如果加星标,可以及时收到推送
《安全晓说》栏目第47篇,锐安全总第251篇原创
本文2375字,阅读时长约8分钟
信通院《数字安全护航技术能力全景图》来了,今天你可以了解以下内容:
【1】信通院版全景图介绍
【2】全景图不合理之分析
【3】全景图锐安全修正版及下载
2024年7月4日,中国信息通信研究院(以下简称信通院)在2024全球数字经济大会—数字安全生态建设专题论坛正式发布《数字安全护航技术能力全景图》(以下简称全景图)。
全景图共分14项一级目录,103项二级目录,收到报名申请391家,经过评审评估,正式入榜147家。
从此安全行业又多了一张“数字安全全景图”!
该全景图是信通院于2023年4月份正式启动“数字安全护航计划”以来,发布的首期全景图。
【1】
信通院版全景图介绍
全景图的定位是:旨在集结行业力量,绘制一幅详尽、实用的数字安全技术能力全景图,为助推中国数字经济高质量发展,助力数字中国建设提供有力支持。
如果你只关心分类,不关心厂商的话,我给你绘制了一副新的清爽版全景图:
图:信通院《数字安全护航技术能力全景图》清爽版
该全景图的14项一级目录为:网络与通信安全、安全支撑技术与体系、安全管理与运营、身份与访问安全、软件供应链安全、密码技术与应用、工业互联网安全、物联网安全、应用与业务安全、移动安全、云安全、计算环境安全、数据安全、数字安全服务。
其中网络与通信安全版块有以下二级目录:安全监管态势感知、安全运营态势感知、安全信息和事件管理(SIEM)、安全响应自动化(SOAR)、IT资产管理、网络空间资产测绘、攻击面管理、BAS、XDR。
其中安全支撑技术与体系版块有以下二级目录:APT高级威胁防护、零信任、区块链安全、威胁情报、安全大模型、勒索软件防护、欺骗式防御、安全靶场。
其中安全管理与运营版块有以下二级目录:安全监管态势感知、安全运营态势感知、安全信息和事件管理(SIEM)、安全响应自动化(SOAR)、IT资产管理、网络空间资产测绘、攻击面管理、BAS、XDR。
其中身份与访问安全版块有以下二级目录:身份认证、IDaaS、IAM、SSO、权限管理、堡垒机、特权访问管理。
其中软件供应链安全版块有以下二级目录:开发流程安全管控、DevSecOps、交互式安全测试、静态安全测试、动态/模糊安全测试、软件成分分析。
其中密码技术与应用版块有以下二级目录:数字证书、数字防伪、加解密、密码应用服务、密钥管理。
其中工业互联网安全版块有以下二级目录:工控安全防护、工控安全监测、工控安全管理。
其中物联网安全版块有以下二级目录:车联网安全、视频监控安全、其他物联网安全。
其中应用与业务安全版块有以下二级目录:应用交付、网页防篡改、Web应用扫描与监控、WAF/新一代WAF、API安全、邮件安全、应用安全监测、AI应用安全、内容安全、欺诈检测和识别、抗BOT、支付安全、其他业务安全。
其中移动安全版块有以下二级目录:移动终端管理、移动应用安全、移动业务安全。
其中云安全版块有以下二级目录:云安全态势管理、云原生应用安全、容器安全、云工作负载平台、微隔离、云访问安全。
其中计算环境安全版块有以下二级目录:主机安全、终端安全防护、终端安全管理、漏洞监测与管理、保密检查、办公设施安全、可信计算。
其中数据安全版块有以下二级目录:数据库安全、数据备份与恢复、数据脱敏、数据防泄露、文档安全、大数据保护、数据安全态势感知、数据分类分级、数据要素流转安全、数据安全治理服务、数据安全评估和检查、安全工作空间、个人信息保护。
其中数字安全服务版块有以下二级目录:安全集成、安全合规、安全咨询与规划、安全运维与托管服务、安全意识与培训、渗透测试/众测、涉网犯罪取证、攻防演练、网络安全保险、应急响应与重保服务。
这里还有一个比清爽版还清爽的表格版:
图:信通院《数字安全护航技术能力全景图》表格版
【2】
全景图不合理之分析
先说错误。
此处“安全相应自动化(SOAR)”为错误,正确的应是“安全响应自动化(SOAR)”,但是SOAR,大家更习惯翻译成“安全自动化编排与响应”。
图:安全响应自动化错误
再说问题。
有的二级目录使用了纯英文缩写、有的使用了纯中文、有的使用了中英文混写,我建议如果是大家耳熟能详的英文缩写,就补写在中文名称后面。比如:把“入侵检测与防护”改写为“入侵检测与防护(IDS/IPS)”;把“网络准入控制”改写为“网络准入控制(NAC)”等。
如果是纯英文缩写,为了便于理解,建议在前面加上中文名称,比如:把“BAS”改写为“入侵与攻击模拟(BAS)”;把“XDR”改写为“扩展检测与响应(XDR)”等。
最后说待商榷的内容。
有两个一级目录出现了“其他”的分类说法,比如“其他物联网安全”和“其他业务安全”。
这个“其他”的范围太模糊,不利于理解。举个极端的例子,所有厂商都可以声称自己有“其他”类产品,那么这个“其它”的分类里的厂商必然是异常拥挤的,这就失去了设立分类的意义。
如果真的有产品无法用现有分类区别,我建议是专门为这个产品赋予一个新的分类名称,而不是加一个“其他”的分类。比如,当元气森林出现了,为什么就不能有一个“汽泡水”这样的饮料分类呢?
【3】
全景图锐安全修正版及下载
基于上述问题,我对全景图进行了一下修正,推出了一个绿版,用黄色块标记了错误;红色字体补全了二级目录;蓝色块标记了待商榷的内容。
另外,我有一个判断,数字安全既然是护航数字经济的,那么数字安全的底层驱动力必然要从网络驱动、身份驱动、数据驱动,转向业务驱动,业务安全将会越来越重要,因此建议将业务安全单独分类。
过去我们把应用安全和业务安全放在一起说,那是因为它们所处的层次都是应用层,那如果这样说,软件供应链安全其实也是应用层安全,只不过是应用层安全的左移状态,但如今大家已经倾向将供应链安全单独拿出来看,因为它们使用的诸如SCA、SAST、IAST、DAST这样的技术,跟WAF这类的应用安全技术差异还是比较大的。
所以,基于这样的考虑,我把“业务安全”单独分类,并定义出两个新的二级目录:业务行为分析(UEBA)和业务安全管理,用红色块进行标注。
因此就产生了一版新的锐安全《数字安全护航技术能力全景图》(绿版):
图:锐安全《数字安全护航技术能力全景图》绿版
如果觉得不够清爽,这里还有一个更清爽的表格版:
图:锐安全《数字安全护航技术能力全景图》表格版
全景图,其实就是安全世界的架构。
注:加《锐安全》公众号,后台回复“数字全景图”,您将获得全景图的高清版本与锐安全的PPT和EXCEL版本,祝好运!
恭喜你,又看完了一篇文章。从今天起,和我一起洞察安全本质!这里是锐安全,今天就到这里,咱们下次再见!
点击文末【阅读原文】,看到一个完整的安全系统
end
如果你对本文有任何建议,
欢迎联系我改进;
如果本文对你有任何帮助,
欢迎分享、点赞和在看
如果心生欢喜,不如做个长期朋友:)
参考资料:
[1]数字安全护航计划.首期《数字安全护航技术能力全景图》正式发布,2024年07月09日.https://mp.weixin.qq.com/s/JubWr5\_E8IUKba5M6jVZfg
