セキュリティ企業|100社

 安全牛社が中国セキュリティ業界傾向の調査:「セキュリティ企業100社レポート」を出しました。

調査対象はセキュリティサービ提供約500社。粋なセキュリティベンダ以外にも、ITサービスベンダ等セキュリティ関連サービスを展開している企業も含みます。

昨年までは「50社レポート」でしたので、セキュリティ業界のボリュームがある程度持続的に成長していることを示していると思います。

※なんで社名に「牛」?と思われるかもしれませんが、「牛」という文字は最近の普通話でよく使われ、特別な意味を持ちます。

 

■概況

- セキュリティ業界総売上:529.46億人民元(前年比+32%)、約=8千億円

- セキュリティ市場規模:452.82億人民元

- 2018年年次売上

   + 10億人民元超の企業:10社(総売上:179億人民元、全体の39%)

   + 4~9億人民元の企業:10数社(総売上:73億人民元、全体の16%)

   + 1~3億人民元の企業:40数社(総売上:80億人民元、全体の17%)

f:id:alienware:20190914220247p:plain

 ■特筆事項

- セキュリティ業務の断片化(フラグメンテーション)現象は依然として深刻であり、ある程度競争力をすでに持っているベンダは、企業自身の発展を支えるためには製品・サービスを持続的に拡大し続けるしかありません。これはセキュリティ関連製品の技術面における競争力としては不利であります。

- 中小ベンダのシステムインテグレーション関連収入は持続的に減少、同時に自主開発製品の売上は上昇傾向。セキュリティ関連のインテグレーション業務は大型IT企業にどんどん集中化している現象がみられます。

- 一部のセキュリティベンダは自身が提供しているセキュリティサービスを基に、セキュリティ外業務にサービスを提供開始。例えばデータセキュリティ関連をビッグデータ分析、オンラインにおけるインターラクティブサービスセキュリティ・詐欺対策に開拓することなどです。サイバーセキュリティの概念がIT業界全体で拡大していることを示すと同時に、情報関連技術が融合していることも示しています。

- 当集計は4年前にスタートしましたが、2018年は中国サイバーセキュリティ市場の成長が一番見られた一年でもあります。情報化時代到来とともに、ナショナル・セキュリティに対するチャレンジや、政策関連法の制定公開、並びユーザの実ニーズなどの駆動によるものであると見られます。サイバーセキュリティ産業の発展は、これから先の3~5年も持続される見込みです。

 

f:id:alienware:20190914220318p:plain

・「安全牛レポート」より引用

 

この図を出されても、そもそも社名すら初めて目にされる方もおられると思いますので、会社及び製品サービスを少し記述してみました:

 

●华为(ファーウェイ)

FW&NGFW、IDS/IPS、UTM、アンチDDoS、インターネット利用管理、WAF、クラウドアンチDDoS、クラウドWAF、モバイルセキュリティ、脅威情報、ビッグデータ、APT。

●启明星辰 (VenusTech)

FW&NGFW、ゲートウェイ、IDS/IPS、UTM、データベースセキュリティ、情報漏えい防止DLP、VPN、脆弱性スキャナ、SOC&NGSOC、評価対策・セキュアオペレーション。

●深信服 (SANGFOR)

FW&NGFW、UTM、インターネット利用管理、VPN、モバイルセキュリティ。

●绿盟科技 (NSFOCUS)

FW&NGFW、IDS/IPS、UTM、ホスト防御、アンチDDoS、データベースセキュリティ、脆弱性スキャナ、Webアプリスキャナ、WAF、コンサル、評価対策・セキュアオペレーション。

●奇安信(分社前の元360企业安全)

FW&NGFW、ゲートウェイ、UTM、エンドポイント防護&アンチウイルス、EDR、VPN、コード監査、WAF、モバイルアプリセキュリティ、モバイル端末セキュリティ、脅威情報、ビッグデータセキュリティ、APT、SOC&NGSOC、ペネトレーションテスト。

●亚信安全(AsiaInfo)

UTM、ホスト防御&自己適応、エンドポイント防御&アンチウイルス、EDR、アンチスパム、クラウドセキュリティ、モバイルセキュリティ、APT、アンチフィッシング、SOC&NGSOC。

●天融信 (TopSec)

FW&NGFW、IDS/IPS、DLP、VPN、クラウドセキュリティ、ビッグデータセキュリティ。

●卫士通 (Westone)

FW&NGFW、IDS/IPS、VPN、ディスク暗号、ファイル機密セキュリティ、暗号機。

●新华三 (H3C)

FW&NGFW、IDS/IPS、UTM、VPN。

●安恒信息 (DAS-Security)

DBセキュリティ、Webアプリスキャン・監視、WAF)、Bastion(踏み台)ホスト/オペレーションセキュリティ、ビッグデータセキュリティ、等級保護ツール。

●美亚柏科(Meiya Pico)
ビッグデータセキュリティ、デジタルフォレンジック、世論監視制御、セキュリティトレーニング、セキュリティ関連インテグレーション。

●山石网科(Hillstone)
FW&NGFW、IDS/IPS、UTM、WAF、クラウドセキュリティ。

●梆梆安全(Bangcle)
モバイルAPPセキュリティセキュリティ、モバイルインターネット、モバイルセキュリティ評価、モバイルセキュリティSOC。

●安天(Antiy)
ホスト防御、エンドポイント保護&アンチウイルス、モバイルAPPセキュリティ、脅威情報、APT。

●恒安嘉新(Eversec)
モバイル・バーチャルセキュリティ、セキュリティマネージメント、モバイルappセキュリティ、ビッグデータセキュリティ、脅威情報、AI。
●蓝盾股份(Bluedon)
FW&NGFW、IDS/IPS、セキュリティインテグレーション。
●北信源(VRV)
NAC(ネットワークアクセス制御)、エンドポイント保護&アンチウイルス、DLP、モバイルセキュリティ。
●迪普科技(Dptech)
FW&NGFW、IDS/IPS、UTM、アンチDDoS。
●通付盾(Tongfudun)
クラウドID管理、モバイルappセキュリティ、不正対策。
●飞天诚信(FTSAFE)
ID管理、USBドングル/OTP。

 ●立思辰(LANXUM)
暗号機、制御システムセキュリティ。
●北京CA(BJCA)
CA電子証明書。

 ●明朝万达(wondersoft)
暗号化、ファイルセキュリティ、モバイルエンドポイントセキュリティ。
●爱加密(ijiami)
モバイルAPPセキュリティ、モバイルアプリセキュアマネジメント、モバイルビッグデータセキュリティ、IoTセキュリティ。

 ●任子行(surfilter)
世論監視コントロール、ネットユーザ行動管理
●知道创宇(knownsec)
ウェブアプリスキャン&監視、クラウドアンチDDoS、クラウドWAF、ビッグデータセキュリティ、デバイス検索エンジン
●东软(Neusoft)
FW&NGFW、IDS/IPS、WAF、SOC&NGSOC。

 ●中新网安(cnzxsoft)
FW&NGFW、アンチDDoS、WAF、クラウドアンチDDoS、APT。
●信安世纪(infosec)
VPN、Bastion(踏み台)ホスト/オペレーションセキュリティ、CA電子証明書、IDマネージメント。
●永信至诚(integritytech)
攻撃防御演習プラットホーム、セキュリティ研修トレーニング。
●泰岳安全(ultrapower)
Bastion(踏み台)ホスト/オペレーションセキュリティ、SOC&NGSOC、セキュリティインテグレーションサービス。
●格尔软件(KOAL)
CA電子証明書

 

・・・・・

※ 随時追加&更新

 

CTF|REAL WORLD CTF

中国新鋭セキュリティ会社、「長亭科技」社主催CTF。

セキュリティ会社が主催するCTFのどこが特別なの?と思われるかもしれませんが、この会社の共同オーナー数名が、かの有名なBlueLotusチームのコアメンバー&チームリーダ出身。CTFをやらせたら右に出る者がいないでしょうね。

CTFでの卓越な知見経験を生かし、会社はWAF、脆弱性スキャナ、コード監査、ハニポ等の製品ソリューションがあります。 

 

さてカウントダウンは 残り17時間。

f:id:alienware:20190913171304p:plain

 

ちなみに昨年12月、中国鄭州市での決勝戦は15ヶ国の20チームより参加されました。

(日本からは TokyoWesternsさんの参加でしたでしょうか)

f:id:alienware:20190913173139j:plain

 

ご興味のある方は覗いてみてください:

https://realworldctf.com/

・CM 

http://t.cn/AiTNSEMN?m=4403451675218233&uy=6592453591

月餅|SRC

本日は中秋の名月です。

祝賀モードですので、中国セキュリティ各社はもれずに、祝いポスターを競ってます。

 

●新鋭・上海斗象科技

f:id:alienware:20190913140208j:plain

 

●JDSRC(京東)

f:id:alienware:20190913140314j:plain

 

●啓明星辰(VenusTech)

f:id:alienware:20190913140521j:plain

 

●奇安信(360から分社)

f:id:alienware:20190913140631j:plain

 

●天宇寧達(武漢のフォレンジック専門会社)

f:id:alienware:20190913140723j:plain

 

●美亜柏科(Meiya Pico、フォレンジック大手)

f:id:alienware:20190913140853j:plain

 

●無声信息(内陸都市・成都の会社)

f:id:alienware:20190913140950j:plain

 

もちろん祝いには食べ物が欠かせず。

中秋の名月には伝統的に「月餅」ですが、最近は「カニ/大閘蟹」も高級な祝い食材としての地位を固めております。

 

この季節になると、業界内セキュリティ従事者は「今年あの会社はどんな月餅をくれるのかな?」とワクワクモード。

 

セキュリティ企業・並び企業SRCが贈りだしたプレゼントセットの月餅画像もご参考に。

 

※SRC:Security Response Centerの略。

IRT、CSIRTなどの"サート"用語は中国で殆ど流通しておらず、"SRC"を使うのが主流になっております。

・SRC=「インシデント対応+自社バグバウンティ」と考えるとわかりやすいと思います。

 

●MiSRC(小米科技/Xiaomi/シャオミ)

f:id:alienware:20190913141541j:plain

"No Mi(=me) with out you"
あなたがいなかったら 今の私もいない、なかなか洒落たこといいますね。

 

●KEENラボ(テンセント)

f:id:alienware:20190913141824j:plain

 

●NSFOCUS(老舗・緑盟科技)

f:id:alienware:20190913141908j:plain

 

●KnownSec(知道創宇)

f:id:alienware:20190913142007j:plain

 

●Naga-in(娜迦,モバイルセキュリティ)

f:id:alienware:20190913142102j:plain

 

●TSRC(テンセントSRC)

f:id:alienware:20190913142441j:plain

 

●ASRC, AFSRC(アリババ)

f:id:alienware:20190913143634j:plain

 

●極験(GeeTest)

f:id:alienware:20190913142521j:plain

 

● 71SRC (爱奇艺)

f:id:alienware:20190913142731j:plain

 

●無声無息

f:id:alienware:20190913143048j:plain

 

自己紹介|振返り

自己紹介ページを作ってみました。

※編集中

2005年よりセキュリティ業界に従事。

2009年より中国セキュリティ業界のディープな部分に関わり始める。

 

中国セキュリティ業界一連の<鎖国・開国・バブル・鎮静>時期を見る。

 

これまで行わせて頂いた講演・発表

[2009]
●日本 インターネットウィーク2009
発表名:「NBA選手の肌露出もダメ」中国のフィルタリング義務化騒動
●日本 インターネットウィーク2009
発表名:Gumblar、中国のDDoS事情など「脅威のトレンド」振り返る
●中国 中国計算機網絡安全応急(CNCERT/CC)年会
発表名:日本互联网安全态势

[2010]
●日本 *****推進フォーラム
発表名:"サイバー攻撃の脅威とその対策の動向"
●日本 第30回**対策情報交換会
発表名:"中国インターネット近況アップデート"
●日本 第18 回International Telecommunications Society大会論文共同発表
論文名: "Analytical Framework of Cybersecurity -Historical Approach toward Risk and Ambiguity in the Society"
●中国 中国計算機網絡安全応急(CNCERT/CC)年会
発表名:"日本互联网安全态势"
フォーラムチェア:"安享网络新生活--网络应用的安全之道"
●日本 J***セキュリティセミナ
発表名:"Internet Security Trends in Japan"
●日本 電子***懇話会平成 22 年 12 月月例会
発表名:"インターネットセキュリティの現状"
●日本 第32回**対策情報交換会
発表名:"中国インターネット近況アップデート"
●日本 *** 国際連携ワークショップ
発表名:"中国における最新のインターネット事情"
●日本 日本ク****協会
発表名:"中国オンライン犯罪事情"

[2011]
●台湾 國際電子商務安全研討會
発表名:"Building a Better E-Commerce Environment"
●台湾 網際網路趨勢研討會/TWNIC
発表名:"殭屍網絡防治計劃"
●中国 雑誌「中国信息安全」/中国情報セキュリティ2011年第12期
文章掲載:"日本的信息安全政策"
●中国 中国計算機網絡安全応急(CNCERT/CC)年会
発表名:"殭屍網絡防治計劃"

[2012]
●日本 SecurityDay 2012
発表名:"中国のそこにあるサイバー脅威"
●台湾 Taiwan Internet Trend Seminar
パネラー:"Internet Security in Smart Internet"
●アラブ首長国連邦 Cyber Security UAE Summit 2012
発表名:"Information Security Trends in Japan"
パネラー:"The role of **** in increasing cyber security"
●中国 2nd IEEE International Conference on Cloud Computing and Intelligent Systems
発表名:論文発表チェア

[2013]
●中国 情報セキュリティ連絡会
発表名:"中国のそこにあるサイバー脅威"
●マレーシア CYBER INTELLIGENCE ASIA
発表名:"Information Security Trends in Japan"
●中国 北京航空航天大學
発表名:"日本のセキュリティ傾向トレンド"
●中国 中国計算機網絡安全応急(CNCERT/CC)年会
発表名:"制御システムセキュリティ"
●台湾 HITCON
発表名:"目標鎖定攻擊與工控系統安全"
●台湾 ボットネットワークショップ
発表名:"目標鎖定攻擊與工控系統安全"
●日本 某協議会WG
発表名:" DarKnight~中国黒客の夜明け~"

[2014]
●日本 メーカさま 内部セキュリティ会
発表名:"DarKnight(中国黒客の夜明け)"
●シンガポール CYBER INTELLIGENCE ASIA
発表名:"Information Security Trends and Transitions"
●シンガポール Safe Citis ASIA
発表名:"Strengthen Cyber Security and Resilience in Japan"
●日本 某情報連絡共有会
発表名:"Asian Hacktivism "
●台湾 Honeynet Taiwan Chapter Conference
発表名:"Latest ***** Attacks in Japan"
●スペイン 2014Safe Cities
発表名:"Inter Agency Collaboration for Cyber Security"

[2015]
●台湾 情報セキュリティ大会
発表名:"日本關鍵基礎建設資安防護"、"日本如何培育資安人才"
●台湾 電子商務信賴安全聯盟年會
発表名:"日本企業資安防護關鍵做法與資訊外洩處理"
●シンガポール Safe Cities Asia
発表名:"Securing City Cloud by Examining Security Incidents in Japan"
●中国 中国計算機網絡安全応急(CNCERT/CC)年会
発表名:ANVA沙龙
●日本 某情報連絡共有会
発表名:"目指せサイバー大国:中国"
●日本 某協議会WG
発表名:"目指せサイバー大国:中国"
●日本 メーカさま 内部セキュリティ会
発表名:"目指せサイバー大国:中国"
●台湾 Taiwan Computer Security Incident Response Conference 2015
発表名:"Security Incident Trends in Japan"
●台湾 HITCON/Hacks in Taiwan Conference
発表名:"The GloCalization of Underground Market(with Anna C.)"

[2016]
●中国 FREEBUF/FITセキュリティ大会
発表名:"IoT產品面臨的威脅與應對措施"

[2017]
●台湾 台湾資安大会/Taiwan Cyber Security Summit
発表名:"產品安全的確保、"IoT產品面臨的威脅與應對措施"
●中国 CCFC/China Computer Forensic Conference/中国コンピュータフォレンジック大会
発表名:"IoT產品面臨的威脅與應對措施"
●中国 スマート家電セキュリティ技術サミット
発表名:"IoT產品面臨的威脅與應對措施"
●台湾 日台工程技術研討會
発表名:"IoT產品面臨的威脅與應對措施"

[2018]
●日本 某法**機関
発表名: "中国サイバークロニクル"
●日本 某ソフトウェア開発者会合
発表名:"サイバー中国バブル"

国有企業|人事評価

これも少し前になりますが、4月に中国国務院・国有資産監督管理委員会が央企責任者への人事評価基準である、「央企企業責任者経営業績評価基準」たるものを更新・公開しました。

※国有企業の中でも中央政府直轄のものは、"央企"と記され、企業総責任者は党中央より直接指名・派遣されます。

 

f:id:alienware:20190909212653p:plain

 

言わば国有企業の中でも特に重要なものを任され、党からの期待を一身に背負うエリート中のエリートなわけですが。このエリートらへの人事評価規定の中に「サイバーセキュリティ事件への対応報告」が盛り込まれました。

生産製造安全(セイフティ)事故に並んで、サイバーセキュリティ事件(インシデント)発生の際には速やかな対応と、即時の報告(エスカレーション)が求められるようになりました。

これで責任者はエスカレーションを渋ったり、報告そのものをもみ消したりするのが難しくなりますね。

 

全文を貼りましたのでご興味のある方は覗いてみてください。

※第三十四条、第四十八条(三)の該当記述 のみ赤字で説明をいれてます

 

 

中央企业负责人经营业绩考核办法

 

第一章 总 则

 

第一条 坚持以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大精神和党中央、国务院关于深化国有企业改革、完善国有资产管理体制的一系列重大决策部署,切实履行企业国有资产出资人职责,维护所有者权益,落实国有资产保值增值责任,建立健全有效的激励约束机制,引导中央企业实现高质量发展,加快成为具有全球竞争力的世界一流企业,根据《中华人民共和国公司法》《中华人民共和国企业国有资产法》《企业国有资产监督管理暂行条例》等有关法律法规和《中共中央 国务院关于深化国有企业改革的指导意见》(中发〔2015〕22号)以及深化中央管理企业负责人薪酬制度改革等有关规定,制定本办法。

第二条 本办法考核的中央企业负责人,是指经国务院授权由国务院国有资产监督管理委员会(以下简称国资委)履行出资人职责的企业(以下简称企业)中由中央或者国资委管理的人员。

第三条 企业负责人经营业绩考核遵循以下原则:

(一)坚持质量第一效益优先。牢固树立新发展理念,以供给侧结构性改革为主线,加快质量变革、效率变革、动力变革,不断做强做优做大国有资本。

(二)坚持市场化方向。遵循市场经济规律和企业发展规律,健全市场化经营机制,充分发挥市场在资源配置中的决定性作用,强化正向激励,激发企业活力。

(三)坚持依法依规。准确把握出资人监管边界,依法合规履行出资人职权,坚持以管资本为主加强国有资产监管,有效落实国有资产保值增值责任。

(四)坚持短期目标与长远发展有机统一。切实发挥企业战略引领作用,构建年度考核与任期考核相结合,立足当前、着眼长远的考核体系。

(五)坚持国际对标行业对标。瞄准国际先进水平,强化行业对标,不断提升企业在全球产业发展中的话语权和影响力,加快成为具有全球竞争力的世界一流企业。

(六)坚持业绩考核与激励约束紧密结合。坚持权责利相统一,建立与企业负责人选任方式相匹配、与企业功能性质相适应、与经营业绩相挂钩的差异化激励约束机制。

第四条 年度经营业绩考核和任期经营业绩考核采取由国资委主任或者其授权代表与企业主要负责人签订经营业绩责任书的方式进行。

 

第二章 考核导向

 

第五条 突出效益效率,引导企业加快转变发展方式,优化资源配置,不断提高经济效益、资本回报水平、劳动产出效率和价值创造能力,实现质量更高、效益更好、结构更优的发展。

第六条 突出创新驱动,引导企业坚持自主创新,加大研发投入,加快关键核心技术攻关,强化行业技术引领,不断增强核心竞争能力。

第七条 突出实业主业,引导企业聚焦主业做强实业,加快结构调整,注重环境保护,着力补齐发展短板,积极培育新动能,不断提升协调发展可持续发展能力。

第八条 突出国际化经营,引导企业推进共建“一带一路”走深走实,加强国际合作,推动产品、技术、标准、服务、品牌走出去,规范有序参与国际市场竞争,不断提升国际化经营水平。

第九条 突出服务保障功能,引导企业在保障国家安全和国民经济运行、发展前瞻性战略性产业中发挥重要作用。鼓励企业积极承担社会责任。

第十条 健全问责机制,引导企业科学决策,依法合规经营,防范经营风险,防止国有资产流失,维护国有资本安全。

 

第三章 分类考核

 

第十一条 根据国有资本的战略定位和发展目标,结合企业实际,对不同功能和类别的企业,突出不同考核重点,合理设置经营业绩考核指标及权重,确定差异化考核标准,实施分类考核。

第十二条 对主业处于充分竞争行业和领域的商业类企业,以增强国有经济活力、放大国有资本功能、实现国有资本保值增值为导向,重点考核企业经济效益、资本回报水平和市场竞争能力,引导企业优化资本布局,提高资本运营效率,提升价值创造能力。

第十三条 对主业处于关系国家安全、国民经济命脉的重要行业和关键领域、主要承担重大专项任务的商业类企业,以支持企业可持续发展和服务国家战略为导向,在保证合理回报和国有资本保值增值的基础上,加强对服务国家战略、保障国家安全和国民经济运行、发展前瞻性战略性产业情况的考核。适度降低经济效益指标和国有资本保值增值率指标考核权重,合理确定经济增加值指标的资本成本率。承担国家安全、行业共性技术或国家重大专项任务完成情况较差的企业,无特殊客观原因的,在业绩考核中予以扣分或降级处理。

第十四条 对公益类企业,以支持企业更好地保障民生、服务社会、提供公共产品和服务为导向,坚持经济效益和社会效益相结合,把社会效益放在首位,重点考核产品服务质量、成本控制、营运效率和保障能力。根据不同企业特点,有区别地将经济增加值和国有资本保值增值率指标纳入年度和任期考核,适当降低考核权重和回报要求。对社会效益指标引入第三方评价,评价结果较差的企业,根据具体情况,在业绩考核中予以扣分或降级处理。

第十五条 对国有资本投资、运营公司,加强落实国有资本布局和结构优化目标、提升国有资本运营效率以及国有资本保值增值等情况的考核。

第十六条 对科技进步要求高的企业,重点关注自主创新能力的提升,加强研发投入、科技成果产出和转化等指标的考核。在计算经济效益指标时,可将研发投入视同利润加回。

第十七条 对结构调整任务重的企业,重点关注供给侧结构性改革、主业转型升级、新产业新业态新模式发展,加强相关任务阶段性成果的考核。

第十八条 对国际化经营要求高的企业,加强国际资源配置能力、国际化经营水平等指标的考核。

第十九条 对资产负债水平较高的企业,加强资产负债率、经营性现金流、资本成本率等指标的考核。

第二十条 对节能环保重点类和关注类企业,加强反映企业行业特点的综合性能耗、主要污染物排放等指标的考核。

第二十一条 对具备条件的企业,运用国际对标行业对标,确定短板指标纳入年度或任期考核。

第二十二条 建立健全业绩考核特殊事项清单管理制度。将企业承担的保障国家安全、提供公共服务等事项列入管理清单,对当期经营业绩产生重大影响的特殊事项,在考核时予以适当处理。


第四章 目标管理

 

第二十三条 国资委按照企业发展与国民经济发展速度相适应、与国民经济重要支柱地位相匹配、与高质量发展要求相符合的原则,主导确定企业经营业绩总体目标(以下简称总体目标)。

第二十四条 企业考核目标值应与总体目标相衔接,根据不同功能企业情况,原则上以基准值为基础予以核定。

第二十五条 考核基准值根据企业功能定位,兼顾企业经营性质和业务特点,依据考核指标近三年完成值、客观调整因素和行业对标情况综合确定。

第二十六条 年度净利润、经济增加值等指标目标值可设置为三档。

第一档:目标值达到历史最好水平,或者明显好于上年完成值且增幅高于总体目标增幅。

第二档:目标值不低于基准值。

第三档:目标值低于基准值。

经行业对标,目标值处于国际优秀水平或国内领先水平的,不进入第三档。

第二十七条 国资委将年度净利润、经济增加值等指标目标值与考核计分、结果评级紧密结合。

第一档目标值,完成后指标得满分,同时根据目标值先进程度给予加分奖励。

第二档目标值,完成后正常计分。

第三档目标值,完成后加分受限,考核结果不得进入A级。

第二十八条 净利润等经济效益指标的目标值与工资总额预算挂钩,根据目标值的先进程度确定不同的工资总额预算水平。

 

第五章 考核实施

 

第二十九条 企业负责人经营业绩考核工作由国资委考核分配工作领导小组组织实施。

第三十条 年度经营业绩考核以公历年为考核期,任期经营业绩考核以三年为考核期。

第三十一条 经营业绩责任书内容:

(一)双方的单位名称、职务和姓名;

(二)考核内容及指标;

(三)考核与奖惩;

(四)责任书的变更、解除和终止;

(五)其他需要约定的事项。

第三十二条 经营业绩责任书签订程序:

(一)考核期初,企业按照国资委经营业绩考核要求,将考核期内考核目标建议值和必要的说明材料报送国资委。

(二)国资委对考核目标建议值进行审核,并就考核目标值及有关内容同企业沟通后予以确定。

(三)由国资委主任或者其授权代表同企业主要负责人签订经营业绩责任书。

第三十三条 考核期中,国资委对经营业绩责任书执行情况实施预评估,对考核目标完成进度不理想的企业提出预警。

第三十四条 建立重大事项报告制度。企业发生较大及以上生产安全责任事故和网络安全事件、重大及以上突发环境事件、重大及以上质量事故、重大资产损失、重大法律纠纷案件、重大投融资和资产重组等,对经营业绩产生重大影响的,应及时向国资委报告。

→第三十四条:重大事故の報告プロセスを組織に設立。比較的大きい及びそれ以上レベルの生産セイフティ責任事故並びサイバーセキュリティ事件、重大及びそれ以上レベルの突発的な環境事件、重大及びそれ以上レベルの品質事故、重大な資産の損失、重大な法律紛争案件、重大な投資融資・資産再構築等、経営業績に重大な影響を及ぼすものは、即時に国有資産委員会に報告する。

第三十五条 经营业绩完成情况按照下列程序进行考核:

(一)考核期末,企业依据经审计的财务决算数据,形成经营业绩总结分析报告报送国资委。

(二)国资委依据经审计并经审核的企业财务决算报告和经审查的统计数据,结合总结分析报告,对企业负责人考核目标的完成情况进行考核,形成考核与奖惩意见。

(三)国资委将考核与奖惩意见反馈给企业。企业负责人对考核与奖惩意见有异议的,可及时向国资委反映。国资委将最终确认的考核结果在一定范围内公开。

第三十六条 落实董事会对经理层的经营业绩考核职权。

(一)授权董事会考核经理层的企业,国资委与董事会授权代表签订年度和任期经营业绩责任书,董事会依据国资委考核要求并结合本企业实际对经理层实施经营业绩考核。

(二)国资委根据签订的经营业绩责任书和企业考核目标完成情况,确定企业主要负责人年度和任期经营业绩考核结果。

(三)董事会根据国资委确定的经营业绩考核结果,结合经理层个人履职绩效,确定经理层业绩考核结果和薪酬分配方案。

第三十七条 董事会应根据国资委经营业绩考核导向和要求,制订、完善企业内部的经营业绩考核办法,报国资委备案。

 

第六章 奖 惩

 

第三十八条 年度经营业绩考核和任期经营业绩考核等级分为A、B、C、D四个级别。A级企业根据考核得分,结合企业国际对标行业对标情况综合确定,数量从严控制。

第三十九条 国资委依据年度和任期经营业绩考核结果对企业负责人实施奖惩。经营业绩考核结果作为企业负责人薪酬分配的主要依据和职务任免的重要依据。

第四十条 企业负责人的薪酬由基本年薪、绩效年薪、任期激励收入三部分构成。

第四十一条 对企业负责人实行物质激励与精神激励。物质激励主要包括与经营业绩考核结果挂钩的绩效年薪和任期激励收入。精神激励主要包括给予任期通报表扬等方式。

第四十二条 企业负责人的绩效年薪以基本年薪为基数,根据年度经营业绩考核结果并结合绩效年薪调节系数确定。

第四十三条 绩效年薪按照一定比例实施按月预发放。国资委依据年度经营业绩半年预评估结果对企业负责人预发绩效年薪予以调整。

第四十四条 任期激励收入根据任期经营业绩考核结果,在不超过企业负责人任期内年薪总水平的30%以内确定。

第四十五条 对科技创新取得重大成果、承担重大专项任务和社会参与作出突出贡献的企业,在年度经营业绩考核中给予加分奖励。

第四十六条 对经营业绩优秀以及在科技创新、国际化经营、节能环保、品牌建设等方面取得突出成绩的,经国资委评定后对企业予以任期激励。

第四十七条 连续两年年度经营业绩考核结果为D级或任期经营业绩考核结果为D级,且无重大客观原因的,对企业负责人予以调整。

第四十八条 企业发生下列情形之一的,国资委根据具体情节给予降级或者扣分处理;违规经营投资造成国有资产损失或其他严重不良后果,按照有关规定对相关责任人进行责任追究处理;情节严重的,给予纪律处分或者对企业负责人进行调整;涉嫌犯罪的,依法移送国家监察机关或司法机关查处。

(一)违反《中华人民共和国会计法》《企业会计准则》等有关法律法规规章,虚报、瞒报财务状况的;

(二)企业法定代表人及相关负责人违反国家法律法规和规定,导致发生较大及以上生产安全责任事故和网络安全事件、重大及以上突发环境事件、重大质量责任事故、重大违纪和法律纠纷案件、境外恶性竞争、偏离核定主业盲目投资等情形,造成重大不良影响或者国有资产损失的。

→(二)企業法定の代表者・責任者の国法律規定違反が原因で、比較的大きい及びそれ以上レベルの生産セイフティ・サイバーセキュリティ事件、重大及びそれ以上レベルの突発環境事件、重大品質責任事故、重大紀律違反・法律紛糾案件、国外不当競争、主たる業務から著しくかけ離れた投資を行った等により、重大不良影響あるいは国有資産損失をもたらした場合。

第四十九条 鼓励探索创新,激发和保护企业家精神。企业实施重大科技创新、发展前瞻性战略性产业等,对经营业绩产生重大影响的,按照“三个区分开来”原则和有关规定,可在考核上不做负向评价。

 

第七章 附 则

 

第五十条 企业在考核期内经营环境发生重大变化,或者发生清产核资、改制重组、主要负责人变动等情况,国资委可以根据具体情况变更经营业绩责任书的相关内容。

第五十一条 对混合所有制企业以及处于特殊发展阶段的企业,根据企业功能定位、改革目标和发展战略,考核指标、考核方式可以“一企一策”确定。

第五十二条 中央企业专职党组织负责人、纪委书记(纪检监察组组长)的考核有其他规定的,从其规定。

第五十三条 国有资本参股公司、被托管和兼并企业中由国资委管理的企业负责人,其经营业绩考核参照本办法执行。

第五十四条 各省、自治区、直辖市和新疆生产建设兵团国有资产监督管理机构,设区的市、自治州级国有资产监督管理机构对国家出资企业负责人的经营业绩考核,可参照本办法并结合实际制定具体规定。

第五十五条 本办法由国资委负责解释,具体实施方案另行制定。

第五十六条 本办法自2019年4月1日起施行。《中央企业负责人经营业绩考核办法》(国资委令第33号)同时废止。

CNCERT|2018年次報告書

CNCERT(中国ナショナルCERT)の年次報告書。

7月に公開されたものです。

 

 

f:id:alienware:20190722003100p:plain

CNCERT年次報告書

 

中国外務省スポークスマンがよく「中国はサイバー攻撃の被害者である」と発言されてますが、その根拠はよくこの年次報告書のデータより拠出されております。中国のボット感染PC(被害者)の殆どは、中国国外(特にアメリカ)に位置するC&C(加害者)によって操作されているのものだから、という説明・主張です。

 

本題に入る前に。

昨年、CNCERTの所管が工業情報化部(省)より、CAC(サイバーセキュリティ情報化委員会弁公室)に移管されました。

 

よくあることではないかもしれませんが、一つの組織の所管がA省庁からB省庁へ引っ越し(吸収?)するということは。。

・組織の重点ミッション

・組織の象徴代表

・組織幹部の人事権

がごっそり変わるという、かなり大きな出来事だとおもいます。

 

現在CNCERTのトップは李湘宁氏。

李氏の本職はCACの副CTOで、CNCERTは兼務になります。

前任トップの黄澄清氏も工業情報化部出身の官僚でしたが、団体法人(に相当する)CNCERTへのトップはまず、官僚を一旦やめて民間に転出してから、就任しておりました。

(黄氏は現在、社団法人中国インターネット協会の幹部を務めておられます)

 

ここでお気づきの方がおられるかもしれませんが、昨年より前のCNCERTの予算出処は政府(工業情報化部)とはいえ、組織のトップ・スタッフ構成により"民間の法人である"と説明することもできなくはありませんでした。(実際、政府なのか民間なのか時と場合によって使い分けてました)

CNCERTは長らく”非政府(=民間)、非営利”との自己主張をされておられますが、上位中央省庁CACの官僚大幹部が堂々と総責任者に居座られましたので、わかりやすく言うと"内閣府直轄になった"、といったところでしょうか。かなりの変化です。

 

参考ですがCNCERTは76の国・地域に分布する233組織と国際連携パートナーシップを構築しており、内31組織とは"サイバーセキュリティ協力協議(備忘録など)"を締結しております。勿論、中国の最重点国策である「一帯一路」の中でもサイバーセキュリティ協力推進の重要な一翼を担っております。

CNCERT本部事務所は北京市内、また中国31の自治体で支部を持ち(多くは自治体の通信部門の担当が兼務)、2018年9月には国連専門機関の国際電気通信連合の通信分野の標準策定をする「電気通信標準化部門」ITU-T SG17にて、ブロックチェーンに関する立案をするなど、影響力を発揮しております。

日本国内でCNCERTとお付き合いのある組織はおそらく片手で数えられるほどもいませんが・・・上述の事情を少しお分かりになられると、いろいろお役に立つかもしれません。

 

備考:中国のNIC(ネットワーク・インフォメーション・センター)CNNICもやはり既に2015年にCAC傘下に吸収されております。現在総責任者は曾宇氏、氏は元CAC情報化発展局の副局長でした。なので組織の「格」で言うと:

CNNICのトップ:CAC副局長レベル

CNCERTのトップ:CAC副CTOレベル

と結構開きがあります。

 

さて本題の内容が多いので端折りますが、ご興味があるかたはオリジナル報告書をご覧ください。

※画像はすべてオリジナル報告書より引用

 

【サマリ】
1.1 2018中国サイバーセキュリティ概況
- サイバーセキュリティ法律政策の制定
- サイバーセキュリティ・ガバナンスの有効性
- ランサムウェアの重要情報インフラに対する脅威の増大
- ますます多くのAPT攻撃研究報告が開示される
※2018年グローバルAPT報告書478部内、中国研究機関12組織が出したものが80部
- クラウドがサイバー攻撃の大きな被害に
- DDoS攻撃の頻度が減少、ピークトラフィックは増大
- 制御システムを狙った攻撃の増加
- サイバー詐欺
- データセキュリテイに大きな関心
1.2 関連データ
- 2018年ボットC&C IP数:77373 (-20.5%)
- Conficker 感染IP数:27万
- スマホマルウェア数:2829711(+11.7%)
- ウェブ改ざん:7049(-64.9%)
- フィッシング:53049サイト(順に米・香港・日本)
- CNVD収録脆弱性:14201
- インシデント受領数:106700(-3.1%)

1.3 マルウェア関連
- 捕獲マルウェアサンプル数:1億超
- マルウェアファミリー数:51万
- 主な拡散元:アメリカ、カナダ、ロシア

f:id:alienware:20190909004323p:plain

ボット感染拡散状況
- 中国国内ボット感染台数:655万(-47.8%)
- 中国国外C&C数:4.9万(アメリカ、日本、ドイツ)

f:id:alienware:20190909004732p:plain

 

スマホマルウェア行為別

-半数近くがランサムウェア

- リソース消耗:24.3%

- 情報窃取:14.8%

f:id:alienware:20190909004937p:plain

IoTマルウェア
- C&C数:2.3万(中国国外:87.5%)
- 感染IoTデバイス数:154.6万
- ボットネット規模:363個/1000台超、19個/1万台超、8個/5万台超

f:id:alienware:20190909005801p:plain

  

■ウェブサイト観測状況

1 ウェブ改ざん

件数:7049(-64.9%)
※見える・見えない形での改ざんを含む

- 全体的に改ざん件数は年々減少をたどっている
- 大半が.com ドメインのサイト

f:id:alienware:20190726131254p:plain

2014~2018改ざん件数推移

2 バックドア観測状況

※侵入後バックドア設置されたウェブサイト

観測数:23608

攻撃元海外IP数:14332
トップ3位:アメリカ、ロシア、香港

 

攻撃先中国国内IP数のトップ3位は依然と香港・アメリカ・ロシアであり、日本は9位で767のサイトにバックドアを仕込みました。

f:id:alienware:20190726132031p:plain

バックドア攻撃元数(国・地域別)

f:id:alienware:20190726132219p:plain

バックドア攻撃先サイト数別

 

 

 

 

 

■DDoS 攻撃観測状況

攻撃者C%C IP:2108
攻撃ボットIP:140万
ターゲット被害IP:9万
攻撃者:50グループ

最大グループG1
CC:283
ボット:57万
ターゲット:2万
主なボットネット種類:XorDDoS, BillGates
攻撃目標:オンラインゲーム・オンラインギャンブル

 

f:id:alienware:20190726130608p:plain

海外Memchedリフレクション攻撃サーバ

 

f:id:alienware:20190726130146p:plain

海外SSDPリフレクション攻撃サーバ



■脆弱性ハンドリング状況

1 CNVD 掲載状況
総件数:14201
内ゼロデイ(5381)、リモート攻撃(12639)、ローカル攻撃(1562)

パッチ提供:8820

2 業界種別件数

テレコム:725
モバイル:1165
インダストリアル・コントロール:461
電子政務:171

 

f:id:alienware:20190726011526p:plain

2013-2018業界別脆弱性掲載数推移

 
3 脆弱性届出ハンドリング状況

主な脆弱性届出プラットフォーム

・360社BUTIAN
・TOPHANT社VULBOX
・CNVD

f:id:alienware:20190722153752p:plain

CNCERT2018年次報告書より

 

脆弱性ハンドリング件数:2633
関連組織数:1175

累計回数で一番多いのはキングソフト(累計67回)

f:id:alienware:20190726012424p:plain

ハンドリング件数が多い組織(会社)

4 特に深刻な脆弱性

(A)WebView遠隔個人情報取得
(B)CPU:Meltdown, Spectre
(C)Intel AMT
(D)OAuth 2.0サードパーティアカウントログイン・ハイジャック
(E)Exim SMTP mail server バッファオーバーフロー
(F)Cisco Smart Install
(G)WebLogic Server リモート任意コード実行
(H)Drupal Coreリモートコード実行
(I)オンライン決済Java SDK XXE脆弱性
(J)WebLogic Serverデシリアライズ・リモートコード実行
(K)Apache Struts S 2-057

 

■インシデント対応状況

1 受領件数
総件数:106700(+3.2%)
国内:106021(+3.0%)
国外:679(+42.2%)

インシデント前三位:偽サイト(フィッシング)、脆弱性検知、マルウェア配布

f:id:alienware:20190726004208p:plain

CNCERT2018年次報告書より

 

2 対応状況

対応件数:105740件(+2.1%)

インシデント首位の偽サイト(フィッシング)対応件数:35445件
フィッシング対象:
中国建設銀行、中国工商銀行、招商銀行、チャイナモバイル、中国農業銀行、中国銀行、タオバオ

マルウェア対応にて722のボットネット閉鎖、累計389.8万台のボット

3517の悪意のあるスマホアプリ

典型的な事案
(A)MemcachedリフレクションDDoS攻撃
(B)Cisco Smart Installリモートコード実行脆弱性
(C)スペインINCIBE-CERT連携(SSH辞書攻撃)
(D)クロアチアCERT.hr連携(スパム迷惑行為)
(E)キューバCERT連携(スキャン、SQLインジェクション)

 

CTF|清華大学

中国名門大学・清華大学主催のCTF:THUCTFです。

f:id:alienware:20190905224023p:plain

中国のCTF発展は正に「猪突猛進」で、ほぼゼロの状態から2014年にセキュリティ関連活動が解禁した途端に飛躍的に前進、2016年DEFCON CTFで中国チームはいきなり世界2位を獲得しました。

対し日本は結構早い時期から草の根CTF活動を開始されてると思いますが、戦果は比較的緩やか。思うに、"競技形式"というのは大変中華系の方々の学習性に合っているのではないかと思います。

 

f:id:alienware:20190905230053j:plain

 

さて上述DEFCONのCTFで世界2位を獲得したチームは「b1o0p」。

※チーム名語源はbloop=海中の得体のしれない巨大生物

 

b1o0pはDEFCON参戦のために結成された、2つの大学チームを母体にしたジョイントチームで、当時中国国内最強の組み合わせでした。
・Blue-Lotus(藍蓮花):清華大学チーム
・0ops:上海交通大学チーム

現在中国ではCTFが百花繚乱状態ですが、すべては清華大学から始まったと言っても過言ではないでしょう。石の上にも三年と言いますが、立役者のD教授及びZ講師は、CTF解禁前から黙々と海外との交流を怠けず、いつか来る時代の流れを辛抱強く待ち続け、大輪の花を咲かせたのです。喝采を贈りたいと思います。

 

その清華大学REDBUD(=紫荊花,Blue-Lotusの先鋒チーム)主催のCTF。ご興味ある方は覗かれてみてはいかがでしょうか。

 

※参加初心者向けのCTF説明

Getting Started - CTF Wiki