近日，國際權威IT咨詢機構Gartner發布了《2022中國網絡安全技術成熟度曲線》（Hype Cycle for Security in China,2022）報告。

　　技術成熟度曲線（Hype Cycle）是為企業提供的評估各領域技術成熟度及市場發展趨勢的一種工具，也是幫助行業客觀判斷技術潛力和商業價值的重要依據。Gartner依其專業分析預測與推論各種新科技的成熟演變速度及要達到成熟所需的時間，劃分為以下 5 個關鍵階段：

　　● 技術萌芽期（Innovation Trigger）：潛在的技術突破即將開始，通常不存在可用的產品，商業可行性未得到驗證。

　　● 期望膨脹期（Peak of Inflated Expectations）：早期宣傳產生了許多成功案例，通常也伴隨著多次失敗。

　　● 泡沫破裂谷底期（Trough of Disillusionment）：人們的興趣逐漸減弱，只有幸存的提供商不斷改進產品。

　　● 穩步爬升復蘇期（Slope of Enlightenment）：有關該技術如何使企業受益的更多實例開始具體化，并獲得更廣泛的認識。

　　● 生產成熟期（Plateau of Productivity）：主流采用開始激增，該技術的廣泛市場適用性和相關性得到顯著回報。

　　處于技術萌芽期的新興技術往往被視為推動行業創新發展的新方向和新趨勢，新興技術本質上具有顛覆性，還沒有眾所周知或已被驗證的競爭優勢，可能需要2-10年成為主流被采用，透過該階段，可以觀察潛在市場、技術走向以及主流應用的演變途徑。

　　數據安全平臺

　　Data Security Platforms in China

　　傳統的數據安全是由不同的產品來提供的，這導致運營效率低下，無法支持數據風險評估以及數據的內部創新和協作。DSP涵蓋了各種場景下的數據安全保護需求，以數據發現和數據分類分級為基礎，混合了多種技術來實現數據安全防護，例如：數據訪問控制，數據脫敏，文件加密等，成熟的DSP也可能包含了數據活動監控和數據風險評估的功能。

　　DSP提高了數據的可見性及其廣泛的使用，并改進了數據的管控方式，幫助企業做出更明智的決策，為企業和社會帶來更好的數據價值發揮和安全保障結果。目前，DSP對大多數用戶來說仍是新生事物，只有當企業發現其傳統控制不能夠或無法很好地同步數據流程時，才會意識到這一點。然而，用統一平臺替代單一功能產品需要強有力的業務理由、多年過渡計劃以及投入的精力和成本。

　　從驅動因素來看，網安法、數安法都明確要求采用數據安全治理（DSG），企業需要一個統一的平臺來全面了解數據的存儲、流轉和使用情況。此外，企業必須能夠更輕松地跨不同的產品實施一致的安全策略，并優化數據風險和法規遵從性評估流程。

　　● DSP代表廠商：昂楷科技、安恒信息、安華金和、觀安、山石網科、IBM、綠盟科技、天融信、明朝萬達

　　數據風險評估

　　Data Risk Assessment in China

　　隨著數字化轉型的大力推進和對數據安全監管的日益加強，DRA已成為企業評估如何降低業務風險的必要部分。DRA是一個用于審查數據安全和隱私控制是否得到有效實施的過程，它通過識別已部署的數據安全政策中的偏差，和評估對業務的影響，幫助企業領導層根據組織的風險偏好確定數據風險的優先級，設計更合理的風險處理策略。

　　DRA關注全方位的數據安全風險，包括數據傳輸、個人隱私、數據生命周期管理、技術漏洞等，這些風險向量使DRA的實施較為復雜。此外，完成DRA流程還需要專業知識。數據處理活動隨著業務流程的變化而發展，因此，業務團隊支持可能會影響每個項目或服務的業務成果的數據安全控制需求，是DRA的成功實施的保障。

　　從驅動因素來看，我國法律和監管要求促使各企業將DRA的影響評估擴展到國家安全和公共利益，當組織的數據處理活動涉及重要數據、大量個人信息和跨境傳輸時，DRA成為必要路徑。企業必須將數據風險管理的重點放在降業務風險上，以優化業務成果，這將確保識別和評估業務用戶的數據訪問需求。

　　入侵與攻擊模擬

　　Breach and Attack Simulation in China

　　BAS通過自動化模擬外部和內部、橫向移動和數據泄露等威脅向量，使企業更好地了解其安全薄弱點，其是對紅隊或滲透測試的補充，但并不能完全取代兩者。BAS幫助企業從攻擊者的角度發現對其重要資產的攻擊路徑，該技術提供了對組織威脅向量的自動化和一致性評估，以建立真實的作戰能力，并為攻擊和防御團隊合作做好準備。在常態化攻防演練的背景下，BAS可以有效檢驗組織的安全態勢和安全能力。

　　目前，大多數BAS技術都使用代理來運行測試，這使得企業希望根據環境和拓撲變化輕松實現和升級，因此，BAS解決方案必須克服部署和維護方面的挑戰。如今，企業已經有太多來自監管機構、審計、漏洞管理、應用程序安全測試和滲透測試等方面的診斷服務，BAS工具不能簡單地增加質量，而是為現有的安全評估提供方向性指導和豐富維度。此外，向業務團隊解釋清楚BAS和滲透測試之間的細微差別也是一個挑戰。

　　● BAS代表廠商：360、墨云科技、華云安、懸鏡安全

　　機密計算

　　Confidential Computing in China

　　過去，企業大都集中在通過加密保護靜止的或傳輸中的數據，但一個相對容易被忽視的領域是使用中數據（Data-in-use）的加密。隨著企業業務上云，旨在保護使用中數據機密性和完整性的機密計算應運而生，其原理是使用基于硬件的技術將數據、特定功能或整個應用程序與操作系統、虛擬機管理程序、虛擬機管理器以及其他特權進程隔離開來。在后臺，機密計算環境將數據加密保存在內存、CPU外部的其他位置，稱為“可信執行環境（TEE）”。

　　2020年，我國將數據定義為新型生產要素，通過數據交換和處理激活數據價值。機密計算將安全性提升到了一個新的水平，并且逐步支持了越來越多的數據驅動型應用場景。機密計算的關鍵是可驗證性，即參與計算的各方可以遠程地驗證數據是如何被處理的、輸入由哪一方提供、結果由哪一方可以訪問等。這就使得潛在的各方在互不信任的情況下根據既定的規則實現數據的安全共享成為可能。

　　● 機密計算代表廠商：阿里云、螞蟻集團、百度、華為云、沖量在線、騰訊云

　　攻擊面管理

　　Attack Surface Management in China

　　伴隨企業網復雜程度的大大提升，識別網絡資產，了解資產的脆弱性和潛在的攻擊方式尤為重要。ASM使企業從內部管理和外部攻擊者的角度，解決資產和漏洞可視化的難題，并基于優先級計算指導防御人員進行主動防御。ASM幫助安全和風險管理（SRM）團隊識別潛在的攻擊路徑，并指導開展安全控制措施的改進和調整，提高整體安全防御水平。

　　ASM的主要能力包含：網絡資產攻擊面管理（CAASM）、外部攻擊面管理（EASM）和數字風險保護服務（DRPS）。它們中的每一項技術點都對安全團隊提出了具體目標，以便從內部和外部IT資產到第三方資產、“影子IT”系統和數字風險獲得更好的可見性、治理和控制。

　　ASM主要提供可見性，為了更完整地預防安全風險，需要與安全信息和事件管理（SIEM）、擴展檢測與響應（XDR）、資產和漏洞管理、BAS和攻擊路徑管理（APM）等其他安全技術、工具協作，因此從長遠來看，ASM可能不是一個獨立的市場，相反，它可能會與其他市場合并發展。

　　● ASM代表廠商：華順信安、零零信安、華云安

　　云安全資源池

　　Cloud Security Resource Pool in China

　　云服務日益普及，孤立的安全工具逐漸呈現出交付速度慢、缺乏可拓展性，以及在監控和管理方面效率降低的現狀，企業亟須一個更靈活和敏捷的平臺式安全產品來滿足安全需求并對云資產進行更好的保護。云安全資源池是基于軟件的安全集合，集統一管理與監控、安全編排與自動化、合規管理服務于一體。它與來自供應商生態系統的各種安全工具集成，并可以整合到第三方安全工具中。此外，它還提供安全資源的按需和靈活使用。

　　作為一種安全平臺解決方案，云安全資源能夠為企業帶來一系列優勢，包括基于整體視角建設企業安全解決方案；通過組織自己的生態系統或多使用來自同一供應商的安全工具，降低集成風險；通過采用統一的管理監控、安全編排自動化服務，提高效率，并降低安全人員負擔；提高合規性。

　　另一方面，云安全資源池目前缺乏標準，大多數來自供應商的生態系統，它可以與其他安全工具集成。這些因素可能會限制對第三方安全工具的支持和整合，客戶可能會對供應商的鎖定表示強烈擔憂。

　　● 云安全資源池代表廠商：安博通、亞信安全、安恒信息、新華三、山石網科、綠盟科技、奇安信、瑞數信息、深信服科技、天融信

　　智慧城市網絡物理系統安全

　　CPS Security in Smart Cities

　　網絡物理系統（CPS）是一種工程系統，其通過將工業傳感器、智能硬件、工業控制系統、計算設施及信息終端連接成一個智能網絡，實現物理世界與人類、服務之間的互聯互通。隨著我國新型智慧城市高水平、高質量建設進程的推進，CPS在整個智慧城市體系建設中愈發重要，CPS Security 則已成為構建智慧城市安全體系的核心要素。

　　CPS是一個具有控制屬性的網絡，但它又有別于現有的控制系統。它包含了基于嵌入式系統、網絡通信和控制的人工智能、泛在計算、環境感知（AmI）等功能，是集通信與控制和集成計算于一體的下一代智能系統，通過人機交互接口實現和物理世界的交互的一個緊湊的物理實體，其本身具有脆弱性。在安全情況下，可實現安全、實時、可靠、彈性和適應性強的性能，其網絡和應用程序為城市的關鍵基礎設施收集數據。

　　智慧城市CPS安全作為國家安全十四五規劃的重要組成部分，在“數字經濟”和“新基礎設施”舉措的推動下，支撐著智慧城市的交通、能源、醫療和政府事務等關鍵基礎設施。安全事件范圍從交通癱瘓、電力系統停滯、醫療系統故障，到侵犯隱私、人身安全，關系到國計民生。

　　● CPS安全代表廠商：360、安恒信息、新華三、華為、綠盟科技、奇安信、天融信、啟明星辰

　　軟件成分分析

　　Software Composition Analysis in China

　　SCA是一種對軟件的組成部分進行識別、分析和追蹤的技術，可以生成完整的 SBOM，分析開發人員所使用的各種源碼、模塊、框架和庫，以識別和清點開源軟件（OSS）的組件及其構成和依賴關系，并精準識別系統中存在的已知安全漏洞或者潛在的許可證授權問題，把這些安全風險排除在軟件的發布上線之前，也適用于軟件運行中的診斷分析。

　　如今，開源是幫助企業將其服務數字化并利用其技術在當今競爭激烈的市場中更好地競爭的關鍵因素之一。開源組件正在成為幾乎所有垂直領域軟件的主要構建塊，但大量使用開源組件同時也導致給軟件供應鏈帶來難以預知的安全隱患。為了更好地通過開源軟件提升生產力，需要采用 SCA 技術保證軟件供應鏈的安全性。SCA允許企業在整個軟件供應鏈中對開源軟件的使用進行安全風險管理，保護最終用戶免受安全漏洞的影響，在保證企業能夠利用開源軟件帶來的優勢的同時，也能保持安全性和合規性。

　　● SCA代表廠商：思客云、默安科技、墨云科技、奇安信、鴻漸科技、開源網安、懸鏡安全

更多信息可以來這里獲取==>>電子技術應用-AET<<