产品市场双周报（5月下刊）

一、重点关注

1. 关于国家标准《信息安全技术人工智能计算平台安全框架》征求意见稿征求意见的通知 反馈入口

经标准编制单位的辛勤努力，现已形成国家标准《信息安全技术 人工智能计算平台安全框架》征求意见稿。为确保标准质量，信安标委秘书处面向社会广泛征求意见。

并将意见于2023年07月14日前反馈给信安标委秘书处。

2. Forrester发布“漏洞风险管理(VRM)竞争态势”报告

1) 市场成熟度

VRM目前是有稳定需求的技术市场    

• VRM技术能力向CAASM演进
• Vulnerability范围扩大，不再局限于(CVEs)，还包含：风险暴露面、错误配置、基准差（gaps in benchmarks)、云安全配置监测
• 终端安全解决方案中一项标准能力

2)市场动态

• 主要趋势：漏洞风险评估需要更多信息输入源（业务环境、威胁情报、攻击路径与资产关联性等）
• 主要挑战：新技术、多层连接、影子资产漏洞风险没那么可视化。企业必须从不同的系统中获取数据，或导出到电子表格和数据分析平台中，以微调和了解与每个组织相关的风险。
• 搅局者：持续创新带来新的漏洞。随着颠覆性的尖端技术（如生成人工智能或量子计算）的出现和发展，新的漏洞也将随之而来。这将使新的VRM供应商进入市场，以解决特定的漏洞。

   3) 年营收>$300 million主要玩家

   4)Top Use case

• 漏洞优先级处理
• 漏洞和暴露面识别
• 资产风险评级
• 漏洞风险报告和合规
• 漏洞风险响应

二、技术动态

1.  应用安全态势管理 Application Security Posture Management（ASPM ）

  5月Gartner发布 ASPM创新洞察报告，报告预估：到2026年，超过40%的开发专有应用程序的组织将采用ASPM，以更快地识别和解决应用程序安全问题。

• ASPM是什么？ASM产品支持在整个软件开发生命周期（SDLC）中集成和利用应用程序安全工具，从而产生与单个应用程序及其组成部分相关的风险视图。

• ASPM价值

         ASPM实现了来自多个来源的安全数据的关联，提供了比传统的孤立方法更全面的安全问题视图，以及对完整系统整体状态的洞察。随着对应用程序安全态势的可见性

         提高，组织能够更好地跨域划分优先级和管理风险。

• ASPM产品的2个核心功能                                                                                                                                                                                                                                                                                                                                      

          1）能够指定要执行的测试，并对违反策略的行为进行优先级排序

          2）数据的相关性，以提高用户对问题的理解。对生产环境的可见性可能会揭示其他安全问题

2.  威胁情报在外部攻击面管理中应用

5月Gartner发布最新“威胁情报市场指南”，报告指出在所有安全市场中，最终用户对供应商整合的需求不断增加，导致安全威胁情报中包含了邻近市场的威胁情报功能，其中包含外部攻击面管理（EASM），可用于：

• 发现外部数字资产（本地和云），IPv4资产、web应用程序、SSL证书
• 列举软件漏洞和安全脆弱性，支持确定修复优先级，通常使用可发现性和可利用性作为风险评分的因素
• 增加与主动利用漏洞相关的属性

3. 企业应该关注的10种AI攻击类型 详情

为了防范AI技术大规模应用的安全风险，企业需要打赢一场“双线战争”，不仅需要能够阻止对抗性AI攻击对已部署的AI模型所构成的威胁，而且还要面对攻击者利用AI技术发起各种类型的新攻击。

4. Tenable和Splunk启动战略合作伙伴关系，以改善数据驱动的事件响应

Tenable的漏洞管理洞察力与Splunk的日志和流整合功能相结合，简化了风险优先级，加速了威胁响应，最终降低了整体业务风险。

5. 创新安全技术应用评估的5个关键因素 详情

2023 RSAC大会上，网络安全厂商ThreatBlockr首席执行官、总裁Brian McMahon表示：现代企业的安全领导者应该知道如何将梦想与现实分割开来，不能“为了技术而技术”。面对不断出现的新兴网络安全技术概念时，企业需要理性评估对这些技术的应用期望，并努力从以下5个关键因素去评估每项技术的真面目，包括其可能存在的应用陷阱和不足，该技术是否：

• 具备主动安全防护能力
• 可以充分利用威胁情报
• 是智能化的
• 具备良好的扩展性
• 与现有的技术兼容

6.七大语言模型PK，ChatGPT内容基线评测稳居第一 详情

知道创宇内容安全专家对互联网上流行的7款大型语言模型进行了全面和客观的内容基线评测，并根据内容安全审核规范进行严格打分，形成测评结果，以期为研究者、开发者及使用者提供关于大型语言模型的开发和应用方面的参考。

三、市场与政策动态

1.国家网信办发布《数字中国发展报告（2022年）》报告原文

为贯彻落实党中央、国务院关于建设数字中国的重要部署，深入实施《数字中国建设整体布局规划》，国家互联网信息办公室会同有关方面系统总结2022年各地区、各部门推进数字中国建设取得的主要成效，开展数字中国发展地区评价，展望2023年数字中国发展工作，编制形成《数字中国发展报告（2022年）》。

2.《网络安全标准实践指南—网络数据安全风险评估实施指引》正式发布 原文下载

为贯彻落实《数据安全法》关于数据安全风险评估的要求，全国信息安全标准化技术委员会秘书处在组织编制国家标准的同时，编制了《网络安全标准实践指南—网络数据安全风险评估实施指引》，用于指导开展网络数据安全风险评估工作。

3.银联发布《开放银行数据保护与合规实践案例报告》报告原文

中国银联技术管理委员会发布《开放银行数据保护与合规实践案例报告》，报告指出开放银行的主旨和核心在于数据和服务的开放共享，是商业银行数字化转型的重要组成部分；据现状提出政策、标准、技术研究的完善建议，进一步有效推进开放银行生态建设。

4.《商用密码管理条例》国务院第4次常务会议修订通过，自2023年7月1日起施行  条例原文