近日，國際權(quán)威IT咨詢機(jī)構(gòu)Gartner發(fā)布了《2022中國網(wǎng)絡(luò)安全技術(shù)成熟度曲線》（Hype Cycle for Security in China,2022）報(bào)告。

　　技術(shù)成熟度曲線（Hype Cycle）是為企業(yè)提供的評估各領(lǐng)域技術(shù)成熟度及市場發(fā)展趨勢的一種工具，也是幫助行業(yè)客觀判斷技術(shù)潛力和商業(yè)價(jià)值的重要依據(jù)。Gartner依其專業(yè)分析預(yù)測與推論各種新科技的成熟演變速度及要達(dá)到成熟所需的時(shí)間，劃分為以下 5 個(gè)關(guān)鍵階段：

　　● 技術(shù)萌芽期（Innovation Trigger）：潛在的技術(shù)突破即將開始，通常不存在可用的產(chǎn)品，商業(yè)可行性未得到驗(yàn)證。

　　● 期望膨脹期（Peak of Inflated Expectations）：早期宣傳產(chǎn)生了許多成功案例，通常也伴隨著多次失敗。

　　● 泡沫破裂谷底期（Trough of Disillusionment）：人們的興趣逐漸減弱，只有幸存的提供商不斷改進(jìn)產(chǎn)品。

　　● 穩(wěn)步爬升復(fù)蘇期（Slope of Enlightenment）：有關(guān)該技術(shù)如何使企業(yè)受益的更多實(shí)例開始具體化，并獲得更廣泛的認(rèn)識。

　　● 生產(chǎn)成熟期（Plateau of Productivity）：主流采用開始激增，該技術(shù)的廣泛市場適用性和相關(guān)性得到顯著回報(bào)。

　　處于技術(shù)萌芽期的新興技術(shù)往往被視為推動行業(yè)創(chuàng)新發(fā)展的新方向和新趨勢，新興技術(shù)本質(zhì)上具有顛覆性，還沒有眾所周知或已被驗(yàn)證的競爭優(yōu)勢，可能需要2-10年成為主流被采用，透過該階段，可以觀察潛在市場、技術(shù)走向以及主流應(yīng)用的演變途徑。

　　數(shù)據(jù)安全平臺

　　Data Security Platforms in China

　　傳統(tǒng)的數(shù)據(jù)安全是由不同的產(chǎn)品來提供的，這導(dǎo)致運(yùn)營效率低下，無法支持?jǐn)?shù)據(jù)風(fēng)險(xiǎn)評估以及數(shù)據(jù)的內(nèi)部創(chuàng)新和協(xié)作。DSP涵蓋了各種場景下的數(shù)據(jù)安全保護(hù)需求，以數(shù)據(jù)發(fā)現(xiàn)和數(shù)據(jù)分類分級為基礎(chǔ)，混合了多種技術(shù)來實(shí)現(xiàn)數(shù)據(jù)安全防護(hù)，例如：數(shù)據(jù)訪問控制，數(shù)據(jù)脫敏，文件加密等，成熟的DSP也可能包含了數(shù)據(jù)活動監(jiān)控和數(shù)據(jù)風(fēng)險(xiǎn)評估的功能。

　　DSP提高了數(shù)據(jù)的可見性及其廣泛的使用，并改進(jìn)了數(shù)據(jù)的管控方式，幫助企業(yè)做出更明智的決策，為企業(yè)和社會帶來更好的數(shù)據(jù)價(jià)值發(fā)揮和安全保障結(jié)果。目前，DSP對大多數(shù)用戶來說仍是新生事物，只有當(dāng)企業(yè)發(fā)現(xiàn)其傳統(tǒng)控制不能夠或無法很好地同步數(shù)據(jù)流程時(shí)，才會意識到這一點(diǎn)。然而，用統(tǒng)一平臺替代單一功能產(chǎn)品需要強(qiáng)有力的業(yè)務(wù)理由、多年過渡計(jì)劃以及投入的精力和成本。

　　從驅(qū)動因素來看，網(wǎng)安法、數(shù)安法都明確要求采用數(shù)據(jù)安全治理（DSG），企業(yè)需要一個(gè)統(tǒng)一的平臺來全面了解數(shù)據(jù)的存儲、流轉(zhuǎn)和使用情況。此外，企業(yè)必須能夠更輕松地跨不同的產(chǎn)品實(shí)施一致的安全策略，并優(yōu)化數(shù)據(jù)風(fēng)險(xiǎn)和法規(guī)遵從性評估流程。

　　● DSP代表廠商：昂楷科技、安恒信息、安華金和、觀安、山石網(wǎng)科、IBM、綠盟科技、天融信、明朝萬達(dá)

　　數(shù)據(jù)風(fēng)險(xiǎn)評估

　　Data Risk Assessment in China

　　隨著數(shù)字化轉(zhuǎn)型的大力推進(jìn)和對數(shù)據(jù)安全監(jiān)管的日益加強(qiáng)，DRA已成為企業(yè)評估如何降低業(yè)務(wù)風(fēng)險(xiǎn)的必要部分。DRA是一個(gè)用于審查數(shù)據(jù)安全和隱私控制是否得到有效實(shí)施的過程，它通過識別已部署的數(shù)據(jù)安全政策中的偏差，和評估對業(yè)務(wù)的影響，幫助企業(yè)領(lǐng)導(dǎo)層根據(jù)組織的風(fēng)險(xiǎn)偏好確定數(shù)據(jù)風(fēng)險(xiǎn)的優(yōu)先級，設(shè)計(jì)更合理的風(fēng)險(xiǎn)處理策略。

　　DRA關(guān)注全方位的數(shù)據(jù)安全風(fēng)險(xiǎn)，包括數(shù)據(jù)傳輸、個(gè)人隱私、數(shù)據(jù)生命周期管理、技術(shù)漏洞等，這些風(fēng)險(xiǎn)向量使DRA的實(shí)施較為復(fù)雜。此外，完成DRA流程還需要專業(yè)知識。數(shù)據(jù)處理活動隨著業(yè)務(wù)流程的變化而發(fā)展，因此，業(yè)務(wù)團(tuán)隊(duì)支持可能會影響每個(gè)項(xiàng)目或服務(wù)的業(yè)務(wù)成果的數(shù)據(jù)安全控制需求，是DRA的成功實(shí)施的保障。

　　從驅(qū)動因素來看，我國法律和監(jiān)管要求促使各企業(yè)將DRA的影響評估擴(kuò)展到國家安全和公共利益，當(dāng)組織的數(shù)據(jù)處理活動涉及重要數(shù)據(jù)、大量個(gè)人信息和跨境傳輸時(shí)，DRA成為必要路徑。企業(yè)必須將數(shù)據(jù)風(fēng)險(xiǎn)管理的重點(diǎn)放在降業(yè)務(wù)風(fēng)險(xiǎn)上，以優(yōu)化業(yè)務(wù)成果，這將確保識別和評估業(yè)務(wù)用戶的數(shù)據(jù)訪問需求。

　　入侵與攻擊模擬

　　Breach and Attack Simulation in China

　　BAS通過自動化模擬外部和內(nèi)部、橫向移動和數(shù)據(jù)泄露等威脅向量，使企業(yè)更好地了解其安全薄弱點(diǎn)，其是對紅隊(duì)或滲透測試的補(bǔ)充，但并不能完全取代兩者。BAS幫助企業(yè)從攻擊者的角度發(fā)現(xiàn)對其重要資產(chǎn)的攻擊路徑，該技術(shù)提供了對組織威脅向量的自動化和一致性評估，以建立真實(shí)的作戰(zhàn)能力，并為攻擊和防御團(tuán)隊(duì)合作做好準(zhǔn)備。在常態(tài)化攻防演練的背景下，BAS可以有效檢驗(yàn)組織的安全態(tài)勢和安全能力。

　　目前，大多數(shù)BAS技術(shù)都使用代理來運(yùn)行測試，這使得企業(yè)希望根據(jù)環(huán)境和拓?fù)渥兓p松實(shí)現(xiàn)和升級，因此，BAS解決方案必須克服部署和維護(hù)方面的挑戰(zhàn)。如今，企業(yè)已經(jīng)有太多來自監(jiān)管機(jī)構(gòu)、審計(jì)、漏洞管理、應(yīng)用程序安全測試和滲透測試等方面的診斷服務(wù)，BAS工具不能簡單地增加質(zhì)量，而是為現(xiàn)有的安全評估提供方向性指導(dǎo)和豐富維度。此外，向業(yè)務(wù)團(tuán)隊(duì)解釋清楚BAS和滲透測試之間的細(xì)微差別也是一個(gè)挑戰(zhàn)。

　　● BAS代表廠商：360、墨云科技、華云安、懸鏡安全

　　機(jī)密計(jì)算

　　Confidential Computing in China

　　過去，企業(yè)大都集中在通過加密保護(hù)靜止的或傳輸中的數(shù)據(jù)，但一個(gè)相對容易被忽視的領(lǐng)域是使用中數(shù)據(jù)（Data-in-use）的加密。隨著企業(yè)業(yè)務(wù)上云，旨在保護(hù)使用中數(shù)據(jù)機(jī)密性和完整性的機(jī)密計(jì)算應(yīng)運(yùn)而生，其原理是使用基于硬件的技術(shù)將數(shù)據(jù)、特定功能或整個(gè)應(yīng)用程序與操作系統(tǒng)、虛擬機(jī)管理程序、虛擬機(jī)管理器以及其他特權(quán)進(jìn)程隔離開來。在后臺，機(jī)密計(jì)算環(huán)境將數(shù)據(jù)加密保存在內(nèi)存、CPU外部的其他位置，稱為“可信執(zhí)行環(huán)境（TEE）”。

　　2020年，我國將數(shù)據(jù)定義為新型生產(chǎn)要素，通過數(shù)據(jù)交換和處理激活數(shù)據(jù)價(jià)值。機(jī)密計(jì)算將安全性提升到了一個(gè)新的水平，并且逐步支持了越來越多的數(shù)據(jù)驅(qū)動型應(yīng)用場景。機(jī)密計(jì)算的關(guān)鍵是可驗(yàn)證性，即參與計(jì)算的各方可以遠(yuǎn)程地驗(yàn)證數(shù)據(jù)是如何被處理的、輸入由哪一方提供、結(jié)果由哪一方可以訪問等。這就使得潛在的各方在互不信任的情況下根據(jù)既定的規(guī)則實(shí)現(xiàn)數(shù)據(jù)的安全共享成為可能。

　　● 機(jī)密計(jì)算代表廠商：阿里云、螞蟻集團(tuán)、百度、華為云、沖量在線、騰訊云

　　攻擊面管理

　　Attack Surface Management in China

　　伴隨企業(yè)網(wǎng)復(fù)雜程度的大大提升，識別網(wǎng)絡(luò)資產(chǎn)，了解資產(chǎn)的脆弱性和潛在的攻擊方式尤為重要。ASM使企業(yè)從內(nèi)部管理和外部攻擊者的角度，解決資產(chǎn)和漏洞可視化的難題，并基于優(yōu)先級計(jì)算指導(dǎo)防御人員進(jìn)行主動防御。ASM幫助安全和風(fēng)險(xiǎn)管理（SRM）團(tuán)隊(duì)識別潛在的攻擊路徑，并指導(dǎo)開展安全控制措施的改進(jìn)和調(diào)整，提高整體安全防御水平。

　　ASM的主要能力包含：網(wǎng)絡(luò)資產(chǎn)攻擊面管理（CAASM）、外部攻擊面管理（EASM）和數(shù)字風(fēng)險(xiǎn)保護(hù)服務(wù)（DRPS）。它們中的每一項(xiàng)技術(shù)點(diǎn)都對安全團(tuán)隊(duì)提出了具體目標(biāo)，以便從內(nèi)部和外部IT資產(chǎn)到第三方資產(chǎn)、“影子IT”系統(tǒng)和數(shù)字風(fēng)險(xiǎn)獲得更好的可見性、治理和控制。

　　ASM主要提供可見性，為了更完整地預(yù)防安全風(fēng)險(xiǎn)，需要與安全信息和事件管理（SIEM）、擴(kuò)展檢測與響應(yīng)（XDR）、資產(chǎn)和漏洞管理、BAS和攻擊路徑管理（APM）等其他安全技術(shù)、工具協(xié)作，因此從長遠(yuǎn)來看，ASM可能不是一個(gè)獨(dú)立的市場，相反，它可能會與其他市場合并發(fā)展。

　　● ASM代表廠商：華順信安、零零信安、華云安

　　云安全資源池

　　Cloud Security Resource Pool in China

　　云服務(wù)日益普及，孤立的安全工具逐漸呈現(xiàn)出交付速度慢、缺乏可拓展性，以及在監(jiān)控和管理方面效率降低的現(xiàn)狀，企業(yè)亟須一個(gè)更靈活和敏捷的平臺式安全產(chǎn)品來滿足安全需求并對云資產(chǎn)進(jìn)行更好的保護(hù)。云安全資源池是基于軟件的安全集合，集統(tǒng)一管理與監(jiān)控、安全編排與自動化、合規(guī)管理服務(wù)于一體。它與來自供應(yīng)商生態(tài)系統(tǒng)的各種安全工具集成，并可以整合到第三方安全工具中。此外，它還提供安全資源的按需和靈活使用。

　　作為一種安全平臺解決方案，云安全資源能夠?yàn)槠髽I(yè)帶來一系列優(yōu)勢，包括基于整體視角建設(shè)企業(yè)安全解決方案；通過組織自己的生態(tài)系統(tǒng)或多使用來自同一供應(yīng)商的安全工具，降低集成風(fēng)險(xiǎn)；通過采用統(tǒng)一的管理監(jiān)控、安全編排自動化服務(wù)，提高效率，并降低安全人員負(fù)擔(dān)；提高合規(guī)性。

　　另一方面，云安全資源池目前缺乏標(biāo)準(zhǔn)，大多數(shù)來自供應(yīng)商的生態(tài)系統(tǒng)，它可以與其他安全工具集成。這些因素可能會限制對第三方安全工具的支持和整合，客戶可能會對供應(yīng)商的鎖定表示強(qiáng)烈擔(dān)憂。

　　● 云安全資源池代表廠商：安博通、亞信安全、安恒信息、新華三、山石網(wǎng)科、綠盟科技、奇安信、瑞數(shù)信息、深信服科技、天融信

　　智慧城市網(wǎng)絡(luò)物理系統(tǒng)安全

　　CPS Security in Smart Cities

　　網(wǎng)絡(luò)物理系統(tǒng)（CPS）是一種工程系統(tǒng)，其通過將工業(yè)傳感器、智能硬件、工業(yè)控制系統(tǒng)、計(jì)算設(shè)施及信息終端連接成一個(gè)智能網(wǎng)絡(luò)，實(shí)現(xiàn)物理世界與人類、服務(wù)之間的互聯(lián)互通。隨著我國新型智慧城市高水平、高質(zhì)量建設(shè)進(jìn)程的推進(jìn)，CPS在整個(gè)智慧城市體系建設(shè)中愈發(fā)重要，CPS Security 則已成為構(gòu)建智慧城市安全體系的核心要素。

　　CPS是一個(gè)具有控制屬性的網(wǎng)絡(luò)，但它又有別于現(xiàn)有的控制系統(tǒng)。它包含了基于嵌入式系統(tǒng)、網(wǎng)絡(luò)通信和控制的人工智能、泛在計(jì)算、環(huán)境感知（AmI）等功能，是集通信與控制和集成計(jì)算于一體的下一代智能系統(tǒng)，通過人機(jī)交互接口實(shí)現(xiàn)和物理世界的交互的一個(gè)緊湊的物理實(shí)體，其本身具有脆弱性。在安全情況下，可實(shí)現(xiàn)安全、實(shí)時(shí)、可靠、彈性和適應(yīng)性強(qiáng)的性能，其網(wǎng)絡(luò)和應(yīng)用程序?yàn)槌鞘械年P(guān)鍵基礎(chǔ)設(shè)施收集數(shù)據(jù)。

　　智慧城市CPS安全作為國家安全十四五規(guī)劃的重要組成部分，在“數(shù)字經(jīng)濟(jì)”和“新基礎(chǔ)設(shè)施”舉措的推動下，支撐著智慧城市的交通、能源、醫(yī)療和政府事務(wù)等關(guān)鍵基礎(chǔ)設(shè)施。安全事件范圍從交通癱瘓、電力系統(tǒng)停滯、醫(yī)療系統(tǒng)故障，到侵犯隱私、人身安全，關(guān)系到國計(jì)民生。

　　● CPS安全代表廠商：360、安恒信息、新華三、華為、綠盟科技、奇安信、天融信、啟明星辰

　　軟件成分分析

　　Software Composition Analysis in China

　　SCA是一種對軟件的組成部分進(jìn)行識別、分析和追蹤的技術(shù)，可以生成完整的 SBOM，分析開發(fā)人員所使用的各種源碼、模塊、框架和庫，以識別和清點(diǎn)開源軟件（OSS）的組件及其構(gòu)成和依賴關(guān)系，并精準(zhǔn)識別系統(tǒng)中存在的已知安全漏洞或者潛在的許可證授權(quán)問題，把這些安全風(fēng)險(xiǎn)排除在軟件的發(fā)布上線之前，也適用于軟件運(yùn)行中的診斷分析。

　　如今，開源是幫助企業(yè)將其服務(wù)數(shù)字化并利用其技術(shù)在當(dāng)今競爭激烈的市場中更好地競爭的關(guān)鍵因素之一。開源組件正在成為幾乎所有垂直領(lǐng)域軟件的主要構(gòu)建塊，但大量使用開源組件同時(shí)也導(dǎo)致給軟件供應(yīng)鏈帶來難以預(yù)知的安全隱患。為了更好地通過開源軟件提升生產(chǎn)力，需要采用 SCA 技術(shù)保證軟件供應(yīng)鏈的安全性。SCA允許企業(yè)在整個(gè)軟件供應(yīng)鏈中對開源軟件的使用進(jìn)行安全風(fēng)險(xiǎn)管理，保護(hù)最終用戶免受安全漏洞的影響，在保證企業(yè)能夠利用開源軟件帶來的優(yōu)勢的同時(shí)，也能保持安全性和合規(guī)性。

　　● SCA代表廠商：思客云、默安科技、墨云科技、奇安信、鴻漸科技、開源網(wǎng)安、懸鏡安全

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<