数字安全的三个元素分别为,安全能力、数字资产和数字活动。数字资产是安全能力的保护对象,数字活动是安全能力以及数字资产的服务对象,而数据安全则是三元论的核心目标。对于这四者关系的深度理解和相关技能掌握是做好数字安全工作的关键。
数字安全能力模型研究的基础,来自于数世咨询2020年首次提出的“网络安全三元论”。三元分别为,网络攻防、信息技术和业务场景。
随着数据成为第五大生产要素为典型标志的数字时代来临,“网络安全三元论”在2022年进行了更新迭代升级为“以安全能力、数字资产和数字活动为三元素,以数据安全为核心目标,即三元一核”的“数字安全三元论”,以适应我国数字中国建设的进程。
数世咨询作为国内独立的第三方调研咨询机构,为监管机构、地方政府、投资机构.网安企业等合伙伙伴提供网络安全产业现状调研,细分技术领域调研、投融资对接、技术尽职调查、市场品牌活动等调研咨询服务。
随着数字世界的临近,数字安全能力体系从建设阶段向运营阶段过渡,安全运营的效果开始成为用户关心的核心问题,即从“有没有”到“行不行”,再到“好不好”。因此,对安全能力的评估与验证成为国内安全从业者——特别是安全运营人员——越来越多讨论的话题。
这一现象背后,首先有政策的因素,例如在最新的关基保护条例里已经明确的将安全验证加入到安全建设的要求中;其次国内连续几年的高等级实网攻防演练大大加速了机构用户的安全运营水平,用户自身的安全评估验证需求已经自然而然发展出来;第三,这也与国际局势的变化直接相关,国家级APT威胁使得“安全”二字提升到了“网络战”的高度,攻击之前自我评估,威胁之侧持续评估,成为了实战化需求下安全运营的必修课。
在这样的背景下,近几年国内出现了多家专门满足这一需求的初创安全企业,不少传统综合安全大厂也内部蕴育出了相关的产线能力,业内已经逐渐形成了专门针对安全运营进行评估验证的新赛道。
然而,话题热度之后更加应当看清的是,目前国内的安全建设水平仍然有明显的不均衡特点:一是区域不均衡,北上广深成渝西安以及GDP排名较靠前的省份城市,安全建设水平相对较高;二是行业不均衡,金融、运营商、电力能源等关基行业已经走在了前面,但相较而言医疗、教育、工业制造等更多行业仍处在仅仅满足合规的程度;三是即便同行业内,其头部、腰部及以下机构用户,安全能力也存在着明显的不均衡。
由于安全评估验证需求首先从已经具备安全运营体系的机构用户中发展而来,因此这一新赛道的供需双方,目前还只集中在“不均衡”发展的“头部”群体中。那么,腰部及以下的机构用户就不需要评估与验证能力吗?
答案是显然的,当然需要。只不过,因为这类用户的“安全家底”本身就比较薄,因此不必像“头部”一样做得那么重,只需要标准化或最小化的评估验证能力即可。
因此,无论用户规模大小,无论用户处在头部腰部甚至以下,评估与验证都不是为了给用户“找麻烦”,而是要在传统的安全能力建设之外(绝不限于设备采购、产品部署、驻场服务),使不同发展阶段、不均衡发展状态的各类机构用户都具备“安全运营”的下限,并且持续提升这个“下限”,也就是说,将评估与验证能力与安全运营同步建设,同步提升!
用持续的评估,重新定义安全运营。这也是我们将这一赛道定义为“持续评估定义安全运营”的最主要原因。
鉴于此,数世咨询撰写本报告,希望能抛砖引玉,对这一领域的产业现状做出初步调研与阐述。
本文来自知之小站
PDF报告已分享至知识星球,微信扫码加入立享3万+精选资料,年更新1万+精选报告
(星球内含更多专属精选报告.其它事宜可联系zzxz_88@163.com)
