Gartner 2022年中國安全技術(shù)成熟度曲線:政府和消費(fèi)者都將繼續(xù)對安全提出更高要求
Gartner《2022年中國安全技術(shù)成熟度曲線》指出,隨著國內(nèi)數(shù)字化轉(zhuǎn)型的推進(jìn),尤其是云計(jì)算、大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)和電子商務(wù)的發(fā)展,企業(yè)機(jī)構(gòu)數(shù)字資產(chǎn)保護(hù)已成為安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者的關(guān)鍵任務(wù)。
本文引用地址:http://www.ex-cimer.com/article/202211/440486.htm國內(nèi)法規(guī)日趨嚴(yán)格,安全的重要性更甚以往。這篇報(bào)告是全新的中國安全創(chuàng)新領(lǐng)域技術(shù)成熟度曲線。中國安全技術(shù)與市場,在技術(shù)成熟度、產(chǎn)品、供應(yīng)商等方面與國際市場存在差異,因此本文針對國內(nèi)特點(diǎn)篩選了一批創(chuàng)新安全技術(shù)和服務(wù)(見圖一)。
圖一:2022年中國安全技術(shù)成熟度曲線
中國的機(jī)密計(jì)算
機(jī)密計(jì)算是在基于硬件的可信執(zhí)行環(huán)境(TEE,也被稱作Enclave)中執(zhí)行代碼的安全機(jī)制。這些Enclave將代碼和數(shù)據(jù)與主機(jī)系統(tǒng)及主機(jī)系統(tǒng)所有者隔離,保護(hù)代碼和數(shù)據(jù)的安全,同時(shí)確保代碼完整性并進(jìn)行證明。
中國于2020年將數(shù)據(jù)定義為一種生產(chǎn)要素,希望通過數(shù)據(jù)交換和處理的方法來激活數(shù)據(jù)價(jià)值?!吨腥A人民共和國個(gè)人信息保護(hù)法》(以下簡稱《個(gè)人信息保護(hù)法》)和《中華人民共和國數(shù)據(jù)安全法》(以下簡稱《數(shù)據(jù)安全法》)的實(shí)施,也促使企業(yè)尋求數(shù)據(jù)保護(hù)。
機(jī)密計(jì)算將芯片級TEE與傳統(tǒng)密鑰管理與加密協(xié)議相結(jié)合,以實(shí)現(xiàn)不可讀取的計(jì)算,支持多個(gè)項(xiàng)目在無需數(shù)據(jù)或IP共享的情況下實(shí)現(xiàn)重要的合作。
中國的物聯(lián)網(wǎng)身份認(rèn)證
物聯(lián)網(wǎng)(IoT)身份認(rèn)證是指設(shè)備、應(yīng)用、云服務(wù)、網(wǎng)關(guān)或在物聯(lián)網(wǎng)環(huán)境中操作的人工用戶等實(shí)體在與某個(gè)單一實(shí)體(通常是設(shè)備)互動(dòng)時(shí),為該實(shí)體的身份建立信任的機(jī)制。物聯(lián)網(wǎng)身份認(rèn)證需要考慮到物聯(lián)網(wǎng)設(shè)備的潛在資源限制、所用網(wǎng)絡(luò)的帶寬限制,以及各種物聯(lián)網(wǎng)實(shí)體之間的機(jī)制性交互。
物聯(lián)網(wǎng)解決方案,為優(yōu)化流程或挖掘新的收入來源帶來了新機(jī)會。工業(yè)物聯(lián)網(wǎng)帶來了更高的制造自動(dòng)化水平,也推動(dòng)了制造業(yè)的發(fā)展。在中國,互聯(lián)汽車、智慧城市、智能家居和智能可穿戴設(shè)備等市場發(fā)展迅速。然而,這些互聯(lián)互通的設(shè)備在聯(lián)通網(wǎng)絡(luò)和物理世界的同時(shí),也引發(fā)了新的攻擊威脅。為減少網(wǎng)絡(luò)攻擊,物聯(lián)網(wǎng)設(shè)備需要可信的身份和強(qiáng)大的設(shè)備認(rèn)證。
安全多方計(jì)算
安全多方計(jì)算(SMPC)是一種分布式計(jì)算和密碼學(xué)方法,支持多個(gè)實(shí)體(例如:應(yīng)用、個(gè)人、企業(yè)機(jī)構(gòu)或設(shè)備)進(jìn)行數(shù)據(jù)運(yùn)算,同時(shí)使各方的數(shù)據(jù)或加密密鑰受到保護(hù)。具體而言,SMPC可使多個(gè)實(shí)體共享洞察,同時(shí)保證可識別數(shù)據(jù)或其他敏感數(shù)據(jù)對除己方外的其他實(shí)體不可見。
中國政府出臺了新的數(shù)據(jù)相關(guān)法律法規(guī),如《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》,而在中國運(yùn)營的企業(yè)機(jī)構(gòu)也需要實(shí)現(xiàn)其業(yè)務(wù)目標(biāo);因此,處理個(gè)人數(shù)據(jù)時(shí)面臨的復(fù)雜性增加,同時(shí)需要應(yīng)對數(shù)據(jù)安全和隱私保護(hù)的挑戰(zhàn)。長期以來,數(shù)據(jù)保護(hù)主要用于確保靜態(tài)數(shù)據(jù)和傳輸中數(shù)據(jù)的安全。采用SMPC方法,則可以保護(hù)使用中數(shù)據(jù)的安全。這是一種安全方法新范式,是傳統(tǒng)安全策略的增強(qiáng)版。
中國的零信任網(wǎng)絡(luò)訪問
零信任網(wǎng)絡(luò)訪問(ZTNA)可以為應(yīng)用提供基于身份和情景的邏輯訪問邊界。應(yīng)用可以隱藏起來,無法在檢索中發(fā)現(xiàn),僅允許部分指定實(shí)體通過信任代理訪問。信任代理在允許用戶訪問前,會先驗(yàn)證用戶身份、訪問情景以及指定人員和設(shè)備是否遵循規(guī)定,并禁止網(wǎng)絡(luò)中的橫向移動(dòng),從而避免應(yīng)用對公眾曝光,大幅縮小攻擊面。
ZTNA通過信任代理,實(shí)現(xiàn)用戶到應(yīng)用的分段訪問。這是一項(xiàng)重要技術(shù),使企業(yè)機(jī)構(gòu)能夠隱藏專有應(yīng)用和服務(wù),并要求所有應(yīng)用實(shí)施最小特權(quán)訪問模型,通過創(chuàng)建僅包含用戶、設(shè)備和應(yīng)用的個(gè)性化“虛擬外圍”來縮小攻擊面。在中國,終端用戶對于使用ZTNA來保護(hù)企業(yè)機(jī)構(gòu)的數(shù)據(jù)興趣漸濃。
攻防演練
在攻防演練中,攻擊團(tuán)隊(duì)(紅隊(duì))的任務(wù)是,利用攻擊者可以采用的一切手段對企業(yè)機(jī)構(gòu)系統(tǒng)實(shí)施攻擊,以展示攻擊成功帶來的影響。這些手段包括網(wǎng)絡(luò)釣魚、社會工程、物理滲透、潛伏和突襲。與之相對的是,防守團(tuán)隊(duì)(藍(lán)隊(duì))負(fù)責(zé)檢測并應(yīng)對來自紅隊(duì)的攻擊。
中國政府每年都會組織國家級攻防演練,不可預(yù)測的惡意攻擊也日益增多,這些都促使企業(yè)機(jī)構(gòu)主動(dòng)實(shí)施攻防演練。安全服務(wù)提供商可能會在演練中擔(dān)任攻擊團(tuán)隊(duì)的角色,幫助企業(yè)安全團(tuán)隊(duì)在接近真實(shí)的場景下查漏補(bǔ)缺。
評論