Gartner發(fā)布2023年中國(guó)安全技術(shù)成熟度曲線

2023年12月19日 – Gartner于近日發(fā)布了2023年中國(guó)安全技術(shù)成熟度曲線，該曲線旨在幫助CIO和SRM領(lǐng)導(dǎo)者了解中國(guó)本土創(chuàng)新特點(diǎn)，優(yōu)化中國(guó)安全投資。Gartner高級(jí)研究總監(jiān)高峰先生表示：“在過(guò)去的一年中，中國(guó)運(yùn)營(yíng)的企業(yè)機(jī)構(gòu)面臨諸多挑戰(zhàn)：經(jīng)濟(jì)增長(zhǎng)低于預(yù)期，限制了預(yù)算額度；日益嚴(yán)格的監(jiān)管要求和日益增加的數(shù)字風(fēng)險(xiǎn)，意味著需要追加安全投資。企業(yè)機(jī)構(gòu)必須平衡各項(xiàng)挑戰(zhàn)，確保安全投資的優(yōu)先級(jí)?！?/span>

今年最新的中國(guó)安全技術(shù)成熟度曲線（參見(jiàn)圖1）介紹了中國(guó)安全領(lǐng)域的創(chuàng)新，包括四項(xiàng)新的創(chuàng)新：

·       數(shù)據(jù)安全治理

·       暴露面管理

·       中國(guó)的隱私保護(hù)

·       安全服務(wù)邊緣

圖1：2023年中國(guó)安全技術(shù)成熟度曲線

數(shù)據(jù)安全治理

數(shù)據(jù)安全治理（DSG）可對(duì)由數(shù)據(jù)安全、隱私與合規(guī)問(wèn)題引起的業(yè)務(wù)風(fēng)險(xiǎn)進(jìn)行評(píng)估和優(yōu)先級(jí)排序。由于數(shù)據(jù)需要跨生態(tài)系統(tǒng)處理或與合作伙伴共享，數(shù)據(jù)安全性、數(shù)據(jù)駐留和隱私方面會(huì)產(chǎn)生一些風(fēng)險(xiǎn)，而數(shù)據(jù)安全治理有助于企業(yè)機(jī)構(gòu)建立數(shù)據(jù)安全策略，以支持業(yè)務(wù)成果，平衡業(yè)務(wù)需求與相關(guān)風(fēng)險(xiǎn)。

本地和多云架構(gòu)中數(shù)據(jù)量的激增，導(dǎo)致了一系列安全、隱私與合規(guī)方面的業(yè)務(wù)風(fēng)險(xiǎn)，而數(shù)據(jù)安全治理能夠?qū)@些風(fēng)險(xiǎn)進(jìn)行評(píng)估、排序和緩解。數(shù)據(jù)安全治理通過(guò)適用于整個(gè)IT架構(gòu)的安全策略來(lái)實(shí)現(xiàn)業(yè)務(wù)重點(diǎn)和風(fēng)險(xiǎn)控制之間的平衡，讓企業(yè)專(zhuān)有的數(shù)據(jù)集可以基于排序后的業(yè)務(wù)風(fēng)險(xiǎn)在企業(yè)機(jī)構(gòu)內(nèi)外部處理和共享。

暴露面管理

暴露面管理涵蓋一組流程和技術(shù)，使企業(yè)能夠持續(xù)一致地對(duì)可見(jiàn)性進(jìn)行評(píng)估，并對(duì)企業(yè)數(shù)字資產(chǎn)的可訪問(wèn)性和漏洞進(jìn)行驗(yàn)證。有效的持續(xù)威脅暴露面管理（CTEM）計(jì)劃可為暴露面管理提供治理。

由于在經(jīng)濟(jì)和地緣政治方面具有重要影響，中國(guó)已成為網(wǎng)絡(luò)攻擊的主要目標(biāo)。隨著攻擊面的迅速擴(kuò)大，傳統(tǒng)的漏洞管理已無(wú)法滿(mǎn)足需求。有效的暴露面管理能夠通過(guò)對(duì)威脅暴露面進(jìn)行盤(pán)點(diǎn)、優(yōu)先級(jí)排序和驗(yàn)證，來(lái)減少中國(guó)企業(yè)機(jī)構(gòu)所面臨的挑戰(zhàn)。暴露面管理還可協(xié)助中國(guó)企業(yè)機(jī)構(gòu)遵守敏感數(shù)據(jù)保護(hù)和關(guān)鍵基礎(chǔ)設(shè)施方面的網(wǎng)絡(luò)安全法規(guī)。

中國(guó)的隱私保護(hù)

中國(guó)的隱私保護(hù)主要受《中華??共和國(guó)個(gè)?信息保護(hù)法》（以下簡(jiǎn)稱(chēng)個(gè)?信息保護(hù)法） 監(jiān)管，同時(shí)也需要遵守特定行業(yè)、跨行業(yè)和跨境數(shù)據(jù)傳輸?shù)南嚓P(guān)法規(guī)。雖然個(gè)?信息保護(hù)法與歐盟《通?數(shù)據(jù)保護(hù)條例》（GDPR）等隱私保護(hù)法律存在相似之處，但具體要求有所不同，并且由多個(gè)監(jiān)管機(jī)構(gòu)指導(dǎo)執(zhí)行。

個(gè)人信息保護(hù)法極大地改變了中國(guó)的法律和監(jiān)管格局。此前，相關(guān)領(lǐng)域的主要執(zhí)法依據(jù)是網(wǎng)絡(luò)安全法和個(gè)人信息安全標(biāo)準(zhǔn)的相關(guān)規(guī)定，而個(gè)人信息保護(hù)法則針對(duì)中國(guó)公民的個(gè)人數(shù)據(jù)保護(hù)，提供了一個(gè)范圍更廣的框架，還規(guī)定了嚴(yán)厲的處罰措施。

安全服務(wù)邊緣

安全服務(wù)邊緣（SSE）可對(duì)Web、云服務(wù)和私有應(yīng)用訪問(wèn)進(jìn)行保護(hù)，主要功能包括自適應(yīng)訪問(wèn)控制，以及數(shù)據(jù)安全性、可見(jiàn)性和可控性；其他功能包括高級(jí)威脅防御，以及可接受的使用控制（基于網(wǎng)絡(luò)和應(yīng)用編程接?[API]集成而實(shí)施）。SSE的主要交付形式為云服務(wù)，可能包含本地組件或基于代理的組件。

 SSE可提高企業(yè)機(jī)構(gòu)靈活性，為Web、云服務(wù)和遠(yuǎn)程工作模式的使用提供保護(hù)。中國(guó)的SSE 產(chǎn)品融合了不同安全功能（至少融合了安全Web網(wǎng)關(guān)[SWG]和零信任網(wǎng)絡(luò)訪問(wèn)[ZTNA]）， 通過(guò)額外的軟件即服務(wù)（SaaS）安全功能來(lái)降低復(fù)雜性、改善用戶(hù)體驗(yàn)。此類(lèi)產(chǎn)品可在本地或云中交付。如果SSE與軟件定義廣域網(wǎng)（SD-WAN）搭配使用，可形成安全訪問(wèn)服務(wù)邊緣（SASE）架構(gòu)。