如果加星标,可以及时收到推送
这是锐安全的第245篇原创
本文3852字,阅读时长约12分钟
从数字世界到数字安全,今天你可以了解以下内容:
【1】计算机安全时代
【2】信息安全时代
【3】网络安全时代
【4】数字安全时代
【5】我们为什么需要全景图?
很多业内人士都知道这样一句话,“安全的本质是对抗”。追溯历史,人们围绕电子通信技术展开对抗,最早起源于上个世纪的两次世界大战时期,交战双方针对无线通讯的加解密对抗。
所以,早在还没有“网络”这一概念之前,密码技术作为网络安全的前身和起源,就已经纳入国家安全的范畴,而密码技术至今也是网络安全体系最为重要的基础支撑,因此习总书记提出的“没有网络安全,就没有国家安全”的理念,有着深厚的国防背景和技术渊源。
自上世纪九十年代前后计算机杀毒软件出现以来,我们将网络安全产业的三十年发展,划分为计算机安全时代、信息安全时代(包括信息保密与IT安全)和网络安全时代,而随着全球数字化经济和万物互联时代的到来,网络安全的概念正在向数字安全的概念转化。
1987年,巴基斯坦一家软件商为了防制软件拷贝制造了第一批病毒,催生了防病毒厂商的出现。这一时期,兴起了一批国内外防病毒厂商。国内最早的杀毒产品是直接装在计算机主板上的病毒卡,之后则产生了以特征库、黑名单技术为支撑的本地杀毒软件和网络杀毒产品。
计算机安全时代,安全的关注重点在计算机设备本身,包括硬件和操作系统,以及存储其上的电子数据。防病毒产品、电磁信号防泄露,与电子数据的加密、备份与恢复形成了主要的商业市场。美国于 1987 年颁布《计算机安全法》、英国 1990 年制定《计算机滥用法》,我国 1994 年颁布了《中华人民共和国计算机信息系统安全保护条例》,1999年,国标《计算机信息系统安全保护等级划分准则》(GB 17859-1999)发布。
信息安全时代实际包括了两个主要概念,信息保密与IT安全。一个是信息内容层面的安全,如信息保密、不良信息治理等。另一个是涉及到机构办公和企业经营的信息系统安全。随着个人计算机和互联网的普及,网络访问的需求快速提升,与此同时,门户网站和企业信息化的发展速度也在加快,安全的关注点开始从计算机设备本身,转向网络边界的隔离与防护。
相应的国内于 2000 年左右出现了一批网络安全公司,如天融信、绿盟、启明星辰、卫士通等。国家政策方面,一个明显的里程碑就是《国家信息化领导小组关于加强信息安全保障工作的意见》([2003]27号),即 27 号文的发布,标志着我国信息安全保障工作有了总体纲领。2004年,发布《关于信息安全等级保护工作的实施意见》,2007年,信息安全等级保护管理办法(公通字[2007]43号)发布。
【3】
2013 年“棱镜门”事件的曝光,引起世界各国政府对网络安全的重视,网络空间安全 (Cyber Security) 的概念,开始得到更多人的认可和接受。网络空间概念的核心在于网络连接一切,即把所有电子设备通过有线或无线网络连接在一起,以达到通信与控制的目的,从而形成贯穿陆、海、空、天四大空间的第五空间。
2014年2月,习近平总书记担任组长的中央网络安全和信息化领导小组成立,并首次提出“没有网络安全就没有国家安全”重大指导方针。2016年,《中华人民共和国网络安全法》发布,并于2017年正式实施。2019年,网络安全等级保护制度2.0相关若干国家标准正式发布。2020年,《中华人民共和国密码法》正式实施。
同时,互联网的崛起让威胁的数量和种类开始大规模爆发,资本也开始入场,迎来了安全行业的“寒武纪物种大爆发”,安全厂商数量急剧增长。
于是安全行业第一份全景图,“安全牛”的《中国网络安全行业全景图》第一版于2016年正式发布。该版本全景图将整个安全行业划分为15个一级分类、53个二级细分领域,共收录了约200家安全厂商。
图:《中国网络安全行业全景图》第一版
其中一级分类为:基础设施安全、终端安全、数据安全、应用安全、身份与访问管理、云安全、移动安全、网络空间安全、业务安全、工控安全、安全管理、安全服务、安全认证、安全会议、安全新媒体。
后来,全景图这种形式成为行业研究的标准,随后,“嘶吼研究院”出品了《网络安全产业链图谱》、“FreeBuf研究院”出品了《CCSIP中国网络安全产业全景图》、“数说安全”出品了《中国网络安全市场全景图》,其分类逻辑大体跟安全牛相同。
安全牛全景图第十一版于2024年4月12日发布,共收录16项一级分类、108项二级分类,以及510家安全厂商的2413项申报(实际为4941项申报)。
最新全景图的16项一级分类有:软件供应链安全、网络与通信安全、物理环境安全、计算环境安全、业务与应用安全、云计算安全、物联网安全、移动安全、安全管理与运营、身份与访问安全、安全支撑技术与体系、密码技术与应用、数据安全、工控安全、网络安全服务、信创安全。
上述这些全景图分类的底层逻辑大体采用了美国NIST出品的“网络空间安全框架CSF(Cybersecurity Framework)”里定义的“IPDRR”五要素的逻辑,即识别(Identify)、保护(Protect)、检测(Detect)、响应(Respond)和恢复(Recover)。
图:CCSIP 2020中国网络安全产业全景图
比如安全牛把全景图分为:预防,防御,运营、检测与响应三大集合,而FreeBuf的全景图则分为:防护、检测、响应、持续改进、网络基础安全、行业场景等六大集合。
【4】
2021年国务院政府工作报告指出“十四五”时期的主要目标任务:“加快数字化发展,打造数字经济新优势,协同推进数字产业化和产业数字化转型,加快数字社会建设步伐,提高数字政府建设水平,营造良好数字生态,建设数字中国。”同年,《中华人民共和国数据安全法》施行。
习近平总书记在发给2021年世界互联网大会的贺信中写道:“激发数字经济活力,增强数字政府效能,优化数字社会环境,构建数字合作格局,筑牢数字安全屏障,让数字文明造福各国人民,推动构建人类命运共同体。”
2023年,中共中央、国务院印发的《数字中国建设整体布局规划》(以下简称《规划》)中指出,“筑牢可信可控的数字安全屏障。切实维护网络安全,完善网络安全法律法规和政策体系。增强数据安全保障能力,建立数据分类分级保护基础制度,健全网络数据监测预警和应急处置工作体系。”从《规划》中可以看出,数字安全的两大核心内容为网络安全与数据安全。
再看产业界,2021年,“数世咨询”举办“第一届数字安全大会”,业内首次提出“数字安全”概念并推出“中国数字安全能力图谱”全景图;2022年,360公司举办的第十届ISC大会上,提出了“护航数字文明,开创数字安全新时代”的大会口号; 2023年,安恒公司将“西湖论剑·网络安全大会”改名为“西湖论剑·数字安全大会(West Lake Digitalsecurity Conference)”。
至此,国内安全产业全面进入“数字安全时代”。
数世咨询全景图的分类逻辑是基于原创的“三元论”,随着演进,三元论也从“网络安全三元论”转型为“数字安全三元论”。
图:网络安全三元论与数字安全三元论
数字安全三元论提出了数字资产、数字活动、安全能力、数据四个维度。“以安全能力、数字资产和数字活动为三个元素支点,以数据安全为核心目标,即三元一核”,以适应我国数字中国建设的进程。
数字资产是安全能力的保护对象,数字活动是安全能力以及数字资产的服务对象,而数据则是三元的核心目标。对于这四者关系的深度理解和相关技能掌握是做好数字安全工作的关键。
图:中国数字安全能力图谱的分类
基于这四个维度,“中国数字安全能力图谱”构建了8个一级分类,其中数字资产包括数字基础设施保护、数字计算环境保护;数字活动包括行业环境安全、应用场景安全;安全能力包括基础与通用技术、体系框架、安全运营;数据包括数据安全。
再细分一下,数字基础设施保护包括:物理安全、网络边界安全、流量安全、端点安全、网站安全、区块链安全;数字计算环境保护包括:云安全、移动安全、物联网安全、IPv6安全。
行业环境安全包括:公共安全、工业互联网安全、车联网安全、信创安全、安全保密;应用场景安全包括办公安全、软件供应链安全、互联网业务安全。
基础与通用技术包括:密码、身份安全、威胁情报、网络空间资产测绘、攻击面收敛、漏洞与补丁管理、模拟伪装、生态工具;体系框架包括:态势感知、威胁检测与响应(TDR)、高级威胁防御、SASE/SSE、数字风险优先级、持续评估、数字化安全运营;安全运营包括:攻防演练、安全服务、运营工具、运营平台。
数据安全包括:数据安全基础设施、数据贮存安全、数据访问安全、数据开放安全、数据安全服务、基础与通用技术等。
【5】
复杂化是事物演化的底层规律。例如简单粒子互相碰撞形成复杂的宇宙;地球生命从简单的单细胞到高级动物再到复杂的群居社会;科技文明从简单的改造自然的农耕技术到制造动力的工业技术,再到复杂的创造智能的信息技术。
安全也是如此,电脑病毒已经成为年增长1亿种的超大集合;黑客攻击已经从普通网络攻击发展为复杂的APT攻击;国内自主安全厂商已超过500家,安全产品已超过5000种。
全景图本质上是是描述“复杂”的一种架构和理解“复杂”的有效工具。它能让一个混乱系统变得更加清晰和容易理解。
安全行业全景图其实是一张“决策参考图”,即是安全厂商的发展决策参考图也是甲方客户的安全建设决策参考图。
对于安全厂商来说,这就像以上帝视角看一场马拉松比赛,你能看到有多少人在跑,以及你自己现行的位置和状态;对于甲方客户来说,这就像是去一家自助餐厅,你能看到所有的菜品以及自己的需要。
信息时代“技术驱动”,以“信息传递视角”强调加密与控制;网络时代“产品驱动”,以“IT基础设施视角”强调威胁与对抗;数字时代“能力驱动”,以“业务发展视角”强调数据与场景。
数字时代,就是以数字经济为主体,以数字化为生产力,所以所有安全产品都要能力化、原子化,最终都要围绕着业务实际需求、数据的实际流动和客户实际场景展开。
图:中国数字安全能力图谱(2023)
所以数世咨询提出了数字安全三元论,提出了构建数字业务的四要素,提出了资产、环境、场景、技术、框架、运营等五种数字安全对象,为数字时代绘制了一幅安全航海图。
| 恭喜你,又看完了一篇文章。从今天起,和我一起洞察安全本质!这里是锐安全,今天就到这里,咱们下次再见! |
点击文末【阅读原文】,看到一个完整的安全系统
end
如果你对本文有任何建议,
欢迎联系我改进;
如果本文对你有任何帮助,
欢迎分享、点赞和在看
如果心生欢喜,不如做个长期朋友:)
参考资料:
[1]安全牛.国内首个网络安全行业全景图第一版发布,2016-09-19.https://www.ctocio.com/ccnews/21878.html
[2]安全牛.中国网络安全行业全景图(2020年3月第七版)发布,2020-04-03.https://www.aqniu.com/homenews/66442.html
[3]安全牛.网络安全行业全景图(2023年4月第十版)发布,2023-04-07.https://www.aqniu.com/focus/95236.html
[4]安全牛.中国网络安全行业全景图(第十一版)发布,2024-04-12.https://www.aqniu.com/industry/103491.html
[5]百度百科.数字化转型.https://baike.baidu.com/item/%E6%95%B0%E5%AD%97%E5%8C%96%E8%BD%AC%E5%9E%8B/20797860?fr=ge_ala
[6]钱江晚报.从网络安全大会到数字安全大会 “西湖论剑”新十年扬帆起航,2023-05-07.https://baijiahao.baidu.com/s?id=1765237841824225023&wfr=spider&for=pc
[7]光明网.首届数字安全大会:安华金和数据安全治理适配新环境实践分享,2021-07-21.https://baijiahao.baidu.com/s?id=1705879290841952423&wfr=spider&for=pc
[8]数世咨询.主动安全3.0与网络安全三元论,2022-05-06.https://mp.weixin.qq.com/s/xs1kk4NfVTXp8pcvA28_4Q
题图创作者:晓兵与AI小助手
算法提供:SDXL
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...