2020年度中國網絡安全能力圖譜

2020年度中國網絡安全能力圖譜

網絡安全技術與產業有三個關鍵支撐點,一技術,即信息基礎環境;二是應用,即業務應用場景,三是專業,即網絡安全保障 。這三個支撐點互為交叉重疊,衍生出各種安全手段和保護方法,是網絡安全技術與產業之所以呈現出碎片化特性的主要原因。業內傳統的對網絡安全能力的梳理大多集中在安全專業技術上,但實際的情況是,離開信息技術的基礎環境,網絡安全技術是不存在的。而離開業務需求與應用場景,安全保障手段就無法落地 。不同的信息環境和應用場景決定了網絡安全解方案也不盡相同,基于此理念,數世咨詢創新性的提出了“網絡安全三元論”,全面覆蓋三個支撐點的分類方法。

'圖1'

圖:網絡安全三元論

(方法論:上圖中的信息基礎環境與網絡安全保障結合形成信息安全,即對信息基礎環境的保護。業務應用場景與網絡安全保障結合形成業務安全,即對業務應用場景的保護。信息基礎環境與業務應用場景結合是數字經濟的概念,而信息安全和業務安全是數字經濟健康發展的必然保障。信息基礎環境、業務應用場景與網絡安全保障,三者缺一不可,并且只有三者的緊密融合才能形成真正的安全內生、安全原生,擺脫安全伴生,走向安全共生。)

能力圖譜將信息基礎環境、業務應用場景和網絡安全保障劃分為八個維度,每個維度又劃分成不同的細分領域并一直對應到各領域的優秀安全能力提供者,力求全面、清晰的反映網絡安全各細分領域,并突出安全能力者,為國家部門、行業用戶、研究機構和資本機構提供參考。

'圖2'

【圖】網絡安全能力總分類-未展開

'圖3'

【圖】網絡安全能力總分類-展開

中國網絡安全能力圖譜—網絡安全篇

一、訪問控制

訪問控制是傳統網絡安全能力的核心,目前絕大多數主流的安全工具、產品技術和解決方案集中在這個維度。包含了兩大領域,關注內外網之分的網絡邊界安全和關注訪問行為的身份安全。

'圖4'

1、網絡邊界安全

網絡邊界安全是指部署在網關位置的安全產品,且主要功能是隔離、檢測與阻斷。

'圖5'

2、身份安全

身份安全是指保證合法的人或設備對網絡或系統正常訪問的能力。此外,VPN、數字證書、Key等工具雖然也有著身份認證的屬性,但這些產品均以密碼技術為核心基礎,因此能力圖譜將其劃分到“通用概念”維度中的“密碼”領域。

'圖6'

二、通用概念

通用概念的維度是指基于某些通用的技術或手段,來實現網絡安全防御的能力。

'圖7'

1、密碼

密碼是指基于加解密技術的工具、產品及服務。值得指出的是,同態加密、機密計算解決方案,更多的針對特定的應用場景,因此能力圖譜將其劃分在了“業務場景”的維度。(注:本圖譜暫未收錄非企業性質的機構)

'圖8'

2、仿真

仿真是指利用虛擬化技術模擬信息環境或業務場景,通過偽裝、混淆、誘捕、驗證、演練等手段來提高網絡安全對抗能力的技術。

'圖9'

3、審計

審計是對訪問、登錄、操作等行為進行記錄,以發現威脅或攻擊,以及提供追溯的能力。

'圖10'

4、備份

備份下面的各細分能力基于備份的目的,恰好也體現了報告所提出的“網絡安全三元論”。如面向業務維持的業務連續性(業務應用),面向數據本身的持續數據保護(信息技術),面向災難或破壞的災備(安全攻防)。

'圖11'

5、分析

本維度中的分析主要是指分析工具,而主要依靠人來分析的技術能力,如威脅捕捉、攻擊溯源等,則劃分到了安全服務的維度下。

'圖12'

6、掃描

掃描是指基于批量、自動化的探測技術,實現規?;男畔①Y產發現或脆弱性發現的能力。

'圖13'

三、綜合體系

某些安全解決方案和平臺體系,是由多種安全能力綜合而成,將其劃分到任何單一領域中都無法準確體現它的特性,此為能力圖譜設立綜合體系這一維度的意義。此外,許多大型用戶對整體解決方案的需求逐漸上升,出于不同意圖或目標的綜合體系也呈多樣化趨勢。

'圖14'

1、態勢感知

資產管理、大數據分析與安全運營,為態勢感知體系的三個關鍵支撐,缺失任一一種能力,都不能稱之為態勢感知體系,只能算是態勢感知的部分能力。

2、數據安全治理

在本圖譜中,與數據安全治理類似的分類有,計算對象–數據安全–大數據保護,業務場景–大數據交換。三者的共同點在于都是以數據安全為中心,不同點在于大數據保護強調的是通過檢測、審計、分析、合規等各種工具來監控和保護數據,是一種工具集。大數據交換則專門針對數據流動業務場景,是一種創新技術。而數據安全治理則是一個包括了人員、機制、工具、技術、咨詢、服務等在內的綜合體系。

3、內部威脅保護

只要存在組織就一定面臨內部威脅,無論是人為故意的“內鬼”,還是無意的泄露或被攻擊者利用,內部威脅始終都是機構組織的最大風險來源,遺憾的是國內目前從內部威脅這一視角來關注安全體系的企業非常少。這也是一個綜合了各種安全能力的技術、產品與服務體系,如安全意識、用戶行為分析、數據防泄漏、訪問控制、身份安全等。

4、高級威脅防御

APT的概念已經有了很多年,業界有著各種解讀。一般認為,攻擊手法高級、基于未知威脅、或對目標展開極具針對性、隱蔽性的攻擊,均可以算是高級威脅。因此,具備對未知威脅的檢測和發現能力,是高級威脅防御的核心。

5、零信任

嚴格的來說,“零信任”只是一種安全防御理念,并非是一種產品、架構和體系,幾乎所有涉及到身份認證、行為分析、區域隔離、應用與數據訪問的安全產品、架構、體系,都可以基于零信任理念來打造。因此,離開具體的實現手段談零信任就會含糊不清。

四、安全服務

安全服務的維度與其他7個維度最大的區別是,更多的關注于“人”在網絡安全保障中的作用。

'圖15'

中國網絡安全能力圖譜—業務應用篇

五、行業環境

行業環境維度中的各個細分領域,帶有鮮明的行業屬性或行業安全需求,且具有巨大的市場潛力。

'圖16'

1、公共安全

公共安全是指基于網絡及數據來打擊犯罪、維護治安的安全能力。

'圖17'

2、工業互聯網安全

工業互聯網安全的相關概念很多,比如工業網絡安全、工業信息安全、工控系統安全,但工業+互聯網的概念更為寬廣,并且與工業4.0、智能制造的概念更為接近。因此,能力圖譜采用了工業互聯網安全的名稱。此外,“工業互聯網安全“雖然具備物聯網的屬性,但行業屬性更強,因此能力圖譜將其歸在”行業場景“的維度下,并將“工業互聯網安全”劃分為三層,底層是工控系統安全,向上是工控安全態勢感知,最上層則是工業互聯網平臺的安全。

'圖18'

3、信創安全

信創安全是近來年自主可控/可靠/可信/創新等國產化概念的轉化,是指在信息技術應用創新中,提供信息安全業務的能力。信創的用戶主要集中在政府機構,因此能力圖譜將其歸入“行業環境“的維度。

'圖19'

六、業務場景

與行業環境強調行業屬性相比,業務場景關注的是較為典型的辦公或業務場景,網絡安全只有與業務緊密結合才能發揮更大的價值,才能助力數字經濟而不是阻礙經濟(業務)的發展。

'圖20'

中國網絡安全能力圖譜–信息技術篇

七、計算對象

計算對象的維度主要是指從物理設備到主機、代碼、數據,以及網站、數據庫等信息計算實體或信息基礎設施。

'圖21'

1、物理安全

物理安全是指圍繞電子設備運行時產生、接收及處理的電磁信號或運行時表現的機械特征展開對抗,對抗過程往往需要接近甚至接觸到設備本身。物理安全的能力提供者主要集中在電子制造領域,而且“邊信道”的子分類則多屬于國防、保密領域,此次圖譜暫時不做能力提供者推薦。(注:本圖譜中的“物理安全”不包括人員守衛、攝像門禁、防火防盜等非電子對抗能力)

'圖22'

2、端點安全

端點安全是指,圍繞主機、服務器、PC等計算設備展開的安全防護,值得指出的是,業內往往把端點安全和終端安全混為一談,但實際上服務器也是端點,但不是終端,兩者是包含的關系。值得注意的是,諸如手機、平板等移動辦公設備也屬于終端,但業內目前對其的關注,移動屬性大于端點屬性,因此能力圖譜將其劃分在“計算環境”維度下的“移動安全”領域。同時,一些如電視、空調、手表、無人機等智能網設備也屬于終端,但這些終端主要在個人消費級市場,暫未形成規?;钠髽I級安全收入。

'圖23'

3、代碼安全

代碼安全是指,通過對軟件或程序的源代碼進行混淆、加密、檢測、分析、審計,以增加代碼的反逆向能力,并在軟件生命周期的早期階段發現漏洞或風險點。與代碼安全相近的概念有軟件安全、開發安全和應用安全。軟件安全的定義過為寬泛,應用安全則除了代碼安全還包含了網站安全和Web應用安全,軟件安全和應用安全兩者會交叉不同的細分領域,因此不適合做分類名稱。開發安全實際上包含了代碼安全,但開發屬于企業或機構的生產或業務環節,為此能力圖譜將其劃分在“業務場景”維度下。

'圖24'

4、數據安全

數據安全涵蓋的范圍非常廣,從數據結構的角度,可分為結構、半結構、非結構數據。從保護手段的角度,可分為訪問、加密、脫敏、審計等。從數據生命周期來看,則包含了從收集、產生到存儲、加工、分析、應用等各個環節。數據時代已經來臨,數據資產的保護內涵正在從靜態保護開始向動態轉變,開始從靜態的數據資產保護延伸到動態的業務資產保護,這也是能力圖譜把“大數據交換”劃分到“業務對象”維度中的原因,而“大數據保護”依然屬于“計算對象”維度中的“數據安全”分類。

'圖25'

5、網站安全

網站安全是指以網站系統及其相關服務和應用為保護對象的安全能力,包括網站訪問、網站頁面、網站仿冒、DNS、Web應用的防護等。

'圖26'

八、計算環境

計算環境的維度主要是指新興的計算網絡形態,如移動網絡、云計算、物聯網等,這些新興的計算環境不斷驅動著網絡安全技術的演化。

'圖27'

1、移動安全

移動安全是指圍繞移動設備、應用、系統和業務開展的安全防護。

'圖28'

2、物聯網安全

物聯網安全的涵蓋面非常廣,理論上包括了一切聯網設備、應用、系統的安全,但某些計算環境,如工業互聯網安全的行業屬性更強,因此本次圖譜將其歸入到了“行業環境”的維度。目前,物聯網還處于初期發展階段,安全防護更多的集中在智能聯網設備本身及應用的防護上。

'圖29'

3、云安全

云安全的概念內涵主要有三種,一是保護云基礎設施的安全,二是保護云上各種業務系統的安全,如云堡壘、云身份管理等,三是用云計算技術來做安全,如云原生、安全云?;谠圃腄evSecOps并未普及,其并行開發、快速迭代的理念目前更多的落地場景為本地開發環境,因此能力圖譜暫時將其劃分到“”業務場景“維度中的開發安全“。

'圖30'

結語

能力圖譜最大的價值在于對網絡安全分類的精細梳理,嘗試降低業內由于分類混亂帶來的溝通不便、統計不便、采購不便等弊端,降低供需雙方的試錯成本。同時,對相應分類杰出和優秀能力者進行了推薦。這些能力者的推薦因素有二,一是在某個分類中為主流或主流的提供商,二是極具技術特色或創新能力的提供商。能力者均由數據咨詢團隊經過大量的調研溝通工作,通過市場占比、銷售收入、技術性創新和定位差異化等因素遴選。

由于人員精力與工作時間有限,難免有所遺漏。此外,隨著信息技術的發展,業務場景的變化,攻防對抗的迭代,網絡安全技術也在不斷的變化中。因此能力圖譜也是一個不斷補充完善的過程,數世咨詢真切希望廣大業界同仁提出建議和意見,共同為中國網絡安全行業的全面梳理工作做出貢獻!

作者:

產業與市場分析師:左晶

技術與應用分析師:潘頡陽

數據統計分析師:牛愛民

綜合調研分析師:劉宸宇

聲明:本文來自數世咨詢,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表深圳匯安科技立場,轉載目的在于傳遞更多信息。如有侵權,請聯系 13570058253@139.com。