行業(yè)動態(tài)

Gartner發(fā)布2022年中國安全技術(shù)成熟度曲線

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2022-11-28    瀏覽次數(shù):
 

Gartner于2022年首次發(fā)布《2022年中國安全技術(shù)成熟度曲線》,該曲線指出,隨著國內(nèi)數(shù)字化轉(zhuǎn)型的推進,尤其是云計算、大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)和電子商務(wù)的發(fā)展,企業(yè)機構(gòu)數(shù)字資產(chǎn)保護已成為安全和風險管理領(lǐng)導(dǎo)者的關(guān)鍵任務(wù)。

國內(nèi)法規(guī)日趨嚴格,安全的重要性更甚以往。這篇報告是全新的中國安全創(chuàng)新領(lǐng)域技術(shù)成熟度曲線。中國安全技術(shù)與市場,在技術(shù)成熟度、產(chǎn)品、供應(yīng)商等方面與國際市場存在差異,因此本文針對國內(nèi)特點篩選了一批創(chuàng)新安全技術(shù)和服務(wù)(見圖一)。

(圖一:2022年中國安全技術(shù)成熟度曲線)

中國的機密計算

機密計算是在基于硬件的可信執(zhí)行環(huán)境(TEE,也被稱作Enclave)中執(zhí)行代碼的安全機制。這些Enclave將代碼和數(shù)據(jù)與主機系統(tǒng)及主機系統(tǒng)所有者隔離,保護代碼和數(shù)據(jù)的安全,同時確保代碼完整性并進行證明。

中國于2020年將數(shù)據(jù)定義為一種生產(chǎn)要素,希望通過數(shù)據(jù)交換和處理的方法來激活數(shù)據(jù)價值。《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)和《中華人民共和國數(shù)據(jù)安全法》(以下簡稱《數(shù)據(jù)安全法》)的實施,也促使企業(yè)尋求數(shù)據(jù)保護。

機密計算將芯片級TEE與傳統(tǒng)密鑰管理與加密協(xié)議相結(jié)合,以實現(xiàn)不可讀取的計算,支持多個項目在無需數(shù)據(jù)或IP共享的情況下實現(xiàn)重要的合作。

中國的物聯(lián)網(wǎng)身份認證

物聯(lián)網(wǎng)(IoT)身份認證是指設(shè)備、應(yīng)用、云服務(wù)、網(wǎng)關(guān)或在物聯(lián)網(wǎng)環(huán)境中操作的人工用戶等實體在與某個單一實體(通常是設(shè)備)互動時,為該實體的身份建立信任的機制。物聯(lián)網(wǎng)身份認證需要考慮到物聯(lián)網(wǎng)設(shè)備的潛在資源限制、所用網(wǎng)絡(luò)的帶寬限制,以及各種物聯(lián)網(wǎng)實體之間的機制性交互。

物聯(lián)網(wǎng)解決方案,為優(yōu)化流程或挖掘新的收入來源帶來了新機會。工業(yè)物聯(lián)網(wǎng)帶來了更高的制造自動化水平,也推動了制造業(yè)的發(fā)展。在中國,互聯(lián)汽車、智慧城市、智能家居和智能可穿戴設(shè)備等市場發(fā)展迅速。然而,這些互聯(lián)互通的設(shè)備在聯(lián)通網(wǎng)絡(luò)和物理世界的同時,也引發(fā)了新的攻擊威脅。為減少網(wǎng)絡(luò)攻擊,物聯(lián)網(wǎng)設(shè)備需要可信的身份和強大的設(shè)備認證。

安全多方計算

安全多方計算(SMPC)是一種分布式計算和密碼學(xué)方法,支持多個實體(例如:應(yīng)用、個人、企業(yè)機構(gòu)或設(shè)備)進行數(shù)據(jù)運算,同時使各方的數(shù)據(jù)或加密密鑰受到保護。具體而言,SMPC可使多個實體共享洞察,同時保證可識別數(shù)據(jù)或其他敏感數(shù)據(jù)對除己方外的其他實體不可見。

中國政府出臺了新的數(shù)據(jù)相關(guān)法律法規(guī),如《個人信息保護法》《數(shù)據(jù)安全法》,而在中國運營的企業(yè)機構(gòu)也需要實現(xiàn)其業(yè)務(wù)目標;因此,處理個人數(shù)據(jù)時面臨的復(fù)雜性增加,同時需要應(yīng)對數(shù)據(jù)安全和隱私保護的挑戰(zhàn)。長期以來,數(shù)據(jù)保護主要用于確保靜態(tài)數(shù)據(jù)和傳輸中數(shù)據(jù)的安全。采用SMPC方法,則可以保護使用中數(shù)據(jù)的安全。這是一種安全方法新范式,是傳統(tǒng)安全策略的增強版。

中國的零信任網(wǎng)絡(luò)訪問

零信任網(wǎng)絡(luò)訪問(ZTNA)可以為應(yīng)用提供基于身份和情景的邏輯訪問邊界。應(yīng)用可以隱藏起來,無法在檢索中發(fā)現(xiàn),僅允許部分指定實體通過信任代理訪問。信任代理在允許用戶訪問前,會先驗證用戶身份、訪問情景以及指定人員和設(shè)備是否遵循規(guī)定,并禁止網(wǎng)絡(luò)中的橫向移動,從而避免應(yīng)用對公眾曝光,大幅縮小攻擊面。

ZTNA通過信任代理,實現(xiàn)用戶到應(yīng)用的分段訪問。這是一項重要技術(shù),使企業(yè)機構(gòu)能夠隱藏專有應(yīng)用和服務(wù),并要求所有應(yīng)用實施最小特權(quán)訪問模型,通過創(chuàng)建僅包含用戶、設(shè)備和應(yīng)用的個性化“虛擬外圍”來縮小攻擊面。在中國,終端用戶對于使用ZTNA來保護企業(yè)機構(gòu)的數(shù)據(jù)興趣漸濃。

攻防演練

在攻防演練中,攻擊團隊(紅隊)的任務(wù)是,利用攻擊者可以采用的一切手段對企業(yè)機構(gòu)系統(tǒng)實施攻擊,以展示攻擊成功帶來的影響。這些手段包括網(wǎng)絡(luò)釣魚、社會工程、物理滲透、潛伏和突襲。與之相對的是,防守團隊(藍隊)負責檢測并應(yīng)對來自紅隊的攻擊。

中國政府每年都會組織國家級攻防演練,不可預(yù)測的惡意攻擊也日益增多,這些都促使企業(yè)機構(gòu)主動實施攻防演練。安全服務(wù)提供商可能會在演練中擔任攻擊團隊的角色,幫助企業(yè)安全團隊在接近真實的場景下查漏補缺。

 
 

上一篇:【案例精選】聚銘網(wǎng)絡(luò)助力行唐縣中醫(yī)院推進安全防護升級

下一篇:勒索軟件已沖擊國家安全?英國議會啟動專項調(diào)查