《中安協數安委：2025中國安防行業數字安全建設與發展白皮書（39頁）.pdf》由會員分享，可在線閱讀，更多相關《中安協數安委：2025中國安防行業數字安全建設與發展白皮書（39頁）.pdf（39頁珍藏版）》請在三個皮匠報告上搜索。

1、 中國安防行業中國安防行業數字安全建設與發展數字安全建設與發展 白皮書白皮書 2025 年 1 月 摘 要 本次白皮書，共發放并回收安防企業調研問卷 100 份，其中，76%的調研對象為 200 人以下中小企業。47%安防企業年營收規模在 2000 萬元以下，營收過億元的企業共占比 22%。16%的受訪企業已在海外拓展業務，9%的受訪企業在未來 3 年內有望拓展海外業務。從主營業務來看，主營安防產品平臺建設業務的安防企業占比最高，達 72%；其次是安防系統集成服務，主營企業占比為40%，主營安防產品硬件制造的企業占比為 22%。安防企業服務客戶主要行業分布依次是：公安、事業單位、教育、交通和居

2、民社區。14%的安防企業早在 10 年之前，就已經全面啟動了關鍵生產流程的自動化與數字化轉型工作。但也仍有 38%的安防企業尚未啟動數字化轉型工作。其中，人事、財務等辦公相關的業務系統，數字化轉型率最高。特別的，調研還發現，有 38%的安防企業存在跨地區聯網辦公和跨地區聯網生產的情況。從產品的數字化、智能化角度看，國內安防產品的平均聯網工作率約為 56%，72%的安防企業計劃或已經將 AI 技術用于安防產品或安防系統。在 AI 模型的技術路線選擇方面，選擇傳統 AI 技術的安防企業占比達 45%，高于選擇通用大模型技術的 43%，而且有 22%的安防企業認為，垂直領域大模型技術會比通用大模型更

3、適合安防行業。從運營的數據規模來看，21%的安防企業僅能達到 GB 級，不足 1TB；17%的安防企業達到了 TB 級，即在 1TB1PB 之間；而 運營和處理數據規模超過 1PB 的安防企業僅有兩家，占比 2%，其中一家運營和處理數據的規模超過了 50PB。僅有 20%的安防企業會設立專門的網絡安全部門或團隊，團隊規模平均為 45 人。有 16%的安防企業，單位一把手（董事長、總裁）就是網絡安全工作第一責任人。另有 9%的安防企業，網絡安全工作的第一責任人是副總裁以上級別。安防行業企業每年用于網絡安全的平均預算投入水平約為8590 萬元。對于自家產品存在的網絡安全漏洞，62%的安防企業都會主

4、動為客戶提供免費上門漏洞修復服務，這表明，絕大多數安防企業都能夠對自家產品負起安全責任。安防企業最為關注的政策法規依次是：網絡安全法、數據安全法、個人信息保護法和網絡安全等級保護制度。安防企業最為擔心的網絡攻擊者依次是：競爭對手、個人黑客和黑產團伙；最為擔心的網絡攻擊影響依次是：數據泄露、聲譽受損和行政處罰；最擔心數據泄露的數據類型依次是：辦公系統數據、客戶服務數據和商業機密文件。當前國內安防行業的數字安全發展，主要呈現以下特點和趨勢：內生安全是安防企業普遍共識、歷史包袱問題制約安防企業發展、數據安全解決方案亟待全面提升、安防行業客戶普遍忽視網絡安全、安防企業普遍期待行業指導標準、安防企業走出

5、去面臨多重安全挑戰。關鍵詞：關鍵詞：安防行業、視頻監控、數字化轉型、數字安全、網絡安全、數據安全 目 錄 研究背景研究背景 .1 1 第一章第一章 安防企業經營現狀分析安防企業經營現狀分析 .3 3 一、企業規模.3 二、業務范圍.4 三、短期發展.7 第二章第二章 安防企業數字化轉型分析安防企業數字化轉型分析 .9 9 一、生產數字化.9 二、產品數字化.12 三、運營數字化.15 第三章第三章 安防企業數字安全建設分析安防企業數字安全建設分析 .1919 一、組織建設.19 二、預算與服務.21 三、安全意識.23 四、安全威脅.24 第四章第四章 安防企業數字安全建設展望安防企業數字安全

6、建設展望 .2727 一、內生安全是安防企業普遍共識.27 二、歷史包袱問題制約安防企業發展.29 三、數據安全解決方案亟待全面提升.30 四、安防行業客戶普遍忽視網絡安全.32 五、安防企業普遍期待行業指導標準.33 六、安防企業走出去面臨多重安全挑戰.33 1 研究背景 2024 年 6 月 21 日，中國安全防范產品行業協會數字安全專業委員會（以下簡稱：中安協數安委）在北京成立。中安協數安委立足于數字安全發展全局，旨在推動包括安防行業數字化轉型在內的所有數字安全領域的發展與合作，促進產學研用深度融合，建立涵蓋技術研發、產品推廣、體系建設、產業咨詢、合作交流、人才輸出等多方面的綜合機制。中

7、安協數安委是由全國從事網絡安全、數據安全、信息安全、物聯網安全、工控安全、隱私保護、密碼技術、數字安防、數字安全法規政策、網絡犯罪防范和人工智能、云計算、大數據等與數字安全相關前沿領域的企事業單位、科研院所、教培機構、數字化專業機構、高等院校、行業專家，以及有志于數字安全專業發展的人士自愿組成，是中國安全防范產品行業協會的分支機構。為貫徹落實二十屆三中全會關于“聚焦建設更高水平平安中國”，“完善促進數字產業化和產業數字化政策體系”的精神，貫徹落實國家和公安部關于網絡安全的相關部署，促進全國安防行業數字安全建設與發展，更好地服務安防企業數字安全體系建設，中安協數安委特別組織進行了本次“中國安防產

8、業數字安全建設與發展情況調研”，并聯合奇安信行業安全研究中心，共同編撰和發布本次白皮書。本次調研，重點關注安防企業的數字化轉型情況和數字安全建設水平。2024 年 9 月，中安協數安委共向全國各地安防企業發放并回收調研問卷 100 份。9 月 24 日25 日，中安協數安委又與浙江 2 省安全技術防范行業協會，聯合組織了十余家國內網絡安全領軍企業共同赴杭州展開“推進安防行業數字安全發展調研會”，深入走訪?？低?、大華、宇視科技等安防行業領軍企業，并與 25家當地安防行業龍頭企業舉行座談交流。本次白皮書給出的主要觀點和結論，均來自上述調研問卷和調研會研討成果。希望能夠對國內廣大安防企業的數字化轉

9、型和數字安全建設有所參考和幫助。3 第一章 安防企業經營現狀分析 本章主要介紹本次調研涉及的 100 家安防企業的基本情況和業務范圍，以幫助我們更好的理解安防企業的數字化轉型需求與數字安全建設目標。一、企業規模 本次調研的 100 家安防企業中，員工人數在 50 人以下的小型安防企業占比 55%，50200 人的中小企業占比 21%，員工人數2002000 人的中等規模企業占比 12%。此外，員工人數超過 5000人的大型安防企業 2 家?？傮w而言，76%的調研對象為 200 人以下的中小企業。從營收規模來看，本次調研的 100 家安防企業中，47%安防企業年營收規模在 2000 萬元以下，營

10、收過億元的企業共占比 22%?？傮w來看，絕大多數安防企業的營收并不足以支撐過高的網絡安全預算。4 二、業務范圍 想要更好的支持安防企業數字化轉型，就必須全面了解安防企業的業務范圍和生產方式。本次調研，特別針對安防企業的主營業務范圍、生產產品類型、運營系統類型及服務客戶的行業分布進行了全面調研。從主營業務來看，主營安防產品平臺建設（包括開發平臺、軟件平臺、系統平臺等）業務的安防企業占比最高，達 72%；其次是安防系統集成服務，主營此類業務的安防企業占比為 40%；主營安防產品硬件制造的企業占比為 22%，主營安防系統運營服務的企業占比為 15%?？梢?，安防產品及服務的平臺化是行業發展重要趨勢。5

11、 從產出類目來看，45%的調研企業對象，至少制造或生產 1 款安防產品或系統平臺。生產視頻監控類產品或系統平臺的企業最多，占比為 33%。其次是報警系統和出入口控制，占比均為 24%。此外，實體防護占比 14%，安檢防爆占比 12%，智慧家居占比 9%，生產其他各類安防產品的企業占比 17%。特別說明，同一家安防企業可能同時生產多種安防產品。除了直接生產安防產品或系統平臺外，還有 81%的安防企業會參與安防系統的集成和運營服務。而集成運營的安防系統，與 6 社會民生、社會安全緊密相關，正是當前亟需加強數字安全建設的重要領域。調研顯示，77%的安防企業參與過視頻監控系統的集成運營；其次是出入口控

12、制系統，占比 64%；聯網報警系統排第三，占比 58%。此外，實體防護系統、智慧家居系統、安檢防爆系統、防偽系統等也都是安防企業參與集成運營較多的類型。從安防企業服務主要客戶的行業分布來看，59%的安防企業為公安部門提供安防產品及服務，還有超過半數的安防企業為事業單位、教育行業、交通行業和居民社區提供安防產品及服務。安防企業服務主要客戶行業類型分布如下圖所示。7 三、短期發展 對于未來一段時期的發展空間，安防企業有哪些預期呢。本次調研，特別針對年度增長預期和海外擴展預期兩個方向，對安防企業展開了調研。下圖給出了安防企業對于本企業年度營收增長情況的預期（2024 年與 2023 年相比）。其中，

13、18%的調研對象企業做出了悲觀的營收下降預期，其中，3%的安防企業預期年度營收會下降50%以上。而預期 2024 年能夠實現營業收入增長的企業，總占比為40%，其中，6%的企業預期年度增收超過 20%。另有 30%的企業預期年度營收將與 2023 年持平，12%的企業表示無法預測?？傮w來看，看漲企業多于看跌企業。走出去，是國內安防企業的重要發展方向，某些頭部安防企業，甚至一半以上的營收都來自于海外。那么其他安防企業對于“走出去”持何種態度呢。本次調研顯示，75%的調研對象企業暫無任何拓展海外業務的計劃，9%的企業在未來 3 年內有望拓展海外業務，目前僅有 16%的安防企業已經在海外開展業務。8

14、 下圖給出了目前已經“走出去”的安防企業在海外的業務分布情況?？梢钥闯?，東盟及東南亞地區、中亞和西亞地區，是國內安防企業“走出去”的首選目的地，分別有 13%和 12%的安防企業在這些地區開展業務。其次是東歐和非洲，各有 6%的國內安防企業在這些地區開展業務。9 第二章 安防企業數字化轉型分析 企業的數字化程度越高，對于數字安全建設的需求也越高。了解安防企業目前已經進行或計劃進行哪些數字化建設，是制定安防行業數字安全建設發展戰略的重要基礎。一、生產數字化 生產活動的數字化，是企業數字化轉型的核心問題。調研顯示，14%的安防企業早在 10 年之前，即 2014 年及 2014 年以前，就已經全面

15、啟動了關鍵生產流程的自動化與數字化轉型工作。20152019 年啟動數字化轉型工作的企業占比為 25%。而最近 5年間，即 2020 年2024 年的疫情及后疫情時期才開始數字化轉型的企業，占比為 23%。特別值得注意的是，目前仍有 38%的安防企業尚未啟動關鍵生產流程的數字化轉型，仍在采用比較傳統的方式進行生產活動。安防企業具體在哪些方面開展了深入的數字化轉型工作呢？調研顯示，88%的企業或多或少的都開展了一定程度的辦公和生 10 產的數字化轉型工作。其中，數字化轉型率最高的是人事、財務等辦公相關的業務系統，數字化轉型率達 61%。其次是企業辦公網絡的安全隔離，43%的安防企業建立了與互聯網

16、相互獨立的、隔離的辦公網絡。此外，39%的安防企業實現了采購過程的數字化管理、36%的安防企業實現了銷售過程的數字化管理。不過，真正實現生產過程監控和生產過程管理數字化的安防企業，僅有 17%和 16%，實現 PDM 產品數字化管理的安防企業僅為 1%。這表明，對于中小型安防企業（本次調對象的主體構成）來說，數字化生產還是有一定的門檻的。由于很多大中型安防企業擁有多個生產和辦公園區，這些園區可能在同一個城市、但也可能在不同的城市，甚至在不同的國家，由此就會形成“跨地區”聯網辦公、聯網生產的問題。需要有力的網絡安全保障措施，才能實現真正的生產安全。調研顯示，盡管在本次調研中，76%的調研對象均為

17、中小安防企業，但仍有 38%的安防企業，存在跨地區聯網辦公和跨地區 11 聯網生產的情況。其中，存在同城多地聯網辦公、生產情況的安防企業，占比為 15%；存在同一省內多個城市聯網辦公、生產情況的安防企業，占比為 12%；在全國多地擁有辦公和生產園區，需要網絡相互聯通的安防企業占比為 18%；僅有約 3%的安防企業存在跨國聯網生產和辦公的情況。對于“跨地區”聯網辦公的情況，企業不僅需要做好每個園區自身的網絡安全和數據安全工作，還必須在正常業務互聯互通的情況下，做好網絡安全的區域化隔離，以防止攻擊者在成功入侵某個園區網絡后，便可以暢通無阻的進入其他園區的網絡。從實踐來看，大型企業由于園區之間缺乏有

18、效的網絡安全隔離措施，導致全國、甚至全球多個生產園區同時中招，并造成巨大損失的網絡安全事故，在國內外都時有發生，不得不防。特別的需要強調的是，對于“走出去”的頭部安防企業，面對的網絡安全風險是極其復雜的。首先，國外的網絡環境，特別是欠發達地區的網絡環境，遠遠沒有國內安全，企業有必要投入更多的資源進行網絡安全建設，以適應當地的環境和法規要求。12 此外，企業還必須高度重視數據安全問題，特別是數據的跨境流動問題。不論是在生產過程中，還是安防產品在使用過程中，都會不斷的產生大量的數據，其中不乏敏感的商業機密數據和敏感的個人信息。這些數據在跨國流動過程中，不僅存在巨大的安全風險，還存在諸多合規問題：數

19、據出境需要符合國內法律法規要求，而數據入境也要符合當地的法律法規要求。這是一個復雜的問題。二、產品數字化 安防產品本身的數字化，是安防企業數字化轉型的重要組成部分。其中，安防產品是否需要聯網工作，是安防產品數字化的重要參考指標。調研顯示，國內各類安防產品的平均聯網工作率約為 56%，即市面上可見的各類安防產品，有 56%都是需要或可以聯網工作的。有 16%的安防產品制造企業只生產聯網工作的安防產品，而產品聯網工作率不足 50%的安防產品制造企業，占比仍有 45%。13 當然，從產品使用環境來看，并非所有的安防產品都一定需要聯網。但聯網運行，把防范和監控融合起來，無疑是安防產品制造發展的重要趨勢

20、。而產品一旦聯網，如果不能做好產品內生的安全措施，那么產品就極易遭到黑客的攻擊，進而被操控或造成數據泄露。隨著大模型技術應用的持續深入，AI 技術已經向各行各業深度普及。越來越多的安防企業計劃把 AI 技術應用到自己的安防產品之中。調研顯示，72%的安防企業計劃或已經將 AI 技術用于安防產品或安防系統。其中，希望應用 AI 技術但尚未起步的安防企業占比為 25%；已經起步，正在積極探索的企業占比 27%；已在研發，即將投入使用的企業占比 6%；已經投入應用，但不足3 年的占比 3%；而已經投入應用 3 年以上的企業占比為 11%。從這組數據中，我們可以看出，AI 技術在安防企業應用過程中，已

21、經出現了一批頭部企業遙遙領先（投入應用已超 3 年），但其他企業還沒有跟上的情況，從而使一批頭部企業在 AI 技術應用方面與其他企業形成“技術代差”。14 對于如何將 AI 技術應用于安防產品，實現安防產品的智能化，不同的企業會選擇不同的技術路線。調研顯示，在 AI 模型的技術路線選擇方面，更加傾向于選擇傳統 AI 技術的安防企業占比達 45%，高于選擇通用大模型技術的 43%，而且有 22%的安防企業認為，垂直領域大模型技術會比通用大模型技術更適合安防行業。同時，在研發技術路線選擇上，只有 12%的安防行業領軍企業會選擇從基礎開始完全自研 AI 技術；19%的企業選擇在開源模型基礎上進行自研

22、。當然，更多的中小安防企業會選擇加盟或直接采購“大廠”打造的 AI 生態平臺，不過，優先選擇國內領軍企業打造的 AI 生態平臺的安防企業占比為 25%，遠高于選擇國外領軍企業 AI 生態平臺的的 6%。這表明，絕大多數國內安防企業對于國內領軍品牌在 AI 方面的技術能力更有信心。15 需要特別強調的是，對于已經投入使用且應用了 AI 技術的安防產品來說，AI 技術或大模型本身的安全問題就必須提上議事日程。包括漏洞利用、模式欺騙、樣本投毒、大模型越獄等網絡攻擊手段，已經對大量 AI 應用系統構成了嚴重的安全威脅。三、運營數字化 生產數字化和產品數字化帶來的直接結果，就是企業生產數據和產品運營數據

23、的持續積累。調研顯示，21%的安防企業，運營和處理的數據規模為 GB 級，不足 1TB；17%的安防企業，運營和處理的數據規模為 TB 級，即在 1TB1PB 之間；而運營和處理數據規模超過 1PB 的安防企業僅有兩家，占比 2%，其中一家運營和處理數據的規模超過了 50PB。詳見下圖。16 特別值得注意的是，在本次調研中，有36%的安防企業表示，并不清楚自家企業運營的數據規模。這一點十分令人擔憂。因為“不清楚”也就意味著這些企業尚未開展有效的數據安全與數字安全建設，缺乏對需要進行安全管理的數據規模的基本認識。此外，還有 24%的安防企業，完全沒有任何與“數據運營和處理”相關的業務。對于辦公文

24、檔、設計資料、解決方案書、投標資料、合同等重要的數字化文檔資料進行保管，也是數字化轉型工作的重要組成部分。調研顯示，僅有 22%的安防企業，能夠通過專用文檔系統集中管理數字化文檔。還有29%的安防企業是通過文件服務器，以文件夾的形式對數字化文檔進行集中管理。雖然這也可以算是一種數字化方案，但由于方式過于“老舊”和“傳統”，很難實現“細粒度”的“權限管理”，所以是一種低效且不安全的文檔管理方式。17 此外，有 28%的安防企業仍在使用紙質文檔方式進行內部文檔的集中管理，更有 21%的安防企業，完全沒有采取任何集中管理措施，各類文檔資料全部分散在部門和員工個人手中。這就為企業埋下了巨大的安全隱患，

25、難免內部數據不會從員工電腦中被泄露出去。2024 年 1 月 1 日，由財政部制定的企業數據資源相關會計處理暫行規定開始實施。規定首次提出“數據資產入表”的概念。對于數據資產入表問題本次白皮書也進行了調研。調研顯示，目前僅有約 5%的安防企業已經完成數據資產入表工作，正在展開數據資產入表工作的安防企業占比為 9%。其他的絕大多數安防企業選擇了“暫不考慮資產入表工作”。18 對于如何順利開展數據資產入表工作，安防企業最需要得到哪些支持、指導幫助的問題，調研顯示，安防企業最關注的是政策法規的學習，其次是數據安全的指導，會計人員培訓排在第三。詳見下圖。19 第三章 安防企業數字安全建設分析 數字安全

26、建設，是安防企業成功實現數字化轉型的重要基礎。本次調研，從組織建設、預算投入、安全意識、安全風險等方面，對安防企業的數字安全建設水平進行了深入分析。一、組織建設 在一家企業中，網絡安全工作第一責任人的行政級別，是這家企業對于網絡安全工作重視程度的重要標志。調研顯示，有16%的安防企業，單位一把手（董事長、總裁）就是網絡安全工作第一責任人，足見這些企業對于網絡安全工作的高度重視。網絡安全工作第一責任人是副總裁以上級別（不含董事長、總裁）的企業，占比為 9%；中層領導（處級、總監等）主管網絡安全工作的占比最高，為 40%；基層領導（科級、部門經理等）主管網絡安全工作的比例是 26%；而完全由普通員

27、工主管網絡安全工作的安防企業占比為 9%。從各行各業的實踐經驗來看，大中型企業，由副總裁以上級 20 別的領導主管網絡安全工作并擔當第一責任人，對于企業的網絡安全、數字安全保障是非常有必要的。因為只有負責人的級別足夠高，才能確保充分且必要的網絡安全投入，確保當突發網絡安全事件發生時，網絡安全團隊有能力充分調動企業內部各方資源，實現快速應急，并最終將事件帶來的影響和損失降到最低。網絡安全部門，是企業網絡安全工作的主要的執行者和管理者。小微企業一版不會有獨立的網絡安全部門，信息化和數字化程度較低的企業通常也不會設置網絡安全部門。但對于大中型企業、信息化和數字化程度較高的企業，設立專業、獨立的網絡安

28、全部門是很有必要的。調研顯示，僅有 20%的安防企業會設立專門的部門或團隊主管網絡安全工作；另有 20%的安防企業，網絡安全工作是由信息化部門監管的；此外，還有 40%的安防企業只是設立了專人負責公司的網絡安全工作，但沒有成立網絡安全相關的部門。還有20%的安防企業，完全沒有任何人為網絡安全工作負責，這種情況令人擔憂。21 調研顯示，安防企業網絡安全團隊工作人員的平均人數為45 人。其中，有 11%的安防企業，沒有為網絡安全工作設立任何的專門編制，而編制僅 1 人的安防企業占比為 11%。編制為 23人的情況最為常見，占比為 37%。而網絡安全團隊超過 20 人的安防企業，占比僅為 5%。二、

29、預算與服務 年度預算水平，同樣是衡量一個企業對于網絡安全工作重視程度的重要指標。調研顯示，安防行業企業每年用于網絡安全的平均預算投入水平約為 8590 萬元。其中，至少有 10%的安防企業，完全沒有任何網絡安全預算。網絡安全預算在 1 萬元以下的，占比也高達 22%。預算在 15 萬元的企業最多，占比為 30%。而年度網絡安全預算超過 100 萬元的安防企業，占比總和約為 7%。其中有 2%的安防企業，年度網絡安全預算會超過 1000 萬元。這表明，盡管很多中小型安防企業對于網絡安全的預算投入十分有限，但頭部企業還是十分舍得在網絡安全工作中“重金投入”的。22 對于已經出售的安防產品，一旦出現

30、重大安全漏洞，企業是否能夠主動出擊，幫助客戶解決安全問題，也是考驗企業數字安全建設水平和建設意愿的重要標志。調研顯示，62%的安防企業都會主動為客戶提供免費上門漏洞修復服務，這表明，絕大多數安防企業都能夠對自家產品負起安全責任。還有 24%的安防企業會為客戶提供收費的上門漏洞修復服務，21%的安防企業會通過云端服務直接給客戶的設備打補丁。23 三、安全意識 企業要實現安全生產，維護數字安全，還需要遵循相關法律法規。調研顯示，最受安防企業關注的、對安防企業生產經營影響最大的政策法規文件依次是：網絡安全法、數據安全法和個人信息保護法，企業關注度分別高達 74%、57%和 43%。下表給出了安防企業

31、最關注的網絡安全政策法規排行。表 1 安防企業最關注的網絡安全政策法規排行 法律法規法律法規 關注關注度度 中華人民共和國網絡安全法 74%中華人民共和國數據安全法 57%中華人民共和國個人信息保護法 43%網絡安全等級保護制度 41%工業和信息化領域數據安全管理辦法 31%網絡產品安全漏洞管理規定 26%加強工業互聯網安全工作的指導意見 19%工業互聯網安全分類分級管理辦法 17%車聯網網絡安全和數據安全標準體系建設指南 11%人，往往是網絡安全工作中最大的漏洞，經常對普通員工及信息化人員進行網絡安全意識教育，是非常必要的。在被問及是否有必要每年組織至少 1 次以上的網絡安全意識培訓時，7%

32、的安防企業認為完全沒有必要；41%的安防企業認為，僅對部分專業 24 崗位有必要，沒有必要對多數員工或全體員工進行網絡安全意識培訓。認為有必要對多數員工，甚至全部員工進行定期網絡安全意識培訓的企業，占比為 52%，剛剛過半?？傮w而言，仍有相當數量的安防企業，對于網絡安全意識教育非常不重視。四、安全威脅 從生產到運營，安防企業面臨諸多的網絡安全威脅。調研顯示，在被問及“貴單位及貴單位生產的安防產品、系統，最有可能被哪些類型的網絡攻擊者盯上”時，盡管有多達 38%的企業選擇了個人黑客，28%的企業選擇了黑產團伙，24%的企業選擇了勒索組織，但卻有高達 40%的安防企業選擇了“競爭對手”。也就是說，

33、至少有四成安防企業最擔心的網絡威脅，其實是自己的競爭對手過來竊取商業機密。此外，還有 19%的企業選擇了內部人員（內鬼）、16%的企業選擇了 APT 組織（網絡戰組織）。不過，也有 13%的企業表示，完全不擔心自家的產品或運營的系統遭到網絡攻擊。25 那么，網絡安全威脅最有可能給安防企業帶來哪些影響和損失呢？調研顯示，最讓安防企業擔心的是“數據泄露”，78%的企業擔心網絡安全事件會造成企業商業機密數據或用戶數據的泄露。這一比例遠遠高于排名第二的“聲譽受損和輿論譴責”，后者占比是 38%。特別值得一提的是，在現場調研會中，一些頭部安防企業表示，其重金投入網絡安全建設的首要原因，其實就是擔憂網絡安

34、全問題引發負面輿論，從而對其聲譽造成持續性的影響。此外，行政處罰、停工停產和生產效率低下等問題，也都是安防企業比較擔心的問題。詳見下圖。26 既然數據泄露問題是安防企業最為擔心的問題，那么，安防企業最擔心被泄露，也是認為最需要保護的數據是什么呢？調研顯示，47%的安防企業選擇了辦公系統數據，44%的安防企業選擇了客戶服務數據，32%的企業選擇了商業機密文件。這三類數據被最多的安防企業選中。關于安防企業認為最需要保護的數據的類型排行，詳見下圖。27 第四章 安防企業數字安全建設展望 本章內容，主要是對 2024 年 9 月 24 日25 日，中安協數安委與浙江省安全技術防范行業協會聯合組織的“推

35、進安防行業數字安全發展調研會”研討成果的總結。一、內生安全是安防企業普遍共識 所謂內生安全，就是指信息化系統自身具備的、內在的安全能力，是以自身產品或系統業務特點為基礎建立的安全機制，而非單純的通過外部安全措施來保障產品或系統的安全。調研顯示，絕大多數安防企業都高度認可內生安全的技術理念，并且已經在生產和運營實踐中有了大量成功的實踐經驗。主要體現在以下幾個方面：1.1.產品設計與開發產品設計與開發 很多安防企業表示，其近幾年生產的新一代安防產品，普遍是從設計之初就全面的考慮系統的安全性問題：首先是設計架構的安全性，即在產品代碼的設計架構中，就包含了大量加密、鑒權、認證等安全機制，為產品或系統奠

36、定良好的安全基礎；第二是開發過程的安全性，即通過嚴格的安全開發流程管理和安全編程技術要求，確保程序從開發之初就是高效且安全的；第三是源代碼的審計，不論是使用自研代碼還是開源組件，都需要進行嚴格的代碼缺陷審計；第四是產品上市前的安全測試，由專業白帽子協助共同檢測產品的安全性。調研顯示：設計架構的安全性、開發過程的安全性、源代碼的審計和上市前的安全測試，在頭部安防企業中已經普遍得到了 28 系統性的實施，其他安防企業也正在逐步跟上。2.2.產品升級與運維產品升級與運維 安防產品的固件升級和漏洞修復，一直是很多安防行業的“心頭之痛”。同時，隨著產品應用場景的不斷豐富，很多新的安全需求也在不斷產生，而

37、老款產品無法滿足新生安全需求的問題也日漸突出。調研顯示：很多安防企業，特別是頭部安防企業，已經開始為自家產品提供簡易、高效的固件升級方案或安全管控平臺，以方便客戶監控產品運行狀況，及時、快速且安全的給產品升級、打補丁。此外，一些監控設備制造企業還提出了“功能管控盒子”與監控設備級聯使用的解決方案，對于新的功能要求、新的安全管控要求，只需要對“功能管控盒子”進行升級，就可以使監控設備完成系統要求的各項新功能。此外，還有部分安防企業已經建立了自己的 SRC（安全響應中心），向全社會廣泛征集自家產品的安全漏洞并予以一定程度的獎勵。這對于提升安防產品的網絡安全性有很大的幫助。3.3.數據數據的的采集采

38、集與與應用應用 除了安防產品自身的安全問題外，由安防產品互聯組成的業務系統的安全性，也是非常重要的安全問題。這種業務系統整體的安全性問題，不是加裝安全軟件或安全設備就能夠解決的，而是需要在業務實現的過程中，將網絡安全需求內置其中。以視頻監控系統為例，視頻數據的采集、傳輸、云端存儲、綜合應用等各個環節，都必須全面、充分的考慮安全性問題，全 29 面部署加密、鑒權、認證、防泄露等安全措施。唯有如此，才能確保視頻監控系統的整體安全性。調研顯示，目前已經有不少安防企業在業務系統的內生安全能力建設方面取得了長足的進步。二、歷史包袱問題制約安防企業發展 談到“歷史包袱”問題，很多安防企業都是大吐苦水。這實

39、際上是一個由于“質量太好”而引發的安全問題。一方面，受到當時技術水平和認知水平的限制，早期生產的安防產品普遍沒有深入考慮網絡安全問題，因此難免存在這樣或那樣的安全漏洞且不易修復。另一方面，很多已經使用了 10 年、甚至是 20 年以上的安防產品，由于質量過硬，僅從功能角度看仍然能夠正常使用，因此被很多用戶持續使用；但由于這些產品早已停產，且早已超過了廠商的維保期限，廠商也已無力對其進行升級和維護。這也就造成了大量“超期服役”（超出設計使用預期年限后仍在被繼續使用）的安防產品在市面上仍被廣泛使用的客觀現實。實際上，“歷史包袱”、“超期服役”等問題，是幾乎所有物聯網設備和工業控制系統中都普遍存在的

40、問題，只不過由于安防行業自身的“敏感”特性而更受社會關注。從消費者或政企客戶的角度看，在設備還能“正常使用”的時候，就將設備全部做報廢處理，無疑是一種巨大的浪費、而從生產企業的角度看，也不太可能對一款產品承諾永久的安全維護，其研發投入和運維成本通常來說是不可承受的。某些大型安防企業生產過的安防產品，可能有數千款甚至上萬款之多，對如此之多的產品進行長期持續的安全維護，其成本是難以想象的。盡管理論上說，安防企業可以對“歷史包袱”選擇不聞不問，30 可一旦“超期服役”的安防產品因網絡安全漏洞而引發重大網絡安全事故，安防企業通常仍然會被問責，并產生負面輿情。因此，很多安防企業在調研中都表示，希望安防產

41、品也能如汽車一樣，有法定的強制報廢期，從而減輕安防企業的“歷史包袱”。需要特別說明的是，很多安防企業其實早已開始著手解決新一代安防產品的運維升級問題。一方面，安防產品在設計之初，就要從框架層面預留出固件的升級空間。另一方面，可以通過將安防產品與“功能管控盒子”級聯的方式，用盒子保護安防設備，并為安防設備提供更大的升級擴展空間。不過，這些方法的使用，只能在一定程度上緩解“歷史包袱”問題，并不能從根本上消除“歷史包袱”。因為固件升級是與硬件驅動相結合的，隨著硬件技術的升級換代，老舊硬件被逐步淘汰后，與之相配的固件系統停止升級，也是必然的。僅僅從生產企業的角度看，“歷史包袱”在相當長的一段時間里可能

42、都無法得到有效解決。當然，如果客戶愿意支付費用，專門邀請網絡安全團隊幫其運營升級老舊的安防設備未嘗不是一種解決辦法，但如果這只是個別客戶的孤立行為，其成本之高仍然是難以想象的。誰會愿意為了修一個舊電器，花上足夠買一件新電器的費用呢？三、數據安全解決方案亟待全面提升 調研顯示，數據安全問題，是安防企業最為關注的網絡安全問題。不過，從行業整體實踐來看，包括很多頭部企業在內，普遍仍在單純的采用傳統安全技術方法解決數據安全問題，而沒有采用新型的、專用的數據安全方法體系。31 從傳統意義上的網絡安全方法來看，部分安防企業，特別是部分頭部安防企業，可以說已經“武裝到了牙齒”，已經部署和運營了非常系統、非常

43、全面的網絡安全措施。這些安全措施的采用當然是非常必要且有效的。但從數據安全的角度看，這些傳統方法并不能解決：企業有哪些數據、企業有哪些接口、數據都傳給了誰、數據都傳到了哪等數據安全基本問題，從而使數據安全保護缺少著力點。傳統網絡安全方法，更多的是用來保障設備、系統或網絡不被入侵、破壞和非法使用。但數據安全方法則是以具體的數據為保護對象，在數據大范圍流轉的前提假設之下，確保數據不被非法/越權訪問、不被超范圍獲取、不被竊取、篡改或破壞。傳統網絡安全方法主要防范的對象是黑客和內鬼；而數據安全方法防范的對象則是所有不合規的數據訪問者。而這些不合規的數據訪問者，可能是一個用戶，也可能是一個應用，或者僅僅

44、是一個接口。這些訪問者在訪問某些數據的某些字段時，可能是合規的；而當它們訪問另外一些數據的另外一些字段時，可能就是不合規的?，F代數據安全方法會通過流量檢測來監控數據、特別是敏感數據的流動狀況和潛在的網絡攻擊；通過 API 接口的監測與保護，來實現數據流轉過程中的安全管控；通過數據安全態勢感知平臺，來跟蹤敏感數據的流轉和使用情況，確保數據被合規的使用。隨著數據安全法、個人信息保護法等法律法規的深入實施，數據安全問題將成為所有安防企業不得不認真面對的重要問題。未來 35 年內，能否實現從傳統網絡安全方法向數據安全方法的升級改造，將是安防企業能否實現數字經濟時代健康發展的關鍵。32 四、安防行業客戶

45、普遍忽視網絡安全 調研顯示，孤立存在的安防產品，通常不會引發重的大網絡安全事故。真正引發安全事故、造成大量數據泄露的，通常是那些正在實際運行和使用中的安防系統。但是，絕大多數安防系統的運營和使用方，也就是各類政企單位，對于網絡安全工作普遍存在輕視和忽視的態度，主要體現在以下幾個方面：1 1.圖便宜，拒絕在安防系統中集成網絡安全方案圖便宜，拒絕在安防系統中集成網絡安全方案 很多安防企業都為客戶設計了集成網絡安全方案的安防系統設計方案，但這些方案的推廣非常困難，絕大多數政企單位都拒絕為此買單，不愿意采購網絡安全方案和網絡安全運行服務。2 2.輕運營，網絡安全設備與系統輕運營，網絡安全設備與系統往往

46、往往形同虛設形同虛設 即便某些大型政企單位在安防系統中集成采購了網絡安全方案，也仍有很多單位不愿意投入專業人員對系統進行運維，網絡安全設備不進行任何規則配置，網絡安全系統也沒有進行持續的有效運營。3 3.無意識，運營人員無意識，運營人員消極對待網絡安全意識培訓消極對待網絡安全意識培訓 很多頭部安防企業，都為客戶設計了網絡安全意識培訓課程，甚至有時會強制要求客戶運營人員進行學習，內容即包括安防設備本身的安全運營要求，也包括系統使用過程中運營人員需要提升的網絡安全意識。但這些培訓的效果往往也非常有限，客戶單位還是頻頻發生因網絡安全意識不足而導致的網絡安全事故?？傮w而言，安防系統的集成和運營單位，普

47、遍缺少有效的強力監管，運營人員網絡安全意識淡漠，“只要不出事，就不在意網絡安全”的情況非常普遍，這也給整個行業帶來了巨大的隱患。33 五、安防企業普遍期待行業指導標準 很多安防企業在調研中表示：現有的、通用的網絡安全政策法規和技術標準，并不能完全反映出安防行業生產、經營和運營的實際需求。網絡安全企業推出的各類網絡安全產品、服務和解決方案，也很難直接有效的應用于安防行業的生產和安防系統的運行，無法提供符合安防行業技術和業務特點的內生安全保障。多數參與研討會的代表均表示：由安防企業代表和網絡安全企業專家，組成聯合小組，共同研發和制定一套適合安防行業的，涵蓋網絡安全、數據安全、工控安全、物聯網安全等

48、多個方面的技術標準或技術指南，對于促進安防行業健康發展，促進安防企業數字安全建設水平的快速提升，很有必要。六、安防企業走出去面臨多重安全挑戰 如前述調研結果顯示，目前，已經有 16%的受訪企業在海外拓展業務，9%的受訪企業在未來 3 年內有望拓展海外業務。部分安防企業的海外業務營收，甚至已經超過國內?？傮w而言，“走出去”將是越來越多的安防企業發展壯大的必然趨勢。不過，由于國外網絡環境、政策環境都與國內有很大的不同，走出去的安防企業迫切需要海外環境下的網絡安全、數據安全等方面的技術支持。但考慮到要符合各國當地的政策法規要求，很多走出去的安防企業，會在海外優先選擇與當地或國際大牌網絡安全企業合作，這是對國內的網絡安全企業提出的巨大挑戰。從需求來看，“走出去”的安防企業普遍存在以下網絡安全建設與服務需求：1.合規建設。生產經營活動即要符合當地的法律法規，也 34 要符合中國的法律法規。2.能夠在海外的網絡環境中，實現安全組網和基本的網絡安全運行。3.能夠對來自敵對勢力的網絡戰攻擊進行有效的識別和防御，避免企業技術機密外泄。4.能夠為當地員工提供有效的網絡安全意識培訓。對于國內的網絡安全企業來說，如何才能服務好“走出去”的國內安防企業，是一個非常重要的時代命題。