?3月29日，永信至誠舉辦數(shù)據(jù)安全“數(shù)字風洞”產(chǎn)品發(fā)布會，正式推出面向數(shù)據(jù)安全領域的測試評估產(chǎn)品，在“形式合規(guī)”轉向“實質合規(guī)”的行業(yè)背景下，開啟安全風險測試評估由“證有”走向“證無”的嶄新時代。

數(shù)字化背景下，網(wǎng)絡和數(shù)據(jù)安全正由“形式合規(guī)”轉向“實質合規(guī)”

永信至誠董事長蔡晶晶表示，隨著數(shù)字經(jīng)濟的高速發(fā)展，網(wǎng)絡安全和數(shù)據(jù)安全作為經(jīng)濟發(fā)展的關鍵基座，迎來了前所未見的機遇與挑戰(zhàn)。一方面，近年來我國網(wǎng)絡安全、數(shù)據(jù)安全相關法律法規(guī)陸續(xù)推出，對網(wǎng)絡和數(shù)據(jù)安全建設工作提出了諸多標準和要求；另一方面，勒索病毒、特種攻擊等網(wǎng)絡安全威脅層出不窮，嚴重威脅國家安全和社會經(jīng)濟發(fā)展。?

在此情勢下，網(wǎng)絡和數(shù)據(jù)安全行業(yè)規(guī)模增長開始由“形式合規(guī)”轉向“實質合規(guī)”，各行業(yè)領域更加主動理解網(wǎng)絡安全的意義和任務，從業(yè)務視角出發(fā)，建立以保障業(yè)務連續(xù)性和安全風險為目標的安全體系，積極開展網(wǎng)絡和數(shù)據(jù)安全測試評估，驗證防范化解安全風險，以筑牢數(shù)字安全防線和和保障業(yè)務經(jīng)營。?

開啟安全“證無”產(chǎn)品序列，關注安全最后一公里?

蔡晶晶表示，網(wǎng)絡安全發(fā)展的二十多年來，諸多網(wǎng)絡安全優(yōu)秀產(chǎn)品一直在證明可以解決各種“有”的問題，比如證明人有失誤、有脆弱，系統(tǒng)有漏洞、有風險、有病毒，數(shù)據(jù)有泄露、有越權、有殘留等等。當然，用戶需要的不僅僅是“證明有問題”，還希望知道如何在實質合規(guī)的要求下，通過反復對人、系統(tǒng)、數(shù)據(jù)等進行持續(xù)測試評估，督促和幫助系統(tǒng)不斷迭代優(yōu)化，最終無限接近安全，“證明沒有問題”。?

事實上，關于安全“證無”的理念，人類歷史上有許多成功的經(jīng)驗可以為我們在網(wǎng)絡安全和數(shù)據(jù)安全領域提供借鑒。例如，萊特兄弟在第一架飛機試飛之前，三年間進行了1000多次的風洞實驗，不斷對機翼進行反復測試評估后飛上藍天；世界第五代戰(zhàn)機的代表產(chǎn)品F-22，在圖紙定稿之前，也花費了近10年時間，并在15座高低速風洞進行了約4.4萬小時的試驗，才最終確定結構和外形。?

在關注到飛機成功試飛和F-22設計成功之余，我們看到一組數(shù)據(jù)：1000和4.4萬——在證明人類偉大的航天器可靠性、安全性之前，人類經(jīng)歷了1000次和4.4萬小時的風洞測試評估，最終實現(xiàn)了安全“證無”，確保航天器的安全穩(wěn)定可靠。?

對于網(wǎng)絡和數(shù)據(jù)安全領域來說，也需要基于“數(shù)字風洞”進行持續(xù)性的測試評估。正如風洞是航空航天事業(yè)的發(fā)展的搖籃，數(shù)字風洞也是數(shù)字化體系安全測試評估的重要基礎。數(shù)字風洞強調測試評估的持續(xù)性與標準化，提倡盡早測試、頻繁測試、全面測試，通過對人、系統(tǒng)、數(shù)據(jù)、方案、流程等進行量化評估，貫穿規(guī)劃建設、運營和處置等全生命周期的各個階段，從而形成持續(xù)的驗證，不斷發(fā)現(xiàn)安全并消除隱患，直到證明沒有問題，解決數(shù)據(jù)安全最后一公里問題，讓用戶獲得真正的安全感。?

基于安全“證無”理念，發(fā)布數(shù)據(jù)安全“數(shù)字風洞”產(chǎn)品?

基于安全“證無”理念和3×3×3×（產(chǎn)品×服務）安全感公式，永信至誠正式推出數(shù)據(jù)安全“數(shù)字風洞”產(chǎn)品，站在用戶視角構建覆蓋數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開等全周期數(shù)據(jù)處理活動的測試評估體系，圍繞數(shù)據(jù)安全業(yè)務、數(shù)據(jù)安全風險、威脅、合規(guī)等需求，化解數(shù)據(jù)安全治理挑戰(zhàn)，解鎖數(shù)據(jù)安全能力建設新發(fā)力點，提升數(shù)據(jù)安全工作成效。?

作為數(shù)字經(jīng)濟時代的基礎及戰(zhàn)略性資源，數(shù)據(jù)安全得到國家及各行業(yè)的關注。近年來，《數(shù)據(jù)安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》《數(shù)據(jù)出境安全評估辦法》和《網(wǎng)絡數(shù)據(jù)安全管理條例（征求意見稿）》等數(shù)據(jù)安全相關法律法規(guī)相繼出臺、實施。與此同時，中共中央、國務院印發(fā)《數(shù)字中國建設整體布局規(guī)劃》，強調要增強數(shù)據(jù)安全保障能力。十四屆全國人大一次會議表決通過了組建國家數(shù)據(jù)局的決定，再次肯定了數(shù)據(jù)資源在國家發(fā)展戰(zhàn)略中的重要地位。?

目前，各行業(yè)各領域用戶都非常重視數(shù)據(jù)安全。永信至誠CTO張凱在現(xiàn)場表示，在數(shù)據(jù)安全的實踐中，我們看到很多行業(yè)用戶都部署了數(shù)據(jù)采集安全、數(shù)據(jù)訪問控制、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全等各類數(shù)據(jù)安全設施，做了各種嘗試，每一次加強建設可能都在某一方面上提供了幫助，但用戶依然面臨“不知道”“看不清”等瓶頸，從總體安全的角度難以獲得安全感。?

依據(jù)國家標準、政策要求、行業(yè)指南等內容，通過各行業(yè)經(jīng)驗的實踐總結，永信至誠數(shù)據(jù)安全“數(shù)字風洞”產(chǎn)品重點聚焦人和系統(tǒng)兩個維度設置7大產(chǎn)品模塊，通過科學的測評方法、精心設計的測評環(huán)境、數(shù)字化的測試流程、豐富的測評手段、標準化的測評報告和精準的優(yōu)化分析等，支撐城市、行業(yè)、單位等用戶進行常態(tài)化、數(shù)字化測試評估，實現(xiàn)數(shù)據(jù)安全可知、可視、可驗、可量化，并從法律法規(guī)、風險評估、實戰(zhàn)攻防、仿真模擬、國家標準規(guī)范等維度全流程提供專家支持，幫助用戶找準發(fā)力點，通過反復的迭代優(yōu)化不斷“證無”，在過程中科學量化數(shù)據(jù)安全建設成效，幫助用戶實現(xiàn)實質合規(guī)要求。?

風洞載荷時光機，助力安全測評風險及時優(yōu)化與消除?

張凱表示，在實質合規(guī)的驅動下，測試評估工作需要反復進行，并對階段成果進行計量和評估，有目的、有計劃的記錄測評過程中的各類數(shù)據(jù)變化，根據(jù)計量結果不斷科學調整優(yōu)化方案。?

為此，永信至誠在數(shù)據(jù)安全“數(shù)字風洞”產(chǎn)品中構建了自主研發(fā)的風洞載荷時光機子系統(tǒng)，將測試環(huán)境以及配套的測試風險載荷以“風洞時光”的形態(tài)封存在“數(shù)字風洞”之中，成為下一次測試的基礎。這樣，每次測試前，系統(tǒng)都會優(yōu)先將上一次的“風洞時光”進行測試并驗證，以確保之前的風險得到及時的迭代進化。隨著“測試-發(fā)現(xiàn)風險-迭代優(yōu)化-再測試-再迭代優(yōu)化”過程的不斷反復，逐漸收斂并消除數(shù)據(jù)安全風險，進而幫助用戶實現(xiàn)安全“證無”的目標。?

與此同時，隨著系統(tǒng)的反復迭代，“數(shù)字風洞”內的諸多風險載荷也在不斷積累，當企業(yè)需要分析風險成因或基于某些特定場景進行推演分析時，可以一鍵提取出封存的風險載荷，實現(xiàn)測試評估場景化、立體式分析，并對安全防御能力建設形成價值參考和有效指導。?

七大產(chǎn)品模塊，打造數(shù)據(jù)安全測試評估標準平臺?

發(fā)布會現(xiàn)場，張凱圍繞人、系統(tǒng)、數(shù)據(jù)、合規(guī)等安全測試驗證需求，分享了永信至誠數(shù)據(jù)安全“數(shù)字風洞”的七大產(chǎn)品模塊。?

01 數(shù)據(jù)安全意識測試評估?

遵循《數(shù)據(jù)安全法》《數(shù)據(jù)安全能力成熟度模型》等國家標準，助力數(shù)據(jù)安全人員能力、制度流程和組織架構建設的完善提升。測評內容豐富多樣，不僅涵蓋法律法規(guī)和數(shù)據(jù)安全治理標準的常規(guī)考點，在考評中加入實際案例分析場景，還沉淀數(shù)千道可用于合規(guī)、防詐騙、防泄密、基礎安全知識等方面的測評內容。在工信部指導的首屆數(shù)據(jù)安全大賽中，該測試評估內容模塊進行了有效實踐。?

02 技能測試評估?

圍繞數(shù)據(jù)安全專業(yè)運維人員提供體系化的模擬實戰(zhàn)測評環(huán)境，為實施日常演練、技能考評、實踐強化提供支撐條件。以測促學、以評促建，讓上崗人員通過實戰(zhàn)對抗，不斷測評和總結，發(fā)現(xiàn)技能短板，掌握最新技能，幫助受訓人員和團隊掌握專業(yè)化的數(shù)據(jù)安全運維能力。?

03 實網(wǎng)系統(tǒng)測試評估?

支持對實網(wǎng)測評全過程的把控，包括測評前準備、測評中成果審核和行為監(jiān)控、測評后數(shù)據(jù)統(tǒng)計分析和優(yōu)化等，內置多種測評打分模型和技戰(zhàn)術模型并支持后續(xù)導入。在測評中有效檢驗目標系統(tǒng)設施存在的安全漏洞，并提供可借鑒的漏洞解決方案，漏洞挖掘過程全程審計和相關數(shù)據(jù)全面留存在系統(tǒng)內，使參演單位及時發(fā)現(xiàn)問題，修補漏洞，大大降低數(shù)據(jù)安全風險，驗證實網(wǎng)系統(tǒng)的建設成效。?

04 數(shù)據(jù)生命周期測試評估?

針對數(shù)據(jù)業(yè)務系統(tǒng)及防御措施對數(shù)據(jù)安全防御能力、策略有效性開展驗證評估?；跇I(yè)務應用場景構建高逼真模擬環(huán)境，根據(jù)建設要求在平臺中構建測評方案，加載測評工具及測評數(shù)據(jù)集，快速判定安全設置對應用場景的防護價值，利用測評數(shù)據(jù)識別設施防御短板，及時調整策略或優(yōu)化產(chǎn)品并反復測評，為數(shù)據(jù)安全能力建設、實施和改進提供數(shù)字化、流程化和模型化解決方案。?

05 應急演練測評?

依托應急推演模式，構建內部人員泄露、外部黑客攻擊、勒索軟件、供應商數(shù)據(jù)泄露等觸發(fā)數(shù)據(jù)安全事故的場景，驗證組織設定的應急響應措施、流程及各部門執(zhí)行能力，不斷改進應急預案及數(shù)據(jù)安全防護能力。?

06 合規(guī)測試評估?

涵蓋人員能力、技術設施、制度流程建設、組織架構完善程度等方面的多套合規(guī)體系，動態(tài)加載測評指標、評價模型，并利用數(shù)字化流程規(guī)范和記錄合規(guī)測評全流程以及數(shù)據(jù)歸檔及分析，是進行日常合規(guī)性管理的信息聚合工具和數(shù)字化測評管控平臺，服務于數(shù)據(jù)安全業(yè)務方日常建設、監(jiān)管方常態(tài)化監(jiān)督以及測評機構第三方評估。?

07 風險評估?

參考國家風險評估標準，全面識別信息系統(tǒng)在技術層面和管理層面存在的不足，通過現(xiàn)網(wǎng)系統(tǒng)風險測評、新建系統(tǒng)脆弱性測評，主動發(fā)現(xiàn)和驗證數(shù)據(jù)安全問題，內置多個成熟評價模型開展數(shù)據(jù)安全定性定量評估，有效達成安全檢測的控制和審核，對風險進行閉環(huán)管理，實現(xiàn)檢測工作及漏洞的全生命周期管理和控制。?

在統(tǒng)籌發(fā)展和安全的戰(zhàn)略指引以及當前網(wǎng)絡和數(shù)據(jù)安全新形勢之下，“形式合規(guī)”轉向“實質合規(guī)”的大趨勢已然形成，網(wǎng)絡安全與數(shù)據(jù)安全市場發(fā)展空間巨大，加強人、系統(tǒng)和數(shù)據(jù)安全風險的持續(xù)測試，不斷發(fā)現(xiàn)問題并采取措施、提前防范化解風險和威脅，是數(shù)字中國發(fā)展的前提。作為所有數(shù)字化系統(tǒng)安全的基礎設施，“數(shù)字風洞”產(chǎn)品體系正在與業(yè)界專業(yè)的安全防御產(chǎn)品一起，共同幫助用戶實現(xiàn)安全“證無”，構建數(shù)字時代的安全感。?

作為網(wǎng)絡靶場和人才建設領軍者，永信至誠將始終圍繞國家需要和市場需求，以規(guī)?；l(fā)展引領測試評估百億市場空間賽道，為政企用戶數(shù)字化轉型提供專業(yè)的網(wǎng)絡和數(shù)據(jù)安全測試保障及專有人才支撐，為我國數(shù)字經(jīng)濟安全穩(wěn)健發(fā)展保駕護航，致力于成為中國網(wǎng)絡空間與數(shù)字時代安全基礎設施關鍵建設者，實現(xiàn)“帶給世界安全感”的愿景。?