08-24：数字安全范式全景图的八个认知到底知多少？

你好，我是你的朋友晓兵。又到了周四的时间，这里是锐安全《安全到底》栏目的第163篇、总第216篇原创文章《数字安全范式全景图的八个认知到底知多少？》，今天大约需要4分钟时间，希望能给你带来启发。

上文谈了《数字安全范式全景图2.0》的基本组成部分，今天咱们着重谈谈为什么这么做？能得到什么？

一、关于整体框架的认知

咱们先说全景图整体框架：基础安全范式与场景安全范式，这里有三个重要认知。

认知1：安全赛道之间不仅是一个水平结构还是一个嵌套结构

由于安全行业的碎片化，会导致资本从单一赛道切入，由于资本的预期是“大一统”，因此跨越赛道是必由之路，这就产生了“赛道之间是平的”错觉。

认知2：基础安全范式容易独立演进而场景安全范式困难

五大基础安全范式是一个局部变量，技术栈相对独立，每一个子范式对应的赛道可以单独演进、互不影响。场景安全范式是一个全局变量，每一个场景安全范式都与五大基础安全范式交叠，至少依赖其中某一个基础安全范式。另一方面，从覆盖范围来看，数字风险>数据安全>商业安全>基础安全。

认知3：基础安全范式贴近IT，场景安全范式贴近业务

五大基础安全范式常由IT环境推导而出，因此与IT环境强相关，更关注“效率”，因此“性能”是强卖点；三大场景安全范式常由业务场景推导而出，因此与企业业务强相关，更关注“效果”，但是“业务优先”是前提。

二、关于基础安全范式的认知

基础安全范式因IT环境而生，这里有两个重要认知。

认知4：以系统为中心的安全范式目前还很难商用

五大基础安全范式中的“以系统为中心”的安全范式跟其它范式不同，理论体系强于工程化体系，原因是该范式是一个以“软件工程视角”来看安全的范式，对软件系统依赖过深，就目前的行业实现能力来看，还没有成熟到商用的地步。

认知5：成熟的赛道无需理论，有理论的赛道不太成熟

安全行业是一个“问题驱动”的行业，在解题能力比较强的赛道，比如网关安全和端点安全，这里就没有太多理论化的空间。而在一些新兴赛道，由于工程化推进的速度不够而导致理论先行。

三、关于场景安全范式的认知

场景安全范式因业务场景而生，这里有三个重要认知。

图中标红部分是目前的新兴子版块，场景安全范式都是治理先行，然后提供与企业场景结合的综合解决能力。

认知6：商业安全是应用安全与业务安全的叠加，需要完整的动态防御架构

商业安全目前主要集中在WEB层面与系统层面，整个应用层面动态立体防御架构还未兴起。

认知7：数据安全场景安全范式应该以数据合规为先导

数据全生命周期管理的DSMM架构已经形成行业共识，但是由于数据治理层面能力滞后导致整个场景商业过程艰难。

认知8：数字风险场景范式需要基于实战逻辑重塑

数字风险将成为企业的首要问题，需要在风险合规的基础上进行实战化风险控制重塑。

恭喜你，又看完了一篇文章。从今天起，和我一起洞察安全本质，这里是锐安全，今天就到这里，咱们下周四再见。