现形式进行了全新的改版升级。不以企业规模而是以企业发展力为核心指标,不以品牌宣传而是以行业
23、影响力为核心指标。在评分方面,横轴为企业发展力,主要考量三大类指标,分别为经营能力、技术产品和人员文化。竖轴为行业影响力,也是三大类指标,分别为市场品牌、专业口碑和第三方评价。将成立时间较晚或主营业务突出,以及一些具有独特技术产品的创新型企业,进行甄选打分后,分为开拓者、先行者、领航者和领军者四个版块,归入中国数字安全新质百强(以下简称新质百强)。将成立时间较早或产品线较长,以及一些包含安全业务的大型网络厂商、云服务商、软件集成商等规模较大的信息技术企业,进行甄选打分后,分为竞争者、领先者、领导者和卓越者,归入中国数字安全综合实力百强(以下简称实力百强)。两者共同纳入新质 中国数字安全百强 2
24、024。中国数字安全产业年度报告(2024)191、新质百强Copyright 2024年6月开拓者云起无垠边界无限观成科技碳泽信息瑞和云图霍因科技魔方安全九州量子触点互动万径安全安胜华信锐服信科技酷德啄木鸟众智维科技小佑科技薮猫科技远禾科技丈八网安数安行知其安比瓴科技信达网安青笠科技先行者云集至六方云开源网安火绒安全兰云科技四叶草安全爱加密(国华)盈高科技安芯网盾天际友盟齐安科技中睿天下领信数科保旺达悬镜安全万物安全国盾量子全知科技数蓬科技安华金和PCSA安般科技融安网络木链科技溢信科技易安联华云安指掌易华清信安云智信安江民科技齐治科技炼石网络安络科技思维世纪墨云科技卫达信息孝道科技赛宁网安
25、海云安网藤科技云科安信麒麟信安烽台科技中电安科软极网络数美科技聚铭网络为辰信安华控清交金睛云华派拉软件华顺信安领军者英方软件科来网络威努特长亭科技观安信息青藤云安全永信至诚微步在线领航者竞远安全斗象科技长扬科技梆梆安全志翔科技北方实验室美创科技默安科技芯盾时代天空卫士闪捷信息瑞数信息天地和兴博智安全竹云珞安科技2024中国数字安全新质百强图例企业发展力行业影响力 图 3-5中国数字安全新质百强新质百强的基础入围条件为,2015 年之后主营产品进入市场,或成立较早但其主营业务超过本企业总营收 50%的企业(这里的主营业务判断,依据数世咨询发布的能力图谱中的第三级分类)。在入围本次新质百强的企业中
26、,开拓者23家,20先行者 53 家,领航者 16 家,领军者 8 家。各版块的定义标准如下:开拓者:产品极具特色或创新力且形成千万级以上的收入。先行者:在本赛道具备较大知名度且产品已得到市场的验证和主流认可。领航者:在本赛道处于明显领先地位,且初步具备上市条件。领军者:在本赛道处于绝对领先地位且企业估值超过30亿元或已经上市。2、实力百强Copyright 2024年6月白山云科技纬德信息联成科技国舜股份江南信安江南科友时代亿信敏捷科技兆日科技中信网安嘉诚信息天懋信息渔翁信息交大捷普国泰网信佳缘科技卓识网安珠海鸿瑞长安通信金盾软件中超伟业深圳CA上讯信息网易易盾安胜网络江南天安极意网络通付盾
27、慧盾安全三零卫士泰岳信息安全锋卫科技天行网安云涌科技中科网威中科江南东方通天威诚信东软集团长城网际网宿安全旋极信息信大捷安中兴通讯中控技术大豪科技鹏信科技安盟信息嘉赛信息鼎普科技世平信息安宁创新中新网安启明星辰深信服华为卓越者360数字安全集团奇安信绿盟科技安恒信息天融信新华三腾讯电信安全联通数科亚信安全电科网安领导者智慧星光大唐电信知道创宇任子行联软科技北京万里红格尔软件昆仑数智云盾智慧e签宝三未信安数盾科技圣博润信安世纪明朝万达安博通盛邦安全中国通信服务飞天诚信太极股份国投智能安天山石网科阿里云迪普科技锐捷网络中孚信息浪潮云北信源数字认证恒安嘉新锐安科技吉大正元领先者企业发展力行业影响力2
28、024中国数字安全综合实力百强竞争者图例 图 3-6中国数字安全实力百强实力百强的基础入围条件为,企业年营收的底限在 1 亿元左右。在入围本次实力百强的企业中,竞争者 53 家,领先者 33 家,领导者 11 家,卓越者 3 家。各版块的定义标准如下:中国数字安全产业年度报告(2024)21竞争者:在市场占有一席之地,拥有稳定的客户群体,但暂未显现高速增长的态势。领先者:在市场处于领先地位,营收规模已达到上市条件或已经上市。领导者:拥有遍布全国的销售网络,且营收规模在 15 亿元以上。卓越者:营收规模在 30 亿元以上,且连续三年盈利。3、年度成长力十强在数字安全产业整体下滑的趋势下,那些业绩
29、突出、逆势而长的企业,尤为可贵。以下是数世咨询评出的年度成长力十强企业(按拼音首字母排序):图 3-7年度成长力十强4、年度创新力十一强创新是产业良性发展的灵魂支柱,在尤为注重技术实用性和应用价值性的数字安全领域更是如此。以下是数世咨询评出的年度创新力十一强企业(按拼音首字母排序):图 3-8年度创新力十一强22重要结论 2023 年度,实力百强企业安全业务总营收为 714.14 亿元,较上年度下降 7%。新质百强中,数据安全、软件供应链安全、安全运营、数字靶场、威胁检测与响应、工业互联网安全、API 安全为七大热点赛道。四、从业人员2023 年数字安全企业从业人员约 13.74 万人,其中技
30、术人员约占 66.3%,从业人员较 2022 年下降 6.6%。图 3-9数字安全企业人员概况 图 3-10不同规模的企业人员分布 中国数字安全产业年度报告(2024)23图 3-11非沪深上市企业人员平均薪酬 图 3-12沪深上市企业人员平均薪酬重要结论 2023 年,按正常渠道的数字统计,从业人员数量下降 6.6%,相比去年减少 13 个百分点,全行业出现历史首次人数负增长。值得指出的是,根据数世咨询大范围摸底调研,实际的减员比例大约在 15%左右。数字安全沪深上市企业,从业人员的人均产值约为 57.8 万元,人均净利润连续二年为负值。无论是沪深上市企业还是非上市企业,数字安全从业人员约一
31、半的年薪酬在20-30万元之间,两类企业最大的区别在于30万元以上的高薪人群比例。24第四章数字安全技术网络安全,主体保护对象是包含了通信设备、计算节点、数据存储、信息系统等网络空间资产。数字安全,主体保护对象则是现实世界与虚拟世界的融合体,即数字世界。数世咨询 中国数字安全产业年度报告(2024)25 一、数字安全的内涵与定义自 2019 年数世咨询创始人在公开发表的文章中,首次提倡“数字安全”时代以来,数字安全的概念越来越受到业内的关注。数世咨询认为,网络空间与数字世界最大的不同是,前者以连接为核心,数据是网络连接与应用系统的伴生品。数字世界则以数据流动为核心,通过数据的充分流动与信息的充
32、分共享,从而为科技、经济、政治、文化带来巨大的价值释放。网络安全,主体保护对象是包含了通信设备、计算节点、数据存储、信息系统等网络空间资产。数字安全,主体保护对象则是现实世界与虚拟世界的融合体,即数字世界。以当今时代为背景,则可具象化到数字经济和国家安全两大保障目标。数字安全时代与计算机安全、信息安全、网络安全等时代最大的区别主要有两点:1、以风险的高度看待安全在产业发展早期,出了安全事件之后再进行补救,即“亡羊补牢”式的事件驱动。为了摆脱被动,新的理念是主动防御,要努力做到及早发现并消除威胁,即“先发制人”式的威胁驱动。风险驱动的理念则是“未雨绸缪”,因为风险永远存在,为不确定性做准备,才是
33、安全状态的根基。2、以世界的广度看待安全数字安全不再是围绕信息技术这一特定领域的安全,而是基于数字化技术在全民、全社会的应用和普及,从生产生活到意识文化,从健康发展到文明秩序,从现实世界到虚拟世界全方位的安全状态。26结合上述内容,数世咨询给出数字安全的定义:数字安全是指,在全球数字化背景下,合理控制个人、组织、国家在各种活动中面临的数字风险,保障数字社会可持续发展 的政策法规、管理措施、技术方法等安全手段的总和。这里的风险,不再局限于围绕数字化资产的攻防对抗,还包括了数字资产所承载业务的稳定性、连续性和健康性。这里的安全不再特指有意还是无意,天灾还是人祸,保安还是保险,而是更为广义的安全状态
34、(SecSafe)。二、数字安全三元论与能力图谱数世咨询 2020 年首次提出“网络安全三元论”。三元分别为,网络攻防、信息技术和业务场景。随着数据成为第五大生产要素为典型标志的数字时代来临,“网络安全三元论”在 2022 年进行了更新迭代升级为“以安全能力、数字资产和数字活动为三个元素支点,以数据安全为核心目标,即三元一核”的“数字安全三元论”,以适应我国数字中国建设的进程。数字安全的三个元素支点分别为,安全能力、数字资产和数字活动。数字资产是安全能力的保护对象,数字活动是安全能力以及数字资产的服务对象,而数据则是三元的核心目标。对于这四者关系的深度理解和相关技能掌握是做好数字安全工作的关键
35、。图 4-1数字安全三元论模型 中国数字安全产业年度报告(2024)27从“三元一核”即安全能力、数字资产和数字活动和数据安全共四大维度出发,能力图谱划分出八大方向,数字基础设施保护、数字计算环境保护;行业环境安全、应用场景安全;基础与通用技术、体系框架、安全运营;数据安全。每个方向又包含各自一级或子级的细分领域。(注:包含企业的完整版图谱可在数据咨询官网 查询)能力图谱是基于数世咨询创始团队于 2016 年 9 月业界首发的“全景图”品牌更新迭代而来。分类框架由 IPDRR 演进到现在的数字安全三元论,价值体现从技术产品演进到现在的安全能力,企业选择从“企业大全”演进到现在的“企业精选”。这
36、些演进均在尝试解决由于各种纷繁复杂的分类混乱带来的沟通不便、统计不便、采购不便等弊端,凸显优秀安全能力提供者,降低供需双方的试错成本,为广大数字安全领域的业界同仁提供研究借鉴与参考。28图 4-2 数字安全能力图谱总分类 中国数字安全产业年度报告(2024)29三、数字安全年度十佳案例为进一步推动数字安全产业健康发展,数世咨询基于深度调研,面向行业主流供应商进行案例征集,最终甄选出“数字安全年度十佳案例”,这些案例覆盖了数据安全、工业互联网安全、移动安全、数据反勒索、汽车安全、终端安全以及安全治理等多个热门领域。通过这些精选案例,我们希望为甲方企业开展网络安全项目提供权威的安全规划和技术实施参
37、考,展示最前沿的安全技术和最佳实践,助力各行业企业提升整体数字安全水平,携手安全供应商共同推动数字安全产业的繁荣发展。301.项目背景加强金融 App 的安全防护已经成为推动金融创新、促进普惠民生的重要任务和先决条件。为有效贯彻监管部门的监管要求,某银行对本单位金融 APP 进行全面梳理,规划综合移动应用安全开发平台建设方案。2.项目目标为某银行单位规划金融 APP 安全加固、安全检测、威胁监测、代码审计等安全防护能力建设和个人信息收集使用方面的合规检测能力建设,以及合规检测等能力与其现有移动应用开发平台进行集成整合,旨在构建一个综合移动应用安全开发平台,提升开发效率和安全性,确保合规运行。3
38、.建设方案爱加密根据银行需求,制定了综合移动应用安全开发平台功能方案架构,如下图示。十佳案例:某金融客户综合移动应用安全开发平台案例 优秀供应商:爱加密 公司官网: 中国数字安全产业年度报告(2024)311)移动应用安全检测平台能力建设,能够支持在同一平台上对 Android应用、鸿蒙应用、iOS 应用、SDK、微信公众号、微信小程序等类型金融移动应用进行自动化安全检测,输出专业安全检测报告,呈现检测详情及解决建议。2)移动应用安全加固能力建设,能够支持对 Android、iOS、鸿蒙、SDK、公众号/小程序等类型金融移动应用实施安全加固保护,使其具备防逆向分析、防二次打包、防动态调试、防进
39、程注入、防数据篡改等安全保护能力。3)移动应用个人信息安全检测平台能力建设,能够支持对 Android、iOS、小程序等类型金融移动应用进行自动化隐私合规检测,检测要点能够覆盖 个人信息安全规范(GB_T 35273-2020)、工信部信管函 2020 164号、App违法违规收集使用个人信息行为认定方法(国信办秘字2019191 号)等规范文件,帮助项目单位快速评估金融 APP 收集使用相关个人信息的合规性。4)移动威胁态势感知平台能力建设,通过在金融 APP 集成探针,采集移动应用在启动、运行、使用过程中与安全相关的信息数据,参照几十种安全事件模型进行智能分析,实现安全事件的事前感知、事中
40、响应及事后追踪溯源从而帮助项目单位安全管理人员掌握移动业务的整体安全态势。5)移动应用密钥白盒能力建设,借助密钥白盒技术将用于加解密的算法和密钥进行深度融合和有效隐藏,确保在任何情况下密钥都不会以明文形式出现。而且应用使用过程中,原始密钥始终被加密保护,不会存在于内存中,防止密钥被静态分析和动态调试,有效保护应用加密数据安全。6)源代码审计平台建设,以白盒测试的方式对目标金融移动应用的源代码进行深度测试分析,从根本上发现业务系统的潜在漏洞,提前发现目标金融移动应用在软件设计或编码实现中可能存在的安全缺陷,及时采取漏洞修复措施,帮助开发者提高整体编码质量和水平,为金融移动应用安全助力护航。7)能
41、力综合集成融合建设,投入专业技术力量,将以上各个安全能力建设与项目单位现有移动应用开发平台集成整合,通过构建业务工作流,实现应32用开发、安全防护、测试及发布等环节业务,在统一平台上进行流转。4.项目创新1)技术领先:采用了先进安全加固技术、检测技术。如使用自定义虚拟机加固保护技术、人工智能自动化遍历检测技术,使用沙箱系统结合 DPI 的深度分析技术等。2)超前适配:全面支持各类应用类型,包括即将普及的纯鸿蒙应用。3)个性化定制:能够根据用户需求提供定制开发与集成服务,促进金融行业新质生产力发展,为客户提供更加便捷、高效和安全的金融服务。4)平台高度融合:深度融合各项能力,推动研发工作趋向标准
42、化、模块化、流程化及规范化。5.项目成果1)集成融合,提高了金融 APP 整体开发科技架构支撑能力,实现金融 APP开发项目在安全防护和合规建设等共性业务功能的标准化、模块化。2)安全保障,通过安全加固、安全检测、合规检测、威胁感知监测等能力,强化移动端金融服务系统建设提供强有力的安全保障支撑。3)流程优化,提高了开发流程效率,缩短了开发周期。降低了安全合规风险,提升金融 APP 同业竞争力也有重要意义。中国数字安全产业年度报告(2024)331.项目背景以建设 数字安徽 为目标,构建 安徽省政务一体化平台,作为资源中枢和操作系统,实现省市县乡村五级应用的统一管理和数据支撑服务。分类分级系统作
43、为子系统,负责政务数据的敏感信息发现、分类分级,构建数据资产目录,为数据资产管理和安全体系建设提供基础。2.项目目标数据分类分级系统建设目标如下:1)数据分类分级系统在建设过程中,依托“国家五大基础库”作为数据主体,在基础库的基础上进行多类型数据的内容识别并按照“安徽省政务数据分类分级标准”形成内容标签;2)数据分类分级系统与数据架构系统对接,实现数据架构系统中数据项级别的自动生成及资源编目过程中,对资源的自动定级。3)在安全应用方面,数据分类分级系统与各安全系统及工具对接(安全监测系统、加密、脱敏等),辅助数据安全策略的制定,可实现数据数据采集、存储、治理、交换、销毁全生命周期管理的安全管控
44、。3.建设方案1)明确组织架构:明确组织架构是分类分级过程中重要的一部分,分类 十佳案例:全省一体化数据基础平台-数据分级分类案例 优秀供应商:霍因科技 公司官网:34分级工作开展过程中,需要多次沟通和调整,所以需要明确每个角色的具体职责,主要角色涉及总体负责人、业务负责人、实施工程师。2)确定分类分级方法及维度:数据分类分级原则遵从于合法法合规原则、分类多维原则、分类明确原则、就高从严原则、动态调整原则。数据分类使用混合分类法从基础分类维度和扩展分类维度对政务数据进行数据分类,采用面分类法明确基本分类维度,在此基础上,采用线分类法对具有二级及以上分类标签的维度进行细化分类。基础分类维度为必选
45、分类维度;扩展分类维度是按需增加的,不适合所有数据,为可选分类维度。数据分级遵从国家相关法律法规、安徽省相关法律法规及行业相关法律法规,依据数据重要程度划分不同的敏感等级。3)做好分类分级准备工作:在实施数据分类分级前,制定工作计划,明确分类分级数据范围、预期结果、进度安排和对结果数据维护计划等。对政务数据现状开展调研,摸清底数、掌握基本情况。4)执行数据分类分级:按照分类分级方法和维度,开展数据具体分类分级。要记录重要步骤、形成工作文档,输出分类分级结果表。分类分级完成后,要对分类分级结果进行测试,形成测试报告。分类分级结果及相关文档及时报送工作专班办公室。5)结果评估和维护改进:通过实地调
46、研、人员访谈、核查工作计划、分类分级结果、测试报告、审计文档等,指导督促分类分级工作。并在第三方监管下对数据分类维度合理性、分类过程规范性、分类结果有效性等进行评估,根据实际增删或变更分类分级维度,定期公布数据分类分级和结果评估情况。4.项目创新数据分类分级系统以“数据治理安全”为核心,利用 AI 智能引擎能力对 中国数字安全产业年度报告(2024)35数据持续采集、学习、训练,形成数据分类分级规则库,对全域全量数据进行自动敏感信息识别、打标,输出数据分类分级结果。1)全域全量数据自动发现及自动分类分级:根据不同法规解读、不同行业客户数据类型特征、以及历史项目经验通过动态知识库不断更新到系统相
47、关规则策略组件,形成可复用的行业性数据分类分级策略。2)多模态数据识别及敏感信息自动识别能力:兼容不同结构化及非结构化数据,实现敏感信息检测及分类分级处置动作。3)自选代的数据安全管理策略:采用 AI 多重算法技术主动发现并判别敏感信息,减少漏检和误检,通过自学习能力不断优化策略,提高检测精准度。5.项目成果1)形成全量数据的内容标签、敏感信息标签(100W 数据字段 2.8s 实现自动转义和标识):利用 AI 智能引擎对全量数据自动发现及敏感数据自动识别的能力,快速构建起数据标签库,实现对数据的高效索引与分类分级。2)按照省标准形成数据分类分级管理体系:数据分类分级系统依据相关法律法规对数据
48、分类分级的要求,形成政务数据分类分级基础规则库模板,可复用于各委办厅单位。3)内容及分级结果以标签接口形式提供给数据门户等数据服务系统,补充数据安全管理体系完整性:数据分类分级系统输出的分类分级结果赋能数据架构系统及安全系统,辅助安全策略制定及数据资源编目过程中对数据资源的自动定级。36 十佳案例:某市“一网共享”数据安全治理管控平台开发和数据安 全运营案例 优秀供应商:领信数科 公司官网:1.项目背景政务数据是我国加快建设网络强国、数字中国的基础要素资源,具有权威性、公共性、专业性、广覆盖、高价值等特点。推进政务数据开放共享,加强数据资源整合和安全保护是关键。多项法规对数据安全提出更高要求,
49、在等保合规基础上,仍需加强涵盖数据分级分类、采集、传输、存储、使用、交换、销毁、审计等数据全生命周期管控和安全保障能力。2.项目目标立足某市数字政府建设数据安全建设工作需要,围绕“一网共享”平台等系统数据业务场景,从数据安全管理体系建设、数据资源分级分类、数据资源流转监测以及数据安全运营体系建设等四个方面,初步构建布局合理、管理协同、风险可控、安全可靠、合法合规的数字政府数据安全保障体系,加强“一网共享”平台等系统数据资源在采集、传输、存储、使用、交换、销毁等环节的安全保护,提升数字政府数据安全防护能力。3.建设方案本项目主要围绕某市“一网共享”平台等业务系统开展数据安全管控平台及运营服务建设
50、,建设内容主要包括:1)数据安全治理平台及软硬件配套建设:建设数据安全治理平台及数据分级分类工具、数据安全检查工具、敏感数据存储合规监测探针、敏感数据流 中国数字安全产业年度报告(2024)37向合规监测探针、数据库审计服务工具、API 安全网关服务工具、数据库水印服务工具、数据库动态脱敏服务工具及数据库加密服务工具,为某市政务服务数据管理局提供数据安全保障技术支撑。2)数据安全管理体系建设服务:深度分析并结合云浮市政务数据安全建设情况,以总体国家安全观为统领,深入贯彻落实国家法律法规和政策要求,构建与技术有机衔接的数据安全管理制度体系,明确责任划分和监督问责机制,协助某市政务服务数据管理局建
51、设完善数据安全管理体系,规划数据安全管理组织架构,完善数据安全制度流程,最终形成四级管理体系文件,包括数据安全方针和总纲、数据安全管理规范、数据安全操作指南和作业指导,以及相关模板和表单等。3)数据分级分类建设服务:以业务系统中数据资产为核心对象,通过对数据资产的发现、识别,梳理数据明细,构建数据资产底账清单。依据国家、地方、行业法律法规和某省数据资源“一网共享”平台数据资源分类分级指南,结合数据的自身属性及特征,按照一定的原则和方法来制定数据分类分级规范,并依据制定的规范开展各业务系统分类分级工作,完成数据分类标识和分级定责,构建重要数据目录,形成业务系统分类分级清单。4)数据安全运营服务:
52、坚持构建“人机结合、持续监测”的数据安全运营工作体系,建立数据安全应急处置机制,通过现场服务人员和数据安全管理平台结合的方式,落实数据安全风险评估、报告、信息共享、监测预警等工作,通过控制运营过程中的不合规风险点保障数据的安全合规,服务内容主要包括数据资产管理、常态监测运营、定期风评运营以及完善加固运营等服务。4.项目创新1)对数据按照不同维度进行分类分级管理,建立覆盖数据全生命周期的数据安全防护框架,基于零信任体系对数据活动进行精细化动态访问保护。2)通过结合多方计算、同态加密等技术,解决数据共享中的隐私保护问题,38实现数据“可用不可见”。3)加强数据安全监管,建立健全数据安全治理体系,提
53、高数据安全保障能力,保障公共数据及隐私安全。5.项目成果1)符合某市政务服务数据管理局数据安全建设规划,提升某市政务服务数据管理局整体数据安全防护能力;2)实现合规需求,对某市政务服务数据管理局履行网络安全法数据安全法个人信息保护法等法律法规,提升某市政务服务数据管理局数据安全水平。3)通过实施“一网共享”平台数据安全治理管控平台开发和数据安全运营服务,借助第三方力量,建立数据安全体系,排查隐患,评估安全状况,采取改进措施,提升防护能力,预防信息安全事件,确保某市政府数据安全。中国数字安全产业年度报告(2024)39 十佳案例:JMC 江铃集团多品牌全车型态势感知+入侵检测防御系 统案例 优秀
54、供应商:擎天信安 公司官网:www.qingtian-1.项目背景JMC 集团对于网络安全的高度重视,不断完善和提高自身车辆网络安全水平和能力,同时为了满足国内强标汽车整车信息安全技术要求和欧盟法规 R155 车辆网络安全法规。对自身车辆(队)的网络安全状况进行持续性监控,并在网络安全事件发生后的合理时间内做出应对。擎天信安积累多年汽车网络安全专业技术,已获得数十家主机厂信任。2.项目目标通过部署 VSOC 和 IDPS 系统,可对智能网联汽车在研发、测试、使用、维护、维修、软件升级各个生命周期中的安全事件进行监测和预警,同时在安全监测触发事件响应流程时,通过内部相关部门与外部供应商的联动排查
55、,最终完成安全事件的确认、评估、通报、处置、恢复、跟踪和总结,从而满足联合国车辆网络安全法规中对汽车制造商的网络安全工作的审计要求,以及道路车辆网络安全国际标准中安全控制措施的审查要求。3.建设方案40通过采集车端设备的安全风险、安全事件、安全隐患、安全情报信息数据,利用漏洞库、规则库、数据挖掘知识库和工具进行分析和研判,实现汽车领域车辆通信通道、车辆程序更新、非预期人为影响、车辆外部连接和连接点、车辆数据/代码方面的威胁进行安全监测和预警,同时为漏洞管理和应急响应提供输入。通过建设基于与供应商联动的应急响应机制、舆情感知系统/漏洞收集工具、漏洞库、漏洞排查信息数据库、事件披露流程及漏洞预警流
56、程、安全事件处置流程及漏洞响应流程的电子流/工单的信息系统,完成车联网安全事件的核验、处置、恢复、跟进的应急响应处理的工作流程。4.项目创新VSOC 提供从整体风险、地区风险、车型风险、零部件风险、数据分析、资源使用和流量消耗等各个角度展示全面的安全态势。内置80+风险分析模型,实时监控 100+风险,结合数据可视化,实现风险精准呈现。集成威胁建模、自动化处置、AI 预测引擎,贯穿汽车网络安全全周期。基于 ATT&CK 模型,结合威胁情报库,实现风险追踪溯源。IDPS 作为专业车载入侵检测及防御产品,识别并动态阻断针对主机、网络以及 CAN/CAN-FD 等的网络攻击。稳定可靠,端侧探针低资源
57、,低消耗。精准威胁感知,基于特征库,知识图谱,融合 AI 分析、深度学习等分析能力等,识别已知和未知威胁。中国数字安全产业年度报告(2024)415.项目成果助力 JMC 建立海外汽车信息安全监控及态势感知系统,满足 WP29 R155 法规实现安全监控、攻击溯源取证能力、并以年为单位提交认证机构车辆安全运营情况,进一步推动全球化战略。整车部署汽车入侵检测防御系统(IDPS),全面监控攻击入口和系统漏洞,拦截攻击行为,汇总数据至云端,支持溯源取证。42 十佳案例:瑞数数据安全和反勒索在高精制造业的实践应用案例 优秀供应商:瑞数信息 公司官网:1.项目背景某企业的 ERP 系统为方便与合作伙伴协
58、同工作,部署于两个想不同的数据中心,互为灾备,勒索软件通过 SQL 注入攻击某企业 ERP 系统,利用实时数据同步导致两数据中心同时失效。尽管有 WAF 防护,传统灾备系统仍无法抵御,企业仍花费 3 天时间才恢复数据。2.项目目标传统的灾备系统已无法满足勒索软件攻击场景下的安全需求,对关键数据进行实时检测关键数据安全并进行应急响应,应对新型勒索软件的隐蔽性和传统灾备系统的不足,确保数据安全和业务连续性。3.建设方案瑞数数据安全检测与应急响应系统(River DDR)以数据安全底座为支撑,提供创新的离线智能深度检测技术、智能快速恢复技术,通过动态隔离、安全存储、变动追溯、数据沙箱和快速恢复构筑的
59、纵深防御体系,通过“事前数据风险管理+事中智能威胁感知+事后快速应急响应”三道防线,有效对抗勒索病毒攻击,协助企业在数分钟内恢复系统的正常运行。系统分三大功能层:数据安全管理底座、人工智能安全检测引擎、服务层。1)数据安全管理底座:主要实现对生产数据备份、备份数据的安全存放和管理、搭建安全检测环境的数据沙箱并为上层安全检查功能提供数据、快速恢复等能力。中国数字安全产业年度报告(2024)43永久增量数据获取功能:数据安全检测需要消耗大量的资源,因此不能直接在生产上进行检测,利用在离线数据检测的方式来检查生产是否被感染。同时为了减少对生产的影响,采用永久增量+增量合成的方式实现离线数据的获取。安
60、全存储功能:恢复数据应具备不可变特性,从而确保恢复数据不会被加密、修改。变动追溯功能:在恢复数据内,识别出当日生产的增删改数据,减少安全检测的数据量,以减少检测的时间。数据沙箱功能:为恢复数据提供沙箱功能,以确保已经被感染恢复数据不影响其他生产系统,并在得到清理后,才进行恢复。快速恢复功能:无论数据量的大小,数据恢复时间都应该在分钟级,以确保被加密数据的恢复时间在业务可承受的范围之内。2)人工智能安全检测引擎:由于业务层面很多时候无法感知勒索已经发生,因此利用 AI 人工智能技术,能判断数据是否被勒索加密,并实现对每天恢复数据增量部分的深度检查。AI 人工智能安全检测引擎将与数据安全管理底座进
61、行联动,实现初次全量的健康检查、日常数据增量部分的深度检查、重点表的异动监控等等,并通过实时告警通知服务层。3)服务层:服务层面向实际场景的操作和使用,对应勒索攻击的事前、事中、事后提供具体使用功能:事前服务:对全量离线数据进行安全扫描,以确保生产数据在当前状态的健康性。通过数据的分类分级,确定需要进行保护的数据,并通过策略设置安全检测的频率。事中服务:根据策略,自动发起安全检测,日常检测基于每日获取的增量数据,缩短数据获取和安全检测的时间。44事后服务:检测出勒索行为时,自动告警,并建议可恢复的健康数据,在恢复时,提供快速恢复能力。4.项目创新掌握数据资产分布:帮助用户摆脱无法掌握数据资产分
62、布以及数据安全威胁不可见的窘境。防勒索软件攻击:避免大量数据被加密后,才发现已经长时间被勒索软件攻击。数据安全预警:建立数据安全预警能力,避免被黑客威胁后,才发现大量数据被窃取。保护备份数据:隔离备份数据,防止勒索软件、黑客或内部人员删除或破坏备份数据。持续验证备份数据:持续验证备份数据的可用性,避免在应急时,才发现备份数据不可用,无法进行恢复。缩短业务中断时间:防止数据恢复进程过于漫长,缩短业务中断时间。5.项目成果检测异常数据,发现并修复勒索软件留下的后门攻击。快速恢复业务,协助客户短时间内恢复 ERP 系统被加密数据,减少业务中断。避免财务损失,检测并修正 ERP 系统中部分供应商的银行
63、账户信息,避免财务损失。中国数字安全产业年度报告(2024)45 十佳案例:集度汽车数据安全案例 优秀供应商:天空卫士 公司官网:1.项目背景集度汽车是由百度和吉利共同出资成立的一家智能汽车公司,在数据安全建设方面主要面临以下问题:传统的隔离手段在数字化转型下不能很好的保护数据,如数据共享场景;敏感数据在企业的分布中较为广泛,数据源多,数据传输通道类型多,如终端、网络、邮件、外设、蓝牙、热点 WIFI 等;人为因素较多,不可预测情况频发。2.项目目标以终端安全中数据防泄漏系统是数据安全管控基础,旨在保护内部终端侧重要数据不被轻易外泄;构建数据安全统一规划和统筹管理的能力,符合国家和行业合规要求
64、;保障终端数据安全,既要保护核心数据的安全,不被违规滥用;又要允许基于合法商业用途的数据传输、共享,保障业务流程安全、流畅。3.建设方案集度汽车采用天空卫士终端数据防泄露(EndPoint DLP,简称终端 DLP)产品来保护电脑终端的敏感数据,包括设计图纸、建模数据、研发代码、财务报表、供应链数据、生产数据、内部用户信息、供应商数据、用户信息等。46终端 DLP 安装在集度汽车员工的 PC 机上,对终端通过上网、邮件、上传、下载、共享等(http、https、smtp、ftp、smb 协议)、IM 即时通讯、应用程序、终端外设(USB、蓝牙、红外、刻录、打印)传输的数据进行深度内容审计与保护
65、,在数据进行操作之前对其进行管控,并根据安全策略产生相关的动作(如:阻止、审计、提示、确认、加密等),同时生成日志和审计日志。在终端离线、出差漫游、移动远程办公时各类保护依然有效,并基于不同位置对终端离线、在线设备提供保护策略。4.项目创新技术创新性采用的业务分担策略,以及在单节点故障情况下的故障切换流程,同时为不同级别事件制定不同应急响应方式,处理方案保证平台能稳定运行。理论创新性在数据生命周期内,遵循数据识别、数据分级、数据保护的建设思路,重点加强终端数据泄露风险管控,打造集敏感数据收集、分析、统管、监控、审计为一体的数据安全管控平台。提升数据质量,提高数据安全保障能力,保证数据交换体验流
66、畅的同时,满足数据交换安全可控的管理要求,全面推动数据安全体系建设,降低敏感数据泄露风险,保障核心数据资产安全,提高公司信息安全防护等级,保障联通数字化转型。成果先进性对主流的Windows、Mac OS、统信UOS、中标麒麟的操作系统上的多种网络、应用程序、即时通讯、终端外设通道的传输机密敏感内容进行深度审计与保护,有效降低数据泄露风险。5.项目成果支持多种操作系统,充分适配企业的合规需求 中国数字安全产业年度报告(2024)47支持主流操作系统,如 Windows XP/7/8/10、Windows server、MacOS、Linux 等主流操作系统,同时也支持国产化 X86 统信 UO
67、S Linux 系统、ARM 麒麟 Linux 系统。统一管理,可实现多产品联动终端 DLP 支持与网络、邮件、应用等采用统一管理控制台(UCSS)以及UCSS-Lite 终端二级管理平台进行总部分支架构部署及跨网络管理,集中下发策略与管理事件与违规证据。为后期项目的扩容和增加其他数据安全设备奠定了良好基础。企业级 DLP 终端内容识别与终端数据通道覆盖支持超过 500+种文件格式识别,包括主流所有压缩、加密、文件真实格式以及文件深层次压缩、文件嵌套识别。在终端离线、出差漫游、移动远程办公时各类保护依然有效,并基于不同位置对终端离线、在线设备提供保护策略。跨平台、深度企业即时通讯数据内容识别与
68、保护天空卫士终端 DLP 支持最广泛的即时通讯系统数据实时监控与防护,支持QQ、微信、企业微信、钉钉、飞书等聊天软件。可以对聊天内容、外发文件等行为进行自动化的审计和管理,实时识别与企业有关的商业机密与敏感数据并支持放行、阻断、确认动作,同时支持外发敏感内容可以将当前上下文页面截图以及记录用户即时通讯用户 ID 以作为辅助证据。48 十佳案例:山东某政府数据中心密码资源池建设案例 优秀供应商:天融信 公司官网:1.项目背景政府数据中心作为政务服务的核心载体和产业数字化转型的重要引擎,因此,通过建设统一的云密码资源池为系统可靠运行提供全面高效的密码支撑服务,已成为当下提升密码管理效率和安全性的重
69、要途径。2.项目目标按照中华人民共和国密码法及商用密码有关规范,从身份鉴别、数据传输机密性与完整性保护、数据存储机密性与完整性保护、时间服务、密钥安全管理等密码应用需求出发,建设统一的云密码资源池,为海量业务提供全面高效的密码支撑服务。3.建设方案天融信基于该政府数据中心用户的业务需求,进行政务云密码资源池的建设,分别面向云平台管理侧和租户侧进行密码应用方案设计,结合实际应用需求,将所有密码资源及密码设备统一纳入云密码服务统一管理平台进行监管和调度。整体密码资源架构包括用户接入、密码安全边界、密码接口资源池、密码服务资源池、密码基础设施、电子认证基础设施、云密码服务统一管理平台等核心组件,为云
70、管平台自身和云上应用系统提供密码服务。中国数字安全产业年度报告(2024)49按照国家相关规范,云密码资源池需符合信创部署要求,本方案通过密码服务管理平台、云服务器密码机、签名验签服务器、服务器密码机等国产化密码设备,帮助客户构建信创云密码资源池,为云上应用系统提供密码服务。其建设阶段包括:密码服务平台+已建设密码设备(纳管)密码服务平台+已建设密码设备(纳管)+新增密码设备(满足初期租户需求,纳管)+云密码机 全部业务上云,数据上云,云密码资源内生,可提供完善的密码应用服务本案经过以上三个阶段的统筹设计,通过构建密码资源池,实现密码服务化、服务虚拟化、资源弹性化、资源可视化、接口标准化、管理
71、规范化、应用合规化的设计思想。4.项目创新1)采用虚拟化技术将 VHSM 分配给业务系统使用,并可弹性调整 VHSM 的性能,从而实现密码资源的集约利用、动态伸缩以及密码设备的有效管理和维护。同时通过 SR-IOV 技术 KVM 虚拟化技术,有效地减少在开发、测试和部署周期中所消耗的时间,并能够快速动态部署、迁移,在合理的资源分配策略下,真正实现密码资源按需分配。502)在密钥存储和使用两个环节采用密钥隔离技术。在存储环境,HVSM 的密钥均以密文方式存储在每个 HVSM 自身文件中,且 HVSM 之间的文件系统由虚拟机管理器进行隔离。在使用环节,首先在密码运算模块的易失性存储区中建立密钥隔离
72、区,被加密的密钥均导入到密钥隔离区进行使用,且将密钥隔离区中的密钥与访问会话、隔离 ID 进行绑定,防止非授权的密钥访问请求。5.项目成果增强安全性云密码资源池通过采用先进的加密算法和虚拟化技术,将密码资源从传统的单体设备中抽象出来,实现密码的集中存储和管理。提高管理效率密码资源池采用统一的服务接口,与现有系统无缝接入,实现密码的集中管理和统一服务,提高管理和维护密码资源的效率。灵活扩展和按需分配密码资源池具有灵活弹性扩展和按需分配的特点。随着政府数据中心业务的发展,密码资源池可以轻松地扩展以满足更多的业务需求,而无需进行大规模的硬件升级或系统改造。同时,密码资源池还可以根据实际需要,按需分配
73、密码资源,避免资源的浪费。降低成本通过构建云密码资源池,政府数据中心可以节约大量的成本。一方面,密码资源池采用集成化的服务系统,减少了用户的管理成本;另一方面,基于硬件密码资源的有效整合,可以节约机房的空间资源、能耗资源和运维资源,降低后期扩展的二次投资成本。中国数字安全产业年度报告(2024)51 十佳案例:智能制造企业数据勒索攻击智能检测与响应典型案例 优秀供应商:威努特 公司官网:1.项目背景西派集团正在进行“智改数转”,在这一过程中,基于数采上传的业务场景,将原本封闭的生产网络与办公网络进行了打通,生产网一旦遭受网络攻击或恶意代码感染,将会产生较大的直接经济损失。2.项目目标对整个工业
74、控制网络进行了体系化升级改造,帮助西派集团孵化出动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的六大安全能力。同时,在西派集团原有病毒防护基础上建立一套专业的勒索病毒防治系统,建立起事前防御、事中监测和事后响应的安全能力体系。3.建设方案本项目按照 P2DR2 动态安全模型,构建由勒索攻击预防、数据安全保护、勒索行为检测、勒索攻击响应、数据备份恢复组成的勒索攻击智能检测与响应系统。数据勒索攻击智能检测与响应系统52勒索攻击预防:基于对已知勒索软件的研究,在先验知识支撑下对主机开展主机风险评估、主机加固及安全策略,实现主机层面的攻击面管理、网络微隔离、脆弱性加固、介质管控等。数据安全
75、保护:强调对数据的保护,首先建立数据资产台账,识别出敏感数据,在数据分类分级的指导下开展专项安全策略保护,如精细化的访问控制、基于轻量加密的 DLP 策略和对操作系统自身备份机制的保护等。勒索攻击检测:基于勒索防范相关知识库,通过文件诱饵检测、数据加密库行为检测、勒索攻击行为检测及勒索病毒家族精准识别勒索软件攻击,并为勒索攻击智能响应子系统提供攻击结果。勒索攻击响应:响应子系统和检测子系统紧密关联,基于检测结果实施响应处置措施,处置措施从局部到全局,即单一勒索行为点的阻断到整个勒索执行链的线条的隔离,进而对失陷主机隔离并开展该台主机的安全策略增强加固,最后将勒索情报通过平台分享至全网主机,令全
76、网主机获得即时的“免疫”能力。数据备份恢复:备份机制分为本地轻量化备份(基于多点备份机制)和远端备份(存储异构、私有通信协议),配套对工业数据库结构化数据备份,最终实现满足工业互联网企业业务连续性要求下的数据恢复。4.项目创新引入非特征识别的动态防勒索技术,不依赖病毒特征库,实现勒索病毒全生命周期的“检测、防护、恢复”防护机制。动态诱捕技术精准识别和拦截;权限关联技术实现数据文件不被篡改;“按需触发”动态备份机制,任何可疑操作前备份数据;数据定向回滚技术确保数据文件被恶意加密后可恢复。中国数字安全产业年度报告(2024)53全方位防护体系5.项目成果提升西派集团对已知或未知勒索病毒的持续对抗能
77、力以工业网络主机为最小防护单元,深度结合操作系统底层驱动技术,实时检测勒索病毒恶意行为、保护核心业务免遭中断、恢复恶意加密的系统数据,实现事前防御、事中检测/阻断、事后恢复的勒索病毒防范能力。提升数字经济勒索攻击防范安全供给侧能力该项目构建勒索病毒防范技术体系,符合国家政策需求,有力提升产业数字化转型的安全保障能力。54 十佳案例:某大型央企办公网终端安全新防线案例 优秀供应商:微步在线 公司官网:1.项目背景某大型央企已有完善终端安全能力,但在应对攻防演练、黑灰产等高对抗场景,缺乏有效的检测与处置闭环能力。该企业架构庞杂、下属二级单位众多,安全运营独立,多分支难于统一管控。在日常安全运营中,
78、该大型企业全网终端数量众多,EDR 等新技术运营门槛较高,使得企业整体安全运营压力大。与此同时,该大型企业内部终端安全产品多,需要在补齐威胁检测能力的基础上,具备很好的兼容性,保证终端上的轻量与稳定。2.项目目标通过微步终端安全管理平台 OneSEC,补齐该大型企业在攻防演练、黑灰产等高对抗场景中的检测能力,实现对大型企业更轻松地多分支统一管控,缓解企业安全运营压力,保证兼容性、确保终端的轻量性与稳定性。3.建设方案该大型集团统建了以微步终端安全管理平台 OneSEC 作为关键终端安全威胁监测能力,补充到现有办公安全管理体系中去。微步终端安全管理平台OneSEC Agent 通过原有终端安全产
79、品以员工无感的方式,下推给各级单位,提升对新型和高级威胁的监测能力。同时,通过统一的 MEDR 安全托管服务实现全集团的监控和通报,各单位通过其分管账号登录平台进行终端安全问题认领和清理。4.项目创新 中国数字安全产业年度报告(2024)55高级攻击识别能微步终端安全管理平台 OneSEC 具备真正发现攻防实战中高级攻击手段的能力,能够发现其他终端安全产品无法发现的 CS 马、远控马、无文件及云函数等高级攻击手法。轻量级 Agent 与兼容性OneSEC 提供了一个轻量 Agent,不仅宽带占用小,实现功能有效互补。攻击溯源能力OneSEC 具备发现攻击源头的溯源能力,能够帮助企业找到攻击入口
80、点及攻击过程,掌握威胁源头,快速响应。这是目前终端安全产品不具备或做不好的地方。全面的终端行为记录OneSEC 具备记录最全的终端行为事件。无论企业通过何种方式发现攻击,都能通过 OneSEC 来追溯对应的攻击动作与过程,且支持对接 SOC 用于大数据分析。轻量化 SaaS 控制台企业无需安装、部署、运维以及升级软件,只需一个账号即可随时随地享受到最新的产品能力。5.项目成果1)该大型企业通过应用微步终端安全管理平台 OneSEC 的 EDR 新技术,具备了应对高级威胁的新手段。2)通过 SaaS 方式接入,该企业 2 周时间内接入近 2W Agent,全面覆盖集团总部以及下属 20 多家重点
81、单位,实现了统一管控全网终端。3)该企业采用微步 MEDR 安全托管服务,将一部分繁杂且技术门槛高的终56端安全运营工作转交给微步专业分析师,降低了企业安全运营压力。4)该大型集团总部管理员为各下级单位管理员在 OneSEC 控制台创建了分管账号,基于微步分析师给到的专业处置建议,高效协同闭环全网威胁。5)该企业仅启用了 EDR 模块,就实现了客户端的长期稳定运行,启用静默运行模式,对终端用户的感知最小化。6)服务期间,微步终端安全管理平台 OneSEC 帮助客户发现了黑灰产、微信钓鱼、僵木蠕等事件超百起,保障超90%事件均通过产品得到高效处置闭环,保障了攻防演练中办公终端 0 中招,0 失陷
82、。中国数字安全产业年度报告(2024)57 十佳案例:保险行业某大型集团零信任一体化终端安全项目 优秀供应商:指掌易 公司官网:1.项目背景某大型保险集团经过多年信息化建设,已构建基于移动互联网的多场景业务,包括移动展业、业务营销和混合办公等。但也面临着数据泄密的风险及管理难度,为了应对这些为应对这些风险,项目旨在构建移动安全防护体系,建立一个便捷、可靠的移动办公安全平台,以满足移动互联网办公需求,同时解决终端安全、网络接入、应用数据保护和身份验证等问题,为保险集团的数字化转型提供全面保障。2.项目目标满足该大型保险集团多元化移动场景,基于底层设备管理、安全沙箱、零信任 SDP 等核心技术,构
83、建一体化整体解决方案,实现移动展业设备管理、营销过程审计和混合办公安全管理的不同场景需求。3.建设方案针对移动展业场景,指掌易提供专有设备的全生命周期管理能力,实现资产的实时统计管理,全面掌握设备使用情况。设备的专机专用管理,从外设管理到上网、应用的限制,多维度保障设备使用的专一性。提供企业级私有应用商店,对展业应用进行统一管理,包括上架、分发、更新、下架等;安全性合规监测,保障设备使用的安全性。针对业务营销场景,通过平台系统对配发工作手机进行集中管理,包括行为监控、通讯记录保存、客户信息脱敏和实时质检等,保障业务人员在催收营58销过程中的规范性。同时提供绩效考核依据,不断提高和改善标准化作业
84、。针对混合办公场景,指掌易对主流终端设备(安卓/iOS/鸿蒙等移动终端、Windows/信创/MacOS 等 PC 终端)跨网访问混合办公场景中的终端数据安全、可信接入等提供全面安全能力。为多类型主流终端提供安全环境,实现办公应用和数据在虚拟安全环境中运行,提供水印、防止截屏、限制转发和数据加密等防泄露保护,并对应用提供单点登录、应用预置和客户端调用能力,确保安全、稳定且简单易用;面向应用服务访问提供互联网服务暴露面收敛、用户可信接入访问可靠高效的零信任安全保障。4.项目创新1)多场景兼容,构建多场景的移动安全基座,通过统一安全平台,满足在移动展业、业务营销、混合办公的安全管理需求。2)终端虚
85、拟安全域,提供移动化办公统一空间和应用入口,基于沙箱技术,在移动设备和 PC 设备上创建一个虚拟的安全工作域。实现用户个人数据与政企业务数据的安全隔离,既保障了政企数据的安全性,同时极大提升了移动办公的用户体验。实现了一个设备兼备“个人”和“工作”两套“区域”,兼顾工作数据安全以及个人生活隐私。3)自动化、开箱即用,移动应用通过工作空间应用市场发布后,自动实现安全能力集成,包括安全网关接入能力、数据加密能力、数据 DLP 能力等,实现开箱即用的良好体验。4)基于零信任的安全接入,基于“永不信任、始终校验”的零信任机制,建立安全、隐蔽的数据传输隧道,收敛互联网暴漏面,保护企业服务、业务资源。5)
86、全面防止信息泄露,从终端侧运行环境安全,到工作域内封闭的加密空间,再到整个域内的工作 APP 和数据保护防泄漏功能,整个方案提供从数据 中国数字安全产业年度报告(2024)59产生、传输、存储整个生命周期的安全防护。5.项目成果1)多个场景建立防护,在大型保险集团的多个业务场景中应用指掌易整体解决方案,包括移动展业设备的安全合规管理、业务营销的风控与审计,以及混合办公的安全赋能。2)多项技术保障业务移动化安全,依托安全沙箱、零信任接入等核心技术,有效支撑了集团的数字化转型升级,确保了业务移动化过程中的安全性。3)提升办公效率,解决了业务移动化进程中的安全和效率问题,为同行业或类似使用场景的移动
87、数字化智慧转型提供了重要的参考价值和高标准的借鉴。60第五章数字安全资本数字安全企业的规模扩张和净利润增长始终处于困境,投资回报率普遍偏低,因此投资界对整个产业的良好预期缺乏信心。摘自中国数字安全产业统计与分析报告(2023)中国数字安全产业年度报告(2024)61国内的数字安全资本市场,在 2022 年出现急剧下滑之后,在 2023 年继续下滑,股权投资总额约 39 亿元,与 2022 年相比下降 43.8%。融资笔数 72 次,与 2022 年相比下降 24%。图 5-12021-2023 年国内数字安全企业融资概况 图 5-22017-2023 年国内数字安全资本市场概况在融资热点方面,
88、去年我们列举了十大赛道,今年由于融资总额较少,本年度报告只列出了五大赛道,数据安全、工业互联网安全、安全运营、密码与软件供应链安全。62图 5-32022 年国内数字安全行业融资金额排名前十的安全领域 图 5-4风险与战略投资排名前五的赛道重要结论 2016 年至 2023 年,国内数字安全资本市场累计股权融资总额达 629 亿元。2023 年股权投资总额约 39 亿元,当下的资本市场尚处于寒冬期,反映出资本方对经济的预期。国资越来越多的介入数字安全产业,其原因数世咨询已经多次指出,由于安全的特殊性和特殊地位,国有化、监管化是必然。中国数字安全产业年度报告(2024)63第六章数字安全九大态势
89、数字安全产业的刚需是国家安全,是数字经济。因此,虽然出现暂时的疲软停滞,但“长期向好,未来可期”的大趋势不变。摘自中国数字安全产业统计与分析报告(2023)64一、新质生产力之于数字安全习近平总书记指出,新质生产力“由技术革命性突破、生产要素创新性配置、产业深度转型升级而催生”。数世咨询认为,数字安全领域可从三个方面对应新质生产力的三大内涵:一是基于大型语言模型的应用,对应技术革命性突破;二是为第五大生产要素“数据”做好保障,对应生产要素创新性配置;三是从保护数字资产到保护数字业务,对应产业深度转型升级。二、安全大模型应用尚在早期大语言模型的出现有助于安全价值与用户体验等方面实现质的飞跃。具体
90、到市场需求而言,一是大幅度提升安全工作效率的需求,二是业界对新质生产力的创新项目研究,许多用户表现出较强的采购意愿。2023 年,先后有二十几家安全企业推出了自己的安全大模型应用,现阶段主要聚焦在“问答助手”和“告警降噪”两大场景,但更深一步的关联分析和自主决策,以及建设成本、训练数据和效果评估等方面,还亟待进步。三、数据流通需要先做数据治理传统的数据安全是对信息对象的保护,是静态的。而数据要素化时代,则是对流通中数据的保护,是动态的。试图通过堆积传统的安全产品来解决当下的数据流通需求,无异于缘木求鱼,刻舟求剑。数世咨询认为,数据流通的前提是数据治理,目的是价值释放。数据不做治理就无法流通,不
91、流通何谈价值,无价值安全何用?因此安全产业的认知、资源和力量需要更多的转向对数据治理的关注、研究和落地。国家数据局成立以来,提出的“数据基础设施建设”、“全国数据资源调查”、“数据要素”、中国数字安全产业年度报告(2024)65“数据标注基地建设”等一系列规划和工作,就是在为实现全社会的数据治理,进而实现数据的充分流通和价值释放,打下坚实的基础。四、数字安全的目标主体是数字世界数世咨询提出,数字安全与网络安全最大的区别在于,前者的目标主体是数字世界,而后者的目标主体是网络空间。因此,数字安全不只是针对网络资产或数字资产的保护,而是更为广义的,包含了数字活动风险的控制和数字社会可持续发展的一种综
92、合性安全保障。将保护对象从信息、数字资产,上升到更为广阔的数字业务或数字活动,意味着网络安全将脱离之前在信息化、数字化中的从属地位,进而成为生产安全和社会秩序的保障,这才是数字安全(网络安全)产业的深度转型升级。五、出海有机会但仍需谨慎投入依据数世咨询针对数字安全企业的出海调研报告,出海的安全企业分为两大类出海途径,“借船出海”和“造船出海”。前者是指借助央国企与海外的合作,为海外客户或在海外开展经营活动的中国企业提供安全产品及服务。后者是指凭靠自身的资源或投入以开展海外业务。但无论哪种方式,从目前的投入产出比来看并不理想。具体面临的困难有三,一是缺乏品牌知名度,极度缺乏第三方的评价;二是本土
93、化艰难,需要与本土文化、本地员工、服务资质等进行融合与适配;三是地缘政治冲突,海外地区的政府或企业,很大一部分受欧美意识形态影响极深,要么歧视中国的产品和技术,要么用国家安全的理由将中国的企业拒之门外。综合而言,出海业务是一个长期的培育过程,而且要配合国际政治、经济形势等背景适时开展,因此还需谨慎投入。66六、全行业减员促进安全服务外包2023 年,依据公开渠道的统计,全行业减员 6.6%。但根据数世咨询的实际走访调查,真实的数字约在 15%左右,而且大部分为安全服务人员。另一方面,用户侧对安全服务的需求并无大的改变,因此促进了安全服务的外包。但出于惯性的原因(甲方按项目付费,乙方送服务卖产品
94、),除少数顶尖提供商外,安全服务的价格普遍偏低。一些安全公司的安服人员开始流向集成商、三产公司、渠道商。值得指出的是,这三者都非依赖安全服务赚钱。七、北交所拥堵,港交所或成新目标科创板申报条件的改变,让几十家数字安全企业不得不重新考虑上市计划和上市目标。于是对净利润要求较宽松,旨在服务创新企业的北交所,成为集中性的上市目标,但同时也造成了拥堵,极大地增加了上市门槛。依据北交所官网的数据,截至 2024 年 4 月 1 日,北交所 IPO 排队企业计共 105 家,净利润处于 5000 万以上的企业共有 50 家,将近一半。5000 万的净利润对于当下的数字安全企业来说,是一道无法迈过的门槛。因
95、此,那些面临对赌回购的企业,开始将目光转向港交所。八、整体产业下滑有望形成去泡沫化2016 年至 2023 年,国内数字安全资本市场仅股权融资,累计总额就达到了 629 亿元。而同一时期,占整体安全行业收入一半的上市公司净利润累计总额约为 115 亿元。可以看出,泡沫现象已经非常严重。与此同时,用户满足于“形式合规”以及供应商对新概念的一窝蜂式炒作,给甲乙双方乃至整个产业发展带来极大的消极和负面作用。数世咨询认为,2023 至 2025 将是数字安全产业去泡沫化的三年,是更多 中国数字安全产业年度报告(2024)67的业内人士开始反思过去安全行业积累种种弊端的三年。如何将安全运营服务标准化,将
96、安全业务的价值量化、透明化,从形式合规走向能力合规,从概念炒作走向“安全真能力”,拒绝不负责任的超低价内卷,是我们所有安全从业者共同的责任和挑战。九、数字安全产业的两大基本面未变据工业和信息化部发布的数据,2023 年全国软件和信息技术服务业的收入规模达到 12 万亿元,按照 5%占比来计算,意味着数字安全市场规模能达到6000 亿元,是目前实际规模的六倍之多。放眼全球,美英两国近年来的数字安全市场规模约占其国民生产总值的0.45%,数字经济的 0.9%。但这个比例在中国分别是不到 0.1%和 0.2%。如果用美英的占比来对应,国内的数字安全市场规模至少还有四到五倍的增长空间。除此之外,随着全
97、球的数字化进程,政治、军事、科技、经济等社会活动对数字化的依赖性更强,数字安全的占比仍将进一步扩大。国家安全的高度重要性与数字经济的发展趋势,是数字安全产业的两大基本面。只要二者不发生变化,数字安全产业就一定会“长期向好,未来可期”!68结语笔者从 2004 年起,作为中国信息安全年鉴的第一编辑,开始数字安全产业的市场研究工作,到现在已历经二十余年,见证了安全产业的整个发展历程。从杀毒软件到防火墙,从“老三样”到“态势感知”,从计算机安全到信息安全、网络安全,和现在的数字安全,从十几亿元的专业细分市场到现在近千亿元的产业规模。经历了“没有网络安全就没有国家安全”之后的产业爆发,也正在经历当下整
98、个产业的减员降薪和整体下滑。通过多年来与众多业内资深人士的广泛交流和深度思考,作为一名数字安全领域的从业者和研究者,我仍然对产业的未来充满希望和期待,并用以下文字作为本篇报告的结束语:科技的发展有一个必然规律,即技术越高级,系统越复杂,稳定性就越差,风险就越大。汽车比马车危险,航空比火车危险,航天飞机、宇宙空间站的信息系统更是容不得一行代码的出错。不仅如此,在数字世界中,破坏、犯罪和战争的成本变得极低,且实施起来尤为容易。当一条数字化的通信指令不仅可以控制空调、汽车,还可以控制心脏起搏器,左右银行交易,命令电厂停电、卫星转向,甚至是发动核打击的时候,其蕴藏的巨大风险可想而知。在现实世界中,安全是割裂的。人身安全、财产安全、交通安全、生产安全、社会治安、国防安全等等。这些安全领域彼此的交叉很少,分别有着各自的活动领域。但在数字世界里,安全不再割裂,所有的安全问题都可归结于数字安全问题。“一切安全都是数字安全,一切风险都是数字风险”数世咨询复杂系统的不稳定性,数字世界安全的高度统一性,决定了网络安全的特性将从伴生需求走向共生需求,并终将成为高科技时代人类社会生活的基本需求。数字安全领域独立第三方调研机构