国内数字化领域第三方调研机构数世咨询于今日正式推出《中国网络安全能力图谱》(完整版)(以下简称能力图谱)。

网络安全技术与产业有三个关键支撑点,一技术,即信息基础环境;二是应用,即业务应用场景,三是专业,即网络安全保障。这三个支撑点互为交叉重叠,衍生出各种安全手段和保护方法,是网络安全技术与产业之所以呈现出碎片化特性的主要原因。业内传统的对网络安全能力的梳理大多集中在安全专业技术上,但实际的情况是,离开信息技术的基础环境,网络安全技术是不存在的。而离开业务需求与应用场景,安全保障手段就无法落地。不同的信息环境和应用场景决定了网络安全解方案也不尽相同,基于此理念,数世咨询创新性的提出了“网络安全三元论”,全面覆盖三个支撑点的分类方法。

图:网络安全三元论

(方法论:上图中的信息基础环境与网络安全保障结合形成信息安全,即对信息基础环境的保护。业务应用场景与网络安全保障结合形成业务安全,即对业务应用场景的保护。信息基础环境与业务应用场景结合是数字经济的概念,而信息安全和业务安全是数字经济健康发展的必然保障。信息基础环境、业务应用场景与网络安全保障,三者缺一不可,并且只有三者的紧密融合才能形成真正的安全内生、安全原生,摆脱安全伴生,走向安全共生。)

能力图谱将信息基础环境、业务应用场景和网络安全保障划分为八个维度,每个维度又划分成不同的细分领域并一直对应到各领域的优秀安全能力提供者,力求全面、清晰的反映网络安全各细分领域,并突出安全能力者,为国家部门、行业用户、研究机构和资本机构提供参考。

【图】网络安全能力总分类-未展开

【图】网络安全能力总分类-展开

中国网络安全能力图谱—网络安全篇

一、访问控制

访问控制是传统网络安全能力的核心,目前绝大多数主流的安全工具、产品技术和解决方案集中在这个维度。包含了两大领域,关注内外网之分的网络边界安全和关注访问行为的身份安全。

1、网络边界安全

网络边界安全是指部署在网关位置的安全产品,且主要功能是隔离、检测与阻断。

2、身份安全

身份安全是指保证合法的人或设备对网络或系统正常访问的能力。此外,VPN、数字证书、Key等工具虽然也有着身份认证的属性,但这些产品均以密码技术为核心基础,因此能力图谱将其划分到“通用概念”维度中的“密码”领域。

二、通用概念

通用概念的维度是指基于某些通用的技术或手段,来实现网络安全防御的能力。

1、密码

密码是指基于加解密技术的工具、产品及服务。值得指出的是,同态加密、机密计算解决方案,更多的针对特定的应用场景,因此能力图谱将其划分在了“业务场景”的维度。(注:本图谱暂未收录非企业性质的机构)

2、仿真

仿真是指利用虚拟化技术模拟信息环境或业务场景,通过伪装、混淆、诱捕、验证、演练等手段来提高网络安全对抗能力的技术。

3、审计

审计是对访问、登录、操作等行为进行记录,以发现威胁或攻击,以及提供追溯的能力。

4、备份

备份下面的各细分能力基于备份的目的,恰好也体现了报告所提出的“网络安全三元论”。如面向业务维持的业务连续性(业务应用),面向数据本身的持续数据保护(信息技术),面向灾难或破坏的灾备(安全攻防)。

5、分析

本维度中的分析主要是指分析工具,而主要依靠人来分析的技术能力,如威胁捕捉、攻击溯源等,则划分到了安全服务的维度下。

6、扫描

扫描是指基于批量、自动化的探测技术,实现规模化的信息资产发现或脆弱性发现的能力。

三、综合体系

某些安全解决方案和平台体系,是由多种安全能力综合而成,将其划分到任何单一领域中都无法准确体现它的特性,此为能力图谱设立综合体系这一维度的意义。此外,许多大型用户对整体解决方案的需求逐渐上升,出于不同意图或目标的综合体系也呈多样化趋势。

1、态势感知

资产管理、大数据分析与安全运营,为态势感知体系的三个关键支撑,缺失任一一种能力,都不能称之为态势感知体系,只能算是态势感知的部分能力。

2、数据安全治理

在本图谱中,与数据安全治理类似的分类有,计算对象--数据安全--大数据保护,业务场景--大数据交换。三者的共同点在于都是以数据安全为中心,不同点在于大数据保护强调的是通过检测、审计、分析、合规等各种工具来监控和保护数据,是一种工具集。大数据交换则专门针对数据流动业务场景,是一种创新技术。而数据安全治理则是一个包括了人员、机制、工具、技术、咨询、服务等在内的综合体系。

3、内部威胁保护

只要存在组织就一定面临内部威胁,无论是人为故意的“内鬼”,还是无意的泄露或被攻击者利用,内部威胁始终都是机构组织的最大风险来源,遗憾的是国内目前从内部威胁这一视角来关注安全体系的企业非常少。这也是一个综合了各种安全能力的技术、产品与服务体系,如安全意识、用户行为分析、数据防泄漏、访问控制、身份安全等。

4、高级威胁防御

APT的概念已经有了很多年,业界有着各种解读。一般认为,攻击手法高级、基于未知威胁、或对目标展开极具针对性、隐蔽性的攻击,均可以算是高级威胁。因此,具备对未知威胁的检测和发现能力,是高级威胁防御的核心。

5、零信任

严格的来说,“零信任”只是一种安全防御理念,并非是一种产品、架构和体系,几乎所有涉及到身份认证、行为分析、区域隔离、应用与数据访问的安全产品、架构、体系,都可以基于零信任理念来打造。因此,离开具体的实现手段谈零信任就会含糊不清。

四、安全服务

安全服务的维度与其他7个维度最大的区别是,更多的关注于“人”在网络安全保障中的作用。

中国网络安全能力图谱—业务应用篇

五、行业环境

行业环境维度中的各个细分领域,带有鲜明的行业属性或行业安全需求,且具有巨大的市场潜力。

1、公共安全

公共安全是指基于网络及数据来打击犯罪、维护治安的安全能力。

2、工业互联网安全

工业互联网安全的相关概念很多,比如工业网络安全、工业信息安全、工控系统安全,但工业+互联网的概念更为宽广,并且与工业4.0、智能制造的概念更为接近。因此,能力图谱采用了工业互联网安全的名称。此外,“工业互联网安全“虽然具备物联网的属性,但行业属性更强,因此能力图谱将其归在”行业场景“的维度下,并将“工业互联网安全”划分为三层,底层是工控系统安全,向上是工控安全态势感知,最上层则是工业互联网平台的安全。

3、信创安全

信创安全是近来年自主可控/可靠/可信/创新等国产化概念的转化,是指在信息技术应用创新中,提供信息安全业务的能力。信创的用户主要集中在政府机构,因此能力图谱将其归入“行业环境“的维度。

六、业务场景

与行业环境强调行业属性相比,业务场景关注的是较为典型的办公或业务场景,网络安全只有与业务紧密结合才能发挥更大的价值,才能助力数字经济而不是阻碍经济(业务)的发展。

中国网络安全能力图谱--信息技术篇

七、计算对象

计算对象的维度主要是指从物理设备到主机、代码、数据,以及网站、数据库等信息计算实体或信息基础设施。

1、物理安全

物理安全是指围绕电子设备运行时产生、接收及处理的电磁信号或运行时表现的机械特征展开对抗,对抗过程往往需要接近甚至接触到设备本身。物理安全的能力提供者主要集中在电子制造领域,而且“边信道”的子分类则多属于国防、保密领域,此次图谱暂时不做能力提供者推荐。(注:本图谱中的“物理安全”不包括人员守卫、摄像门禁、防火防盗等非电子对抗能力)

2、端点安全

端点安全是指,围绕主机、服务器、PC等计算设备展开的安全防护,值得指出的是,业内往往把端点安全和终端安全混为一谈,但实际上服务器也是端点,但不是终端,两者是包含的关系。值得注意的是,诸如手机、平板等移动办公设备也属于终端,但业内目前对其的关注,移动属性大于端点属性,因此能力图谱将其划分在“计算环境”维度下的“移动安全”领域。同时,一些如电视、空调、手表、无人机等智能网设备也属于终端,但这些终端主要在个人消费级市场,暂未形成规模化的企业级安全收入。

3、代码安全

代码安全是指,通过对软件或程序的源代码进行混淆、加密、检测、分析、审计,以增加代码的反逆向能力,并在软件生命周期的早期阶段发现漏洞或风险点。与代码安全相近的概念有软件安全、开发安全和应用安全。软件安全的定义过为宽泛,应用安全则除了代码安全还包含了网站安全和Web应用安全,软件安全和应用安全两者会交叉不同的细分领域,因此不适合做分类名称。开发安全实际上包含了代码安全,但开发属于企业或机构的生产或业务环节,为此能力图谱将其划分在“业务场景”维度下。

4、数据安全

数据安全涵盖的范围非常广,从数据结构的角度,可分为结构、半结构、非结构数据。从保护手段的角度,可分为访问、加密、脱敏、审计等。从数据生命周期来看,则包含了从收集、产生到存储、加工、分析、应用等各个环节。数据时代已经来临,数据资产的保护内涵正在从静态保护开始向动态转变,开始从静态的数据资产保护延伸到动态的业务资产保护,这也是能力图谱把“大数据交换”划分到“业务对象”维度中的原因,而“大数据保护”依然属于“计算对象”维度中的“数据安全”分类。

5、网站安全

网站安全是指以网站系统及其相关服务和应用为保护对象的安全能力,包括网站访问、网站页面、网站仿冒、DNS、Web应用的防护等。

八、计算环境

计算环境的维度主要是指新兴的计算网络形态,如移动网络、云计算、物联网等,这些新兴的计算环境不断驱动着网络安全技术的演化。

1、移动安全

移动安全是指围绕移动设备、应用、系统和业务开展的安全防护。

2、物联网安全

物联网安全的涵盖面非常广,理论上包括了一切联网设备、应用、系统的安全,但某些计算环境,如工业互联网安全的行业属性更强,因此本次图谱将其归入到了“行业环境”的维度。目前,物联网还处于初期发展阶段,安全防护更多的集中在智能联网设备本身及应用的防护上。

3、云安全

云安全的概念内涵主要有三种,一是保护云基础设施的安全,二是保护云上各种业务系统的安全,如云堡垒、云身份管理等,三是用云计算技术来做安全,如云原生、安全云。基于云原生的DevSecOps并未普及,其并行开发、快速迭代的理念目前更多的落地场景为本地开发环境,因此能力图谱暂时将其划分到“”业务场景“维度中的开发安全“。

结语

能力图谱最大的价值在于对网络安全分类的精细梳理,尝试降低业内由于分类混乱带来的沟通不便、统计不便、采购不便等弊端,降低供需双方的试错成本。同时,对相应分类杰出和优秀能力者进行了推荐。这些能力者的推荐因素有二,一是在某个分类中为主流或主流的提供商,二是极具技术特色或创新能力的提供商。能力者均由数据咨询团队经过大量的调研沟通工作,通过市场占比、销售收入、技术性创新和定位差异化等因素遴选。

由于人员精力与工作时间有限,难免有所遗漏。此外,随着信息技术的发展,业务场景的变化,攻防对抗的迭代,网络安全技术也在不断的变化中。因此能力图谱也是一个不断补充完善的过程,数世咨询真切希望广大业界同仁提出建议和意见,共同为中国网络安全行业的全面梳理工作做出贡献!

作者:

产业与市场分析师:左晶

技术与应用分析师:潘颉阳

数据统计分析师:牛爱民

综合调研分析师:刘宸宇

声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。