在數(shù)字經(jīng)濟(jì)時(shí)代的今天，網(wǎng)絡(luò)安全已經(jīng)成為全球企業(yè)普遍關(guān)注的重點(diǎn)。隨著人工智能尤其是生成式AI技術(shù)在不同行業(yè)的加速落地，中國(guó)網(wǎng)絡(luò)安全市場(chǎng)也正在經(jīng)歷著從“合規(guī)驅(qū)動(dòng)”到“業(yè)務(wù)賦能”的范式轉(zhuǎn)變。

作為全球領(lǐng)先的研究與咨詢公司，Gartner發(fā)布的網(wǎng)絡(luò)安全技術(shù)成熟度曲線一直是行業(yè)發(fā)展的風(fēng)向標(biāo)。近日，Gartner中國(guó)網(wǎng)絡(luò)安全團(tuán)隊(duì)的高級(jí)研究總監(jiān)陳延全接受了筆者的采訪，為我們深入解讀了2025年中國(guó)網(wǎng)絡(luò)安全技術(shù)成熟度曲線，并揭示了行業(yè)未來(lái)的發(fā)展趨勢(shì)與機(jī)遇。

陳延全表示，中國(guó)網(wǎng)絡(luò)安全技術(shù)成熟度曲線旨在為企業(yè)提供全面且貼合中國(guó)實(shí)際的網(wǎng)絡(luò)安全技術(shù)發(fā)展視圖。通過(guò)此曲線圖，企業(yè)可以清晰地看到各項(xiàng)網(wǎng)絡(luò)安全技術(shù)所處的發(fā)展階段，從而制定出更具前瞻性的戰(zhàn)略規(guī)劃。

AI技術(shù)崛起，亮點(diǎn)與挑戰(zhàn)并存

生成式AI無(wú)疑是今年所有企業(yè)最為關(guān)注的技術(shù)熱點(diǎn)。Gartner的調(diào)研數(shù)據(jù)顯示，2024年8月只有8%的中國(guó)企業(yè)部署了生成式AI，而到2025年五月，這一數(shù)字提升到了43%，增速非?？?。

AI的普及化，給企業(yè)帶來(lái)新的業(yè)務(wù)機(jī)遇的同時(shí)，也引發(fā)了更多來(lái)自應(yīng)用層、硬件層和基礎(chǔ)測(cè)試層的安全挑戰(zhàn)。例如，垂類AI Agent的構(gòu)建，其自主性高，帶來(lái)了新的安全風(fēng)險(xiǎn)。企業(yè)需要在創(chuàng)新效率與安全可控性之間尋求平衡，這就催生了對(duì)新的網(wǎng)絡(luò)安全技術(shù)的需求。

在2025年中國(guó)網(wǎng)絡(luò)安全技術(shù)成熟度曲線上，新加入了的技術(shù)中大部分與AI的采用和監(jiān)管合規(guī)發(fā)展密切相關(guān)。AI TRiSM（人工智能信任、風(fēng)險(xiǎn)與安全管理）備受關(guān)注。

陳延全指出，AI TRiSM并不是一個(gè)單一的產(chǎn)品，而是一個(gè)應(yīng)對(duì)AI帶來(lái)的安全風(fēng)險(xiǎn)問(wèn)題的最佳管理實(shí)踐或框架。AI TRiSM包含AI治理工作和AI運(yùn)行、安全檢測(cè)與防護(hù)的技術(shù)能力。隨著AI在企業(yè)中的廣泛應(yīng)用，如何確保AI的信任、風(fēng)險(xiǎn)和安全成為企業(yè)面臨的重要問(wèn)題。AI TRiSM框架為企業(yè)提供了全面的解決方案，幫助企業(yè)應(yīng)對(duì)AI帶來(lái)的挑戰(zhàn)。

作為AI TRiSM的子集，中國(guó)AI網(wǎng)關(guān)在AI系統(tǒng)運(yùn)行時(shí)的檢測(cè)方面發(fā)揮著重要作用。據(jù)介紹，中國(guó)AI網(wǎng)關(guān)可以對(duì)API密鑰進(jìn)行管控，管理AI使用，并提供數(shù)據(jù)保護(hù)。國(guó)內(nèi)很多安全廠商基于既有的API安全網(wǎng)關(guān)產(chǎn)品或應(yīng)用防火墻產(chǎn)品，推出了AI安全網(wǎng)關(guān)產(chǎn)品，發(fā)展迅速。陳延全強(qiáng)調(diào)，不同于國(guó)外API安全網(wǎng)關(guān)，中國(guó)AI網(wǎng)關(guān)需協(xié)助用戶同時(shí)滿足《生成式AI服務(wù)管理暫行辦法》等本土合規(guī)要求，提供密鑰輪換、內(nèi)容脫敏、成本可視化等特色功能。

除了以上兩項(xiàng)技術(shù)之外，數(shù)據(jù)安全態(tài)勢(shì)管理（DSPM）也是一項(xiàng)受益頗豐的技術(shù)。數(shù)據(jù)安全態(tài)勢(shì)管理（DSPM）解決混合云環(huán)境下的“數(shù)據(jù)盲區(qū)”問(wèn)題。DSPM通過(guò)機(jī)器學(xué)習(xí)自動(dòng)發(fā)現(xiàn)跨云、跨地域的敏感數(shù)據(jù)，并生成動(dòng)態(tài)風(fēng)險(xiǎn)圖譜。陳延全表示，DSPM更加關(guān)注數(shù)據(jù)的動(dòng)態(tài)流轉(zhuǎn)和風(fēng)險(xiǎn)檢測(cè)，為企業(yè)提供實(shí)時(shí)的數(shù)據(jù)風(fēng)險(xiǎn)視圖。隨著AI的發(fā)展，數(shù)據(jù)的動(dòng)態(tài)性增加，DSPM技術(shù)能夠幫助企業(yè)及時(shí)發(fā)現(xiàn)和處理數(shù)據(jù)安全問(wèn)題。

在技術(shù)曲線中，還提到了部分技術(shù)存在“虛假成熟”現(xiàn)象，企業(yè)應(yīng)如何規(guī)避？陳延全以網(wǎng)絡(luò)安全AI助手為例，進(jìn)行了細(xì)致的介紹。他表示，“網(wǎng)絡(luò)安全AI助手” (Cybersecurity AI Assistant) 正好處在期望膨脹期的頂峰 。為什么說(shuō)它有泡沫？報(bào)告指出，一方面，用戶對(duì)它寄予厚望，希望它能解決安全人才短缺、提升運(yùn)營(yíng)效率 。但另一方面，它的“阻礙因素”也很明顯，如：AI的“幻覺(jué)”（即輸出不準(zhǔn)確的信息）問(wèn)題可能導(dǎo)致誤判；企業(yè)數(shù)據(jù)隱私和安全保障機(jī)制尚不成熟；而且其效果高度依賴于高質(zhì)量的數(shù)據(jù)和模型的訓(xùn)練，很多本土廠商的模型表現(xiàn)還達(dá)不到預(yù)期 。這些都意味著，雖然很多企業(yè)可能在試用，但離真正把它無(wú)縫嵌入核心實(shí)戰(zhàn)流程、并完全信賴它的決策，還有很長(zhǎng)的路要走。這其中的期望與現(xiàn)實(shí)差距，就是泡沫。

采訪過(guò)程中，陳延全從三個(gè)方面出發(fā)，詳細(xì)介紹了破局的關(guān)鍵之道

首先，謹(jǐn)慎挑選首批應(yīng)用場(chǎng)景。與更加成熟的現(xiàn)有技術(shù)相比，新技術(shù)的首批部署可能出現(xiàn)更高的錯(cuò)誤率。在獲得可量化成果前，不要支付費(fèi)用。

其次，評(píng)估隱私功能和模型架構(gòu)，確保對(duì)共享給生成式AI助手的數(shù)據(jù)類型進(jìn)行控制。

最后，建立并強(qiáng)制執(zhí)行“人機(jī)協(xié)同”的驗(yàn)證流程 。從政策層面明確，所有由AI助手生成的內(nèi)容，無(wú)論是代碼、腳本還是配置建議，在最終部署前都必須經(jīng)過(guò)有經(jīng)驗(yàn)的安全分析師進(jìn)行同行評(píng)審和充分測(cè)試 。應(yīng)始終將AI的輸出視為“僅為草稿狀態(tài)”，而不是可以直接執(zhí)行的最終指令 。這道“人工防火墻”是現(xiàn)階段防范AI幻覺(jué)風(fēng)險(xiǎn)、確保安全操作準(zhǔn)確性的關(guān)鍵保障。

從安全左移到業(yè)務(wù)融合，推動(dòng)業(yè)務(wù)轉(zhuǎn)型

安全與敏捷的平衡，是企業(yè)數(shù)字化轉(zhuǎn)型中永恒的課題。2025年中國(guó)網(wǎng)絡(luò)安全技術(shù)成熟度曲線報(bào)告的開(kāi)篇就強(qiáng)調(diào)，CIO們需要“在保障安全的同時(shí)保持敏捷性” 。曲線上確實(shí)有一些技術(shù)正在破解這個(gè)難題。核心思路是：將安全能力“左移”和“自動(dòng)化”，使其成為業(yè)務(wù)流程的內(nèi)在組成部分，而不是事后的“剎車”。

一個(gè)典型的例子是“對(duì)抗性暴露面驗(yàn)證” (Adversarial Exposure Validation, AEV)。

它如何平衡安全與敏捷？ 傳統(tǒng)的安全測(cè)試，比如滲透測(cè)試，通常是周期性的、手動(dòng)的，非常慢，跟不上現(xiàn)在DevOps的敏捷開(kāi)發(fā)速度。AEV提供的是“自動(dòng)化、持續(xù)性的驗(yàn)證機(jī)制” 。它可以像流水線上的質(zhì)量檢測(cè)員一樣，持續(xù)不斷地模擬攻擊，驗(yàn)證你的防御是否有效。

如何同時(shí)服務(wù)于治理和轉(zhuǎn)型？

服務(wù)嚴(yán)格治理：報(bào)告提到，中國(guó)企業(yè)需要應(yīng)對(duì)“國(guó)家級(jí)攻防演練”等關(guān)鍵合規(guī)要求 。AEV通過(guò)持續(xù)的自動(dòng)化測(cè)試，可以確保企業(yè)的安全態(tài)勢(shì)始終滿足這些嚴(yán)格的合規(guī)標(biāo)準(zhǔn)，為治理提供了可靠的技術(shù)支撐。

服務(wù)業(yè)務(wù)轉(zhuǎn)型：在業(yè)務(wù)快速轉(zhuǎn)型時(shí)，新的應(yīng)用、新的云服務(wù)不斷上線，攻擊面也在動(dòng)態(tài)變化。對(duì)抗性暴露面驗(yàn)證能夠敏捷地適應(yīng)這種變化，快速驗(yàn)證新上線的系統(tǒng)是否存在可被利用的攻擊路徑 。這使得業(yè)務(wù)團(tuán)隊(duì)可以放心地進(jìn)行創(chuàng)新和擴(kuò)張，因?yàn)榘踩?yàn)證是同步進(jìn)行的，而不是一個(gè)滯后的瓶頸。它讓安全從“阻礙者”變成了業(yè)務(wù)轉(zhuǎn)型的“護(hù)航者”。

另一個(gè)例子是“數(shù)據(jù)安全平臺(tái)” (Data Security Platforms, DSPs) 。它通過(guò)統(tǒng)一的平臺(tái)來(lái)集中部署數(shù)據(jù)安全策略 ，避免了過(guò)去多種工具策略不一、管理混亂的局面。這既簡(jiǎn)化了管理（敏捷），又確保了跨云、跨本地?cái)?shù)據(jù)存儲(chǔ)的一致性保護(hù)（治理），從而安全地釋放數(shù)據(jù)在AI和分析項(xiàng)目中的價(jià)值，推動(dòng)業(yè)務(wù)轉(zhuǎn)型。

技術(shù)優(yōu)先級(jí)矩陣：助力企業(yè)決策

除了解讀Gartner中國(guó)網(wǎng)絡(luò)安全技術(shù)成熟度曲線之外，采訪中陳延全還分享了2025年中國(guó)網(wǎng)張安全技術(shù)優(yōu)先級(jí)矩陣。

安全技術(shù)優(yōu)先級(jí)矩陣從兩個(gè)維度對(duì)企業(yè)關(guān)注的網(wǎng)絡(luò)安全技術(shù)及最佳實(shí)踐進(jìn)行評(píng)估?？v軸表示技術(shù)及最佳實(shí)踐對(duì)甲方企業(yè)業(yè)務(wù)的影響級(jí)別，從低到高；橫軸表示技術(shù)距離被絕大部分企業(yè)采用所需的時(shí)間，從最短兩年以內(nèi)到十年以上。

陳延全表示，企業(yè)可以根據(jù)這個(gè)矩陣，結(jié)合自身需求和發(fā)展戰(zhàn)略，選擇適合的技術(shù)進(jìn)行投資和部署。對(duì)于追求短期成果、解決合規(guī)問(wèn)題或關(guān)鍵安全問(wèn)題的企業(yè)，可以關(guān)注兩年以內(nèi)的技術(shù)；而對(duì)于愿意長(zhǎng)期投入、關(guān)注行業(yè)顛覆性技術(shù)的企業(yè)，則可以關(guān)注5 - 10年才會(huì)成熟的技術(shù)。

筆者發(fā)現(xiàn)，在矩陣中，數(shù)據(jù)的分類、安全服務(wù)訪問(wèn)邊緣、AI信任風(fēng)險(xiǎn)和安全管理、中國(guó)的隱私保護(hù)以及安全服務(wù)邊緣等技術(shù)受到了企業(yè)的重點(diǎn)關(guān)注。

陳延全指出，這些技術(shù)相對(duì)成熟，市場(chǎng)上有很多廠商能夠提供解決方案，且對(duì)企業(yè)業(yè)務(wù)的影響較大。以數(shù)據(jù)的分類為例，受國(guó)內(nèi)監(jiān)管推動(dòng)，大部分企業(yè)已經(jīng)采用技術(shù)手段進(jìn)行數(shù)據(jù)分類分級(jí)。

“這不僅有助于企業(yè)滿足合規(guī)要求，還能為后續(xù)的數(shù)據(jù)安全保護(hù)和業(yè)務(wù)發(fā)展提供基礎(chǔ)支持?！?陳延全如是說(shuō)。

總結(jié)：

隨著行業(yè)的不斷發(fā)展，新的網(wǎng)絡(luò)安全技術(shù)將不斷涌現(xiàn)。Gartner的中國(guó)網(wǎng)絡(luò)安全技術(shù)成熟度曲線，則為企業(yè)提供了清晰的行業(yè)發(fā)展視圖和技術(shù)評(píng)估框架。企業(yè)在選擇網(wǎng)絡(luò)安全技術(shù)時(shí)，應(yīng)結(jié)合自身的業(yè)務(wù)需求和發(fā)展戰(zhàn)略。不同行業(yè)、不同規(guī)模的企業(yè)對(duì)網(wǎng)絡(luò)安全的需求各不相同。

筆者認(rèn)為，企業(yè)應(yīng)充分利用這一工具，把握行業(yè)發(fā)展趨勢(shì)，在保障安全的同時(shí)實(shí)現(xiàn)業(yè)務(wù)的敏捷創(chuàng)新，在數(shù)字化浪潮中贏得競(jìng)爭(zhēng)優(yōu)勢(shì)。