数字化背景下,网络和数据安全正由“形式合规”转向“实质合规”
永信至诚董事长蔡晶晶表示,随着数字经济的高速发展,网络安全和数据安全作为经济发展的关键基座,迎来了前所未见的机遇与挑战。一方面,近年来我国网络安全、数据安全相关法律法规陆续推出,对网络和数据安全建设工作提出了诸多标准和要求;另一方面,勒索病毒、特种攻击等网络安全威胁层出不穷,严重威胁国家安全和社会经济发展。
在此情势下,网络和数据安全行业规模增长开始由“形式合规”转向“实质合规”,各行业领域更加主动理解网络安全的意义和任务,从业务视角出发,建立以保障业务连续性和安全风险为目标的安全体系,积极开展网络和数据安全测试评估,验证防范化解安全风险,以筑牢数字安全防线和和保障业务经营。
开启安全“证无”产品序列,关注安全最后一公里
蔡晶晶表示,网络安全发展的二十多年来,诸多网络安全优秀产品一直在证明可以解决各种“有”的问题,比如证明人有失误、有脆弱,系统有漏洞、有风险、有病毒,数据有泄露、有越权、有残留等等。当然,用户需要的不仅仅是“证明有问题”,还希望知道如何在实质合规的要求下,通过反复对人、系统、数据等进行持续测试评估,督促和帮助系统不断迭代优化,最终无限接近安全,“证明没有问题”。
事实上,关于安全“证无”的理念,人类历史上有许多成功的经验可以为我们在网络安全和数据安全领域提供借鉴。例如,莱特兄弟在第一架飞机试飞之前,三年间进行了1000多次的风洞实验,不断对机翼进行反复测试评估后飞上蓝天;世界第五代战机的代表产品F-22,在图纸定稿之前,也花费了近10年时间,并在15座高低速风洞进行了约4.4万小时的试验,才最终确定结构和外形。
在关注到飞机成功试飞和F-22设计成功之余,我们看到一组数据:1000和4.4万——在证明人类伟大的航天器可靠性、安全性之前,人类经历了1000次和4.4万小时的风洞测试评估,最终实现了安全“证无”,确保航天器的安全稳定可靠。
对于网络和数据安全领域来说,也需要基于“数字风洞”进行持续性的测试评估。正如风洞是航空航天事业的发展的摇篮,数字风洞也是数字化体系安全测试评估的重要基础。数字风洞强调测试评估的持续性与标准化,提倡尽早测试、频繁测试、全面测试,通过对人、系统、数据、方案、流程等进行量化评估,贯穿规划建设、运营和处置等全生命周期的各个阶段,从而形成持续的验证,不断发现安全并消除隐患,直到证明没有问题,解决数据安全最后一公里问题,让用户获得真正的安全感。
基于安全“证无”理念,发布数据安全“数字风洞”产品
基于安全“证无”理念和3×3×3×(产品×服务)安全感公式,永信至诚正式推出数据安全“数字风洞”产品,站在用户视角构建覆盖数据收集、存储、使用、加工、传输、提供、公开等全周期数据处理活动的测试评估体系,围绕数据安全业务、数据安全风险、威胁、合规等需求,化解数据安全治理挑战,解锁数据安全能力建设新发力点,提升数据安全工作成效。
作为数字经济时代的基础及战略性资源,数据安全得到国家及各行业的关注。近年来,《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《数据出境安全评估办法》和《网络数据安全管理条例(征求意见稿)》等数据安全相关法律法规相继出台、实施。与此同时,中共中央、国务院印发《数字中国建设整体布局规划》,强调要增强数据安全保障能力。十四届全国人大一次会议表决通过了组建国家数据局的决定,再次肯定了数据资源在国家发展战略中的重要地位。
目前,各行业各领域用户都非常重视数据安全。永信至诚CTO张凯在现场表示,在数据安全的实践中,我们看到很多行业用户都部署了数据采集安全、数据访问控制、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全等各类数据安全设施,做了各种尝试,每一次加强建设可能都在某一方面上提供了帮助,但用户依然面临“不知道”“看不清”等瓶颈,从总体安全的角度难以获得安全感。
依据国家标准、政策要求、行业指南等内容,通过各行业经验的实践总结,永信至诚数据安全“数字风洞”产品重点聚焦人和系统两个维度设置7大产品模块,通过科学的测评方法、精心设计的测评环境、数字化的测试流程、丰富的测评手段、标准化的测评报告和精准的优化分析等,支撑城市、行业、单位等用户进行常态化、数字化测试评估,实现数据安全可知、可视、可验、可量化,并从法律法规、风险评估、实战攻防、仿真模拟、国家标准规范等维度全流程提供专家支持,帮助用户找准发力点,通过反复的迭代优化不断“证无”,在过程中科学量化数据安全建设成效,帮助用户实现实质合规要求。
风洞载荷时光机,助力安全测评风险及时优化与消除
张凯表示,在实质合规的驱动下,测试评估工作需要反复进行,并对阶段成果进行计量和评估,有目的、有计划的记录测评过程中的各类数据变化,根据计量结果不断科学调整优化方案。
为此,永信至诚在数据安全“数字风洞”产品中构建了自主研发的风洞载荷时光机子系统,将测试环境以及配套的测试风险载荷以“风洞时光”的形态封存在“数字风洞”之中,成为下一次测试的基础。这样,每次测试前,系统都会优先将上一次的“风洞时光”进行测试并验证,以确保之前的风险得到及时的迭代进化。随着“测试-发现风险-迭代优化-再测试-再迭代优化”过程的不断反复,逐渐收敛并消除数据安全风险,进而帮助用户实现安全“证无”的目标。
与此同时,随着系统的反复迭代,“数字风洞”内的诸多风险载荷也在不断积累,当企业需要分析风险成因或基于某些特定场景进行推演分析时,可以一键提取出封存的风险载荷,实现测试评估场景化、立体式分析,并对安全防御能力建设形成价值参考和有效指导。
七大产品模块,打造数据安全测试评估标准平台
发布会现场,张凯围绕人、系统、数据、合规等安全测试验证需求,分享了永信至诚数据安全“数字风洞”的七大产品模块。
01 数据安全意识测试评估
遵循《数据安全法》《数据安全能力成熟度模型》等国家标准,助力数据安全人员能力、制度流程和组织架构建设的完善提升。测评内容丰富多样,不仅涵盖法律法规和数据安全治理标准的常规考点,在考评中加入实际案例分析场景,还沉淀数千道可用于合规、防诈骗、防泄密、基础安全知识等方面的测评内容。在工信部指导的首届数据安全大赛中,该测试评估内容模块进行了有效实践。
02 技能测试评估
围绕数据安全专业运维人员提供体系化的模拟实战测评环境,为实施日常演练、技能考评、实践强化提供支撑条件。以测促学、以评促建,让上岗人员通过实战对抗,不断测评和总结,发现技能短板,掌握最新技能,帮助受训人员和团队掌握专业化的数据安全运维能力。
03 实网系统测试评估
支持对实网测评全过程的把控,包括测评前准备、测评中成果审核和行为监控、测评后数据统计分析和优化等,内置多种测评打分模型和技战术模型并支持后续导入。在测评中有效检验目标系统设施存在的安全漏洞,并提供可借鉴的漏洞解决方案,漏洞挖掘过程全程审计和相关数据全面留存在系统内,使参演单位及时发现问题,修补漏洞,大大降低数据安全风险,验证实网系统的建设成效。
04 数据生命周期测试评估
针对数据业务系统及防御措施对数据安全防御能力、策略有效性开展验证评估。基于业务应用场景构建高逼真模拟环境,根据建设要求在平台中构建测评方案,加载测评工具及测评数据集,快速判定安全设置对应用场景的防护价值,利用测评数据识别设施防御短板,及时调整策略或优化产品并反复测评,为数据安全能力建设、实施和改进提供数字化、流程化和模型化解决方案。
05 应急演练测评
依托应急推演模式,构建内部人员泄露、外部黑客攻击、勒索软件、供应商数据泄露等触发数据安全事故的场景,验证组织设定的应急响应措施、流程及各部门执行能力,不断改进应急预案及数据安全防护能力。
06 合规测试评估
涵盖人员能力、技术设施、制度流程建设、组织架构完善程度等方面的多套合规体系,动态加载测评指标、评价模型,并利用数字化流程规范和记录合规测评全流程以及数据归档及分析,是进行日常合规性管理的信息聚合工具和数字化测评管控平台,服务于数据安全业务方日常建设、监管方常态化监督以及测评机构第三方评估。
07 风险评估
参考国家风险评估标准,全面识别信息系统在技术层面和管理层面存在的不足,通过现网系统风险测评、新建系统脆弱性测评,主动发现和验证数据安全问题,内置多个成熟评价模型开展数据安全定性定量评估,有效达成安全检测的控制和审核,对风险进行闭环管理,实现检测工作及漏洞的全生命周期管理和控制。
在统筹发展和安全的战略指引以及当前网络和数据安全新形势之下,“形式合规”转向“实质合规”的大趋势已然形成,网络安全与数据安全市场发展空间巨大,加强人、系统和数据安全风险的持续测试,不断发现问题并采取措施、提前防范化解风险和威胁,是数字中国发展的前提。作为所有数字化系统安全的基础设施,“数字风洞”产品体系正在与业界专业的安全防御产品一起,共同帮助用户实现安全“证无”,构建数字时代的安全感。
作为网络靶场和人才建设领军者,永信至诚将始终围绕国家需要和市场需求,以规模化发展引领测试评估百亿市场空间赛道,为政企用户数字化转型提供专业的网络和数据安全测试保障及专有人才支撑,为我国数字经济安全稳健发展保驾护航,致力于成为中国网络空间与数字时代安全基础设施关键建设者,实现“带给世界安全感”的愿景。