众所周知,数据已成为第五大生产要素、国家基础性战略资源,正在深刻影响着生产、分配、流通、消费和社会服务管理等各个环节,在促进数字经济高质量发展上起着举足轻重的作用。
如何确保数据安全性,是摆在各方桌上的头等大事。《数据安全法》《个人信息保护法》《网络数据安全管理条例(征求意见稿)》等数据安全相关法律法规相继出台,在实施措施上也将采取“处罚”、“强制”等影响安全结果导向的管理。同时,勒索病毒、特种攻击等让政企单位更加看重以结果为导向的“实质合规”。
头部的网络安全厂商,面对这一挑战,责无旁贷,必须积极进行技术上的跟进、探索和保障。安全风险测试评估“证无”目前看起来是一条可行的路径。【“证无”意即:证明没有问题】
“证无”:让“实质合规”无限接近安全
纵观网络安全发展史,可以发现,网络安全一直在证明可以解决各种“有”的问题,比如证明人有失误,系统有漏洞、有风险、有病毒,数据有泄露、有越权、有残留等。但用户需要的不仅是“证明有问题”,还希望通过反复对人、系统、数据等进行持续测试评估,帮助系统迭代优化,最终无限接近安全,“证明没有问题”。
因此要“证无”,必须进行安全风险测试评估的持续性与标准化,尽早测试、频繁测试、全面测试,通过对人、系统、数据、方案、流程等进行量化评估,贯穿规划建设、运营和处置等全生命周期的各个阶段,从而形成持续的验证,不断发现并消除安全隐患,直到证明没有问题,让用户获得真正的安全服务。
从网络靶场到“证无”,构筑行业“护城河”
成立于2010年的永信至诚,已在网络靶场平台的技术、人才、场景方面积累了核心竞争力。
技术上,永信至诚网络靶场平台依托于“春秋云”专有云平台构建,可同时支撑2万人在线演练,且保证网络靶场在大规模场景构建、高逼真场景模拟、攻防对抗仿真的高效和稳定应用。此外,在关键的仿真技术方面,荣获2019年度北京市科学技术奖一等奖的永信至诚平行仿真技术,保障平台可以实现更加接近实战、虚实结合、多层次隔离的全场景仿真验证。
人才上,结合网络靶场平台的长期运营和网络安全实战演练,永信至诚积累了众多优秀的网络安全技术好手,这些人才,为进行“证无”这种大规模人力、脑力密集型工作,提供了源源不断的动力。
场景上,永信至诚打造了3000种以上高仿真靶场试验环境,网络靶场平台覆盖教育、通信、交通、能源、金融、互联网等十余个行业,积累了数百个行业级场景和近百个城市级场景,在赛事演练、人才培养、智慧城市安全测试、案件线索追踪实战、业务模拟仿真、人工智能攻防、复杂业务安全推演及综合应用等7+1应用场景中持续落地。
而这些技术、人才、场景的积累,正是实现“证无”的“护城河”。用永信至诚董事长蔡晶晶的话来说,就是“网络安全行业有非常强的竞争壁垒,无论是生态中的位置,还是所掌握的能力,或者是所拥有的资源。因此,理论上,我们依然将是‘证无’和测试评估赛道的龙头。”
永信至诚董事长蔡晶晶
网络安全的“证无时刻”是时候来了。
All in“证无”,永信至诚准备这么干
在数据安全领域,永信至诚的定位是通过安全测试评估手段,帮助政企用户厘清“实质合规”的程度,解决数据的全生命周期风险“证无”问题。
因此,围绕人、系统、数据、合规等安全测试验证需求,永信至诚推出了数据安全“数字风洞”,具备七大产品模块能力。
数据安全意识测试评估:其内容丰富多样,不仅涵盖法律法规和数据安全治理标准的常规考点,在考评中加入实际案例分析场景,还沉淀数千道可用于合规、防诈骗、防泄密、基础安全知识等方面的测评内容。在工信部指导的首届数据安全大赛中,该测试评估内容模块进行了有效实践。
技能测试评估:以测促学、以评促建,让上岗人员通过实战对抗,不断测评和总结,发现技能短板,掌握最新技能,帮助受训人员和团队掌握专业化的数据安全运维能力。
实网系统测试评估:支持对实网测评全过程的把控,包括测评前准备、测评中成果审核和行为监控、测评后数据统计分析和优化等,内置多种测评打分模型和技战术模型并支持后续导入。在测评中有效检验目标系统设施存在的安全漏洞,并提供可借鉴的漏洞解决方案,漏洞挖掘过程全程审计和相关数据全面留存在系统内,使参演单位及时发现问题,修补漏洞,降低数据安全风险,验证实网系统的建设成效。
数据生命周期测试评估:针对数据业务系统及防御措施对数据安全防御能力、策略有效性开展验证评估。基于业务应用场景构建高逼真模拟环境,根据建设要求在平台中构建测评方案,加载测评工具及测评数据集,快速判定安全设置对应用场景的防护价值,利用测评数据识别设施防御短板,及时调整策略或优化产品并反复测评,为数据安全能力建设、实施和改进提供数字化、流程化和模型化解决方案。
应急演练测评:依托应急推演模式,构建各种触发数据安全事故的场景,验证组织设定的应急响应措施、流程及各部门执行能力,不断改进应急预案及数据安全防护能力。
合规测试评估:涵盖人员能力、技术设施、制度流程建设、组织架构完善程度等方面的多套合规体系,动态加载测评指标、评价模型,并利用数字化流程规范和记录合规测评全流程以及数据归档及分析,是进行日常合规性管理的信息聚合工具和数字化测评管控平台,服务于数据安全业务方日常建设、监管方常态化监督以及测评机构第三方评估。
风险评估:参考国家风险评估标准,全面识别信息系统在技术层面和管理层面存在的不足,通过现网系统风险测评、新建系统脆弱性测评,主动发现和验证数据安全问题,内置多个成熟评价模型开展数据安全定性定量评估,有效达成安全检测的控制和审核,对风险进行闭环管理,实现检测工作及漏洞的全生命周期管理和控制。
在政策法规、勒索病毒、特种攻击等的多重影响下,政企用户的价值导向正由“形式合规”转向“实质合规”。在数据安全领域,永信至诚正在通过安全测试评估手段,帮助政企用户厘清“实质合规”的程度,围绕数据的全生命周期解决人、系统、数据的风险“证无”问题,打通数据安全最后一公里。