DevSecOps领域独家 悬镜安全再登《2021年度中国数字安全能力图谱》

近日,国内数字安全领域中立的第三方调研机构数世咨询正式发布了《2021年度中国数字安全能力图谱》(以下简称为“能力图谱”),悬镜安全再次进入DevSecOps领域“代表者”行列,也是该领域唯一代表厂商。同时还入选以下领域:软件成分分析能力者、代码检测与审计能力者、安全开发生命周期能力者、云原生安全创新者,悬镜安全在应用安全领域的创新能力和技术能力持续获得业界权威认可。

基于由数世咨询首次提出的“网络安全三元论”理念,此次发布的能力图谱共分为八大方向,涵盖上百个子领域。随着业界对DevSecOps关注度的持续攀升,使其再度延续单独作为子领域归类,悬镜专注于DevSecOps领域多年,旗下DevSecOps智适应威胁管理解决方案融汇信息技术、业务应用、网络攻防三大评审支点要素,成功斩获该领域唯一“代表者”地位。这不仅肯定了悬镜在该领域的技术创新优势,更奠定了其行业领导者地位。

此外,悬镜旗下多款产品也分别入选“开发安全(生产网)”中多个子领域的“能力者”类别:

代码检测与审计能力者——灵脉IAST灰盒安全测试平台、软件成分分析能力者——源鉴OSS开源威胁管控平台、安全开发生命周期能力者——夫子SDL安全开发赋能平台

以下内容引自数世咨询《2021年度中国数字安全能力图谱(完全版)》原文

随着政策、技术与市场的迭代演进,数字世界、数字经济、数字空间、数字中国的广阔前景已深入人心,基于2020年9月数世咨询业内首次提出的“网络安全三元论”理念,通过与各层次、各领域和各方面业内人士的频繁、大量的交流与沟通,数世咨询决定将网络(空间)安全的概念扩展至数字(空间)安全,并于今日正式发布《2021年度中国数字安全能力图谱(完全版》(以下简称能力图谱)。

网络安全三元论

网络安全三元论认为,数字(空间)安全的三大支点为,信息技术、业务应用和网络攻防。

信息技术是网络攻防的起源,没有电子信息技术,就没有网络安全技术。有了电子通信才有电子对抗,有了计算机、操作系统、数据库、应用程序,才会有系统安全、数据库安全、应用安全,有了云计算、移动互联网、工业互联网,才会有云安全、移动安全和工业互联网安全的概念。

业务应用是一个机构或组织生存发展的根本前提,而信息技术是为业务需求服务的。基于产品设备或技术方案对信息系统的保护,并非网络安全的最终目的,只有更好的服务数字化业务的需求,为数字经济的发展赋能,保卫国家安全,才是网络安全的根本目标。

网络攻防的逻辑本质是“对抗”,对抗则意味着没有无往不胜的攻击,也没有牢不可破的防御。因此,基于“人、平台、工具、管理、业务”五要素进行持续安全运营,从而达到安全保障与业务发展的动态平衡理念正在成为业界共识。

基于三元论的三大支点——信息技术、业务应用和网络攻防,能力图谱分为八大方向:信息基础设施保护、信息计算环境保护;行业环境安全、应用场景安全;基础与通用技术、体系框架、安全运营和数据安全。

一、信息基础设施保护

信息基础设施是指数字空间中最为基础与关键的计算实体,它们是电子信息进行计算、处理、传输、存储的载体。针对这些计算实体的保护,能力图谱划分为5个一级领域和29个子领域。(数据库也属于信息基础设施,但数据库与数据安全的结合更为紧密,因此本次能力图谱将其归入数据安全的分类)。

注:

1)物理安全中的“物理”是指需要物理接触或受到距离的限制;

2)端点安全,包括终端(PC、移动设备等)和主机/服务器等端点设备;

3)区块链安全,包括保护区块链的安全和基于区块链来保证安全。

二、信息计算环境保护

信息计算环境是指以现象级新兴信息技术为主要特征的各类计算实体的集合,进而形成的信息计算环境。针对这些信息计算环境的保护,能力图谱划分为个5个一级领域和14个子领域。

三、行业环境安全

行业环境安全是指自身行业属性非常突出的安全需求,能力图谱将其划分为个4个一级领域和8个子领域。

四、应用场景安全

应用场景是指机构或组织较为典型的通用业务场景,能力图谱将其划分为3个一级领域和12个子领域。

五、基础与通用技术

基础与通用是指网络安全体系中的必备能力和普适能力,能力图谱将其划分为6个一级领域和16个子领域。

六、体系框架

体系框架是指多种安全技术、产品的整合,并体现出一个相对完善的安全理念,能力图谱将其划分为3个一级领域。

七、安全运营

安全运营是指安全体系的评估、规划、设计、建设、运行、维护、保障等一系列以人员服务为主驱动的安全工作。能力图谱划分为7个一级领域和17个二级领域。

八、数据安全

数据安全可以从三个视角来看待,资产视角(注重静态保护)、访问视角(注重访问控制)和共享视角(注重流动应用)。能力图谱划分为4个一级领域和9个二级领域。

能力图谱是基于数世咨询创始成员于2016年9月业界首发的“全景图”品牌更新迭代而来,逻辑框架由IPDRR演进到现在的三元论,分类由技术产品演进到现在的安全能力,安全企业由“企业大全”演进到现在的“企业精选”,同时将“数据安全”从子领域上升到第八大方向,与“网络安全”的七大方向并行,形成“数字安全”的统一概念。

能力图谱旨在尝试解决由于各种纷繁复杂的分类混乱,所带来的一系列沟通不便、统计不便、采购不便等弊端,凸显优秀安全能力提供者,降低供需双方的试错成本,为广大数字安全领域的业界同仁提供研究借鉴与参考使用。