2024年11月 www.acv.vc 网络安全实战手 册（针对初创企 业） 雅加达： 繁荣大厦 lv.37，第八区，SCBD地块28，印尼雅加达 Jl. Jend Sudirman Kavling 52-53，邮政编码（12190）印度尼 西亚 新加坡： 大厅，世纪塔，3 Temasek Ave #18, 17-28，新加坡（039190） 普华永道免责声明 Indra 合伙人、首席数字与技术官。 x 网络安全操作手册，适用于初创企业 网络安全手册：初创企业 2 04 12 29 04. 创业公司核心网络安全原则 20 01. 引言 06 06. 展望未来 35 02. 铺设舞台 09 前言 目录 第三章 理解网络安全威胁态势 05. 制定网络安全策略 x 网络安全操作手册，适用于初创企业 网络安全手册为初创企业 3 流程和技术的全面方法。随着生成式人工智能的出现，网络安全领域有望进一 步演变，带来新的威胁和创新的防御机制。PwC2024年全球数字信任洞察报告 的见解为那些旨在提升其网络安全态势并保护其数字资产的公司提供了一个至 关重要的指南。 在数字化转型的时代，以史无前例的速度加速发展，全球范围内的企业都将网 络安全管理视为一项关键关切。随着我们步入2025年，优先考虑网络安全的紧 迫性不容忽视，尤其是对于初创企业而言。新兴企业，专注于创新和增长，在

单击此处编辑文本 数字化转型 中大型企业整体网络安全解决方案 1 2 3 目录 安全趋势及需求分析 总体规划框架思路 Contents 具体解决方案设计 4 方案实施路径 5 典型案例 加入星球获取更多更全的数智化解决方案 数字化转型的相关理解 什么是数字化转型？ 就是利用数字化技术来推动企业组织转变业务模式，组织架构，企业文化等的变革措施。利用如某著 名企业互联网 构建共生共赢的全 新产业生态圈，为员工创造美好生活，为客户创造价值，为社会创造财富，成为国际一流的服务 型企业集团。 XX 战略： 数字化转型背景下的几个典型安全问题 数据中心云化之后，虚拟网络安全状态，你是否掌握？ 大数据技术帮助企业提升了在海量数据中挖掘价值信息，但大量数据汇聚之后，你清楚 高价值数据的流转和走向吗？信息资产又靠什么来保障不被别人盗取？ 网络开放性进一步提升之后，首当 可查，本地安 全大脑，联动 机制。 安全体系框架：网络安全解决方案逻辑架构图 等保二 \ 三级级区域 工控 \ 无线网络区 域 某著名企业安全接 入区 云管理区 平台 安全 态势 感知 业务 安全 安全 服务体系 安全加固 技术标准 体系 国家安全 标准 云安全标准 智慧校园标 准 云资源监控 云操作监控 网络安全法 等级保护 2.0 边界 安全 出口边界安全

IBM发布的《2024年数据泄露成本报 告》显示2024年全球数据泄露平均 成本创下历史新高，其中中小企业广 泛使用的公有云是泄露成本最高的环 境。主要原因包括中小企业无法合理 识别和选择合适的网络安全解决方案 和供应商，同时缺乏适当的风险评估 和管理实践体系。 386 392 386 424 435 445 488 2018 2019 2020 2021 2022 2023 2024 —中小企业数字化转型资金不足 2.1 中小企业数字化转型过程中主要面临的困难 软件投入 产品费用、实施费用、集成费用、二开费用、接口费用、升级费用、维保 费用、授权许可费用 硬件投入 服务器、防火墙、数据安全设备、网络安全设备、存储设备、物联网设备、 设备维保费用、设备维修费用 网络投入 线路租赁费、域名租赁费、云空间租赁费、网络环境搭建费 人力资源投入 IT团队基本工资、社保+福利费用、差旅费用、学习培训费用 融资成本、提升了融资效率。 ——提供网络安全供应商管理和网络安全人才培育服务 2.2 中小企业数字化转型的公共服务诉求 供应商筛选和管理 · 筛选资质完善、能力优秀、优质性价比的网络安全托管服务提供商 · 联动企业数字化诊断结果，提供网络安全托管服务提供商推介服务 1 网络安全人才培育 · 提供视频、文档、理论题目、仿真资源等，满足企业网络安全人才快速学习 · 提供线下课程班、研讨班，提升企业领导者和员工的安全素养

的情形，这表明中 国企业的数字化转型已经走到了和业务与管理深度结合的阶段。第三，七成受访企业目前的数字化转型工作 集中在利用数字技术提高内部管理效率、降低成本方面；而数字化转型中整体的中长期战略、网络安全和数 据隐私保护、合规与风控、组织与人才的数字化转型等长期来看极其重要的工作，尚不足一半企业开展。最 后，受访企业认为数字化转型面临的三大挑战是：原有多个信息化系统的整合利用、数据质量和可用性、缺 可以理解已有70%企业目前首先开展了这方面的工作但整体的 数字化转型战略、网络安全和数据隐私保护、合规与风控、组织与人才的数字化转型这些长期来看极其重要 的工作，目前尚不足一半企业开展（图表11）。 图11：目前开展的数字化转型的工作内容 管理—内部管理流程数字化转型以提效降本，如数字 化财务和税务管理等 网络安全和数据隐私保护 技术—引入了云计算、大数据、人工智能等技术平台 和应用来支持业务转型 以数字化转型提升国有企业创新能力《下》中的案例 组织与人才 人力资源数字化转型 人力资源转型、组织转型、人才转型 技术赋能 企业智慧运营 技术战略与转型、云服务卓越中心 分析与认知 数据安全和隐私 网络安全评估 数据安全与隐私保护 国企数字化转型全面提质增效（上） | 国企数字化转型的常见流程 12 5.1 数字化时代日益复杂多变的国际国内监管环境，对企业的抗风险能力提出了更高要求，以下两个合规案例供

基本要求 安全规划设计（方案设计与路径制定） 目标：针对制造企业数字化转型过程中核心安全需求 ，制定针对性、可行性的安全解决方案 安全技术体系方案设计：基于网络架构、业务流程及安全风险 ，围绕网络安全、设备安全、 控制安全等 ，构建贴合业务场景的多重安全能力 ，形成纵深安全防御体系 安全管理体系方案设计：基于组织战略及业务目标等 ，设计人员规划、制度建设等安全管理 体系方案 ， ，设计运维标准规范、资产管理等安全运维体系方案， 规范安全事件处置、脆弱性问题处理、 日常运维等流程 ，实现运维行为痕迹化及闭环管理 基于制造企业全业务流程的风险识别与防护体系构建 某制造企业数字化转型工业网络安全建设项目概况 安全设备部署（产品落地与策略优化） 目标：精准部署安全设备 ，配置相应安全防护策略 ，提供全方位安全防护 依据招标文件技术参数要求 ，完成安全设备的选型及性能测试 ，并在网络架构关键节点（如 对网络系统承载的业务功能进行识别 ，对业务流程进行梳理 , 分析安全风险与安全需求；对工 控系统网络架构、通信协议、部署的网络安全防护设备等进行调研 ，详细了解现有安全措施 安全运维服务（持续运营与改进） 目标：保障业务系统 7×24 小时稳定运行 ，实现安全风险动态清零 提供工控网络安全日常检测、威胁处置、漏洞修复、策略梳理等安全服务 ，形成闭环安全运 营 ，保证业务连续性运行 评 分 情

整个系统建成后按照整理一套完整的文档资料，以便提高整个系统的可管理性与可维护性。 5) 安全性原则 严格按照XX 关于信息安全的规定和要求，规划和部署中心机房的业务系统和备份系 统；采用安全服务器、备份还原系统、来防止内外部的网络安全威协和数据丢失窃取威胁 等；所有软硬件采用国产、自主研发的产品，从根本上保障系统的安全性。 1.8 云 计 算 大 数 据 中 心 优 势 通过建立云计算大数据中心，通过服务的方式交付对物理硬件的需求，代替传统硬件 云平台可以自动监控资源池中计算单元和应用单元的可用性，检测物理服务器故障， 如果检测到故障，可重新在资源池中其他物理服务器上重新启动相关业务，整个过程无需 人工干预。 通过云安全平台，可快速部署网络安全应用防火墙、IPS 、WEB 应用防火墙等。 5) 提供便捷的管理运维方式。 可以通过一个统一的管理平台，来进行对平台中运行的各项功能设立不同权限的管理 账号，根据工作需要设置不同的管理权限，并可通过其管理日志追溯操作过程。 资源聚合技术的应用使得计算、存储、网络资源高度集中：用户数据存储、处理、 网络传输等都与数据中心密切相关如果发生故障造成的；后果较传统数据中心更 为严重。  虚拟化等技术的应用使得传统物理安全边界缺失：传统网络安全设施与防御机制 在防护能力、响应速度等方面越来越难以满足日益复杂的安全防护要求，用户信 息安全、用户信息隔离问题在共享物理资源环境下的保护更为迫切。  数据传输安全：数据中心保存有大量的私密数据。在云计算模式下，面临着几个

术强化网络核心能力，形成“战略引领、技术落地”的发展路径。 1� 战略定位与制度框架 美国通过顶层战略与专项立法明确数据网络的建设目标：一是强化可信安全治 理。发布零信任战略，摒弃传统网络安全理念，构建以数据为中心的动态可信防 护框架；成立网络空间与数字政策局，统筹网络安全治理，明确数据传输、存储 全流程的可信合规要求。二是规范开放共享的网络支撑。依托《开放政府数据法 案》，要求政府数据开放需匹配高速网络支撑能力，通过Data 可信高速数据网研究报告 08 同效率。三是筑牢可信安全屏障。发展隐私计算、联邦学习等技术，构建数据传输 全生命周期安全存储体系。未来将重点布局量子通信与后量子加密技术，落地人工 智能驱动的网络安全防护，深化跨部门数据联邦学习机制，强化数据网的底层安全 能力。 综上，美国正构建以零信任为核心、以高速传输为支撑的数据网络，为数据开 放共享与安全流通提供底层保障。 欧盟：以“统一体系”为核心打造可信、高速的数据互联网络 《数据治理法案》《数据法 案》，形成“统一立法+成员国协同”的治理模式，明确公共数据开放、企业数据 共享的网络支撑要求，强制关键领域数据流通需通过可信网络。二是确立网络可信 治理标准。由欧盟网络安全局（ENISA）主导，明确数据流通的最小权限原则与零 信任架构要求，通过“欧洲数字身份系统”（eIDAS）构建统一数据授权框架，为 跨境数据网的可信访问提供制度依据。 2� 技术创新与网络实践

国家工业基础大数据库、行业数据库，推进产品主数据 标准建设，打造工业数据空间，推动数据便捷高效流通。 (七)加强安全保障 健全工业企业网络安全管理制度，深入实施工业互 联网安全分类分级管理，建立健全定级防护、评估评测、 监测预警、信息通报、成效评价等工作机制，指导企业 落实《工业控制系统网络安全防护指南》相关要求，开 展重要工业控制系统识别认定，构建工控安全评估体系。 督促企业落实《数据安全法》《工业和信息化领域数据 文并茂，按照规范格式编写(详见附件 1),字数不超过 2500 字。 (五)申报企业主体在中华人民共和国境内注册，具有独立 法人资格，近三年经济效益良好、信用记录良好且近三年未发 生过重大安全(含网络安全、数据安全)、质量等事故，无违法 违规行为。 (六)已入选 2024 年制造业数字化转型典型案例的主体：不 再推荐。 三、推荐程序 (一)主体申报 企业(含央企)案例采取在线申报方式，申报主体登录制造 强市场竞争力。 2.企业近三年经营和财务状况良好，无不良信用记录、 无较大及以上安全、环保等事故，无违法违规行为。 3.工厂使用的关键技术装备、工业软件、工业操作系 统、系统解决方案等安全可控，网络安全和数据安全风险 可控。 4.企业应建立智能工厂统筹规划、建设和运营的组织 机制，拥有一批智能制造专业人才。 5.基础级和先进级工厂智能制造能力成熟度评估水 平达到 GB/T39116—2020《智能制造能力成熟度模型》二

受网络攻击的风险加大。到2025年，全球在供应链网络安全方面的支 出预计超1000亿美元。 5 根据一项调查，52%的亚太区企业表示，他们的供应链发生了2-5起网 络安全侵害事件，并受到相应影响。 6 尽管如此，亚太区受访者不太可能意识到供应链中的所有风险，37%的 人表示网络风险不在他们的考虑范围内。相较而言，全球平均水平为 38%。 监管合规 网络安全 要点 要点 亚太区的地缘政治形势可能导致制裁和出口管制规定的快速变化。 亚太区的地缘政治形势可能导致制裁和出口管制规定的快速变化。 公司必须保持警惕并快速适应变化，这增加了其供应链运营的复杂 性。 4 由于网络攻击的风险日益增加，供应链领导者需要优先提高供应链 的透明度，并提高网络安全自动化程度，防止出现严重影响业务和声 誉的事件。 严峻的 形势 第十期 助力您的公司打造供应链的辉煌成功 008 亚太区供应链专业人士 如何在2025年脱颖而出 渴望在未来站稳脚跟的人，

中利用统一资源池，构建可管理、具备弹性的企业专属 IT 环境。 14 中国云原生行业研究 | 2021/7 专精特新系列 白皮书 | 2025/8 名词解释  防火墙：设置在不同网络或网络安全域之间的一系列部件的组合，可通过监测、限制、更改跨越防火墙 的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。  网络靶场：是指通过虚拟环境与真实设备相结 专精特新系列 白皮书 | 2025/8 Chapter 6.2 专精特新计算机领域行业政策  行业政策 144 专精特新系列 白皮书 | 2025/8 中国计算机领域政策分析 多部门出台政策涉及网络安全、数据安全等领域，促进云化及国产 化，带动信创产业在本地落地生根，带动传统IT信息产业转型 来源：各部门官网，沙利文公司 政策文件 颁布主体 颁布时间 主要内容 政策属性 《数字中国建设整体布 表的优质企业提出十点建议 引导类 《网络安全产业高质量 发展三年行动计划》征 求意见 工信部 2021/07 在产业规模上，网络安全产业规模超过2500 亿元，年复合增长率超过15%；在技术创新上， 一批网络安全关键核心技术实现突破，达到 先进水平。新兴技术与网络安全融合创新明 显加快，网络安全产品、服务创新能力进一 步增强；在企业发展上，发展一批质量品牌、 经营效益优势明显的具有网络安全生态引领 能力的领先企业