數(shù)字化背景下，網(wǎng)絡(luò)和數(shù)據(jù)安全正由“形式合規(guī)”轉(zhuǎn)向“實(shí)質(zhì)合規(guī)”

　　永信至誠(chéng)董事長(zhǎng)蔡晶晶表示，隨著數(shù)字經(jīng)濟(jì)的高速發(fā)展，網(wǎng)絡(luò)安全和數(shù)據(jù)安全作為經(jīng)濟(jì)發(fā)展的關(guān)鍵基座，迎來(lái)了前所未見(jiàn)的機(jī)遇與挑戰(zhàn)。一方面，近年來(lái)我國(guó)網(wǎng)絡(luò)安全、數(shù)據(jù)安全相關(guān)法律法規(guī)陸續(xù)推出，對(duì)網(wǎng)絡(luò)和數(shù)據(jù)安全建設(shè)工作提出了諸多標(biāo)準(zhǔn)和要求；另一方面，勒索病毒、特種攻擊等網(wǎng)絡(luò)安全威脅層出不窮，嚴(yán)重威脅國(guó)家安全和社會(huì)經(jīng)濟(jì)發(fā)展。

　　在此情勢(shì)下，網(wǎng)絡(luò)和數(shù)據(jù)安全行業(yè)規(guī)模增長(zhǎng)開(kāi)始由“形式合規(guī)”轉(zhuǎn)向“實(shí)質(zhì)合規(guī)”，各行業(yè)領(lǐng)域更加主動(dòng)理解網(wǎng)絡(luò)安全的意義和任務(wù)，從業(yè)務(wù)視角出發(fā)，建立以保障業(yè)務(wù)連續(xù)性和安全風(fēng)險(xiǎn)為目標(biāo)的安全體系，積極開(kāi)展網(wǎng)絡(luò)和數(shù)據(jù)安全測(cè)試評(píng)估，驗(yàn)證防范化解安全風(fēng)險(xiǎn)，以筑牢數(shù)字安全防線和和保障業(yè)務(wù)經(jīng)營(yíng)。

　　開(kāi)啟安全“證無(wú)”產(chǎn)品序列，關(guān)注安全最后一公里

　　蔡晶晶表示，網(wǎng)絡(luò)安全發(fā)展的二十多年來(lái)，諸多網(wǎng)絡(luò)安全優(yōu)秀產(chǎn)品一直在證明可以解決各種“有”的問(wèn)題，比如證明人有失誤、有脆弱，系統(tǒng)有漏洞、有風(fēng)險(xiǎn)、有病毒，數(shù)據(jù)有泄露、有越權(quán)、有殘留等等。當(dāng)然，用戶需要的不僅僅是“證明有問(wèn)題”，還希望知道如何在實(shí)質(zhì)合規(guī)的要求下，通過(guò)反復(fù)對(duì)人、系統(tǒng)、數(shù)據(jù)等進(jìn)行持續(xù)測(cè)試評(píng)估，督促和幫助系統(tǒng)不斷迭代優(yōu)化，最終無(wú)限接近安全，“證明沒(méi)有問(wèn)題”。

　　事實(shí)上，關(guān)于安全“證無(wú)”的理念，人類歷史上有許多成功的經(jīng)驗(yàn)可以為我們?cè)诰W(wǎng)絡(luò)安全和數(shù)據(jù)安全領(lǐng)域提供借鑒。例如，萊特兄弟在第一架飛機(jī)試飛之前，三年間進(jìn)行了1000多次的風(fēng)洞實(shí)驗(yàn)，不斷對(duì)機(jī)翼進(jìn)行反復(fù)測(cè)試評(píng)估后飛上藍(lán)天；世界第五代戰(zhàn)機(jī)的代表產(chǎn)品F-22，在圖紙定稿之前，也花費(fèi)了近10年時(shí)間，并在15座高低速風(fēng)洞進(jìn)行了約4.4萬(wàn)小時(shí)的試驗(yàn)，才最終確定結(jié)構(gòu)和外形。

　　在關(guān)注到飛機(jī)成功試飛和F-22設(shè)計(jì)成功之余，我們看到一組數(shù)據(jù)：1000和4.4萬(wàn)——在證明人類偉大的航天器可靠性、安全性之前，人類經(jīng)歷了1000次和4.4萬(wàn)小時(shí)的風(fēng)洞測(cè)試評(píng)估，最終實(shí)現(xiàn)了安全“證無(wú)”，確保航天器的安全穩(wěn)定可靠。

　　對(duì)于網(wǎng)絡(luò)和數(shù)據(jù)安全領(lǐng)域來(lái)說(shuō)，也需要基于“數(shù)字風(fēng)洞”進(jìn)行持續(xù)性的測(cè)試評(píng)估。正如風(fēng)洞是航空航天事業(yè)的發(fā)展的搖籃，數(shù)字風(fēng)洞也是數(shù)字化體系安全測(cè)試評(píng)估的重要基礎(chǔ)。數(shù)字風(fēng)洞強(qiáng)調(diào)測(cè)試評(píng)估的持續(xù)性與標(biāo)準(zhǔn)化，提倡盡早測(cè)試、頻繁測(cè)試、全面測(cè)試，通過(guò)對(duì)人、系統(tǒng)、數(shù)據(jù)、方案、流程等進(jìn)行量化評(píng)估，貫穿規(guī)劃建設(shè)、運(yùn)營(yíng)和處置等全生命周期的各個(gè)階段，從而形成持續(xù)的驗(yàn)證，不斷發(fā)現(xiàn)安全并消除隱患，直到證明沒(méi)有問(wèn)題，解決數(shù)據(jù)安全最后一公里問(wèn)題，讓用戶獲得真正的安全感。

　　基于安全“證無(wú)”理念，發(fā)布數(shù)據(jù)安全“數(shù)字風(fēng)洞”產(chǎn)品

　　基于安全“證無(wú)”理念和3×3×3×（產(chǎn)品×服務(wù)）安全感公式，永信至誠(chéng)正式推出數(shù)據(jù)安全“數(shù)字風(fēng)洞”產(chǎn)品，站在用戶視角構(gòu)建覆蓋數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等全周期數(shù)據(jù)處理活動(dòng)的測(cè)試評(píng)估體系，圍繞數(shù)據(jù)安全業(yè)務(wù)、數(shù)據(jù)安全風(fēng)險(xiǎn)、威脅、合規(guī)等需求，化解數(shù)據(jù)安全治理挑戰(zhàn)，解鎖數(shù)據(jù)安全能力建設(shè)新發(fā)力點(diǎn)，提升數(shù)據(jù)安全工作成效。

　　作為數(shù)字經(jīng)濟(jì)時(shí)代的基礎(chǔ)及戰(zhàn)略性資源，數(shù)據(jù)安全得到國(guó)家及各行業(yè)的關(guān)注。近年來(lái)，《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《數(shù)據(jù)出境安全評(píng)估辦法》和《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）》等數(shù)據(jù)安全相關(guān)法律法規(guī)相繼出臺(tái)、實(shí)施。與此同時(shí)，中共中央、國(guó)務(wù)院印發(fā)《數(shù)字中國(guó)建設(shè)整體布局規(guī)劃》，強(qiáng)調(diào)要增強(qiáng)數(shù)據(jù)安全保障能力。十四屆全國(guó)人大一次會(huì)議表決通過(guò)了組建國(guó)家數(shù)據(jù)局的決定，再次肯定了數(shù)據(jù)資源在國(guó)家發(fā)展戰(zhàn)略中的重要地位。

　　目前，各行業(yè)各領(lǐng)域用戶都非常重視數(shù)據(jù)安全。永信至誠(chéng)CTO張凱在現(xiàn)場(chǎng)表示，在數(shù)據(jù)安全的實(shí)踐中，我們看到很多行業(yè)用戶都部署了數(shù)據(jù)采集安全、數(shù)據(jù)訪問(wèn)控制、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全等各類數(shù)據(jù)安全設(shè)施，做了各種嘗試，每一次加強(qiáng)建設(shè)可能都在某一方面上提供了幫助，但用戶依然面臨“不知道”“看不清”等瓶頸，從總體安全的角度難以獲得安全感。

　　依據(jù)國(guó)家標(biāo)準(zhǔn)、政策要求、行業(yè)指南等內(nèi)容，通過(guò)各行業(yè)經(jīng)驗(yàn)的實(shí)踐總結(jié)，永信至誠(chéng)數(shù)據(jù)安全“數(shù)字風(fēng)洞”產(chǎn)品重點(diǎn)聚焦人和系統(tǒng)兩個(gè)維度設(shè)置7大產(chǎn)品模塊，通過(guò)科學(xué)的測(cè)評(píng)方法、精心設(shè)計(jì)的測(cè)評(píng)環(huán)境、數(shù)字化的測(cè)試流程、豐富的測(cè)評(píng)手段、標(biāo)準(zhǔn)化的測(cè)評(píng)報(bào)告和精準(zhǔn)的優(yōu)化分析等，支撐城市、行業(yè)、單位等用戶進(jìn)行常態(tài)化、數(shù)字化測(cè)試評(píng)估，實(shí)現(xiàn)數(shù)據(jù)安全可知、可視、可驗(yàn)、可量化，并從法律法規(guī)、風(fēng)險(xiǎn)評(píng)估、實(shí)戰(zhàn)攻防、仿真模擬、國(guó)家標(biāo)準(zhǔn)規(guī)范等維度全流程提供專家支持，幫助用戶找準(zhǔn)發(fā)力點(diǎn)，通過(guò)反復(fù)的迭代優(yōu)化不斷“證無(wú)”，在過(guò)程中科學(xué)量化數(shù)據(jù)安全建設(shè)成效，幫助用戶實(shí)現(xiàn)實(shí)質(zhì)合規(guī)要求。

　　風(fēng)洞載荷時(shí)光機(jī)，助力安全測(cè)評(píng)風(fēng)險(xiǎn)及時(shí)優(yōu)化與消除

　　張凱表示，在實(shí)質(zhì)合規(guī)的驅(qū)動(dòng)下，測(cè)試評(píng)估工作需要反復(fù)進(jìn)行，并對(duì)階段成果進(jìn)行計(jì)量和評(píng)估，有目的、有計(jì)劃的記錄測(cè)評(píng)過(guò)程中的各類數(shù)據(jù)變化，根據(jù)計(jì)量結(jié)果不斷科學(xué)調(diào)整優(yōu)化方案。

　　為此，永信至誠(chéng)在數(shù)據(jù)安全“數(shù)字風(fēng)洞”產(chǎn)品中構(gòu)建了自主研發(fā)的風(fēng)洞載荷時(shí)光機(jī)子系統(tǒng)，將測(cè)試環(huán)境以及配套的測(cè)試風(fēng)險(xiǎn)載荷以“風(fēng)洞時(shí)光”的形態(tài)封存在“數(shù)字風(fēng)洞”之中，成為下一次測(cè)試的基礎(chǔ)。這樣，每次測(cè)試前，系統(tǒng)都會(huì)優(yōu)先將上一次的“風(fēng)洞時(shí)光”進(jìn)行測(cè)試并驗(yàn)證，以確保之前的風(fēng)險(xiǎn)得到及時(shí)的迭代進(jìn)化。隨著“測(cè)試-發(fā)現(xiàn)風(fēng)險(xiǎn)-迭代優(yōu)化-再測(cè)試-再迭代優(yōu)化”過(guò)程的不斷反復(fù)，逐漸收斂并消除數(shù)據(jù)安全風(fēng)險(xiǎn)，進(jìn)而幫助用戶實(shí)現(xiàn)安全“證無(wú)”的目標(biāo)。

　　與此同時(shí)，隨著系統(tǒng)的反復(fù)迭代，“數(shù)字風(fēng)洞”內(nèi)的諸多風(fēng)險(xiǎn)載荷也在不斷積累，當(dāng)企業(yè)需要分析風(fēng)險(xiǎn)成因或基于某些特定場(chǎng)景進(jìn)行推演分析時(shí)，可以一鍵提取出封存的風(fēng)險(xiǎn)載荷，實(shí)現(xiàn)測(cè)試評(píng)估場(chǎng)景化、立體式分析，并對(duì)安全防御能力建設(shè)形成價(jià)值參考和有效指導(dǎo)。

　　七大產(chǎn)品模塊，打造數(shù)據(jù)安全測(cè)試評(píng)估標(biāo)準(zhǔn)平臺(tái)

　　發(fā)布會(huì)現(xiàn)場(chǎng)，張凱圍繞人、系統(tǒng)、數(shù)據(jù)、合規(guī)等安全測(cè)試驗(yàn)證需求，分享了永信至誠(chéng)數(shù)據(jù)安全“數(shù)字風(fēng)洞”的七大產(chǎn)品模塊。

　　01 數(shù)據(jù)安全意識(shí)測(cè)試評(píng)估

　　遵循《數(shù)據(jù)安全法》《數(shù)據(jù)安全能力成熟度模型》等國(guó)家標(biāo)準(zhǔn)，助力數(shù)據(jù)安全人員能力、制度流程和組織架構(gòu)建設(shè)的完善提升。測(cè)評(píng)內(nèi)容豐富多樣，不僅涵蓋法律法規(guī)和數(shù)據(jù)安全治理標(biāo)準(zhǔn)的常規(guī)考點(diǎn)，在考評(píng)中加入實(shí)際案例分析場(chǎng)景，還沉淀數(shù)千道可用于合規(guī)、防詐騙、防泄密、基礎(chǔ)安全知識(shí)等方面的測(cè)評(píng)內(nèi)容。在工信部指導(dǎo)的首屆數(shù)據(jù)安全大賽中，該測(cè)試評(píng)估內(nèi)容模塊進(jìn)行了有效實(shí)踐。

　　02 技能測(cè)試評(píng)估

　　圍繞數(shù)據(jù)安全專業(yè)運(yùn)維人員提供體系化的模擬實(shí)戰(zhàn)測(cè)評(píng)環(huán)境，為實(shí)施日常演練、技能考評(píng)、實(shí)踐強(qiáng)化提供支撐條件。以測(cè)促學(xué)、以評(píng)促建，讓上崗人員通過(guò)實(shí)戰(zhàn)對(duì)抗，不斷測(cè)評(píng)和總結(jié)，發(fā)現(xiàn)技能短板，掌握最新技能，幫助受訓(xùn)人員和團(tuán)隊(duì)掌握專業(yè)化的數(shù)據(jù)安全運(yùn)維能力。

　　03 實(shí)網(wǎng)系統(tǒng)測(cè)試評(píng)估

　　支持對(duì)實(shí)網(wǎng)測(cè)評(píng)全過(guò)程的把控，包括測(cè)評(píng)前準(zhǔn)備、測(cè)評(píng)中成果審核和行為監(jiān)控、測(cè)評(píng)后數(shù)據(jù)統(tǒng)計(jì)分析和優(yōu)化等，內(nèi)置多種測(cè)評(píng)打分模型和技戰(zhàn)術(shù)模型并支持后續(xù)導(dǎo)入。在測(cè)評(píng)中有效檢驗(yàn)?zāi)繕?biāo)系統(tǒng)設(shè)施存在的安全漏洞，并提供可借鑒的漏洞解決方案，漏洞挖掘過(guò)程全程審計(jì)和相關(guān)數(shù)據(jù)全面留存在系統(tǒng)內(nèi)，使參演單位及時(shí)發(fā)現(xiàn)問(wèn)題，修補(bǔ)漏洞，大大降低數(shù)據(jù)安全風(fēng)險(xiǎn)，驗(yàn)證實(shí)網(wǎng)系統(tǒng)的建設(shè)成效。

　　04 數(shù)據(jù)生命周期測(cè)試評(píng)估

　　針對(duì)數(shù)據(jù)業(yè)務(wù)系統(tǒng)及防御措施對(duì)數(shù)據(jù)安全防御能力、策略有效性開(kāi)展驗(yàn)證評(píng)估。基于業(yè)務(wù)應(yīng)用場(chǎng)景構(gòu)建高逼真模擬環(huán)境，根據(jù)建設(shè)要求在平臺(tái)中構(gòu)建測(cè)評(píng)方案，加載測(cè)評(píng)工具及測(cè)評(píng)數(shù)據(jù)集，快速判定安全設(shè)置對(duì)應(yīng)用場(chǎng)景的防護(hù)價(jià)值，利用測(cè)評(píng)數(shù)據(jù)識(shí)別設(shè)施防御短板，及時(shí)調(diào)整策略或優(yōu)化產(chǎn)品并反復(fù)測(cè)評(píng)，為數(shù)據(jù)安全能力建設(shè)、實(shí)施和改進(jìn)提供數(shù)字化、流程化和模型化解決方案。

　　05 應(yīng)急演練測(cè)評(píng)

　　依托應(yīng)急推演模式，構(gòu)建內(nèi)部人員泄露、外部黑客攻擊、勒索軟件、供應(yīng)商數(shù)據(jù)泄露等觸發(fā)數(shù)據(jù)安全事故的場(chǎng)景，驗(yàn)證組織設(shè)定的應(yīng)急響應(yīng)措施、流程及各部門(mén)執(zhí)行能力，不斷改進(jìn)應(yīng)急預(yù)案及數(shù)據(jù)安全防護(hù)能力。

　　06 合規(guī)測(cè)試評(píng)估

　　涵蓋人員能力、技術(shù)設(shè)施、制度流程建設(shè)、組織架構(gòu)完善程度等方面的多套合規(guī)體系，動(dòng)態(tài)加載測(cè)評(píng)指標(biāo)、評(píng)價(jià)模型，并利用數(shù)字化流程規(guī)范和記錄合規(guī)測(cè)評(píng)全流程以及數(shù)據(jù)歸檔及分析，是進(jìn)行日常合規(guī)性管理的信息聚合工具和數(shù)字化測(cè)評(píng)管控平臺(tái)，服務(wù)于數(shù)據(jù)安全業(yè)務(wù)方日常建設(shè)、監(jiān)管方常態(tài)化監(jiān)督以及測(cè)評(píng)機(jī)構(gòu)第三方評(píng)估。

　　07 風(fēng)險(xiǎn)評(píng)估

　　參考國(guó)家風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)，全面識(shí)別信息系統(tǒng)在技術(shù)層面和管理層面存在的不足，通過(guò)現(xiàn)網(wǎng)系統(tǒng)風(fēng)險(xiǎn)測(cè)評(píng)、新建系統(tǒng)脆弱性測(cè)評(píng)，主動(dòng)發(fā)現(xiàn)和驗(yàn)證數(shù)據(jù)安全問(wèn)題，內(nèi)置多個(gè)成熟評(píng)價(jià)模型開(kāi)展數(shù)據(jù)安全定性定量評(píng)估，有效達(dá)成安全檢測(cè)的控制和審核，對(duì)風(fēng)險(xiǎn)進(jìn)行閉環(huán)管理，實(shí)現(xiàn)檢測(cè)工作及漏洞的全生命周期管理和控制。

　　在統(tǒng)籌發(fā)展和安全的戰(zhàn)略指引以及當(dāng)前網(wǎng)絡(luò)和數(shù)據(jù)安全新形勢(shì)之下，“形式合規(guī)”轉(zhuǎn)向“實(shí)質(zhì)合規(guī)”的大趨勢(shì)已然形成，網(wǎng)絡(luò)安全與數(shù)據(jù)安全市場(chǎng)發(fā)展空間巨大，加強(qiáng)人、系統(tǒng)和數(shù)據(jù)安全風(fēng)險(xiǎn)的持續(xù)測(cè)試，不斷發(fā)現(xiàn)問(wèn)題并采取措施、提前防范化解風(fēng)險(xiǎn)和威脅，是數(shù)字中國(guó)發(fā)展的前提。作為所有數(shù)字化系統(tǒng)安全的基礎(chǔ)設(shè)施，“數(shù)字風(fēng)洞”產(chǎn)品體系正在與業(yè)界專業(yè)的安全防御產(chǎn)品一起，共同幫助用戶實(shí)現(xiàn)安全“證無(wú)”，構(gòu)建數(shù)字時(shí)代的安全感。

　　作為網(wǎng)絡(luò)靶場(chǎng)和人才建設(shè)領(lǐng)軍者，永信至誠(chéng)將始終圍繞國(guó)家需要和市場(chǎng)需求，以規(guī)模化發(fā)展引領(lǐng)測(cè)試評(píng)估百億市場(chǎng)空間賽道，為政企用戶數(shù)字化轉(zhuǎn)型提供專業(yè)的網(wǎng)絡(luò)和數(shù)據(jù)安全測(cè)試保障及專有人才支撐，為我國(guó)數(shù)字經(jīng)濟(jì)安全穩(wěn)健發(fā)展保駕護(hù)航，致力于成為中國(guó)網(wǎng)絡(luò)空間與數(shù)字時(shí)代安全基礎(chǔ)設(shè)施關(guān)鍵建設(shè)者，實(shí)現(xiàn)“帶給世界安全感”的愿景。