2024年11月 www.acv.vc 网络安全实战手 册（针对初创企 业） 雅加达： 繁荣大厦 lv.37，第八区，SCBD地块28，印尼雅加达 Jl. Jend Sudirman Kavling 52-53，邮政编码（12190）印度尼 西亚 新加坡： 大厅，世纪塔，3 Temasek Ave #18, 17-28，新加坡（039190） 普华永道免责声明 Indra 合伙人、首席数字与技术官。 x 网络安全操作手册，适用于初创企业 网络安全手册：初创企业 2 04 12 29 04. 创业公司核心网络安全原则 20 01. 引言 06 06. 展望未来 35 02. 铺设舞台 09 前言 目录 第三章 理解网络安全威胁态势 05. 制定网络安全策略 x 网络安全操作手册，适用于初创企业 网络安全手册为初创企业 3 流程和技术的全面方法。随着生成式人工智能的出现，网络安全领域有望进一 步演变，带来新的威胁和创新的防御机制。PwC2024年全球数字信任洞察报告 的见解为那些旨在提升其网络安全态势并保护其数字资产的公司提供了一个至 关重要的指南。 在数字化转型的时代，以史无前例的速度加速发展，全球范围内的企业都将网 络安全管理视为一项关键关切。随着我们步入2025年，优先考虑网络安全的紧 迫性不容忽视，尤其是对于初创企业而言。新兴企业，专注于创新和增长，在

单击此处编辑文本 数字化转型 中大型企业整体网络安全解决方案 1 2 3 目录 安全趋势及需求分析 总体规划框架思路 Contents 具体解决方案设计 4 方案实施路径 5 典型案例 加入星球获取更多更全的数智化解决方案 数字化转型的相关理解 什么是数字化转型？ 就是利用数字化技术来推动企业组织转变业务模式，组织架构，企业文化等的变革措施。利用如某著 名企业互联网 构建共生共赢的全 新产业生态圈，为员工创造美好生活，为客户创造价值，为社会创造财富，成为国际一流的服务 型企业集团。 XX 战略： 数字化转型背景下的几个典型安全问题 数据中心云化之后，虚拟网络安全状态，你是否掌握？ 大数据技术帮助企业提升了在海量数据中挖掘价值信息，但大量数据汇聚之后，你清楚 高价值数据的流转和走向吗？信息资产又靠什么来保障不被别人盗取？ 网络开放性进一步提升之后，首当 可查，本地安 全大脑，联动 机制。 安全体系框架：网络安全解决方案逻辑架构图 等保二 \ 三级级区域 工控 \ 无线网络区 域 某著名企业安全接 入区 云管理区 平台 安全 态势 感知 业务 安全 安全 服务体系 安全加固 技术标准 体系 国家安全 标准 云安全标准 智慧校园标 准 云资源监控 云操作监控 网络安全法 等级保护 2.0 边界 安全 出口边界安全

:: 24 :: 25 :: 26 :: 27 :: 28 :: 29 :: 03 第九版年度智能制造现状报告 工业 4.0 技能短缺 质量是智能制造的第一要务 对网络安全的关注日益增强 员工正在应对重大变革 提高效率是追求可持续发展和 ESG 的主 要原因 数据划分 逆境将加速转型 第九版年度智能制造现状报告 执行摘要 工业 GenAI 革命：从愿景转向现实 之间的界限不断模糊，数字和物理运营之 间的联系日益紧密。这就更需要提高网络安全意识 并采取行动，以降低漏洞或攻击带来的风险。 :: 04 83% 的企业预计在 2024 年在 其运营中使用 GenAI 94% 的企业希望通过采用智能制造 技术来维持或增加员工队伍 81% 的企业计划在 2024 年底前使用 可穿戴技术 2024 年，变革管理是与劳动 力相关的首要障碍 网络安全被列为雇主在 2024 年寻 求的头号技能 GenAI 在投资回报方面排名第二， 仅次于云/SaaS GenAI 是未来 12 个月内技术投 资的头号新领域 网络安全预计是在未来三年内受到人工智 能影响最大的第二大问题，仅次于质量 网络安全首次跻身前 5 大外部风险，总 体排名第三 人工智能 劳动力 网络安全 第九版年度智能制造现状报告 在决策过程中提供意见 12% 概述 “智能制造是指对工厂内部和整个价值链中的业务、

了工业生产各环节与互联网的广泛 连接。这一变革在带来效率提升和创新机遇的同时，也使工业系统面临前所未有的安全挑战，成为制约工 业互联网健康发展的重要因素。工业互联网安全涵盖设备安全、控制安全、网络安全、平台安全和数据安 全等多个维度，与传统 IT 安全存在显著差异。工业互联网安全作为工业领域安全在互联网时代的延伸，不 仅继承了传统工业安全的特点，还融入了互联网环境下的新安全要素，如网络边界模糊化、攻击手段多样 助力提升我国工业领域安全保障水平，推动工业互联网高质量发展，在复杂多变的网络安全环境中，筑牢 工业领域安全防线。 2 关键发现 1. 明确工业互联网安全的定义 (1) 工业领域流传众多安全类相关概念且相互交错、极易混淆，必须深度剖析和关联分析，在明晰工 业互联网重塑安全能力和产业格局的前提下，明确讨论范围。 (2) 本报告立足工业生产，对工业互联网安全的定义强调网络安全技术、工业机理知识与行业合规要 求的融合，凸显其与工业生产深度绑定的特性。 (3) 明确围绕设备、控制、网络、平台、数据为五大核心防护对象的实施策略与实施路径，其中：设 备安全通过固件加固与漏洞管理保障生产物理基础；控制安全依托逻辑审计与指令加密确保生产 流程准确；网络安全借助动态组网与流量监测保障数据传输稳定；应用安全主要解决工业互联网 平台和工业应用程序安全可靠地运行；数据安全通过全生命周期管理维护数据价值。 3 (4) 需要强化双安全运营协同架构，即工业

...................................................................................... 14 5.4.2 网络安全能力提升 ............................................................................................. ........................................................................................ 19 6.3 网络安全 ................................................................................................. 样，面临着层出不穷的云安全挑战，不断探索，收获颇多。华为云迎难而上，视挑战 为机遇，恪守业务边界，携手生态伙伴，共同打造安全、可信的云服务，为客户业务 赋能增值、保驾护航。 华为云通过结合业界先进的云安全理念，华为长年积累的网络安全经验和优势以及在 云安全领域的技术积累与运营实践，参考世界领先的 CSP 优秀安全实践、摸索出了一 整套行之有效的云安全战略和实践。华为云已经构建起多维立体、纵深防御和合规遵 从的基础设施架构，用以支撑并不断完善涵盖了

IBM发布的《2024年数据泄露成本报 告》显示2024年全球数据泄露平均 成本创下历史新高，其中中小企业广 泛使用的公有云是泄露成本最高的环 境。主要原因包括中小企业无法合理 识别和选择合适的网络安全解决方案 和供应商，同时缺乏适当的风险评估 和管理实践体系。 386 392 386 424 435 445 488 2018 2019 2020 2021 2022 2023 2024 —中小企业数字化转型资金不足 2.1 中小企业数字化转型过程中主要面临的困难 软件投入 产品费用、实施费用、集成费用、二开费用、接口费用、升级费用、维保 费用、授权许可费用 硬件投入 服务器、防火墙、数据安全设备、网络安全设备、存储设备、物联网设备、 设备维保费用、设备维修费用 网络投入 线路租赁费、域名租赁费、云空间租赁费、网络环境搭建费 人力资源投入 IT团队基本工资、社保+福利费用、差旅费用、学习培训费用 融资成本、提升了融资效率。 ——提供网络安全供应商管理和网络安全人才培育服务 2.2 中小企业数字化转型的公共服务诉求 供应商筛选和管理 · 筛选资质完善、能力优秀、优质性价比的网络安全托管服务提供商 · 联动企业数字化诊断结果，提供网络安全托管服务提供商推介服务 1 网络安全人才培育 · 提供视频、文档、理论题目、仿真资源等，满足企业网络安全人才快速学习 · 提供线下课程班、研讨班，提升企业领导者和员工的安全素养

20815 视频安防监控数字录像设备 GB/T 22185 体育场馆公共安全通用要求 GB/T 22239 信息安全技术 网络安全等级保护基本要求 GB/T 22240 信息安全技术 网络安全等级保护定级指南 GB/T 25058 信息安全技术 网络安全等级保护实施指南 GB/T 28181 公共安全视频监控联网系统信息传输、交换、控制技术要求 GB/T 31132 入侵报警系统 Computer） SDK：软件开发工具包（Software Development Kit） VR：虚拟现实技术（Virtual Reality） 5 总体要求 5.1 符合数据分级安全、网络安全、数据共享等相关法律法规以及 GB/T 22185、GB/T 34311 等要求。 5.2 遵循“最多跑一次”改革、数字化转型的总体要求，注重安全高效、业务协同、数据共享。 5.3 根据所在地 6 系统架构 6.1 总体框架 智慧体育场馆系统架构应运用互联网、大数据、云计算、人工智能等现代数字技术进行设计，包括 硬件感知层、核心技术层、基础平台层、业务应用层、应用展示层以及网络安全等级保护体系、技术规 范体系，智慧体育场馆总体架构图见图1。 移动应用 数字可视化 大屏展示 场馆运营指 挥平台 场馆综合运维管控平台 业务中台 硬件感知层 核心技术层 BIM 云计算

的情形，这表明中 国企业的数字化转型已经走到了和业务与管理深度结合的阶段。第三，七成受访企业目前的数字化转型工作 集中在利用数字技术提高内部管理效率、降低成本方面；而数字化转型中整体的中长期战略、网络安全和数 据隐私保护、合规与风控、组织与人才的数字化转型等长期来看极其重要的工作，尚不足一半企业开展。最 后，受访企业认为数字化转型面临的三大挑战是：原有多个信息化系统的整合利用、数据质量和可用性、缺 可以理解已有70%企业目前首先开展了这方面的工作但整体的 数字化转型战略、网络安全和数据隐私保护、合规与风控、组织与人才的数字化转型这些长期来看极其重要 的工作，目前尚不足一半企业开展（图表11）。 图11：目前开展的数字化转型的工作内容 管理—内部管理流程数字化转型以提效降本，如数字 化财务和税务管理等 网络安全和数据隐私保护 技术—引入了云计算、大数据、人工智能等技术平台 和应用来支持业务转型 以数字化转型提升国有企业创新能力《下》中的案例 组织与人才 人力资源数字化转型 人力资源转型、组织转型、人才转型 技术赋能 企业智慧运营 技术战略与转型、云服务卓越中心 分析与认知 数据安全和隐私 网络安全评估 数据安全与隐私保护 国企数字化转型全面提质增效（上） | 国企数字化转型的常见流程 12 5.1 数字化时代日益复杂多变的国际国内监管环境，对企业的抗风险能力提出了更高要求，以下两个合规案例供

采购基本信息 采购需求： 围绕制造企业数字化转型， 进行“工业网络安全建设”： • 梳理网络架构及业务流程， 帮助企业分析安全风险点 • 针对性提出落地建设方案 • 完成安全设备部署与调试 • 提供完善的售后服务，保 障业务正常运行 驻场工业安全服务： 安排驻场运维人员，提 供1年驻场工控安全服务， 包含工控网络安全日常 检测、漏洞修复、策略 梳理等。 整体要求： • 掌握制造企业数字化转 对网络系统承载的业务功能进行识别，对业务流程进行梳理, 分析安全风险与安全需求；对工 控系统网络架构、通信协议、部署的网络安全防护设备等进行调研，详细了解现有安全措施 安全规划设计（方案设计与路径制定） 目标：针对制造企业数字化转型过程中核心安全需求，制定针对性、可行性的安全解决方案 安全技术体系方案设计：基于网络架构、业务流程及安全风险，围绕网络安全、设备安全、 控制安全等，构建贴合业务场景的多重安全能力，形成纵深安全防御体系 安 区域边界、工业主机等）实施精准部署，通过策略优化、安全联动及持续监控，实现全方位 安全防护 安全运维服务（持续运营与改进） 目标：保障业务系统7×24小时稳定运行，实现安全风险动态清零 提供工控网络安全日常检测、威胁处置、漏洞修复、策略梳理等安全服务，形成闭环安全运 营，保证业务连续性运行 预算金额：数百万级 服务周期：6个月 评 分 情 况 • 商务部分：30% • 技术部分：70%

基本要求 安全规划设计（方案设计与路径制定） 目标：针对制造企业数字化转型过程中核心安全需求 ，制定针对性、可行性的安全解决方案 安全技术体系方案设计：基于网络架构、业务流程及安全风险 ，围绕网络安全、设备安全、 控制安全等 ，构建贴合业务场景的多重安全能力 ，形成纵深安全防御体系 安全管理体系方案设计：基于组织战略及业务目标等 ，设计人员规划、制度建设等安全管理 体系方案 ， ，设计运维标准规范、资产管理等安全运维体系方案， 规范安全事件处置、脆弱性问题处理、 日常运维等流程 ，实现运维行为痕迹化及闭环管理 基于制造企业全业务流程的风险识别与防护体系构建 某制造企业数字化转型工业网络安全建设项目概况 安全设备部署（产品落地与策略优化） 目标：精准部署安全设备 ，配置相应安全防护策略 ，提供全方位安全防护 依据招标文件技术参数要求 ，完成安全设备的选型及性能测试 ，并在网络架构关键节点（如 对网络系统承载的业务功能进行识别 ，对业务流程进行梳理 , 分析安全风险与安全需求；对工 控系统网络架构、通信协议、部署的网络安全防护设备等进行调研 ，详细了解现有安全措施 安全运维服务（持续运营与改进） 目标：保障业务系统 7×24 小时稳定运行 ，实现安全风险动态清零 提供工控网络安全日常检测、威胁处置、漏洞修复、策略梳理等安全服务 ，形成闭环安全运 营 ，保证业务连续性运行 评 分 情