[原载:《数世咨询》][原文链接]
国内数字化领域第三方调研机构数世咨询于9月1日正式推出《中国网络安全能力图谱(2020.9)》之信息技术篇,志翔科技作为数据防泄漏、大数据保护、云主机安全领域的“能力者”代表厂商,将持续为客户提供高效智能的数据安全防护,保障数据与业务安全。
网络安全技术与产业有三个关键支撑点,一技术,即信息技术环境;二是应用,即业务应用场景,三是专业,即网络安全攻防。这三个支撑点互为交叉重叠,衍生出各种安全手段和保护方法,是网络安全技术与产业之所以呈现出碎片化特性的主要原因。业内传统的对网络安全能力的梳理大多集中在安全专业技术上,但实际的情况是,离开信息技术的基础环境,网络安全技术是不存在的。而离开业务需求与应用场景,保护手段就无法落地。不同的信息环境和应用场景决定了网络安全解方案也不尽相同,基于此理念,数世咨询创新性的提出了“网络安全三元论”,全面覆盖三个支撑点的分类方法。
(方法论:上图中的信息技术与网络安全结合形成信息安全,即对信息技术环境的保护。业务应用与网络安全结合形成业务安全,即对业务应用系统的保护。信息技术与业务应用结合是数字经济的概念,而信息安全和业务安全是数字经济健康发展的必然保障。信息技术、业务应用与网络安全,三者缺一不可,并且只有三者的紧密融合才能形成真正的安全原生、安全内生,摆脱安全伴生,走向安全共生。)
能力图谱将信息技术、业务应用和网络安全划分为八个维度,每个维度又划分成不同的细分领域并一直对应到各领域的优秀安全能力提供者,力求全面、清晰的反映网络安全各细分领域,并突出安全能力者,为国家部门、行业用户、研究机构和资本机构提供参考。由于文章篇幅所限,同时便于读者阅览,完整图谱将分三次发出,本次首先推出“信息技术篇”,包括二个维度“计算对象”和“计算环境”。
中国网络安全能力图谱
信息技术篇
一、 计算对象
计算对象的维度主要是指从物理设备到主机、代码、数据,以及网站、数据库等信息计算实体或信息基础设施。
1. 物理安全
物理安全是指围绕电子设备运行时产生、接收及处理的电磁信号或运行时表现的机械特征展开对抗,对抗过程往往需要接近甚至接触到设备本身。物理安全的能力提供者主要集中在电子制造领域,而且“边信道”的子分类则多属于国防、保密领域,此次图谱暂时不做能力提供者推荐。(注:本图谱中的“物理安全”不包括人员守卫、摄像门禁、防火防盗等非电子对抗能力)
2. 端点安全
端点安全是指,围绕主机、服务器、PC等计算设备展开的安全防护,值得指出的是,业内往往把端点安全和终端安全混为一谈,但实际上服务器也是端点,但不是终端,两者是包含的关系。值得注意的是,诸如手机、平板等移动办公设备也属于终端,但业内目前对其的关注,移动属性大于端点属性,因此能力图谱将其划分在“计算环境”维度下的“移动安全”领域。同时,一些如电视、空调、手表、无人机等智能网设备也属于终端,但这些终端主要在个人消费级市场,暂未形成规模化的企业级安全收入。
3. 代码安全
代码安全是指,通过对软件或程序的源代码进行混淆、加密、检测、分析、审计,以增加代码的反逆向能力,并在软件生命周期的早期阶段发现漏洞或风险点。与代码安全相近的概念有软件安全、开发安全和应用安全。软件安全的定义过为宽泛,应用安全则除了代码安全还包含了网站安全和Web应用安全,软件安全和应用安全两者会交叉不同的细分领域,因此不适合做分类名称。开发安全实际上包含了代码安全,但开发属于企业或机构的生产或业务环节,为此能力图谱将其划分在“业务场景”维度下。
4. 数据安全
数据安全涵盖的范围非常广,从数据结构的角度,可分为结构、半结构、非结构数据。从保护手段的角度,可分为访问、加密、脱敏、审计等。从数据生命周期来看,则包含了从收集、产生到存储、加工、分析、应用等各个环节。数据时代已经来临,数据资产的保护内涵正在从静态保护开始向动态转变,开始从静态的数据资产保护延伸到动态的业务资产保护,这也是能力图谱把“大数据交换”划分到“业务对象”维度中的原因,而“大数据保护”依然属于“计算对象”维度中的“数据安全”分类。
5. 网站安全
网站安全是指以网站系统及其相关服务和应用为保护对象的安全能力,包括网站访问、网站页面、网站仿冒、DNS、Web应用的防护等。
二、 计算环境
计算环境的维度主要是指新兴的计算网络形态,如移动网络、云计算、物联网等,这些新兴的计算环境不断驱动着网络安全技术的演化。
1. 移动安全
移动安全是指围绕移动设备、应用、系统和业务开展的安全防护。
2. 物联网安全
物联网安全的涵盖面非常广,理论上包括了一切联网设备、应用、系统的安全,但某些计算环境,如工业互联网安全的行业属性更强,因此本次图谱将其归入到了“行业环境”的维度。目前,物联网还处于初期发展阶段,安全防护更多的集中在智能联网设备本身及应用的防护上。
3. 云安全
云安全的概念内涵主要有三种,一是保护云基础设施的安全,二是保护云上各种业务系统的安全,如云堡垒、云身份管理等,三是用云计算技术来做安全,如云原生、安全云。基于云原生的DevSecOps并未普及,其并行开发、快速迭代的理念目前更多的落地场景为本地开发环境,因此能力图谱暂时将其划分到“”业务场景“维度中的开发安全“。
(注:数世咨询将于9月8日左右推出《中国网络安全能力图谱(2020.9)》之业务应用篇)