默安科技 - 领先的云时代新安全体系构筑者

产品中心

解决方案

服务与支持

信创

默安智库

关于默安

0571-57890068

案例分享：默安科技为光伏储能龙头企业筑牢网安防线

2025-03-05

储能行业在全球范围内正经历快速发展，据统计，2024年全球储能行业市场规模达627亿美元，近四年复合增速突破75%。在政策支持、技术创新和成本下降的推动下，储能将成为全球能源转型的重要支柱，各种储能技术将在不同的应用场景中发挥更大的作用，从而推动全球能源系统的可持续发展。2024年，新型储能首次被写入中国政府工作报告，国家对新型储能的发展给予高度重视。

图源：网络

S公司是国内最早涉足储能的企业之一，也是最早出海的先遣部队之一。作为光伏储能龙头企业，S公司在全球拥有多个服务区域、数百家服务网点和渠道合作伙伴，海外分支机构数量达数十家，产品销往一百多个国家与地区。

海外业务开展得如火如荼的同时，S公司也面临着日益严峻的安全风险。一方面，全球各国陆续出台网络安全法律法规，如无法满足合规将面临法律责任，以及品牌声誉的折损；另一方面，行业内网络安全事件频发，整体安全形势严峻，迫切需要强化安全防护能力。为夯实公司整体网络安全能力，确保产品合规与安全，在激烈的市场竞争中保持领先地位，S公司正式开启与默安科技的合作。

经过仔细的调研与谨慎的评估，默安科技安全专家团队与S公司相关负责人达成一致，计划分两条线路同步推进安全建设。

开发安全体系建设：为更好地满足市场对产品在安全与合规方面的要求，针对公司目前内部缺乏完善的安全开发能力这一现状，通过管理体系建设、安全产品支撑、运营落地、知识赋能等步骤，建立行之有效的安全开发体系。

资产风险管控：进行包括云上资产在内的全面梳理与风险收敛，实现攻击者视角的资产安全管理，保证安全事件应急处理的时效性，全面提高公司日常安全运营的水平。

开发安全体系建设：与其扬汤止沸，不如釜底抽薪

通过前期咨询服务，默安科技开发安全专家发现，该企业在产品研发层面有待改善的环节包括：互联网业务频繁迭代、版本更新迅速带来的安全人力资源不足，用户个人隐私数据收集面临的泄露风险，业务逻辑漏洞风险导致的水平越权与垂直越权问题，以及各国网络安全法规收紧带来的合规压力。对此，默安科技专家认为，要治理这些表象问题，与其扬汤止沸，不如釜底抽薪，建议从制度、培训、试点、工具、落地、平台六个角度切入，全面深度提高安全开发能力。

定制度：通过建立流程制度，规范流程交付物，初步实现开发安全治理体系建设，达到可管理级标准。

开培训：通过专业的培训，帮助开发安全各活动相关方熟悉流程，提升自身的安全意识与专业技术。

立试点：通过选择典型项目试点，验证流程设计可行性、安全活动可落地性，及时发现问题并改进流程，同时也帮助相关人员熟悉流程与技术要点。

引工具：通过工具介入，引进安全检测能力，帮助安全能力比较欠缺的产品、研发、测试团队，顺利执行安全开发活动。

保落地：新增网络安全技术运营岗位，参与、协助开发安全活动执行落地，提供技术支持。

建平台：建立开发安全一体化管控平台以及相关技术规范和知识库，集中运营开发安全活动。

开发安全体系建设成果

在S公司安全、研发、测试等部门的全力配合与支持下，默安科技团队经过近一年的努力，安全开发体系建设成效明显。

将安全风险消灭在萌芽，降低修复成本：通过“左移”将安全集成在开发的每个环节，从需求设计到产品发布每一步都降低漏洞风险，将安全风险消灭在萌芽的同时，进一步降低安全修复成本。

增强开发人员安全能力，提升产品安全质量：针对开发人员安全编码意识比较缺乏的现状，通过安全开发体系的建设实现安全“左移”，帮助开发人员提高从“攻击者”角度审视产品编码的能力，在编码过程自主发现安全漏洞，切实有效地提升产品安全质量。

促进跨部门协助，加速产品开发效率：通过自动化的产品集成与统一的研发漏洞管控平台，将安全融入到开发流程中，打破安全与开发部门相互独立的状态，促进开发、安全、测试各个部门之间的高效协作，提升产品开发与部署的整体效率。

满足合规监管需求：在降低安全漏洞，减少自身安全风险的同时，以合规为建设基础，确保开发出的应用系统“出生”即合规。

资产风险管控：更合规、更高效、更安全

在资产安全管理层面，S公司的诉求主要来自以下几方面。

满足合法合规：GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》对运营者的资产管理、漏洞和风险管理提出明确要求。在资产管理层面，需编制并保存与保护对象相关的资产清单；漏洞和风险管理层面，需采取必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补，定期开展安全测评等。

提升内网资产管理水平：目前S公司内部数字资产众多且应用复杂，存在资产管理缺乏攻击者视角，资产要素数据颗粒度不足且维度单一，资产关键信息与安全风险关联不够等现状，出现安全事件后无法第一时间定位到责任人，安全事件应急处理速度亟待提高。

加强云上资产安全：随着S公司业务迅速发展，海内外业务上云逐渐成为主流，目前公司及其分支机构在海内外各地存在大量云上资产，位置零散且大部分资产配置复杂，对数据安全和合规要求更高，面临较为严峻的云上安全风险。

解决方案与收益

默安科技的安全专家在经过详细的调研之后，认为S公司目前在资产安全管理层面的主要痛点是资产梳理与风险发现，提出相应解决方案。

在资产层面，进行暴露面梳理，细化资产信息颗粒度，并对边缘和未知的资产进行充分的发现，包括散落在各个分支机构的云上资产。

在风险层面，对全量资产实现全方位漏洞常态化检测，对资产、风险等数据进行可分组处理，对资产动态进行实时监测并将关键信息进行可视化展示。

经过从资产与风险两个维度进行资产安全建设，S公司获得如下四大收益。

满足合规性要求：全面满足网络安全等级保护与网络安全法等法律法规的相关要求。

实现资产透明化管控：以攻击者视角分析业务健康状态，及时对风险资产做好加固防护，可视化管控资产安全。

事件响应更及时：通过搭建闭环的漏洞响应流程，保证安全事件应急处理的时效性，减少业务中断风险，极大程度降低经济损失。

云上业务更安全：实现云上资产信息的梳理，以及配置风险项核查，对分支机构零散的云业务进行风险检查，促使云上业务更加安全。

客户认可

在谈及此次两条线路同步推进安全建设工作时，S公司的相关负责人表示：

“在激烈的市场竞争中，业务的安全与合规一直是我们非常重视的一环，默安科技不仅在开发安全、运营安全中具备技术创新优势，产品的实效性和落地能力在行业中也是有口皆碑的，这次合作再次印证了这一点。”

默安科技自主研发的多款创新型安全产品已经成功应用于新能源行业，服务了包括宁德时代、比亚迪、中国电建、中国能建等在内的众多行业头部客户，为他们提供攻防场景下的纵深防御体系建设方案、贯穿软件全生命周期的开发安全及供应链安全建设方案，以及智能化的资产安全解决方案，提升客户运营效率及安全性，助力实现云计算、大数据、人工智能等新技术的应用及出海业务的安全合规，为新能源行业数字化转型构筑稳固的安全基石。