探寻中国网络安全新航向：Gartner中国网络安全技术成熟度曲线深度解析

在数字经济时代的今天，网络安全已经成为全球企业普遍关注的重点。随着人工智能尤其是生成式AI技术在不同行业的加速落地，中国网络安全市场也正在经历着从“合规驱动”到“业务赋能”的范式转变。

作为全球领先的研究与咨询公司，Gartner发布的网络安全技术成熟度曲线一直是行业发展的风向标。近日，Gartner中国网络安全团队的高级研究总监陈延全接受了笔者的采访，为我们深入解读了2025年中国网络安全技术成熟度曲线，并揭示了行业未来的发展趋势与机遇。

陈延全表示，中国网络安全技术成熟度曲线旨在为企业提供全面且贴合中国实际的网络安全技术发展视图。通过此曲线图，企业可以清晰地看到各项网络安全技术所处的发展阶段，从而制定出更具前瞻性的战略规划。

AI技术崛起，亮点与挑战并存

生成式AI无疑是今年所有企业最为关注的技术热点。Gartner的调研数据显示，2024年8月只有8%的中国企业部署了生成式AI，而到2025年五月，这一数字提升到了43%，增速非常快。

AI的普及化，给企业带来新的业务机遇的同时，也引发了更多来自应用层、硬件层和基础测试层的安全挑战。例如，垂类AI Agent的构建，其自主性高，带来了新的安全风险。企业需要在创新效率与安全可控性之间寻求平衡，这就催生了对新的网络安全技术的需求。

在2025年中国网络安全技术成熟度曲线上，新加入了的技术中大部分与AI的采用和监管合规发展密切相关。AI TRiSM（人工智能信任、风险与安全管理）备受关注。

陈延全指出，AI TRiSM并不是一个单一的产品，而是一个应对AI带来的安全风险问题的最佳管理实践或框架。AI TRiSM包含AI治理工作和AI运行、安全检测与防护的技术能力。随着AI在企业中的广泛应用，如何确保AI的信任、风险和安全成为企业面临的重要问题。AI TRiSM框架为企业提供了全面的解决方案，帮助企业应对AI带来的挑战。

作为AI TRiSM的子集，中国AI网关在AI系统运行时的检测方面发挥着重要作用。据介绍，中国AI网关可以对API密钥进行管控，管理AI使用，并提供数据保护。国内很多安全厂商基于既有的API安全网关产品或应用防火墙产品，推出了AI安全网关产品，发展迅速。陈延全强调，不同于国外API安全网关，中国AI网关需协助用户同时满足《生成式AI服务管理暂行办法》等本土合规要求，提供密钥轮换、内容脱敏、成本可视化等特色功能。

除了以上两项技术之外，数据安全态势管理（DSPM）也是一项受益颇丰的技术。数据安全态势管理（DSPM）解决混合云环境下的“数据盲区”问题。DSPM通过机器学习自动发现跨云、跨地域的敏感数据，并生成动态风险图谱。陈延全表示，DSPM更加关注数据的动态流转和风险检测，为企业提供实时的数据风险视图。随着AI的发展，数据的动态性增加，DSPM技术能够帮助企业及时发现和处理数据安全问题。

在技术曲线中，还提到了部分技术存在“虚假成熟”现象，企业应如何规避？陈延全以网络安全AI助手为例，进行了细致的介绍。他表示，“网络安全AI助手” (Cybersecurity AI Assistant) 正好处在期望膨胀期的顶峰 。为什么说它有泡沫？报告指出，一方面，用户对它寄予厚望，希望它能解决安全人才短缺、提升运营效率 。但另一方面，它的“阻碍因素”也很明显，如：AI的“幻觉”（即输出不准确的信息）问题可能导致误判；企业数据隐私和安全保障机制尚不成熟；而且其效果高度依赖于高质量的数据和模型的训练，很多本土厂商的模型表现还达不到预期 。这些都意味着，虽然很多企业可能在试用，但离真正把它无缝嵌入核心实战流程、并完全信赖它的决策，还有很长的路要走。这其中的期望与现实差距，就是泡沫。

采访过程中，陈延全从三个方面出发，详细介绍了破局的关键之道

首先，谨慎挑选首批应用场景。与更加成熟的现有技术相比，新技术的首批部署可能出现更高的错误率。在获得可量化成果前，不要支付费用。

其次，评估隐私功能和模型架构，确保对共享给生成式AI助手的数据类型进行控制。

最后，建立并强制执行“人机协同”的验证流程 。从政策层面明确，所有由AI助手生成的内容，无论是代码、脚本还是配置建议，在最终部署前都必须经过有经验的安全分析师进行同行评审和充分测试 。应始终将AI的输出视为“仅为草稿状态”，而不是可以直接执行的最终指令 。这道“人工防火墙”是现阶段防范AI幻觉风险、确保安全操作准确性的关键保障。

从安全左移到业务融合，推动业务转型

安全与敏捷的平衡，是企业数字化转型中永恒的课题。2025年中国网络安全技术成熟度曲线报告的开篇就强调，CIO们需要“在保障安全的同时保持敏捷性” 。曲线上确实有一些技术正在破解这个难题。核心思路是：将安全能力“左移”和“自动化”，使其成为业务流程的内在组成部分，而不是事后的“刹车”。

一个典型的例子是“对抗性暴露面验证” (Adversarial Exposure Validation, AEV)。

它如何平衡安全与敏捷？ 传统的安全测试，比如渗透测试，通常是周期性的、手动的，非常慢，跟不上现在DevOps的敏捷开发速度。AEV提供的是“自动化、持续性的验证机制” 。它可以像流水线上的质量检测员一样，持续不断地模拟攻击，验证你的防御是否有效。

如何同时服务于治理和转型？

服务严格治理：报告提到，中国企业需要应对“国家级攻防演练”等关键合规要求 。AEV通过持续的自动化测试，可以确保企业的安全态势始终满足这些严格的合规标准，为治理提供了可靠的技术支撑。

服务业务转型：在业务快速转型时，新的应用、新的云服务不断上线，攻击面也在动态变化。对抗性暴露面验证能够敏捷地适应这种变化，快速验证新上线的系统是否存在可被利用的攻击路径 。这使得业务团队可以放心地进行创新和扩张，因为安全验证是同步进行的，而不是一个滞后的瓶颈。它让安全从“阻碍者”变成了业务转型的“护航者”。

另一个例子是“数据安全平台” (Data Security Platforms, DSPs) 。它通过统一的平台来集中部署数据安全策略 ，避免了过去多种工具策略不一、管理混乱的局面。这既简化了管理（敏捷），又确保了跨云、跨本地数据存储的一致性保护（治理），从而安全地释放数据在AI和分析项目中的价值，推动业务转型。

技术优先级矩阵：助力企业决策

除了解读Gartner中国网络安全技术成熟度曲线之外，采访中陈延全还分享了2025年中国网张安全技术优先级矩阵。

安全技术优先级矩阵从两个维度对企业关注的网络安全技术及最佳实践进行评估。纵轴表示技术及最佳实践对甲方企业业务的影响级别，从低到高；横轴表示技术距离被绝大部分企业采用所需的时间，从最短两年以内到十年以上。

陈延全表示，企业可以根据这个矩阵，结合自身需求和发展战略，选择适合的技术进行投资和部署。对于追求短期成果、解决合规问题或关键安全问题的企业，可以关注两年以内的技术；而对于愿意长期投入、关注行业颠覆性技术的企业，则可以关注5 - 10年才会成熟的技术。

笔者发现，在矩阵中，数据的分类、安全服务访问边缘、AI信任风险和安全管理、中国的隐私保护以及安全服务边缘等技术受到了企业的重点关注。

陈延全指出，这些技术相对成熟，市场上有很多厂商能够提供解决方案，且对企业业务的影响较大。以数据的分类为例，受国内监管推动，大部分企业已经采用技术手段进行数据分类分级。

“这不仅有助于企业满足合规要求，还能为后续的数据安全保护和业务发展提供基础支持。” 陈延全如是说。

总结：

随着行业的不断发展，新的网络安全技术将不断涌现。Gartner的中国网络安全技术成熟度曲线，则为企业提供了清晰的行业发展视图和技术评估框架。企业在选择网络安全技术时，应结合自身的业务需求和发展战略。不同行业、不同规模的企业对网络安全的需求各不相同。

笔者认为，企业应充分利用这一工具，把握行业发展趋势，在保障安全的同时实现业务的敏捷创新，在数字化浪潮中赢得竞争优势。