数字安全全景图来了！坏了！修了！好了！从零基础到精通，收藏这篇就够了！

本文链接：https://blog.csdn.net/Python_0011/article/details/144465717

如果加星标，可以及时收到推送

《安全晓说》栏目第47篇，锐安全总第251篇原创

本文2375字，阅读时长约8分钟

信通院《数字安全护航技术能力全景图》来了，今天你可以了解以下内容：

【1】信通院版全景图介绍

【2】全景图不合理之分析

【3】全景图锐安全修正版及下载

2024年7月4日，中国信息通信研究院（以下简称信通院）在2024全球数字经济大会—数字安全生态建设专题论坛正式发布《数字安全护航技术能力全景图》（以下简称全景图）。

全景图共分14项一级目录，103项二级目录，收到报名申请391家，经过评审评估，正式入榜147家。

从此安全行业又多了一张“数字安全全景图”！

该全景图是信通院于2023年4月份正式启动“数字安全护航计划”以来，发布的首期全景图。

【1】

信通院版全景图介绍

全景图的定位是：旨在集结行业力量，绘制一幅详尽、实用的数字安全技术能力全景图，为助推中国数字经济高质量发展，助力数字中国建设提供有力支持。

如果你只关心分类，不关心厂商的话，我给你绘制了一副新的清爽版全景图：

图：信通院《数字安全护航技术能力全景图》清爽版

该全景图的14项一级目录为：网络与通信安全、安全支撑技术与体系、安全管理与运营、身份与访问安全、软件供应链安全、密码技术与应用、工业互联网安全、物联网安全、应用与业务安全、移动安全、云安全、计算环境安全、数据安全、数字安全服务。

其中网络与通信安全版块有以下二级目录：安全监管态势感知、安全运营态势感知、安全信息和事件管理(SIEM)、安全响应自动化(SOAR)、IT资产管理、网络空间资产测绘、攻击面管理、BAS、XDR。

其中安全支撑技术与体系版块有以下二级目录：APT高级威胁防护、零信任、区块链安全、威胁情报、安全大模型、勒索软件防护、欺骗式防御、安全靶场。

其中安全管理与运营版块有以下二级目录：安全监管态势感知、安全运营态势感知、安全信息和事件管理(SIEM)、安全响应自动化(SOAR)、IT资产管理、网络空间资产测绘、攻击面管理、BAS、XDR。

其中身份与访问安全版块有以下二级目录：身份认证、IDaaS、IAM、SSO、权限管理、堡垒机、特权访问管理。

其中软件供应链安全版块有以下二级目录：开发流程安全管控、DevSecOps、交互式安全测试、静态安全测试、动态/模糊安全测试、软件成分分析。

其中密码技术与应用版块有以下二级目录：数字证书、数字防伪、加解密、密码应用服务、密钥管理。

其中工业互联网安全版块有以下二级目录：工控安全防护、工控安全监测、工控安全管理。

其中物联网安全版块有以下二级目录：车联网安全、视频监控安全、其他物联网安全。

其中应用与业务安全版块有以下二级目录：应用交付、网页防篡改、Web应用扫描与监控、WAF/新一代WAF、API安全、邮件安全、应用安全监测、AI应用安全、内容安全、欺诈检测和识别、抗BOT、支付安全、其他业务安全。

其中移动安全版块有以下二级目录：移动终端管理、移动应用安全、移动业务安全。

其中云安全版块有以下二级目录：云安全态势管理、云原生应用安全、容器安全、云工作负载平台、微隔离、云访问安全。

其中计算环境安全版块有以下二级目录：主机安全、终端安全防护、终端安全管理、漏洞监测与管理、保密检查、办公设施安全、可信计算。

其中数据安全版块有以下二级目录：数据库安全、数据备份与恢复、数据脱敏、数据防泄露、文档安全、大数据保护、数据安全态势感知、数据分类分级、数据要素流转安全、数据安全治理服务、数据安全评估和检查、安全工作空间、个人信息保护。

其中数字安全服务版块有以下二级目录：安全集成、安全合规、安全咨询与规划、安全运维与托管服务、安全意识与培训、渗透测试/众测、涉网犯罪取证、攻防演练、网络安全保险、应急响应与重保服务。

这里还有一个比清爽版还清爽的表格版：

图：信通院《数字安全护航技术能力全景图》表格版

【2】

全景图不合理之分析

先说错误。

此处“安全相应自动化（SOAR）”为错误，正确的应是“安全响应自动化（SOAR）”，但是SOAR，大家更习惯翻译成“安全自动化编排与响应”。

图：安全响应自动化错误

再说问题。

有的二级目录使用了纯英文缩写、有的使用了纯中文、有的使用了中英文混写，我建议如果是大家耳熟能详的英文缩写，就补写在中文名称后面。比如：把“入侵检测与防护”改写为“入侵检测与防护（IDS/IPS）”；把“网络准入控制”改写为“网络准入控制（NAC）”等。

如果是纯英文缩写，为了便于理解，建议在前面加上中文名称，比如：把“BAS”改写为“入侵与攻击模拟（BAS)”；把“XDR”改写为“扩展检测与响应（XDR)”等。

最后说待商榷的内容。

有两个一级目录出现了“其他”的分类说法，比如“其他物联网安全”和“其他业务安全”。

这个“其他”的范围太模糊，不利于理解。举个极端的例子，所有厂商都可以声称自己有“其他”类产品，那么这个“其它”的分类里的厂商必然是异常拥挤的，这就失去了设立分类的意义。

如果真的有产品无法用现有分类区别，我建议是专门为这个产品赋予一个新的分类名称，而不是加一个“其他”的分类。比如，当元气森林出现了，为什么就不能有一个“汽泡水”这样的饮料分类呢？

【3】

全景图锐安全修正版及下载

基于上述问题，我对全景图进行了一下修正，推出了一个绿版，用黄色块标记了错误；红色字体补全了二级目录；蓝色块标记了待商榷的内容。

另外，我有一个判断，数字安全既然是护航数字经济的，那么数字安全的底层驱动力必然要从网络驱动、身份驱动、数据驱动，转向业务驱动，业务安全将会越来越重要，因此建议将业务安全单独分类。

过去我们把应用安全和业务安全放在一起说，那是因为它们所处的层次都是应用层，那如果这样说，软件供应链安全其实也是应用层安全，只不过是应用层安全的左移状态，但如今大家已经倾向将供应链安全单独拿出来看，因为它们使用的诸如SCA、SAST、IAST、DAST这样的技术，跟WAF这类的应用安全技术差异还是比较大的。

所以，基于这样的考虑，我把“业务安全”单独分类，并定义出两个新的二级目录：业务行为分析（UEBA）和业务安全管理，用红色块进行标注。

因此就产生了一版新的锐安全《数字安全护航技术能力全景图》（绿版）：