數(shù)字化背景下，網(wǎng)絡(luò)和數(shù)據(jù)安全正由“形式合規(guī)”轉(zhuǎn)向“實質(zhì)合規(guī)”

　　永信至誠董事長蔡晶晶表示，隨著數(shù)字經(jīng)濟(jì)的高速發(fā)展，網(wǎng)絡(luò)安全和數(shù)據(jù)安全作為經(jīng)濟(jì)發(fā)展的關(guān)鍵基座，迎來了前所未見的機(jī)遇與挑戰(zhàn)。一方面，近年來我國網(wǎng)絡(luò)安全、數(shù)據(jù)安全相關(guān)法律法規(guī)陸續(xù)推出，對網(wǎng)絡(luò)和數(shù)據(jù)安全建設(shè)工作提出了諸多標(biāo)準(zhǔn)和要求；另一方面，勒索病毒、特種攻擊等網(wǎng)絡(luò)安全威脅層出不窮，嚴(yán)重威脅國家安全和社會經(jīng)濟(jì)發(fā)展。

　　在此情勢下，網(wǎng)絡(luò)和數(shù)據(jù)安全行業(yè)規(guī)模增長開始由“形式合規(guī)”轉(zhuǎn)向“實質(zhì)合規(guī)”，各行業(yè)領(lǐng)域更加主動理解網(wǎng)絡(luò)安全的意義和任務(wù)，從業(yè)務(wù)視角出發(fā)，建立以保障業(yè)務(wù)連續(xù)性和安全風(fēng)險為目標(biāo)的安全體系，積極開展網(wǎng)絡(luò)和數(shù)據(jù)安全測試評估，驗證防范化解安全風(fēng)險，以筑牢數(shù)字安全防線和和保障業(yè)務(wù)經(jīng)營。

　　開啟安全“證無”產(chǎn)品序列，關(guān)注安全最后一公里

　　蔡晶晶表示，網(wǎng)絡(luò)安全發(fā)展的二十多年來，諸多網(wǎng)絡(luò)安全優(yōu)秀產(chǎn)品一直在證明可以解決各種“有”的問題，比如證明人有失誤、有脆弱，系統(tǒng)有漏洞、有風(fēng)險、有病毒，數(shù)據(jù)有泄露、有越權(quán)、有殘留等等。當(dāng)然，用戶需要的不僅僅是“證明有問題”，還希望知道如何在實質(zhì)合規(guī)的要求下，通過反復(fù)對人、系統(tǒng)、數(shù)據(jù)等進(jìn)行持續(xù)測試評估，督促和幫助系統(tǒng)不斷迭代優(yōu)化，最終無限接近安全，“證明沒有問題”。

　　事實上，關(guān)于安全“證無”的理念，人類歷史上有許多成功的經(jīng)驗可以為我們在網(wǎng)絡(luò)安全和數(shù)據(jù)安全領(lǐng)域提供借鑒。例如，萊特兄弟在第一架飛機(jī)試飛之前，三年間進(jìn)行了1000多次的風(fēng)洞實驗，不斷對機(jī)翼進(jìn)行反復(fù)測試評估后飛上藍(lán)天；世界第五代戰(zhàn)機(jī)的代表產(chǎn)品F-22，在圖紙定稿之前，也花費(fèi)了近10年時間，并在15座高低速風(fēng)洞進(jìn)行了約4.4萬小時的試驗，才最終確定結(jié)構(gòu)和外形。

　　在關(guān)注到飛機(jī)成功試飛和F-22設(shè)計成功之余，我們看到一組數(shù)據(jù)：1000和4.4萬——在證明人類偉大的航天器可靠性、安全性之前，人類經(jīng)歷了1000次和4.4萬小時的風(fēng)洞測試評估，最終實現(xiàn)了安全“證無”，確保航天器的安全穩(wěn)定可靠。

　　對于網(wǎng)絡(luò)和數(shù)據(jù)安全領(lǐng)域來說，也需要基于“數(shù)字風(fēng)洞”進(jìn)行持續(xù)性的測試評估。正如風(fēng)洞是航空航天事業(yè)的發(fā)展的搖籃，數(shù)字風(fēng)洞也是數(shù)字化體系安全測試評估的重要基礎(chǔ)。數(shù)字風(fēng)洞強(qiáng)調(diào)測試評估的持續(xù)性與標(biāo)準(zhǔn)化，提倡盡早測試、頻繁測試、全面測試，通過對人、系統(tǒng)、數(shù)據(jù)、方案、流程等進(jìn)行量化評估，貫穿規(guī)劃建設(shè)、運(yùn)營和處置等全生命周期的各個階段，從而形成持續(xù)的驗證，不斷發(fā)現(xiàn)安全并消除隱患，直到證明沒有問題，解決數(shù)據(jù)安全最后一公里問題，讓用戶獲得真正的安全感。

　　基于安全“證無”理念，發(fā)布數(shù)據(jù)安全“數(shù)字風(fēng)洞”產(chǎn)品

　　基于安全“證無”理念和3×3×3×（產(chǎn)品×服務(wù)）安全感公式，永信至誠正式推出數(shù)據(jù)安全“數(shù)字風(fēng)洞”產(chǎn)品，站在用戶視角構(gòu)建覆蓋數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開等全周期數(shù)據(jù)處理活動的測試評估體系，圍繞數(shù)據(jù)安全業(yè)務(wù)、數(shù)據(jù)安全風(fēng)險、威脅、合規(guī)等需求，化解數(shù)據(jù)安全治理挑戰(zhàn)，解鎖數(shù)據(jù)安全能力建設(shè)新發(fā)力點，提升數(shù)據(jù)安全工作成效。

　　作為數(shù)字經(jīng)濟(jì)時代的基礎(chǔ)及戰(zhàn)略性資源，數(shù)據(jù)安全得到國家及各行業(yè)的關(guān)注。近年來，《數(shù)據(jù)安全法》《個人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《數(shù)據(jù)出境安全評估辦法》和《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》等數(shù)據(jù)安全相關(guān)法律法規(guī)相繼出臺、實施。與此同時，中共中央、國務(wù)院印發(fā)《數(shù)字中國建設(shè)整體布局規(guī)劃》，強(qiáng)調(diào)要增強(qiáng)數(shù)據(jù)安全保障能力。十四屆全國人大一次會議表決通過了組建國家數(shù)據(jù)局的決定，再次肯定了數(shù)據(jù)資源在國家發(fā)展戰(zhàn)略中的重要地位。

　　目前，各行業(yè)各領(lǐng)域用戶都非常重視數(shù)據(jù)安全。永信至誠CTO張凱在現(xiàn)場表示，在數(shù)據(jù)安全的實踐中，我們看到很多行業(yè)用戶都部署了數(shù)據(jù)采集安全、數(shù)據(jù)訪問控制、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全等各類數(shù)據(jù)安全設(shè)施，做了各種嘗試，每一次加強(qiáng)建設(shè)可能都在某一方面上提供了幫助，但用戶依然面臨“不知道”“看不清”等瓶頸，從總體安全的角度難以獲得安全感。

　　依據(jù)國家標(biāo)準(zhǔn)、政策要求、行業(yè)指南等內(nèi)容，通過各行業(yè)經(jīng)驗的實踐總結(jié)，永信至誠數(shù)據(jù)安全“數(shù)字風(fēng)洞”產(chǎn)品重點聚焦人和系統(tǒng)兩個維度設(shè)置7大產(chǎn)品模塊，通過科學(xué)的測評方法、精心設(shè)計的測評環(huán)境、數(shù)字化的測試流程、豐富的測評手段、標(biāo)準(zhǔn)化的測評報告和精準(zhǔn)的優(yōu)化分析等，支撐城市、行業(yè)、單位等用戶進(jìn)行常態(tài)化、數(shù)字化測試評估，實現(xiàn)數(shù)據(jù)安全可知、可視、可驗、可量化，并從法律法規(guī)、風(fēng)險評估、實戰(zhàn)攻防、仿真模擬、國家標(biāo)準(zhǔn)規(guī)范等維度全流程提供專家支持，幫助用戶找準(zhǔn)發(fā)力點，通過反復(fù)的迭代優(yōu)化不斷“證無”，在過程中科學(xué)量化數(shù)據(jù)安全建設(shè)成效，幫助用戶實現(xiàn)實質(zhì)合規(guī)要求。

　　風(fēng)洞載荷時光機(jī)，助力安全測評風(fēng)險及時優(yōu)化與消除

　　張凱表示，在實質(zhì)合規(guī)的驅(qū)動下，測試評估工作需要反復(fù)進(jìn)行，并對階段成果進(jìn)行計量和評估，有目的、有計劃的記錄測評過程中的各類數(shù)據(jù)變化，根據(jù)計量結(jié)果不斷科學(xué)調(diào)整優(yōu)化方案。

　　為此，永信至誠在數(shù)據(jù)安全“數(shù)字風(fēng)洞”產(chǎn)品中構(gòu)建了自主研發(fā)的風(fēng)洞載荷時光機(jī)子系統(tǒng)，將測試環(huán)境以及配套的測試風(fēng)險載荷以“風(fēng)洞時光”的形態(tài)封存在“數(shù)字風(fēng)洞”之中，成為下一次測試的基礎(chǔ)。這樣，每次測試前，系統(tǒng)都會優(yōu)先將上一次的“風(fēng)洞時光”進(jìn)行測試并驗證，以確保之前的風(fēng)險得到及時的迭代進(jìn)化。隨著“測試-發(fā)現(xiàn)風(fēng)險-迭代優(yōu)化-再測試-再迭代優(yōu)化”過程的不斷反復(fù)，逐漸收斂并消除數(shù)據(jù)安全風(fēng)險，進(jìn)而幫助用戶實現(xiàn)安全“證無”的目標(biāo)。

　　與此同時，隨著系統(tǒng)的反復(fù)迭代，“數(shù)字風(fēng)洞”內(nèi)的諸多風(fēng)險載荷也在不斷積累，當(dāng)企業(yè)需要分析風(fēng)險成因或基于某些特定場景進(jìn)行推演分析時，可以一鍵提取出封存的風(fēng)險載荷，實現(xiàn)測試評估場景化、立體式分析，并對安全防御能力建設(shè)形成價值參考和有效指導(dǎo)。

　　七大產(chǎn)品模塊，打造數(shù)據(jù)安全測試評估標(biāo)準(zhǔn)平臺

　　發(fā)布會現(xiàn)場，張凱圍繞人、系統(tǒng)、數(shù)據(jù)、合規(guī)等安全測試驗證需求，分享了永信至誠數(shù)據(jù)安全“數(shù)字風(fēng)洞”的七大產(chǎn)品模塊。

　　01 數(shù)據(jù)安全意識測試評估

　　遵循《數(shù)據(jù)安全法》《數(shù)據(jù)安全能力成熟度模型》等國家標(biāo)準(zhǔn)，助力數(shù)據(jù)安全人員能力、制度流程和組織架構(gòu)建設(shè)的完善提升。測評內(nèi)容豐富多樣，不僅涵蓋法律法規(guī)和數(shù)據(jù)安全治理標(biāo)準(zhǔn)的常規(guī)考點，在考評中加入實際案例分析場景，還沉淀數(shù)千道可用于合規(guī)、防詐騙、防泄密、基礎(chǔ)安全知識等方面的測評內(nèi)容。在工信部指導(dǎo)的首屆數(shù)據(jù)安全大賽中，該測試評估內(nèi)容模塊進(jìn)行了有效實踐。

　　02 技能測試評估

　　圍繞數(shù)據(jù)安全專業(yè)運(yùn)維人員提供體系化的模擬實戰(zhàn)測評環(huán)境，為實施日常演練、技能考評、實踐強(qiáng)化提供支撐條件。以測促學(xué)、以評促建，讓上崗人員通過實戰(zhàn)對抗，不斷測評和總結(jié)，發(fā)現(xiàn)技能短板，掌握最新技能，幫助受訓(xùn)人員和團(tuán)隊掌握專業(yè)化的數(shù)據(jù)安全運(yùn)維能力。

　　03 實網(wǎng)系統(tǒng)測試評估

　　支持對實網(wǎng)測評全過程的把控，包括測評前準(zhǔn)備、測評中成果審核和行為監(jiān)控、測評后數(shù)據(jù)統(tǒng)計分析和優(yōu)化等，內(nèi)置多種測評打分模型和技戰(zhàn)術(shù)模型并支持后續(xù)導(dǎo)入。在測評中有效檢驗?zāi)繕?biāo)系統(tǒng)設(shè)施存在的安全漏洞，并提供可借鑒的漏洞解決方案，漏洞挖掘過程全程審計和相關(guān)數(shù)據(jù)全面留存在系統(tǒng)內(nèi)，使參演單位及時發(fā)現(xiàn)問題，修補(bǔ)漏洞，大大降低數(shù)據(jù)安全風(fēng)險，驗證實網(wǎng)系統(tǒng)的建設(shè)成效。

　　04 數(shù)據(jù)生命周期測試評估

　　針對數(shù)據(jù)業(yè)務(wù)系統(tǒng)及防御措施對數(shù)據(jù)安全防御能力、策略有效性開展驗證評估�；�于業(yè)務(wù)應(yīng)用場景構(gòu)建高逼真模擬環(huán)境，根據(jù)建設(shè)要求在平臺中構(gòu)建測評方案，加載測評工具及測評數(shù)據(jù)集，快速判定安全設(shè)置對應(yīng)用場景的防護(hù)價值，利用測評數(shù)據(jù)識別設(shè)施防御短板，及時調(diào)整策略或優(yōu)化產(chǎn)品并反復(fù)測評，為數(shù)據(jù)安全能力建設(shè)、實施和改進(jìn)提供數(shù)字化、流程化和模型化解決方案。

　　05 應(yīng)急演練測評

　　依托應(yīng)急推演模式，構(gòu)建內(nèi)部人員泄露、外部黑客攻擊、勒索軟件、供應(yīng)商數(shù)據(jù)泄露等觸發(fā)數(shù)據(jù)安全事故的場景，驗證組織設(shè)定的應(yīng)急響應(yīng)措施、流程及各部門執(zhí)行能力，不斷改進(jìn)應(yīng)急預(yù)案及數(shù)據(jù)安全防護(hù)能力。

　　06 合規(guī)測試評估

　　涵蓋人員能力、技術(shù)設(shè)施、制度流程建設(shè)、組織架構(gòu)完善程度等方面的多套合規(guī)體系，動態(tài)加載測評指標(biāo)、評價模型，并利用數(shù)字化流程規(guī)范和記錄合規(guī)測評全流程以及數(shù)據(jù)歸檔及分析，是進(jìn)行日常合規(guī)性管理的信息聚合工具和數(shù)字化測評管控平臺，服務(wù)于數(shù)據(jù)安全業(yè)務(wù)方日常建設(shè)、監(jiān)管方常態(tài)化監(jiān)督以及測評機(jī)構(gòu)第三方評估。

　　07 風(fēng)險評估

　　參考國家風(fēng)險評估標(biāo)準(zhǔn)，全面識別信息系統(tǒng)在技術(shù)層面和管理層面存在的不足，通過現(xiàn)網(wǎng)系統(tǒng)風(fēng)險測評、新建系統(tǒng)脆弱性測評，主動發(fā)現(xiàn)和驗證數(shù)據(jù)安全問題，內(nèi)置多個成熟評價模型開展數(shù)據(jù)安全定性定量評估，有效達(dá)成安全檢測的控制和審核，對風(fēng)險進(jìn)行閉環(huán)管理，實現(xiàn)檢測工作及漏洞的全生命周期管理和控制。

　　在統(tǒng)籌發(fā)展和安全的戰(zhàn)略指引以及當(dāng)前網(wǎng)絡(luò)和數(shù)據(jù)安全新形勢之下，“形式合規(guī)”轉(zhuǎn)向“實質(zhì)合規(guī)”的大趨勢已然形成，網(wǎng)絡(luò)安全與數(shù)據(jù)安全市場發(fā)展空間巨大，加強(qiáng)人、系統(tǒng)和數(shù)據(jù)安全風(fēng)險的持續(xù)測試，不斷發(fā)現(xiàn)問題并采取措施、提前防范化解風(fēng)險和威脅，是數(shù)字中國發(fā)展的前提。作為所有數(shù)字化系統(tǒng)安全的基礎(chǔ)設(shè)施，“數(shù)字風(fēng)洞”產(chǎn)品體系正在與業(yè)界專業(yè)的安全防御產(chǎn)品一起，共同幫助用戶實現(xiàn)安全“證無”，構(gòu)建數(shù)字時代的安全感。

　　作為網(wǎng)絡(luò)靶場和人才建設(shè)領(lǐng)軍者，永信至誠將始終圍繞國家需要和市場需求，以規(guī)模化發(fā)展引領(lǐng)測試評估百億市場空間賽道，為政企用戶數(shù)字化轉(zhuǎn)型提供專業(yè)的網(wǎng)絡(luò)和數(shù)據(jù)安全測試保障及專有人才支撐，為我國數(shù)字經(jīng)濟(jì)安全穩(wěn)健發(fā)展保駕護(hù)航，致力于成為中國網(wǎng)絡(luò)空間與數(shù)字時代安全基礎(chǔ)設(shè)施關(guān)鍵建設(shè)者，實現(xiàn)“帶給世界安全感”的愿景。