网络与安全>业界新闻

从实践中来,到应用中去——永信至诚如何占位网络安全测试评估赛道?

作者:刘沙   责任编辑:刘沙 2022-11-28 11:16:34
来源:电脑商情在线关键字:永信至诚,网络安全测试评估,

“数字风洞是网络靶场的发展形态之一。”

永信至诚高级副总裁李炜这样描述数字风洞和网络靶场之间的关系。

近日,以网络靶场产品闻名的永信至诚在公司上市满月之际正式公开发布了面向安全测试评估领域的产品体系“数字风洞”,从此开启了网络安全测试评估的专业赛道。

从网络靶场到数字风洞

“数字风洞”这个名字的灵感其实是来源于莱特兄弟。1903年,莱特兄弟成功实现了人类的第一次飞行,这次成功正是得益于他们建造的风洞和他们进行的1000多次风洞实验。可以说,如果没有风洞实验,就没有这次成功的飞行,也会影响到现代航空航天产业的发展。如今,风洞已经成为空气动力实验最常用、最有效的工具之一,现代飞行器都必须先经过风洞实验才能正式飞行。

其实,大到飞机、小到汽车、电器、儿童玩具,当人们需要确保安全的时候,测试评估都是必不可少的前提条件,在网络安全领域也是如此。在永信至诚董事长蔡晶晶看来,网络空间也需要一个“数字风洞”来对数字世界进行安全测试评估。

据李炜介绍,其实永信至诚在网络靶场研发初期,就开始致力于测试评估市场的需求落地,如今已经支撑多个国家级、行业级网络靶场技术建设和运营项目,通过系列化产品和服务满足不同类型客户多场景、多要素、多纬度、全周期的安全测试评估需求,并通过赛事演练活动和人才生态运营,为网络安全测试评估营造更为开放的氛围和生态。

数字风洞的实践与进化

目前 “数字风洞”已经在数字政府、能源行业、重点单位、赛事演练中积累了成功实践,在数据安全、关键行业、信创、人工智能等领域都有典型的应用。

以能源行业为例,能源企业的信息化程度普遍比较高,信息系统非常多,是国家关键信息基础设施、攻防战略要地。而且,在能源企业中,信息系统上线之前通常要经过多项安全性测试评估,拿到报告结果后才能上线。但是多个系统每天更新的版本众多,只依靠几个人每天去检查根本不现实,能源企业需要自动化、标准化的工具来检测这些即将上线的系统。由于不同行业检测的标准和对应的指标都不一样,对应的装置和系统也不一样,永信至诚提供了一个检验检测平台帮助能源企业进行配置,让企业可以自动化或半自动化的去调用一些工具,在几分钟之内就能完成对数百个系统的检测,明显提高了效率。

还有企业借助数字风洞搭建了总体的综合测试评估平台,对具体的工作结果、风险、合规、人员的能力等等都进行了量化的设置,并与其他平台的数据自动对接,产生一组评判数据。这样一来,企业高层对于安全工作的结果、人员的能力等等都有了清晰的认识和评价。

像这样与测试评估相关的应用和案例还有很多。李炜表示,现在落地的测试评估产品体系和解决方案都是在不停的进化的。

升级的“安全感”

“网络靶场最核心的要素是测试平台,而数字风洞把它引向了更大的应用场景,无论是体系方法论,还是技术功能模块,都在升级。” 李炜向记者强调。

而这里所说的“升级”,即3x3x3x(产品x服务),也就是永信至诚给出的“安全感公式”。3个3分别是城市、行业、单位;人、系统、数据;规划、运营、处置。这是永信至诚基于8年多的网络靶场技术积累和上千家政企用户网络安全建设的经验,再结合测试评估对象总结出来的,具有平台模块化、流程标准化、任务精细化、工具多样化的特点。

平台模块化是指数字风洞产品体系是一个模块化的平台,可以根据不同客户的不同需求、不同场景、不同对象来提供相应的支撑。

流程标准化能够防止安全测试评估中额外的溢出风险。

任务精细化是指平台能够针对不同的任务,下发不同的功能和工具。

工具多样化是指平台上可以包括很多安全厂商的产品和解决方案,平台相当于一个可以加入很多模块化组件的中枢。

“面对不同的客户,测试评估的标准必然会不一样,所以多标准就必须对应多模型的构建能力,以及多工具集成的能力。”李炜指出,一方面,数字风洞平台可以支持各种工具热插拔,客户要选择什么样的工具来用,这个需求完全取决于客户,永信至诚都会支持。“因为我们所有的价值观都是围绕着解决客户的问题,给客户创造价值,所以是由客户来决定的。” 另一方面,永信至诚在安全测试评估中是一个中立的角色,这个平台与所有的工具都可以结合,不会与其他友商在其他测评工具、具体工具方面存在竞争关系。

李炜进一步解释到,现在很多传统安全厂商、新锐安全厂商、云安全厂商的细分逻辑和场景都越来越多,和业务厂商之间并不冲突,而且大家协同合作去解决安全问题将会成为未来的一个趋势。目前已经有两个层面在推动这一趋势:第一个层面国家政府层面的推动引导,很多法律法规和关键保护要求都已经明确提出了相关的协同要求,以及网络安全产品互联互通的标准。第二个层面就是企业客户的需求。很多企业都会购买很多不同厂商的网络安全产品,这些产品在客户面临真实网络对抗时需要协同配合,发挥更大的效果,为结果负责,在这种情况下,企业客户就会推动不同的厂商产品进行融合。

永信至诚的四大优势

那么,永信至诚占位网络安全测试评估赛道的优势有哪些呢?李炜总结了四大优势:

首先,作为网络靶场领军者,永信至诚积累了数百个行业应用场景的落地,支撑了国家多个部委主办的数十场网络安全演练活动及多个行业的靶场建设工程,充分涵盖网络空间的测试、演练、实训、推演、研判、指挥、防御、实战等综合性网络安全业务需求。在此基础上,永信至诚有机会深入理解用户真实的业务场景和核心需求,通过网络靶场做测试评估,实现业务风险的预控,是响应用户的呼唤。

其次,作为人才建设领军者,永信至诚开创了拥有89万多注册用户的全国知名网络安全专业学习社区,圆满支撑了450+场重点网络安全赛事演练,为测试评估标准化建设提供了丰厚的人才储备,为新技术、新业态、新产品的测试评估开拓了开放、鲜活的模式。

第三,中立的生态位置。在测试评估生态中,永信至诚将始终做好桥梁和中台,协同所有业界安全厂商共筑网络安全防线。

第四,作为支撑网络靶场、测试评估的核心技术,平行仿真技术不是简单地模拟一个网络设备,模拟的可能是业务逻辑,人员角色,甚至是流程,是动态的。永信至诚持续在该技术领域加大研发投入,经过一个周期,这种持续的投入已经从量变转化成了质变。

最后,李炜谈到永信至诚的认知和价值观,即“产品乘服务”的创新理念。“我们深刻的认识到,开启这个赛道不能只靠产品。客户需要我们帮他们解决问题,而我们更希望在解决问题的同时带给客户价值极致的安全感,而这种极致的理念也是我们对客户最大的尊重。”

蔡晶晶曾表示,永信至诚希望用三年的时间成为国内安全测试评估赛道的龙头,用五年的时间成为全世界这个赛道的龙头,带给全世界安全感。那么未来永信至诚将会给这个赛道带来哪些精彩的实践呢?就让我们拭目以待吧。

意见反馈:zhanheng@cbigroup.com

稿件投诉:zhanglin@cbigroup.com

内容合作QQ:2291221

商务合作:13391790444 詹老师

ICP备案号:川B2-20070068-15

川公网安备:51010602001511号

关注我们