在当前数字技术快速发展的大环境下,生成式 AI(GenAI)的爆发式应用让企业效率飙升,但也撕开了全新的安全缺口;国内数据安全法规则从 “框架搭建” 进入 “强力执行” 阶段,企业安全压力陡增。近日,Gartner 发布《2025 年中国网络安全成熟度曲线》,直指当下网络安全的三大核心转向 ——保护人工智能、推动业务转型、增强组织韧性,为 CIO 及安全团队提供了技术选型与战略布局的清晰指南。
一、两大核心驱动力:监管 “强执行”+ GenAI “快渗透”
Gartner 指出,2025 年中国网络安全格局被两股力量深度重塑,二者共同推动安全战略从 “被动合规” 转向 “主动防御”:
1. 国家监管进入 “强力执行期”
2025 年,《网络数据安全管理条例》《业务领域数据安全管理办法》等法规不再停留在 “纸面规则”,而是进入实质性落地阶段。企业若想规避违规风险(如数据泄露处罚),必须部署主动数据保护与治理技术,而非仅满足基础合规要求。
2. GenAI 渗透率半年飙升 5 倍
对比 2024 与 2025 年 Gartner 网络研讨会数据,中国企业 GenAI 采用率从8% 暴涨至 43% 。这一爆发背后,是企业对 “AI 安全” 的双重需求:既要保障 GenAI 应用的数据、模型安全(比如防止敏感数据被大模型泄露),又要借助 AI 提升自身安全能力(如自动化威胁检测)。
此外,全球趋势与本土需求也在叠加:GenAI 驱动的数据安全、机器身份管理等全球主题,正与国内数据安全态势管理(DSPM)、AI 网关等技术深度融合;而地缘政治与认证复杂性则让本土安全供应商进一步巩固主导地位,成为企业选型的优先选项。
二、五大新增关键技术:破解 AI 与数据安全痛点
2025 年成熟度曲线首次纳入 5 项核心技术,精准解决当下企业最棘手的安全难题:
1. AI TRiSM
核心价值是管控 AI 信任、风险与安全,主要解决 AI 数据泄露、输出不合规(如生成非法内容)、第三方风险等问题,确保 AI 行为完全符合企业预设意图,避免因 AI 失控引发业务损失或合规处罚。
2. 中国 AI 网关
聚焦集中管理 AI 模型访问,能有效应对 GenAI 规模化应用后的成本失控问题(比如 API 调用超支),同时防范内容安全风险(如输入输出违规内容),还支持多模型智能路由,让企业无需依赖单一 AI 供应商,提升灵活度。
3. 数据安全态势管理(DSPM)
主打实时洞察数据安全状态,破解混合云、多云环境下 “敏感数据找不到、访问权限理不清” 的痛点,能提前识别并拦截配置错误风险,避免因数据可见性不足导致的泄露或违规。
4. 对抗式暴露验证(AEV)
实现自动化验证攻击暴露面,相比传统入侵模拟(BAS),它不仅能模拟真实攻击场景,还能精准定位关键资产的脆弱路径,完美满足 HW 演习等合规测试要求,帮助企业提前修补安全漏洞。
5. 暴露评估平台(EAP)
核心是主动管理风险暴露,替代传统攻击面管理(ASM),能提供按优先级排序的漏洞视图,大幅简化修复流程,减少安全团队重复工作,显著提升安全运营效率。
三、技术成熟度矩阵:企业该优先布局什么?
Gartner 通过 “效益 - 成熟周期” 矩阵,为企业划分了不同阶段的重点技术,避免资源错配:
1. 2 年内成熟(短期见效)
数据分类:与数据安全平台(DSP)、数据防泄漏(DLP)深度集成,是合规与数据治理的 “基础工程”,已覆盖超 50% 目标企业。
SIEM(安全信息与事件管理):技术趋于稳定,支持 SOC(安全运营中心)集中分析告警,部分产品已集成 GenAI 提升响应效率。
2. 2-5 年成熟(中期战略重点)
高价值技术:AI TRiSM(降低 AI 风险)、中国隐私保护(应对 PIPL 罚款)、SASE(融合网络与安全,支持混合办公)。
零信任核心:ZTNA(零信任网络访问),取代传统 VPN,实现 “最小权限访问”,降低横向移动风险。
3. 5-10 年成熟(长期竞争力构建)
转型级技术:DSPM(数据安全核心)、软件成分分析(SCA,保障开源组件安全)、威胁暴露管理(全面管控攻击面),是数字化企业的长期安全基石。
四、企业实战建议:从 “合规兜底” 到 “业务赋能”
基于报告核心结论,企业可从 3 个方向落地安全战略:
1.优先锁定 “短平快” 高价值技术
2 年内成熟的数据分类与SIEM是 “必选项”,可快速满足合规要求;2-5 年的AI TRiSM+AI 网关则需提前布局,避免 GenAI 规模化后陷入安全被动。
2.押注本土供应商,规避选型风险
非本土工具面临认证复杂、地缘摩擦等问题,而阿里云、奇安信、安恒信息、深信服等本土厂商已覆盖 DSPM、EAP、SASE 等全场景,适配国内法规与 IT 架构。
3.构建 “数据 + AI” 双安全体系
以 DSPM(找数据)+ DSP(管数据)+ DRA(评风险)为核心搭建数据安全体系;以 AI TRiSM + AI 网关为核心构建 AI 安全屏障,二者协同支撑业务创新。
结语:安全不是 “绊脚石”,而是 “加速器”
2025 年的网络安全,早已跳出 “事后救火” 的传统模式 —— 保护 AI 是为了释放技术价值,增强组织韧性是为了支撑业务转型。对于企业而言,借助 Gartner 成熟度曲线找准技术方向,才能让安全从 “合规兜底” 转变为 “数字化加速剂”。
关注我们
