type
Post
status
Published
date
Aug 16, 2022
slug
2022_White_Paper_on_China's_Cyber_Security_Industry
summary
2022年中国网络安全行业白皮书发布,包含了网络安全行业现状与将来的发展趋势
tags
新闻
网络安全
category
碎片杂文
icon
password
Property
Nov 16, 2022 08:13 AM
一、网络安全的定义和特点
1.网络安全的定义
2.网络安全防护特点
防护特点:从静态防御向动态防御进阶
防护要点:攻防态势可视化、防护系统精细化、功能模块高度集成
二、网络安全产业核心产品及服务全景架构
网络安全产品及服务通过采用检测、监测、扫描、溯源、查杀、审计等手段, 协助用户抵御来自外部的恶意行为或来自内部的违规行为,避免业务资产和系统资产遭到入侵、损毁、泄露、篡改、窃取、丢失、勒索等威胁。
从防护层面进行分类,当前网络安全产品主要覆盖基础架构安全、端点及应用安全、身份安全、移动安全、云安全、物联网安全及安全运维等。
1.基础架构安全
2.端点安全及应用安全
端点安全:在移动办公普及的背景下,平板电脑、笔记本电脑、智能手机等多元移动设备接入,让结构化网络暴露在更多恶意攻击之下。
应用安全:针对应用程序在运行过程中可能出现的数据窃取、泄露等问题,提供软件、硬件工具,常见防护模式包括应用虚拟化和远程接入等。
3.身份安全
身份系统是信息安全系统的核心,身份安全防护服务的核心在于用户身份认证、设备指纹认证、授权机制构建和维护等。系统化的身份治理平台已成为企业的基础安全平台。身份安全系统面临的核心威胁在于隐私侵犯、解决方案完整性不足和可用性不足等方面。
4.移动安全及物联网安全
移动安全防护对象为移动设备,具体防护方向包括APP漏洞挖掘、移动应用加固、移动应用逆向、移动平台漏洞挖掘、移动平台加固、移动环境病毒木马查杀拦截等。
物联网安全:针对物联网感知层、传输层、应用层、网络层可能面临的数据安全、隐私侵犯等威胁提供从端到面的安全防护解决方案。
物联网安全系统可解决存在于物联网系统中的终端安全问题,与智慧城市建设同步前进。依托可视化管控、身份认证和授权、强制性安全策略等手段,物联网安全信任链逐渐成型。未来5年,物联网领域安全服务渗透率将成指数级增长。
5.云安全
依托云计算架构、云基础设施在并行处理、网格计算等方面的优势,云安全服务为用户提供实时、自动化、多维联动的威胁抵御策略和安全事件处置策略。用户无需花费高额成本自行组建安全团队,可依托云服务共享模式,以较低成本和较高灵活性获取7*24的云端安全系统。
公有云安全:以中小企业用户为服务对象,助力用户实现业务负载从终端向云端的顺利迁移,进而推动IT架构的优化及用户核心业务创新;
私有云安全:面向私有云环境和混合云环境的大型政企用户,结合独特的业务环境,统一监控和管理云环境内安全情况。
6.安全运维及其他安全服务
安全服务体系应用于从开发到应用的软件全生命周期,包括安全运维(向云上运维演进)、渗透测试、应急响应、安全众测、红蓝对抗等能力,而随安全合规等级升级和用户对安全防护效力落地重视度提升,通用安全服务应用场景和行业级安全解决方案应用场景均体现出理念升级和模式演变的特征,并与下游场景业务特征相结合,形成贯穿于纵向业务流程和横向组织架构的安全服务体系。
运维管理及安全系统要点:构建适合应用场景核心业务需求的安全事件处理系统和流程。
三、发展历程
中国网络信息安全行业发展阶段:由单点防御向纵深防御演进
四、发展趋势
网络安全服务架构由单一趋于融合,被动防御转向主动防御,服务路线趋于精细化。
挑战:受疫情影响,现场技术服务和招投标项目进度受阻,供给端产业链流通速度降低,需求端遭遇不同程度经营困难,但与此同时,远程化办公、云化业务衍生更多远程安全运维需求。
机遇:全球范围,政府及管理机构不断出台有利于网络安全市场发展的法规和引导政策,刺激技术创新,向网络安全产业释放红利。政策支持将网络安全上升至国家战略高度,中国计划到2025年,逐步实现“培育形成一批年营收超过20亿元的网络安全企业”、“网络安全产业规模超过2,000亿元”的目标。
数据安全或成为网络安全服务的重点聚焦领域。
五、各技术领域细分
1.防火墙
防火墙是网络安全防护系统的第一道防线,可基于已定义的安全规则控制网络流量流通,目的在于为安全、可信、可控的内部网络系统建立一道抵御外部不可信网络系统攻击的屏障,应用至今已形成较为成熟的技术模式。
防火墙为内部网络系统提供抵御外部入侵的抗攻击屏障。
2.蜜罐
蜜罐是通过欺骗性技术,于主机、网络服务等层面设置诱饵,捕获并分析非法攻击工具及模式,推演攻击形式,协助用户了解安全威胁态势,并依托安全技术及管理策略增强防护系统效率。此外,蜜罐技术支持用户了解黑客网络及工具。
蜜罐通过诱饵技术获取黑客工具及黑客通信网络,提升用户对抗攻击效率。
蜜罐战术简析:
- 根据攻击者特征布局战术
非法入侵者寻找不同层面资产突破口,利用漏洞绕过防护边界,入侵用户内网,防守侧依托关键节点蜜罐收集攻击策略,诱使攻击。
- 网络异常行为监测
防守侧凭借探测工具(Ping探测、ARP探测等)监测异常行为,识别攻击方法及负载,统一分析并判断攻击意图,布局防御节点。
- 模拟资产并布局欺骗系统
通过节点探针,监测网络扫描探测行为,映射蜜罐服务。
3.入侵检测与防御(IDP)
入侵检测防御系统包含入侵检测体系(IDS)及入侵防御体系(IPS)。IDS系统具备灵活部署、轻量化、即时反应等优点,并随新技术应用和新应用场景拓展而快速变化,成为用户端安全防护架构采用
最为广泛的产品之一。
入侵检测与入侵防御系统实时监测网络设备,夯实安全监控引擎。
4.抗拒绝服务攻击(DDoS)
DDoS为分布式拒绝攻击,黑客将攻击者分布于不同位置,同时向相同目标开展分布并协同的统一性攻击。DDoS攻击将使目标服务器、网络系统无法维持正常操作和运转。常见DDoS攻击多包括攻击者、主控端、代理端、攻击目标四部分。
全球范围DDoS攻击频率激增,各领域关键基础设施受威胁范围扩大。
5.高级持续性威胁防护(APT)
高级持续性威胁攻击对象通常针对政府机构、企业核心资产而展开,攻击渠道覆盖移动设备、服务器、邮件系统等。远期,APT检测与防御将加速融合IDS技术、大数据技术和AI技术,构建基于深度学习的APT自主防御平台。
APT攻击具备不确定性、隐蔽性和强针对性,当前较难实现全防护效果。
6.终端检测响应(EDR)
EDR系统融合大数据分析、沙箱分析、机器学习、行为分析等技术,支持终端层面深度监控、威胁分析、安全取证、事件响应追溯等功能,并支持SIEM、SOC、态势感知平台的融合与联动。
终端威胁检测与响应系统基于预测、防护、检测、响应四环节构成全方位防护技术体系,构成防护代理、管理平台、分析中心和安全态势四部分,支持终端防护技术、数据采集技术、大数据技术、威胁情报技术、安全取证技术等技术手段的组合应用。
7.主机加固
主机加固主要指网络加固与应用系统加固和优化,针对网络层、主机层、应用层等空间进行安全标记、建立访问控制等多维防护措施,具体形式包括优化安全配置、安全补丁安装、系统风险防范、系统功能测试、完整备份、重建机制等,主机加固与杀毒软件可实现较强互补。
- 网络设备加固技术:针对边界路由器安全漏洞和操作系统隐患,调整用户权限和进程权限,进行全面安全配置;
- 网络结构调整:针对网络层不断扩张的攻击,调整安全结构,应对各类病毒、分布式拒绝服务攻击等;
- 数据库加固:以补丁安装、安全配置调整等方式强化数据库安全机制;
- 安全防护系统优化:加速防火墙和入侵检测系统迭代升级,强化防护系统。
主机加固服务以优化网络和应用系统安全环境为目标,构建立体防护措施。
8.服务器加固
服务器系统安全加固旨在提高服务器安全性和抗攻击能力,通过操作系统安全加固减少漏洞,维稳业务系统。较为常见的加固模式为系统内核加固,并结合身份认证、访问控制等模式为业务安全运行提供保障。
针对WEB服务器、FTP服务器、E-mail服务器存在的漏洞和配置问题进行优化。
9.恶意软件防护
恶意软件涉及病毒、蠕虫、木马等多种形式,通过破坏或获取用户敏感信息对终端、移动终端等设备正常运行造成威胁,侵害用户合法权益。通过结合威胁情报、沙盒等工具,恶意软件防范系统助力用户保护终端、网络及电子邮件系统。
恶意软件持续演变,防护系统覆盖范围由传统网络级拓展至云端和边缘网络。
10.终端安全管理
终端安全管理以安全策略设置、终端网络接入查验、网络进程访问控制、防病毒软件管理、终端接入查验、系统补丁管理等功能为核心,构建多源终端安全管理功能体系。终端安全管理与安全运维、用户行为管理、数据安全管理、存储介质管理、服务器访问控制安全管理、日志审计分析等平台联动,解决终端安全问题,降低信息泄露可能性,支持用户数据全生命周期防护。
终端安全管理系统助力端到端威胁检测和抵抗力升级,从静态合规趋向动态防护。
11.云WAF
云WAF为WAF防护方案在云端的表现形态,核心能力在于执行针对HTTP、HTTPS的安全防护策略。云WAF依托DNS调度技术实现对原始网络流量的牵引,并对流量进行净化、过滤,最终将安全流量回传至后端真实网络环境,达到保护终端场景Web应用安全的作用。当前,云WAF产品在公有云和私有云场景的应用全面铺开。对云WAF市场各梯队竞争厂商而言,公有云场景对云WAF业务整体营收的贡献较为显著。
12.容器安全
容器安全产品是针对容器宿主机、容器软件、容器集群、容器运行时态势、容器镜像及相关基线合规提供的安全解决方案。当前,容器安全防护核心在于主机防护和加固,重点关注Docker 容器安全风险和挑战以及Kubernetes环境下的安全防护实践。相对传统安全模型对于安全边界明晰的划分,云环境下的零信任理念打破传统物理边界,亟需构建体系化的容器安全结构,提高应用侧全生命周期安全防护水平。
13.云主机安全
随IT产业和云服务市场快速升级扩容,云端主机、设备端主机面临的攻击面扩大,AI算法的应用显著提高安全产品风险对抗能力,但变种攻击和未知威胁的预测仍为难点。网络安全市场整体呈现较强的碎片化特征,云主机安全细分市场或成为网络安全领域第二个防火墙赛道,未来5年,云主机安全细分市场规模年复合增长率将保持在约30%的水平。
- 追查攻击外联路径的溯源能力: 云主机安全基于ATT&CK检测模型形成勒索追踪能力,溯源链路延伸至勒索行为外联路径;
- 防容器逃逸检测能力 容器逃逸防范工具依赖规模化检测能力和底层I/O数据检测能力;
- 自定义基线检查能力 更强的差异化基线检查能力或体现在云主机内置安全规则与安全等级规范匹配的细化程度。
附录
- Author:Quanfita
- URL:https://quanfita.cn/article/2022_White_Paper_on_China's_Cyber_Security_Industry
- Copyright:All articles in this blog, except for special statements, adopt BY-NC-SA agreement. Please indicate the source!