Gartner發布2022年中國安全技術成熟度曲線

Gartner于2022年首次發布《2022年中國安全技術成熟度曲線》，該曲線指出，隨著國內數字化轉型的推進，尤其是云計算、大數據、人工智能、物聯網和電子商務的發展，企業機構數字資產保護已成為安全和風險管理領導者的關鍵任務。

國內法規日趨嚴格，安全的重要性更甚以往。這篇報告是全新的中國安全創新領域技術成熟度曲線。中國安全技術與市場，在技術成熟度、產品、供應商等方面與國際市場存在差異，因此本文針對國內特點篩選了一批創新安全技術和服務（見圖一）。

（圖一：2022年中國安全技術成熟度曲線）

中國的機密計算

機密計算是在基于硬件的可信執行環境（TEE，也被稱作Enclave）中執行代碼的安全機制。這些Enclave將代碼和數據與主機系統及主機系統所有者隔離，保護代碼和數據的安全，同時確保代碼完整性并進行證明。

中國于2020年將數據定義為一種生產要素，希望通過數據交換和處理的方法來激活數據價值。《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）和《中華人民共和國數據安全法》（以下簡稱《數據安全法》）的實施，也促使企業尋求數據保護。

機密計算將芯片級TEE與傳統密鑰管理與加密協議相結合，以實現不可讀取的計算，支持多個項目在無需數據或IP共享的情況下實現重要的合作。

中國的物聯網身份認證

物聯網（IoT）身份認證是指設備、應用、云服務、網關或在物聯網環境中操作的人工用戶等實體在與某個單一實體（通常是設備）互動時，為該實體的身份建立信任的機制。物聯網身份認證需要考慮到物聯網設備的潛在資源限制、所用網絡的帶寬限制，以及各種物聯網實體之間的機制性交互。

物聯網解決方案，為優化流程或挖掘新的收入來源帶來了新機會。工業物聯網帶來了更高的制造自動化水平，也推動了制造業的發展。在中國，互聯汽車、智慧城市、智能家居和智能可穿戴設備等市場發展迅速。然而，這些互聯互通的設備在聯通網絡和物理世界的同時，也引發了新的攻擊威脅。為減少網絡攻擊，物聯網設備需要可信的身份和強大的設備認證。

安全多方計算

安全多方計算（SMPC）是一種分布式計算和密碼學方法，支持多個實體（例如：應用、個人、企業機構或設備）進行數據運算，同時使各方的數據或加密密鑰受到保護。具體而言，SMPC可使多個實體共享洞察，同時保證可識別數據或其他敏感數據對除己方外的其他實體不可見。

中國政府出臺了新的數據相關法律法規，如《個人信息保護法》《數據安全法》，而在中國運營的企業機構也需要實現其業務目標；因此，處理個人數據時面臨的復雜性增加，同時需要應對數據安全和隱私保護的挑戰。長期以來，數據保護主要用于確保靜態數據和傳輸中數據的安全。采用SMPC方法，則可以保護使用中數據的安全。這是一種安全方法新范式，是傳統安全策略的增強版。

中國的零信任網絡訪問

零信任網絡訪問（ZTNA）可以為應用提供基于身份和情景的邏輯訪問邊界。應用可以隱藏起來，無法在檢索中發現，僅允許部分指定實體通過信任代理訪問。信任代理在允許用戶訪問前，會先驗證用戶身份、訪問情景以及指定人員和設備是否遵循規定，并禁止網絡中的橫向移動，從而避免應用對公眾曝光，大幅縮小攻擊面。

ZTNA通過信任代理，實現用戶到應用的分段訪問。這是一項重要技術，使企業機構能夠隱藏專有應用和服務，并要求所有應用實施最小特權訪問模型，通過創建僅包含用戶、設備和應用的個性化“虛擬外圍”來縮小攻擊面。在中國，終端用戶對于使用ZTNA來保護企業機構的數據興趣漸濃。

攻防演練

在攻防演練中，攻擊團隊（紅隊）的任務是，利用攻擊者可以采用的一切手段對企業機構系統實施攻擊，以展示攻擊成功帶來的影響。這些手段包括網絡釣魚、社會工程、物理滲透、潛伏和突襲。與之相對的是，防守團隊（藍隊）負責檢測并應對來自紅隊的攻擊。

中國政府每年都會組織國家級攻防演練，不可預測的惡意攻擊也日益增多，這些都促使企業機構主動實施攻防演練。安全服務提供商可能會在演練中擔任攻擊團隊的角色，幫助企業安全團隊在接近真實的場景下查漏補缺。