在“形式合规”转向“实质合规”的行业背景下,安全风险测试评估由“证有”走向“证无”的崭新时代开启了。在3月29日永信至诚举办的数据安全“数字风洞”产品发布会上,面向数据安全领域的测试评估产品正式推出。
永信至诚董事长蔡晶晶表示,随着数字经济的高速发展,网络安全和数据安全作为经济发展的关键基座,迎来了前所未见的机遇与挑战。一方面,我国网络安全、数据安全相关法律法规陆续推出,对网络和数据安全建设工作提出了诸多标准和要求;另一方面,勒索病毒、特种攻击等网络安全威胁层出不穷,严重威胁国家安全和社会经济发展。
在此情势下,网络和数据安全行业规模增长开始由“形式合规”转向“实质合规”,各行业领域更加主动理解网络安全的意义和任务,从业务视角出发,建立以保障业务连续性和安全风险为目标的安全体系,积极开展网络和数据安全测试评估,验证防范化解安全风险,以筑牢数字安全防线和和保障业务经营。
开启安全“证无”产品序列,更关注安全的最后一公里。蔡晶晶表示,诸多网络安全优秀产品一直在证明可以解决各种“有”的问题,比如,证明人有失误、有脆弱,系统有漏洞、有风险、有病毒,数据有泄露、有越权、有残留等等。当然,用户需要的不仅仅是“证明有问题”,还希望知道如何在实质合规的要求下,通过反复对人、系统、数据等进行持续测试评估,督促和帮助系统不断迭代优化,最终无限接近安全,“证明没有问题”。
对于网络和数据安全领域来说,也需要基于“数字风洞”进行持续性的测试评估。正如风洞是航空航天事业的发展的摇篮,数字风洞也是数字化体系安全测试评估的重要基础。数字风洞强调测试评估的持续性与标准化,提倡尽早测试、频繁测试、全面测试,通过对人、系统、数据、方案、流程等进行量化评估,贯穿规划建设、运营和处置等全生命周期的各个阶段,从而形成持续的验证,不断发现安全并消除隐患,直到证明没有问题,解决数据安全最后一公里问题,让用户获得真正的安全感。
基于安全“证无”理念和3×3×3×(产品×服务)安全感公式,永信至诚正式推出数据安全“数字风洞”产品,站在用户视角构建覆盖数据收集、存储、使用、加工、传输、提供、公开等全周期数据处理活动的测试评估体系,围绕数据安全业务、数据安全风险、威胁、合规等需求,化解数据安全治理挑战,解锁数据安全能力建设新发力点,提升数据安全工作成效。
作为数字经济时代的基础及战略性资源,数据安全得到国家及各行业的关注。目前,各行业各领域用户都非常重视数据安全。永信至诚CTO张凯表示,在数据安全的实践中,我们看到很多行业用户都部署了数据采集安全、数据访问控制、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全等各类数据安全设施,做了各种尝试,每一次加强建设可能都在某一方面上提供了帮助,但用户依然面临“不知道”“看不清”等瓶颈,从总体安全的角度难以获得安全感。
依据国家标准、政策要求、行业指南等内容,通过各行业经验的实践总结,永信至诚数据安全“数字风洞”产品重点聚焦人和系统两个维度设置7大产品模块,通过科学的测评方法、精心设计的测评环境、数字化的测试流程、丰富的测评手段、标准化的测评报告和精准的优化分析等,支撑城市、行业、单位等用户进行常态化、数字化测试评估,实现数据安全可知、可视、可验、可量化,并从法律法规、风险评估、实战攻防、仿真模拟、国家标准规范等维度全流程提供专家支持,帮助用户找准发力点,通过反复的迭代优化不断“证无”,在过程中科学量化数据安全建设成效,帮助用户实现实质合规要求。
永信至诚在数据安全“数字风洞”产品中构建了自主研发的风洞载荷时光机子系统,将测试环境以及配套的测试风险载荷以“风洞时光”的形态封存在“数字风洞”之中,成为下一次测试的基础。这样,每次测试前,系统都会优先将上一次的“风洞时光”进行测试并验证,以确保之前的风险得到及时的迭代进化。
与此同时,随着系统的反复迭代,“数字风洞”内的诸多风险载荷也在不断积累,当企业需要分析风险成因或基于某些特定场景进行推演分析时,可以一键提取出封存的风险载荷,实现测试评估场景化、立体式分析,并对安全防御能力建设形成价值参考和有效指导。
张凯围绕人、系统、数据、合规等安全测试验证需求,分享了永信至诚数据安全“数字风洞”的七大产品模块——数据安全意识测试评估、技能测试评估、实网系统测试评估、数据生命周期测试评估、应急演练测评、合规测试评估、风险评估。作为所有数字化系统安全的基础设施,“数字风洞”产品体系正在与业界专业的安全防御产品一起,共同帮助用户实现安全“证无”,构建数字时代的安全感。(李文)
来源: 光明网