Gartner發(fā)布2023年中國安全技術(shù)成熟度曲線(xiàn)

2023年12月19日 – Gartner于近日發(fā)布了2023年中國安全技術(shù)成熟度曲線(xiàn)，該曲線(xiàn)旨在幫助CIO和SRM領(lǐng)導者了解中國本土創(chuàng )新特點(diǎn)，優(yōu)化中國安全投資。Gartner高級研究總監高峰先生表示：“在過(guò)去的一年中，中國運營(yíng)的企業(yè)機構面臨諸多挑戰：經(jīng)濟增長(cháng)低于預期，限制了預算額度；日益嚴格的監管要求和日益增加的數字風(fēng)險，意味著(zhù)需要追加安全投資。企業(yè)機構必須平衡各項挑戰，確保安全投資的優(yōu)先級?！?/span>

今年最新的中國安全技術(shù)成熟度曲線(xiàn)（參見(jiàn)圖1）介紹了中國安全領(lǐng)域的創(chuàng )新，包括四項新的創(chuàng )新：

·       數據安全治理

·       暴露面管理

·       中國的隱私保護

·       安全服務(wù)邊緣

圖1：2023年中國安全技術(shù)成熟度曲線(xiàn)

數據安全治理

數據安全治理（DSG）可對由數據安全、隱私與合規問(wèn)題引起的業(yè)務(wù)風(fēng)險進(jìn)行評估和優(yōu)先級排序。由于數據需要跨生態(tài)系統處理或與合作伙伴共享，數據安全性、數據駐留和隱私方面會(huì )產(chǎn)生一些風(fēng)險，而數據安全治理有助于企業(yè)機構建立數據安全策略，以支持業(yè)務(wù)成果，平衡業(yè)務(wù)需求與相關(guān)風(fēng)險。

本地和多云架構中數據量的激增，導致了一系列安全、隱私與合規方面的業(yè)務(wù)風(fēng)險，而數據安全治理能夠對這些風(fēng)險進(jìn)行評估、排序和緩解。數據安全治理通過(guò)適用于整個(gè)IT架構的安全策略來(lái)實(shí)現業(yè)務(wù)重點(diǎn)和風(fēng)險控制之間的平衡，讓企業(yè)專(zhuān)有的數據集可以基于排序后的業(yè)務(wù)風(fēng)險在企業(yè)機構內外部處理和共享。

暴露面管理

暴露面管理涵蓋一組流程和技術(shù)，使企業(yè)能夠持續一致地對可見(jiàn)性進(jìn)行評估，并對企業(yè)數字資產(chǎn)的可訪(fǎng)問(wèn)性和漏洞進(jìn)行驗證。有效的持續威脅暴露面管理（CTEM）計劃可為暴露面管理提供治理。

由于在經(jīng)濟和地緣政治方面具有重要影響，中國已成為網(wǎng)絡(luò )攻擊的主要目標。隨著(zhù)攻擊面的迅速擴大，傳統的漏洞管理已無(wú)法滿(mǎn)足需求。有效的暴露面管理能夠通過(guò)對威脅暴露面進(jìn)行盤(pán)點(diǎn)、優(yōu)先級排序和驗證，來(lái)減少中國企業(yè)機構所面臨的挑戰。暴露面管理還可協(xié)助中國企業(yè)機構遵守敏感數據保護和關(guān)鍵基礎設施方面的網(wǎng)絡(luò )安全法規。

中國的隱私保護

中國的隱私保護主要受《中華??共和國個(gè)?信息保護法》（以下簡(jiǎn)稱(chēng)個(gè)?信息保護法） 監管，同時(shí)也需要遵守特定行業(yè)、跨行業(yè)和跨境數據傳輸的相關(guān)法規。雖然個(gè)?信息保護法與歐盟《通?數據保護條例》（GDPR）等隱私保護法律存在相似之處，但具體要求有所不同，并且由多個(gè)監管機構指導執行。

個(gè)人信息保護法極大地改變了中國的法律和監管格局。此前，相關(guān)領(lǐng)域的主要執法依據是網(wǎng)絡(luò )安全法和個(gè)人信息安全標準的相關(guān)規定，而個(gè)人信息保護法則針對中國公民的個(gè)人數據保護，提供了一個(gè)范圍更廣的框架，還規定了嚴厲的處罰措施。

安全服務(wù)邊緣

安全服務(wù)邊緣（SSE）可對Web、云服務(wù)和私有應用訪(fǎng)問(wèn)進(jìn)行保護，主要功能包括自適應訪(fǎng)問(wèn)控制，以及數據安全性、可見(jiàn)性和可控性；其他功能包括高級威脅防御，以及可接受的使用控制（基于網(wǎng)絡(luò )和應用編程接?[API]集成而實(shí)施）。SSE的主要交付形式為云服務(wù)，可能包含本地組件或基于代理的組件。

 SSE可提高企業(yè)機構靈活性，為Web、云服務(wù)和遠程工作模式的使用提供保護。中國的SSE 產(chǎn)品融合了不同安全功能（至少融合了安全Web網(wǎng)關(guān)[SWG]和零信任網(wǎng)絡(luò )訪(fǎng)問(wèn)[ZTNA]）， 通過(guò)額外的軟件即服務(wù)（SaaS）安全功能來(lái)降低復雜性、改善用戶(hù)體驗。此類(lèi)產(chǎn)品可在本地或云中交付。如果SSE與軟件定義廣域網(wǎng)（SD-WAN）搭配使用，可形成安全訪(fǎng)問(wèn)服務(wù)邊緣（SASE）架構。