數字化背景下，網絡和數據安全正由“形式合規(guī)”轉向“實質合規(guī)”

　　永信至誠董事長蔡晶晶表示，隨著數字經濟的高速發(fā)展，網絡安全和數據安全作為經濟發(fā)展的關鍵基座，迎來了前所未見的機遇與挑戰(zhàn)。一方面，近年來我國網絡安全、數據安全相關法律法規(guī)陸續(xù)推出，對網絡和數據安全建設工作提出了諸多標準和要求；另一方面，勒索病毒、特種攻擊等網絡安全威脅層出不窮，嚴重威脅國家安全和社會經濟發(fā)展。

　　在此情勢下，網絡和數據安全行業(yè)規(guī)模增長開始由“形式合規(guī)”轉向“實質合規(guī)”，各行業(yè)領域更加主動理解網絡安全的意義和任務，從業(yè)務視角出發(fā)，建立以保障業(yè)務連續(xù)性和安全風險為目標的安全體系，積極開展網絡和數據安全測試評估，驗證防范化解安全風險，以筑牢數字安全防線和和保障業(yè)務經營。

　　開啟安全“證無”產品序列，關注安全最后一公里

　　蔡晶晶表示，網絡安全發(fā)展的二十多年來，諸多網絡安全優(yōu)秀產品一直在證明可以解決各種“有”的問題，比如證明人有失誤、有脆弱，系統有漏洞、有風險、有病毒，數據有泄露、有越權、有殘留等等。當然，用戶需要的不僅僅是“證明有問題”，還希望知道如何在實質合規(guī)的要求下，通過反復對人、系統、數據等進行持續(xù)測試評估，督促和幫助系統不斷迭代優(yōu)化，最終無限接近安全，“證明沒有問題”。

　　事實上，關于安全“證無”的理念，人類歷史上有許多成功的經驗可以為我們在網絡安全和數據安全領域提供借鑒。例如，萊特兄弟在第一架飛機試飛之前，三年間進行了1000多次的風洞實驗，不斷對機翼進行反復測試評估后飛上藍天；世界第五代戰(zhàn)機的代表產品F-22，在圖紙定稿之前，也花費了近10年時間，并在15座高低速風洞進行了約4.4萬小時的試驗，才最終確定結構和外形。

　　在關注到飛機成功試飛和F-22設計成功之余，我們看到一組數據：1000和4.4萬——在證明人類偉大的航天器可靠性、安全性之前，人類經歷了1000次和4.4萬小時的風洞測試評估，最終實現了安全“證無”，確保航天器的安全穩(wěn)定可靠。

　　對于網絡和數據安全領域來說，也需要基于“數字風洞”進行持續(xù)性的測試評估。正如風洞是航空航天事業(yè)的發(fā)展的搖籃，數字風洞也是數字化體系安全測試評估的重要基礎。數字風洞強調測試評估的持續(xù)性與標準化，提倡盡早測試、頻繁測試、全面測試，通過對人、系統、數據、方案、流程等進行量化評估，貫穿規(guī)劃建設、運營和處置等全生命周期的各個階段，從而形成持續(xù)的驗證，不斷發(fā)現安全并消除隱患，直到證明沒有問題，解決數據安全最后一公里問題，讓用戶獲得真正的安全感。

　　基于安全“證無”理念，發(fā)布數據安全“數字風洞”產品

　　基于安全“證無”理念和3×3×3×（產品×服務）安全感公式，永信至誠正式推出數據安全“數字風洞”產品，站在用戶視角構建覆蓋數據收集、存儲、使用、加工、傳輸、提供、公開等全周期數據處理活動的測試評估體系，圍繞數據安全業(yè)務、數據安全風險、威脅、合規(guī)等需求，化解數據安全治理挑戰(zhàn)，解鎖數據安全能力建設新發(fā)力點，提升數據安全工作成效。

　　作為數字經濟時代的基礎及戰(zhàn)略性資源，數據安全得到國家及各行業(yè)的關注。近年來，《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》《數據出境安全評估辦法》和《網絡數據安全管理條例（征求意見稿）》等數據安全相關法律法規(guī)相繼出臺、實施。與此同時，中共中央、國務院印發(fā)《數字中國建設整體布局規(guī)劃》，強調要增強數據安全保障能力。十四屆全國人大一次會議表決通過了組建國家數據局的決定，再次肯定了數據資源在國家發(fā)展戰(zhàn)略中的重要地位。

　　目前，各行業(yè)各領域用戶都非常重視數據安全。永信至誠CTO張凱在現場表示，在數據安全的實踐中，我們看到很多行業(yè)用戶都部署了數據采集安全、數據訪問控制、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷毀安全等各類數據安全設施，做了各種嘗試，每一次加強建設可能都在某一方面上提供了幫助，但用戶依然面臨“不知道”“看不清”等瓶頸，從總體安全的角度難以獲得安全感。

　　依據國家標準、政策要求、行業(yè)指南等內容，通過各行業(yè)經驗的實踐總結，永信至誠數據安全“數字風洞”產品重點聚焦人和系統兩個維度設置7大產品模塊，通過科學的測評方法、精心設計的測評環(huán)境、數字化的測試流程、豐富的測評手段、標準化的測評報告和精準的優(yōu)化分析等，支撐城市、行業(yè)、單位等用戶進行常態(tài)化、數字化測試評估，實現數據安全可知、可視、可驗、可量化，并從法律法規(guī)、風險評估、實戰(zhàn)攻防、仿真模擬、國家標準規(guī)范等維度全流程提供專家支持，幫助用戶找準發(fā)力點，通過反復的迭代優(yōu)化不斷“證無”，在過程中科學量化數據安全建設成效，幫助用戶實現實質合規(guī)要求。

　　風洞載荷時光機，助力安全測評風險及時優(yōu)化與消除

　　張凱表示，在實質合規(guī)的驅動下，測試評估工作需要反復進行，并對階段成果進行計量和評估，有目的、有計劃的記錄測評過程中的各類數據變化，根據計量結果不斷科學調整優(yōu)化方案。

　　為此，永信至誠在數據安全“數字風洞”產品中構建了自主研發(fā)的風洞載荷時光機子系統，將測試環(huán)境以及配套的測試風險載荷以“風洞時光”的形態(tài)封存在“數字風洞”之中，成為下一次測試的基礎。這樣，每次測試前，系統都會優(yōu)先將上一次的“風洞時光”進行測試并驗證，以確保之前的風險得到及時的迭代進化。隨著“測試-發(fā)現風險-迭代優(yōu)化-再測試-再迭代優(yōu)化”過程的不斷反復，逐漸收斂并消除數據安全風險，進而幫助用戶實現安全“證無”的目標。

　　與此同時，隨著系統的反復迭代，“數字風洞”內的諸多風險載荷也在不斷積累，當企業(yè)需要分析風險成因或基于某些特定場景進行推演分析時，可以一鍵提取出封存的風險載荷，實現測試評估場景化、立體式分析，并對安全防御能力建設形成價值參考和有效指導。

　　七大產品模塊，打造數據安全測試評估標準平臺

　　發(fā)布會現場，張凱圍繞人、系統、數據、合規(guī)等安全測試驗證需求，分享了永信至誠數據安全“數字風洞”的七大產品模塊。

　　01 數據安全意識測試評估

　　遵循《數據安全法》《數據安全能力成熟度模型》等國家標準，助力數據安全人員能力、制度流程和組織架構建設的完善提升。測評內容豐富多樣，不僅涵蓋法律法規(guī)和數據安全治理標準的常規(guī)考點，在考評中加入實際案例分析場景，還沉淀數千道可用于合規(guī)、防詐騙、防泄密、基礎安全知識等方面的測評內容。在工信部指導的首屆數據安全大賽中，該測試評估內容模塊進行了有效實踐。

　　02 技能測試評估

　　圍繞數據安全專業(yè)運維人員提供體系化的模擬實戰(zhàn)測評環(huán)境，為實施日常演練、技能考評、實踐強化提供支撐條件。以測促學、以評促建，讓上崗人員通過實戰(zhàn)對抗，不斷測評和總結，發(fā)現技能短板，掌握最新技能，幫助受訓人員和團隊掌握專業(yè)化的數據安全運維能力。

　　03 實網系統測試評估

　　支持對實網測評全過程的把控，包括測評前準備、測評中成果審核和行為監(jiān)控、測評后數據統計分析和優(yōu)化等，內置多種測評打分模型和技戰(zhàn)術模型并支持后續(xù)導入。在測評中有效檢驗目標系統設施存在的安全漏洞，并提供可借鑒的漏洞解決方案，漏洞挖掘過程全程審計和相關數據全面留存在系統內，使參演單位及時發(fā)現問題，修補漏洞，大大降低數據安全風險，驗證實網系統的建設成效。

　　04 數據生命周期測試評估

　　針對數據業(yè)務系統及防御措施對數據安全防御能力、策略有效性開展驗證評估�；�于業(yè)務應用場景構建高逼真模擬環(huán)境，根據建設要求在平臺中構建測評方案，加載測評工具及測評數據集，快速判定安全設置對應用場景的防護價值，利用測評數據識別設施防御短板，及時調整策略或優(yōu)化產品并反復測評，為數據安全能力建設、實施和改進提供數字化、流程化和模型化解決方案。

　　05 應急演練測評

　　依托應急推演模式，構建內部人員泄露、外部黑客攻擊、勒索軟件、供應商數據泄露等觸發(fā)數據安全事故的場景，驗證組織設定的應急響應措施、流程及各部門執(zhí)行能力，不斷改進應急預案及數據安全防護能力。

　　06 合規(guī)測試評估

　　涵蓋人員能力、技術設施、制度流程建設、組織架構完善程度等方面的多套合規(guī)體系，動態(tài)加載測評指標、評價模型，并利用數字化流程規(guī)范和記錄合規(guī)測評全流程以及數據歸檔及分析，是進行日常合規(guī)性管理的信息聚合工具和數字化測評管控平臺，服務于數據安全業(yè)務方日常建設、監(jiān)管方常態(tài)化監(jiān)督以及測評機構第三方評估。

　　07 風險評估

　　參考國家風險評估標準，全面識別信息系統在技術層面和管理層面存在的不足，通過現網系統風險測評、新建系統脆弱性測評，主動發(fā)現和驗證數據安全問題，內置多個成熟評價模型開展數據安全定性定量評估，有效達成安全檢測的控制和審核，對風險進行閉環(huán)管理，實現檢測工作及漏洞的全生命周期管理和控制。

　　在統籌發(fā)展和安全的戰(zhàn)略指引以及當前網絡和數據安全新形勢之下，“形式合規(guī)”轉向“實質合規(guī)”的大趨勢已然形成，網絡安全與數據安全市場發(fā)展空間巨大，加強人、系統和數據安全風險的持續(xù)測試，不斷發(fā)現問題并采取措施、提前防范化解風險和威脅，是數字中國發(fā)展的前提。作為所有數字化系統安全的基礎設施，“數字風洞”產品體系正在與業(yè)界專業(yè)的安全防御產品一起，共同幫助用戶實現安全“證無”，構建數字時代的安全感。

　　作為網絡靶場和人才建設領軍者，永信至誠將始終圍繞國家需要和市場需求，以規(guī)�；�發(fā)展引領測試評估百億市場空間賽道，為政企用戶數字化轉型提供專業(yè)的網絡和數據安全測試保障及專有人才支撐，為我國數字經濟安全穩(wěn)健發(fā)展保駕護航，致力于成為中國網絡空間與數字時代安全基礎設施關鍵建設者，實現“帶給世界安全感”的愿景。