2023年12月19日 – Gartner于近日發(fā)布了2023年中國安全技術(shù)成熟度曲線,該曲線旨在幫助CIO和SRM領(lǐng)導(dǎo)者了解中國本土創(chuàng)新特點��,優(yōu)化中國安全投資��。Gartner高級研究總監(jiān)高峰先生表示:“在過去的一年中��,中國運營的企業(yè)機構(gòu)面臨諸多挑戰(zhàn):經(jīng)濟增長低于預(yù)期�����,限制了預(yù)算額度;日益嚴格的監(jiān)管要求和日益增加的數(shù)字風(fēng)險���,意味著需要追加安全投資����。企業(yè)機構(gòu)必須平衡各項挑戰(zhàn)��,確保安全投資的優(yōu)先級��。”
今年最新的中國安全技術(shù)成熟度曲線(參見圖1)介紹了中國安全領(lǐng)域的創(chuàng)新����,包括四項新的創(chuàng)新:
數(shù)據(jù)安全治理
暴露面管理
中國的隱私保護
安全服務(wù)邊緣
圖1:2023年中國安全技術(shù)成熟度曲線
數(shù)據(jù)安全治理
數(shù)據(jù)安全治理(DSG)可對由數(shù)據(jù)安全�����、隱私與合規(guī)問題引起的業(yè)務(wù)風(fēng)險進行評估和優(yōu)先級排序�����。由于數(shù)據(jù)需要跨生態(tài)系統(tǒng)處理或與合作伙伴共享���,數(shù)據(jù)安全性、數(shù)據(jù)駐留和隱私方面會產(chǎn)生一些風(fēng)險�����,而數(shù)據(jù)安全治理有助于企業(yè)機構(gòu)建立數(shù)據(jù)安全策略���,以支持業(yè)務(wù)成果,平衡業(yè)務(wù)需求與相關(guān)風(fēng)險��。
本地和多云架構(gòu)中數(shù)據(jù)量的激增�����,導(dǎo)致了一系列安全、隱私與合規(guī)方面的業(yè)務(wù)風(fēng)險���,而數(shù)據(jù)安全治理能夠?qū)@些風(fēng)險進行評估�、排序和緩解���。數(shù)據(jù)安全治理通過適用于整個IT架構(gòu)的安全策略來實現(xiàn)業(yè)務(wù)重點和風(fēng)險控制之間的平衡�,讓企業(yè)專有的數(shù)據(jù)集可以基于排序后的業(yè)務(wù)風(fēng)險在企業(yè)機構(gòu)內(nèi)外部處理和共享�。
暴露面管理
暴露面管理涵蓋一組流程和技術(shù),使企業(yè)能夠持續(xù)一致地對可見性進行評估���,并對企業(yè)數(shù)字資產(chǎn)的可訪問性和漏洞進行驗證��。有效的持續(xù)威脅暴露面管理(CTEM)計劃可為暴露面管理提供治理�。
由于在經(jīng)濟和地緣政治方面具有重要影響��,中國已成為網(wǎng)絡(luò)攻擊的主要目標�����。隨著攻擊面的迅速擴大����,傳統(tǒng)的漏洞管理已無法滿足需求���。有效的暴露面管理能夠通過對威脅暴露面進行盤點、優(yōu)先級排序和驗證�,來減少中國企業(yè)機構(gòu)所面臨的挑戰(zhàn)。暴露面管理還可協(xié)助中國企業(yè)機構(gòu)遵守敏感數(shù)據(jù)保護和關(guān)鍵基礎(chǔ)設(shè)施方面的網(wǎng)絡(luò)安全法規(guī)�����。
中國的隱私保護
中國的隱私保護主要受《中華 共和國個 信息保護法》(以下簡稱個 信息保護法) 監(jiān)管�����,同時也需要遵守特定行業(yè)�����、跨行業(yè)和跨境數(shù)據(jù)傳輸?shù)南嚓P(guān)法規(guī)���。雖然個 信息保護法與歐盟《通 數(shù)據(jù)保護條例》(GDPR)等隱私保護法律存在相似之處���,但具體要求有所不同,并且由多個監(jiān)管機構(gòu)指導(dǎo)執(zhí)行���。
個人信息保護法極大地改變了中國的法律和監(jiān)管格局���。此前,相關(guān)領(lǐng)域的主要執(zhí)法依據(jù)是網(wǎng)絡(luò)安全法和個人信息安全標準的相關(guān)規(guī)定����,而個人信息保護法則針對中國公民的個人數(shù)據(jù)保護,提供了一個范圍更廣的框架����,還規(guī)定了嚴厲的處罰措施。
安全服務(wù)邊緣
安全服務(wù)邊緣(SSE)可對Web�����、云服務(wù)和私有應(yīng)用訪問進行保護���,主要功能包括自適應(yīng)訪問控制��,以及數(shù)據(jù)安全性�����、可見性和可控性;其他功能包括高級威脅防御�����,以及可接受的使用控制(基于網(wǎng)絡(luò)和應(yīng)用編程接 [API]集成而實施)�����。SSE的主要交付形式為云服務(wù)���,可能包含本地組件或基于代理的組件�����。
SSE可提高企業(yè)機構(gòu)靈活性��,為Web�����、云服務(wù)和遠程工作模式的使用提供保護���。中國的SSE 產(chǎn)品融合了不同安全功能(至少融合了安全Web網(wǎng)關(guān)[SWG]和零信任網(wǎng)絡(luò)訪問[ZTNA]), 通過額外的軟件即服務(wù)(SaaS)安全功能來降低復(fù)雜性�����、改善用戶體驗。此類產(chǎn)品可在本地或云中交付�。如果SSE與軟件定義廣域網(wǎng)(SD-WAN)搭配使用,可形成安全訪問服務(wù)邊緣(SASE)架構(gòu)���。
京公網(wǎng)安備 11010502041587號