近日，國際研究機構Gartner?發布2024中國網絡安全技術成熟度曲線（“Hype Cycle? for Security in China, 2024”）報告，騰訊在軟件成分分析、安全事件管理（SIEM）、攻擊面管理、零信任、安全服務邊緣（SSE）、機密計算和多方安全計算等七大技術領域被列為代表廠商，再度獲得Gartner認可。

近年來，Gartner持續發布的“Hype Cycle for Security in China”報告，已成為業界分析和預測技術發展趨勢的重要參考。Gartner認為：“采用顛覆性技術如生成式人工智能等需要加大安全投資，而中國的組織仍面臨預算限制。首席信息官及其安全和風險管理領導者可以利用此報告來識別和采用適當的安全實踐。”

報告對中國網絡安全技術成熟度曲線進行了深入分析，涵蓋多個技術領域，包括數據風險評估 (DRA)、數據安全平臺 (DSP) 、數據安全治理 (DSG) 、違規和攻擊模擬 (BAS) 、機密計算、威脅暴露管理等17個安全技術領域，旨在幫助中國的首席信息官（CIO）和技術領導者識別和評估技術趨勢，確保業務成功。

軟件成分分析Software Composition Analysis

在報告中，Gartner對軟件成分分析（SCA）的定義為：“軟件組成分析（SCA）產品是專門的應用安全工具，它能夠識別開源軟件（OSS）和第三方組件中已知的安全漏洞，同時檢測可能存在的不利許可和供應鏈風險。它是確保組織的軟件供應鏈包括安全和可信組件的戰略中的一個基本要素，有助于安全的應用程序開發和組裝。”

科恩實驗室基于多年開發安全能力，推出源碼/二進制軟件成分分析工具 BSCA（https://cloud.tencent.com/product/bsca），幫助用戶建立開發安全體系，輸出軟件物料清單，實現產品上線卡點、SBOM臺賬建立，助力企業合規風險管控和開源威脅治理。騰訊云SCA產品包含源代碼組件成分分析引擎、二進制制品成分分析引擎，支持 20+文件格式，包括各類二進制固件包、鏡像、壓縮文件等。支持 Linux、Android、QNX、RTOS 等系統，支持 x86/x64、MIPS、ARM/ARM64、PowerPC 等主流 CPU 架構，全面適應企業軟件開發運維的各類場景。

騰訊云SCA產品深入分析不同行業及場景的廣泛用戶需求，與國內領先的合規檢測機構建立合作關系。從風險源頭進行把控，將供應鏈上下游進行統一系統安全測試，以函數級別分析能力，主動評估合規風險，確保軟件供應鏈中的每個環節都符合可追溯性和完整性。

安全事件管理Security Information andEvent Management

Gartner指出，“SIEM是一種可配置的安全記錄系統，它從本地和云環境中聚合和分析安全事件數據。SIEM協助響應行動以減輕對組織造成傷害的問題，并滿足合規性和報告要求。”因此在選擇 SIEM 供應商時，Gartner建議：“通過正確規劃監控目標來確定所需的SIEM能力，例如遙測數據收集、分析方法和模型、與IT服務管理平臺和大數據存儲庫的集成，以及日志保留……”

安全信息和事件管理系統（SIEM）這個工具可用來監控數據的安全運行狀態，及時發現和處理異常情況，減少數據安全事故的風險和損失。在多云/混合云趨勢下，越來越多企業客戶希望安全運營可以是統一的。騰訊云“全域安全”解決方案將云安全中心與主機安全合二為一，打造了CNAPP+SIEM的安全一體化平臺及可插拔式安全底座，企業可在底座上層“樂高式”搭建安全產品模塊，實現公有云、混合云、自研云的多云統一管理，以及橫跨生產網、辦公網、互聯網的三位一體防護，即“全域安全”。

騰訊安全運營中心以云原生技術為基礎，倉湖一體化大數據平臺為底座，MITRE ATT&CK技戰術框架為指導，結合騰訊領先的威脅情報能力、AI和可視化技術，聚焦TDIR（Threat Detection, Investigation and Response），打造智能化安全運營平臺，提升安全運營效率，實現企業全網安全態勢可知、可見、可控。

騰訊安全運營中心

攻擊面管理Attack Surface Management

Gartner認為，“中國的數字格局正在迅速擴大，組織嚴重依賴技術和互聯系統。這種擴張導致了數字資產的數量和復雜性的空前增加。中國的組織經常面臨有針對性的網絡威脅，如供應鏈攻擊和社交媒體釣魚。有效的ASM通過主動識別和解決攻擊者的潛在切入點來幫助減輕這些風險。”

在上月Gartner發布的2024年專用移動網絡服務成熟度曲線報告中攻擊面管理ASM部分將騰訊列為代表廠商后，此次報告再次提及，體現了騰訊在攻擊面管理領域扎實的產品實力。

科恩實驗室基于安全大數據挖掘和攻防對抗經驗，推出威脅情報中心攻擊面管理平臺TIX-ASM（https://tix.qq.com）,為全球企業提供SaaS化資產風險監測和威脅發現服務。此平臺以外部攻擊者的視角，通過多種測繪技術和關聯分析能力，幫助企業洞察數字資產的威脅暴露面，追蹤信息泄露事件和內容合規風險，以便采取相應措施預防和緩解安全事件造成的危害。

騰訊安全攻擊面管理TIX-ASM應用場景

在功能方面，TIX-ASM具備全面的暴露面資產風險發現能力，不僅覆蓋傳統域名、IP類資產風險，還支持公有云資產風險監測，并在仿冒小程序，公眾號的識別和處置方面具有優勢。

零信任網絡訪問Zero Trust Network Access

本次入選，是騰訊云繼入圍2024年中國基礎設施戰略成熟度曲線報告ZTNA零信任網絡訪問領域“代表廠商”（Sample Vendors）后，再次入選Gartner年度報告。此外，2023年，騰訊云入圍Gartner中國零信任市場指南報告代表廠商。

騰訊是國內最早一批開始踐行零信任理念并完成大規模實踐的企業，在零信任的技術領先性和工程化能力上，具備以下顯著優勢，包括強大的終端 All in one 產品設計、穩定的高可用產品架構、領先的終端安全實力積淀、優質的全球業務加速訪問能力以及良好的產品開放性。

騰訊零信任iOA

值得一提的是，2022年，騰訊零信任iOA產品突破了100萬客戶終端的部署，成為了國內首個突破百萬終端的零信任產品。此外，由騰訊主導編制的服務訪問過程持續保護指南，是零信任安全領域全球首個國際標準。

安全服務邊緣Security Service Edge

報告強調了SSE（安全服務邊緣）的重要性，指出：“SSE可以提高組織的靈活性，確保網絡、云服務以及遠程工作的安全性。隨著數字化轉型和混合工作模式的普及推動了公共云服務的廣泛應用，SSE使組織能夠在訪問Web、云服務和私有網絡時采取集中式方法來實施安全策略，從而支持員工隨時隨地的工作需求。在應用程序層面，SSE減少了管理多個產品的復雜性，并在一個統一的平臺上為最終用戶的活動提供了更大的可見性。”

SSE的三個主要部分可解決不同的風險：

● 安全Web網關有助于將員工連接到公共互聯網，比如不屬于企業官方SaaS軟件的云應用程序；

● 云訪問安全代理將員工連接到內部辦公SaaS軟件；

● 零信任網絡訪問將員工連接到在本地數據中心或云端運行的私有企業軟件。

以騰訊SaaS堡壘機為例，由于中國的組織安全工具較少，公有云采用率較低，尤其是SaaS，對安全供應商和工具融合的緊迫性較低。通過“SaaS堡壘機”，騰訊數據安全提供IT資產訪問代理以及智能操作審計服務，為用戶構建一套完善的事前預防、事中監控、事后審計安全管理體系，實現異常行為告警，防止內部數據泄密。SaaS堡壘機（https://cloud.tencent.com/product/bh）免部署、自動同步資產、免VPN且資產對外不可見，更安全更方便。SaaS堡壘機支持MFA雙因子認證，一鍵開啟身份認證，徹底解決內網橫移問題。

騰訊SaaS堡壘機

機密計算Confidential Computing

Gartner指出，“機密計算可能會帶來潛在的性能影響和額外成本。為了確保現有軟件能在機密計算環境中運行，開發者需使用特殊工具、庫或API……技術框架的異構性、缺乏訓練有素的專業人員以及對最佳實踐的不熟悉可能會阻礙機密計算的采用或減弱其效果。”

此外，“機密計算并非簡單的即插即用解決方案，而是更適合于高風險場景，如機器學習應用。盡管投入較大，但在安全性方面的提升相對于傳統的傳輸層安全(TLS)、多因素認證 (MFA) 和客戶控制的密鑰管理服務等控制措施而言可能是邊際性的。”

騰訊安全機密計算平臺（CCP），基于TEE技術實現的通用隱私計算平臺，完全兼容云原生的容器應用生態，為用戶提供免改造的透明機密計算能力。提供雙向遠程證明、存儲加密、一站式運維和云原生管理支持，保護用戶數據全生命周期的機密性和完整性，滿足用戶數據交易與共享過程中的高安全需求。

騰訊云機密計算平臺（CCP）

多方安全計算ecureMultiparty Computation

Gartner認為，“以往的數據保護策略主要集中在靜態數據和傳輸過程中的數據安全。而今，基于安全多方計算（SMPC）的方法通過加密技術保護多方間的數據共享，在數據計算過程中實現了安全防護。這種方法能夠在不受信任的計算環境中，以保密方式執行數據分析和商業智能處理。”

基于多方安全計算、聯邦學習等技術沉淀，騰訊云打造了數據應用全鏈路的天御隱私計算平臺，不僅保證原始數據不出本地即可快速完成隱私計算任務，同時提供易用、靈活性高、模塊化高、擴展性強的產品體驗，真正實現“數據可用不可見，數據不動價值動”。天御隱私計算平臺可兼容表格、數據庫、HDFS等多種類型數據，提供聯合查詢、集合求交、聯合統計、聯合計算、聯合建模等多種功能。

天御全棧式隱私保護計算能力架構

在AIGC時代背景下，網絡安全挑戰日益嚴峻，騰訊安全將依靠持續的技術創新和對市場需求的深入理解，攜手生態伙伴共同守護數字世界安全發展。