丁海驁

“一方面，隨著包括《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》和《個人信息保護法》等在內(nèi)的法律法規(guī)的頒布和實施，‘安全’已經(jīng)被上升到法律要求層面，不再僅僅是企業(yè)內(nèi)部對于資產(chǎn)保護；另一方面，市場上‘安全’方面的技術人才非常緊缺，一系列的新技術快速涌現(xiàn)又需要采用一些新的部署方式；另外，在中國市場，很多大型企業(yè)和政府機構(gòu)非常關注他們數(shù)據(jù)的位置，他們不希望把數(shù)據(jù)放到第三方，這使得在中國市場上，安全工具的本地部署非常高的……這些特殊的因素，都導致在中國市場，安全技術在技術成熟度、產(chǎn)品和供應商等方面，與國際市場其實有著很大的差異?！备叻澹珿artner高級研究總監(jiān)日前在發(fā)布2022年《Gartner中國安全技術曲線》時，尤其強調(diào)了中國市場的特殊性。

對于當今的企業(yè)而言，IT架構(gòu)自身的不斷擴展和數(shù)字化程度的持續(xù)深入，都使得企業(yè)面臨一種前所未有的安全感危機：來自網(wǎng)絡威脅的破壞程度與企業(yè)業(yè)務本身的數(shù)字化程度呈正比增長，數(shù)字化程度越高，面對的風險也就越大，受到破壞的結(jié)果越難以收拾和估計。安全技術，因此被企業(yè)用戶給予相當大的期望：期望其能夠真正幫忙自己構(gòu)建一個具有成長性的安全體系和架構(gòu)。

眾所周知，Gartner的技術曲線將技術的發(fā)展分為萌芽期、期望膨脹期、泡沫破滅低谷期、穩(wěn)步爬升復蘇期和生產(chǎn)成熟期五個階段。在Gartner看來，技術在萌芽期、期望膨脹期會經(jīng)過市場和用戶的篩選，進入技術本身的發(fā)展和應用階段。其中，在泡沫破滅低谷期，會去除掉了一部分對技術本身過高的期望，而在穩(wěn)步爬升復蘇期，會圍繞技術的應用場景展開更多具有創(chuàng)新性的商業(yè)化模式和應用模式，最終在生產(chǎn)成熟期，被市場廣泛接納和采用。

這其中有一個“悖論”：處在成熟期的技術，雖然擁有清晰的應用場景和明確的應用效果，但是只有處在發(fā)展前期的技術，才能帶來更多的可能性和充分的領先性，因此對于企業(yè)用戶而言，在技術選擇的過程中，往往需要在兩者之間找到一個合適的平衡點。在本次發(fā)布的《Gartner中國安全技術曲線》中，高峰重點談到了幾個出于不同技術發(fā)展階段的安全技術概念。

對于那些希望能夠給企業(yè)未來帶來更多安全提升的企業(yè)，高峰認為應該關注還處在萌芽期階段的安全技術。他重點談到了CPS安全（信息物理網(wǎng)絡系統(tǒng)安全）、ASM（攻擊面管理）和云安全資源池等都是目前處于萌芽期的安全技術。在他看來，信息網(wǎng)絡物理系統(tǒng)其實是一種工程系統(tǒng)，它是可以協(xié)調(diào)傳感器計算、控制和網(wǎng)絡來分析與物理世界進行交互。而在中國的數(shù)字經(jīng)濟和新基建的推動下，信息物理系統(tǒng)安全技術，實際上未來很可能成為支撐著整個城市交通、能源、醫(yī)療和政務關鍵信息的基礎設施。與此相對，ASM（攻擊面管理）則是針對企業(yè)中邊界越來越擴展和模糊的數(shù)字資產(chǎn)——包括內(nèi)部資產(chǎn)，還有越來越多的外部資產(chǎn)，而攻擊面管理的技術就是希望幫助企業(yè)克服資產(chǎn)的可見性和漏洞。

至于“云安全資源池”技術，高峰認為，云安全資源池技術實際上是基于軟件的一個安全工具資源集合，整合了統(tǒng)一的“云”上的像管理、監(jiān)控、安全編排和自動化，包括：可能很多廠商可以提供合規(guī)的管理能力。“云安全資源池技術其實是一個中國特有的創(chuàng)新，它其實最大的應用場景是為了滿足中國市場用戶本地化部署的私有云?！?/p>

在高峰看來，安全訪問服務邊緣（SASE）和物聯(lián)網(wǎng)身份認證這兩項安全技術，目前還處在“期望膨脹期”?！癝ASE（安全訪問服務邊緣）主要是針對多種邊緣的訪問場景提供一個融合性的廣域網(wǎng)、邊緣的安全訪問能力?！备叻逭J為，通常來說，企業(yè)對于邊緣的保護有很多種工具，如：VPN、SWG（安全的訪問網(wǎng)關）等，但是這些技術都是單個的產(chǎn)品，并且它們在部署形式上和提供的功能上也多有重合?！拔覀冋J為SASE作為一個融合型的平臺產(chǎn)品，能夠把這些分開的、單獨工作的邊緣保護的工具能夠整合起來，減少企業(yè)的運維復雜度、來提供統(tǒng)一的可視化——這其實能夠為企業(yè)提供更高、包括多種邊緣訪問的安全產(chǎn)品的能力，從而提高可見性、敏捷性、彈性和安全性?！钡叻鍙娬{(diào)，由于強調(diào)本地部署，因此中國SASE廠商提供的產(chǎn)品與海外存在差異，而“國內(nèi)的SASE產(chǎn)品，其成熟度還是不夠的，還需要時間來提高他們的成熟度——我們認為這些SASE產(chǎn)品才是在中國市場被大量采用的主力?！?/p>

對于“物聯(lián)網(wǎng)身份認證”也被認為是處在“期望膨脹期”，高峰認為：雖然車聯(lián)網(wǎng)、智慧城市、智能家具和智能可穿戴設備等的迅速發(fā)展，使得這些物聯(lián)網(wǎng)設備需要一個可信身份和強大的設備身份驗證來減少它受到攻擊的可能性，但是，“物聯(lián)網(wǎng)的安全環(huán)境是非常復雜的，大多處于不可控的位置，且這些終端的計算能力也非常有限，它能做的安全保護更是非常有限，再加上它存在各種不同的標準……這些都使得物聯(lián)網(wǎng)的身份驗證被廣泛采用，是比較困難的?！?/p>

“多方安全計算”和“零信任網(wǎng)絡接入”，高峰認為是處在安全技術曲線的“滑落和低谷期”。在高峰看來，作為隱私計算技術的一種，多方安全計算更加強調(diào)應用的場景化，因此在具體落地實施過程中，往往都是根據(jù)企業(yè)的具體業(yè)務場景和需求，做了很多定制化的部署。“這就導致出現(xiàn)了一些非常個性化的部署和產(chǎn)品，使得其很難被快速復制推廣到其他企業(yè)使用。復雜性、不可復制性，是導致多方安全計算進入下降階段的一個原因?！备叻逭f。

而對于“零信任網(wǎng)絡訪問”，高峰強調(diào)，作為可以落地的“零信任”創(chuàng)新，“零信任網(wǎng)絡訪問”其實正處在從谷底到爬升的過程當中，“這項技術正在受到越來越多的企業(yè)關注，特別是在中國市場，很多安全廠商都已經(jīng)能夠提供相應的產(chǎn)品。而且，也有越來越多的企業(yè)用戶，開始部署或者是已經(jīng)計劃部署這個技術?！?/p>

處于“穩(wěn)步爬升復蘇期”的技術，相對而言是在技術領先性和應用成熟度上相對均衡的技術。高峰提到攻防演練、態(tài)勢感知、數(shù)據(jù)分類和云工作保護平臺等幾項技術正處在這個階段?！霸乒ぷ髫撦d保護平臺其實是一個以工作負載為中心的安全產(chǎn)品。我們認為一個好的云工作負載保護平臺是可以為混合云，以及多云數(shù)據(jù)中心的服務器工作負載提供保護的。”高峰認為，處于穩(wěn)步爬升復蘇期的“云工作負載保護”技術不只能夠?qū)€下負載進行保護，更是能夠為企業(yè)所有的平臺——包括企業(yè)所有的公有云、私有云或者是企業(yè)的信息安全數(shù)據(jù)中心——所有工作負載提供保護，并且可以針對任何地點的物理機、虛擬機、容器，無服務工作負載、提供一些持續(xù)可監(jiān)控的一些管控。“中國市場對于云的采用率正在快速增加，因此會有大量的企業(yè)都需要云工作保護平臺幫助保護他們的工作負載。這實際上也加速了云工作保護平臺的采用率。”高峰說。

“技術、企業(yè)的流程、文化對于企業(yè)構(gòu)建安全體系都是非常重要的，也都是其安全工作的瓶頸。”在回答筆者提問時，高峰認為：對于企業(yè)而言，把“安全”僅僅定義成是一個技術問題，是不全面，并且可能是錯誤的；在很大程度上，安全也與企業(yè)自身的管理、人才、業(yè)務流程等都有非常密切的關系。

首先，是由于安全技術本身的復雜性，所帶來的對安全技術的部署和應用，門檻很高?！拔覀儼l(fā)現(xiàn)，安全問題大部分都是由于配置錯誤引起的。”高峰認為，與整個IT市場不同，安全市場上不僅產(chǎn)品眾多，而且安全廠商數(shù)量也遠遠超過基礎架構(gòu)廠商的數(shù)量，這就導致企業(yè)對于安全技術的跟蹤、管理存在非常大的難度。加之目前在企業(yè)內(nèi)的安全人才短缺，很多企業(yè)當中往往都是由CTO、CIO兼職安全負責人，這就使得企業(yè)實際上是完全沒有管理如此多技術和廠商的能力。

雖然目前與安全相關的技術和產(chǎn)品，都開始有整合的趨勢，希望借此能夠降低安全技術和產(chǎn)品的復雜度，簡化實施部署和應用的難度，方便用戶使用，但是，“還有很多新的威脅出現(xiàn)，企業(yè)需要的保護的場景總是日新月異，總是遠遠超過已有產(chǎn)品的覆蓋面?！备叻逭f。

其次，安全不應該是一個技術問題，更應該是業(yè)務問題?！皯撟屍髽I(yè)內(nèi)部的業(yè)務人員，更多地去承擔一些安全的責任，而不能只管做業(yè)務、不關系安全?！备叻逭J為，很多企業(yè)往往有一個錯誤的認識，認為重視安全可能會降低業(yè)務效率、讓企業(yè)業(yè)務流程變得不順暢，最終導致在企業(yè)中很難建設一個非常有效的安全體系，保護企業(yè)的數(shù)字資產(chǎn)?！斑@個時候，我認為應該把安全責任向前推：讓業(yè)務人員承擔更多的安全責任，讓業(yè)務人員與IT認為互相合作，在實現(xiàn)安全和保業(yè)務障流程高效之間，找到平衡點?！?/p>

最后，高峰建議說，企業(yè)在具體選擇安全技術時，應該考慮“現(xiàn)在的情況”和“將來的情況”：針對現(xiàn)在的情況，企業(yè)需要考慮自身現(xiàn)在的安全工具，是否能與備選的安全工具進行集成，或者完全取代；而處于對未來的考慮，企業(yè)需要考慮，備選的安全工具是不是能夠在企業(yè)給自己規(guī)劃的未來的業(yè)務場景中，提供保護。

更多關注安全對于企業(yè)用戶而言，是一種面向未來的務實選擇，說明企業(yè)開始真正關注自身的需求，而不是一味追求IT技術所帶來的短期效率提升，這無疑是一種進步。而面對市場上過于豐富的安全技術概念和產(chǎn)品，企業(yè)用戶更多需要從自身需求出發(fā)，將安全與發(fā)展同時考慮，并行建設，才能從根本上構(gòu)建一個健康、安全的業(yè)務環(huán)境。