查看原文
其他

中国网络安全能力图谱公布,安全狗入选云主机安全能力者

安全狗 2022-06-17

The following article is from 数世咨询 Author 数世咨询


九月

1

今日,国内数字化领域第三方调研机构数世咨询于今日正式推出《中国网络安全能力图谱(2020.9)》之信息技术篇(以下简称能力图谱)。

作为国内最早引入CWPP概念的云安全领导厂商,安全狗从创立之初就致力于主机安全产品的研发。此次,安全狗上榜数世咨询云主机安全图谱。安全狗的CWPP云工作负载安全能力再次被认可!


网络安全技术与产业有三个关键支撑点,一技术,即信息技术环境;二是应用,即业务应用场景,三是专业,即网络安全攻防。这三个支撑点互为交叉重叠,衍生出各种安全手段和保护方法,是网络安全技术与产业之所以呈现出碎片化特性的主要原因。业内传统的对网络安全能力的梳理大多集中在安全专业技术上,但实际的情况是,离开信息技术的基础环境,网络安全技术是不存在的。而离开业务需求与应用场景,保护手段就无法落地。不同的信息环境和应用场景决定了网络安全解方案也不尽相同,基于此理念,数世咨询创新性的提出了“网络安全三元论”,全面覆盖三个支撑点的分类方法。   

(方法论:上图中的信息技术与网络安全结合形成信息安全,即对信息技术环境的保护。业务应用与网络安全结合形成业务安全,即对业务应用系统的保护。信息技术与业务应用结合是数字经济的概念,而信息安全和业务安全是数字经济健康发展的必然保障。信息技术、业务应用与网络安全,三者缺一不可,并且只有三者的紧密融合才能形成真正的安全原生、安全内生,摆脱安全伴生,走向安全共生。)

能力图谱将信息技术、业务应用和网络安全划分为八个维度,每个维度又划分成不同的细分领域并一直对应到各领域的优秀安全能力提供者,力求全面、清晰的反映网络安全各细分领域,并突出安全能力者,为国家部门、行业用户、研究机构和资本机构提供参考。由于文章篇幅所限,同时便于读者阅览,完整图谱将分三次发出,本次首先推出“信息技术篇”,包括二个维度“计算对象”和“计算环境”。



中国网络安全能力图谱
信息技术篇

一、 计算对象

计算对象的维度主要是指从物理设备到主机、代码、数据,以及网站、数据库等信息计算实体或信息基础设施。


1. 物理安全

物理安全是指围绕电子设备运行时产生、接收及处理的电磁信号或运行时表现的机械特征展开对抗,对抗过程往往需要接近甚至接触到设备本身。物理安全的能力提供者主要集中在电子制造领域,而且“边信道”的子分类则多属于国防、保密领域,此次图谱暂时不做能力提供者推荐。(注:本图谱中的“物理安全”不包括人员守卫、摄像门禁、防火防盗等非电子对抗能力)

2. 端点安全

端点安全是指,围绕主机、服务器、PC等计算设备展开的安全防护,值得指出的是,业内往往把端点安全和终端安全混为一谈,但实际上服务器也是端点,但不是终端,两者是包含的关系。值得注意的是,诸如手机、平板等移动办公设备也属于终端,但业内目前对其的关注,移动属性大于端点属性,因此能力图谱将其划分在“计算环境”维度下的“移动安全”领域。同时,一些如电视、空调、手表、无人机等智能网设备也属于终端,但这些终端主要在个人消费级市场,暂未形成规模化的企业级安全收入。

3. 代码安全

代码安全是指,通过对软件或程序的源代码进行混淆、加密、检测、分析、审计,以增加代码的反逆向能力,并在软件生命周期的早期阶段发现漏洞或风险点。与代码安全相近的概念有软件安全、开发安全和应用安全。软件安全的定义过为宽泛,应用安全则除了代码安全还包含了网站安全和Web应用安全,软件安全和应用安全两者会交叉不同的细分领域,因此不适合做分类名称。开发安全实际上包含了代码安全,但开发属于企业或机构的生产或业务环节,为此能力图谱将其划分在“业务场景”维度下。

4. 数据安全

数据安全涵盖的范围非常广,从数据结构的角度,可分为结构、半结构、非结构数据。从保护手段的角度,可分为访问、加密、脱敏、审计等。从数据生命周期来看,则包含了从收集、产生到存储、加工、分析、应用等各个环节。数据时代已经来临,数据资产的保护内涵正在从静态保护开始向动态转变,开始从静态的数据资产保护延伸到动态的业务资产保护,这也是能力图谱把“大数据交换”划分到“业务对象”维度中的原因,而“大数据保护”依然属于“计算对象”维度中的“数据安全”分类。

5. 网站安全

网站安全是指以网站系统及其相关服务和应用为保护对象的安全能力,包括网站访问、网站页面、网站仿冒、DNS、Web应用的防护等。


二、 计算环境

计算环境的维度主要是指新兴的计算网络形态,如移动网络、云计算、物联网等,这些新兴的计算环境不断驱动着网络安全技术的演化。


1.   移动安全

移动安全是指围绕移动设备、应用、系统和业务开展的安全防护。

2.   物联网安全

物联网安全的涵盖面非常广,理论上包括了一切联网设备、应用、系统的安全,但某些计算环境,如工业互联网安全的行业属性更强,因此本次图谱将其归入到了“行业环境”的维度。目前,物联网还处于初期发展阶段,安全防护更多的集中在智能联网设备本身及应用的防护上。

3.   云安全

云安全的概念内涵主要有三种,一是保护云基础设施的安全,二是保护云上各种业务系统的安全,如云堡垒、云身份管理等,三是用云计算技术来做安全,如云原生、安全云。基于云原生的DevSecOps并未普及,其并行开发、快速迭代的理念目前更多的落地场景为本地开发环境,因此能力图谱暂时将其划分到“”业务场景“维度中的开发安全“。

(注:数世咨询将于9月8日左右推出《中国网络安全能力图谱(2020.9)》之业务应用篇)

 



往期精彩文章

细说资产梳理和漏洞运营里无法言喻的“难”

安全狗“云”亮相ISC2020  深入解读云工作负载安全(CWPP)

喜讯!安全狗通过CMMI 3级评估

云工作负载安全(CWPP)专家——安全狗即将亮相ISC2020

喜报!安全狗云眼V4.0产品荣获CNNVD兼容性认证!

喜讯 | 安全狗中标中国移动主机安全集采项目

面对泛主机场景,如何有效搭建安全体系

安全研究 | 细谈微隔离

喜讯!安全狗入选未来“独角兽”企业

在网络安全领域应用机器学习的困难和对策

【深度解读】大型企业如何部署落地(云)主机EDR+态势感知平台?

我们正在守护

  • 中央部委及央企

   网信办 | 公安部 | 教育部 | 招商局集团 | 国家电网 | 南方电网 | 航天科工 | 国药集团 | 中国建筑

  • 地方政府及国企

   北京政务云 | 江西政务云 | 厦门政务云 | 嘉兴政务云 | 越秀集团 | 建发集团 | 象屿集团 | 厦门港

  • 金融行业

   中国银行 | 建设银行 | 兴业银行 | 广州证券 | 银联商务 | 安心财险 | 万达金融

  • 教育科研

   中国科学院 | 中国社会科学院 | 厦门大学 | 上海交通大学 | 国家会计学院 | 厦门市教育局

  • 大型企业

   京东 | 联想集团 | 复星集团 | 恒大集团 | 雪松控股 | 伊利集团 | 一加手机

  • 云平台

   华为云 | 金山云 | 京东云 | 紫光云 | 中科曙光 | UCloud | QingCloud 

  • 运营商

   中国移动 | 中国电信 | 中国联通 



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存