数字安全全景图来了！坏了！修了！好了！

如果加星标，可以及时收到推送

《安全晓说》栏目第47篇，锐安全总第251篇原创

本文2375字，阅读时长约8分钟

全景图的定位是：旨在集结行业力量，绘制一幅详尽、实用的数字安全技术能力全景图，为助推中国数字经济高质量发展，助力数字中国建设提供有力支持。

如果你只关心分类，不关心厂商的话，我给你绘制了一副新的清爽版全景图：

图：信通院《数字安全护航技术能力全景图》清爽版

该全景图的14项一级目录为：网络与通信安全、安全支撑技术与体系、安全管理与运营、身份与访问安全、软件供应链安全、密码技术与应用、工业互联网安全、物联网安全、应用与业务安全、移动安全、云安全、计算环境安全、数据安全、数字安全服务。

其中网络与通信安全版块有以下二级目录：安全监管态势感知、安全运营态势感知、安全信息和事件管理(SIEM)、安全响应自动化(SOAR)、IT资产管理、网络空间资产测绘、攻击面管理、BAS、XDR。

其中安全支撑技术与体系版块有以下二级目录：APT高级威胁防护、零信任、区块链安全、威胁情报、安全大模型、勒索软件防护、欺骗式防御、安全靶场。

其中安全管理与运营版块有以下二级目录：安全监管态势感知、安全运营态势感知、安全信息和事件管理(SIEM)、安全响应自动化(SOAR)、IT资产管理、网络空间资产测绘、攻击面管理、BAS、XDR。

其中身份与访问安全版块有以下二级目录：身份认证、IDaaS、IAM、SSO、权限管理、堡垒机、特权访问管理。

其中软件供应链安全版块有以下二级目录：开发流程安全管控、DevSecOps、交互式安全测试、静态安全测试、动态/模糊安全测试、软件成分分析。

其中密码技术与应用版块有以下二级目录：数字证书、数字防伪、加解密、密码应用服务、密钥管理。

其中工业互联网安全版块有以下二级目录：工控安全防护、工控安全监测、工控安全管理。

其中物联网安全版块有以下二级目录：车联网安全、视频监控安全、其他物联网安全。

其中应用与业务安全版块有以下二级目录：应用交付、网页防篡改、Web应用扫描与监控、WAF/新一代WAF、API安全、邮件安全、应用安全监测、AI应用安全、内容安全、欺诈检测和识别、抗BOT、支付安全、其他业务安全。

其中移动安全版块有以下二级目录：移动终端管理、移动应用安全、移动业务安全。

其中云安全版块有以下二级目录：云安全态势管理、云原生应用安全、容器安全、云工作负载平台、微隔离、云访问安全。

其中计算环境安全版块有以下二级目录：主机安全、终端安全防护、终端安全管理、漏洞监测与管理、保密检查、办公设施安全、可信计算。

其中数据安全版块有以下二级目录：数据库安全、数据备份与恢复、数据脱敏、数据防泄露、文档安全、大数据保护、数据安全态势感知、数据分类分级、数据要素流转安全、数据安全治理服务、数据安全评估和检查、安全工作空间、个人信息保护。

其中数字安全服务版块有以下二级目录：安全集成、安全合规、安全咨询与规划、安全运维与托管服务、安全意识与培训、渗透测试/众测、涉网犯罪取证、攻防演练、网络安全保险、应急响应与重保服务。

这里还有一个比清爽版还清爽的表格版：

图：信通院《数字安全护航技术能力全景图》表格版

先说错误。

此处“安全相应自动化（SOAR）”为错误，正确的应是“安全响应自动化（SOAR）”，但是SOAR，大家更习惯翻译成“安全自动化编排与响应”。

图：安全响应自动化错误

再说问题。

有的二级目录使用了纯英文缩写、有的使用了纯中文、有的使用了中英文混写，我建议如果是大家耳熟能详的英文缩写，就补写在中文名称后面。比如：把“入侵检测与防护”改写为“入侵检测与防护（IDS/IPS）”；把“网络准入控制”改写为“网络准入控制（NAC）”等。

如果是纯英文缩写，为了便于理解，建议在前面加上中文名称，比如：把“BAS”改写为“入侵与攻击模拟（BAS)”；把“XDR”改写为“扩展检测与响应（XDR)”等。

最后说待商榷的内容。

有两个一级目录出现了“其他”的分类说法，比如“其他物联网安全”和“其他业务安全”。

这个“其他”的范围太模糊，不利于理解。举个极端的例子，所有厂商都可以声称自己有“其他”类产品，那么这个“其它”的分类里的厂商必然是异常拥挤的，这就失去了设立分类的意义。

如果真的有产品无法用现有分类区别，我建议是专门为这个产品赋予一个新的分类名称，而不是加一个“其他”的分类。比如，当元气森林出现了，为什么就不能有一个“汽泡水”这样的饮料分类呢？

end

参考资料：

[1]数字安全护航计划.首期《数字安全护航技术能力全景图》正式发布,2024年07月09日.https://mp.weixin.qq.com/s/JubWr5_E8IUKba5M6jVZfg