Gartner 2022年中國安全技術(shù)成熟度曲線(xiàn)：政府和消費者都將繼續對安全提出更高要求

Gartner《2022年中國安全技術(shù)成熟度曲線(xiàn)》指出，隨著(zhù)國內數字化轉型的推進(jìn)，尤其是云計算、大數據、人工智能、物聯(lián)網(wǎng)和電子商務(wù)的發(fā)展，企業(yè)機構數字資產(chǎn)保護已成為安全和風(fēng)險管理領(lǐng)導者的關(guān)鍵任務(wù)。 

國內法規日趨嚴格，安全的重要性更甚以往。這篇報告是全新的中國安全創(chuàng )新領(lǐng)域技術(shù)成熟度曲線(xiàn)。中國安全技術(shù)與市場(chǎng)，在技術(shù)成熟度、產(chǎn)品、供應商等方面與國際市場(chǎng)存在差異，因此本文針對國內特點(diǎn)篩選了一批創(chuàng )新安全技術(shù)和服務(wù)（見(jiàn)圖一）。 

圖一：2022年中國安全技術(shù)成熟度曲線(xiàn)

中國的機密計算

機密計算是在基于硬件的可信執行環(huán)境（TEE，也被稱(chēng)作Enclave）中執行代碼的安全機制。這些Enclave將代碼和數據與主機系統及主機系統所有者隔離，保護代碼和數據的安全，同時(shí)確保代碼完整性并進(jìn)行證明。

中國于2020年將數據定義為一種生產(chǎn)要素，希望通過(guò)數據交換和處理的方法來(lái)激活數據價(jià)值?！吨腥A人民共和國個(gè)人信息保護法》（以下簡(jiǎn)稱(chēng)《個(gè)人信息保護法》）和《中華人民共和國數據安全法》（以下簡(jiǎn)稱(chēng)《數據安全法》）的實(shí)施，也促使企業(yè)尋求數據保護。

機密計算將芯片級TEE與傳統密鑰管理與加密協(xié)議相結合，以實(shí)現不可讀取的計算，支持多個(gè)項目在無(wú)需數據或IP共享的情況下實(shí)現重要的合作。

中國的物聯(lián)網(wǎng)身份認證

物聯(lián)網(wǎng)（IoT）身份認證是指設備、應用、云服務(wù)、網(wǎng)關(guān)或在物聯(lián)網(wǎng)環(huán)境中操作的人工用戶(hù)等實(shí)體在與某個(gè)單一實(shí)體（通常是設備）互動(dòng)時(shí)，為該實(shí)體的身份建立信任的機制。物聯(lián)網(wǎng)身份認證需要考慮到物聯(lián)網(wǎng)設備的潛在資源限制、所用網(wǎng)絡(luò )的帶寬限制，以及各種物聯(lián)網(wǎng)實(shí)體之間的機制性交互。

物聯(lián)網(wǎng)解決方案，為優(yōu)化流程或挖掘新的收入來(lái)源帶來(lái)了新機會(huì )。工業(yè)物聯(lián)網(wǎng)帶來(lái)了更高的制造自動(dòng)化水平，也推動(dòng)了制造業(yè)的發(fā)展。在中國，互聯(lián)汽車(chē)、智慧城市、智能家居和智能可穿戴設備等市場(chǎng)發(fā)展迅速。然而，這些互聯(lián)互通的設備在聯(lián)通網(wǎng)絡(luò )和物理世界的同時(shí)，也引發(fā)了新的攻擊威脅。為減少網(wǎng)絡(luò )攻擊，物聯(lián)網(wǎng)設備需要可信的身份和強大的設備認證。

安全多方計算

安全多方計算（SMPC）是一種分布式計算和密碼學(xué)方法，支持多個(gè)實(shí)體（例如：應用、個(gè)人、企業(yè)機構或設備）進(jìn)行數據運算，同時(shí)使各方的數據或加密密鑰受到保護。具體而言，SMPC可使多個(gè)實(shí)體共享洞察，同時(shí)保證可識別數據或其他敏感數據對除己方外的其他實(shí)體不可見(jiàn)。

中國政府出臺了新的數據相關(guān)法律法規，如《個(gè)人信息保護法》《數據安全法》，而在中國運營(yíng)的企業(yè)機構也需要實(shí)現其業(yè)務(wù)目標；因此，處理個(gè)人數據時(shí)面臨的復雜性增加，同時(shí)需要應對數據安全和隱私保護的挑戰。長(cháng)期以來(lái)，數據保護主要用于確保靜態(tài)數據和傳輸中數據的安全。采用SMPC方法，則可以保護使用中數據的安全。這是一種安全方法新范式，是傳統安全策略的增強版。

中國的零信任網(wǎng)絡(luò )訪(fǎng)問(wèn)

零信任網(wǎng)絡(luò )訪(fǎng)問(wèn)（ZTNA）可以為應用提供基于身份和情景的邏輯訪(fǎng)問(wèn)邊界。應用可以隱藏起來(lái)，無(wú)法在檢索中發(fā)現，僅允許部分指定實(shí)體通過(guò)信任代理訪(fǎng)問(wèn)。信任代理在允許用戶(hù)訪(fǎng)問(wèn)前，會(huì )先驗證用戶(hù)身份、訪(fǎng)問(wèn)情景以及指定人員和設備是否遵循規定，并禁止網(wǎng)絡(luò )中的橫向移動(dòng)，從而避免應用對公眾曝光，大幅縮小攻擊面。

ZTNA通過(guò)信任代理，實(shí)現用戶(hù)到應用的分段訪(fǎng)問(wèn)。這是一項重要技術(shù)，使企業(yè)機構能夠隱藏專(zhuān)有應用和服務(wù)，并要求所有應用實(shí)施最小特權訪(fǎng)問(wèn)模型，通過(guò)創(chuàng )建僅包含用戶(hù)、設備和應用的個(gè)性化“虛擬外圍”來(lái)縮小攻擊面。在中國，終端用戶(hù)對于使用ZTNA來(lái)保護企業(yè)機構的數據興趣漸濃。

攻防演練

在攻防演練中，攻擊團隊（紅隊）的任務(wù)是，利用攻擊者可以采用的一切手段對企業(yè)機構系統實(shí)施攻擊，以展示攻擊成功帶來(lái)的影響。這些手段包括網(wǎng)絡(luò )釣魚(yú)、社會(huì )工程、物理滲透、潛伏和突襲。與之相對的是，防守團隊（藍隊）負責檢測并應對來(lái)自紅隊的攻擊。

中國政府每年都會(huì )組織國家級攻防演練，不可預測的惡意攻擊也日益增多，這些都促使企業(yè)機構主動(dòng)實(shí)施攻防演練。安全服務(wù)提供商可能會(huì )在演練中擔任攻擊團隊的角色，幫助企業(yè)安全團隊在接近真實(shí)的場(chǎng)景下查漏補缺。