“实质合规”之下，如何补齐数据安全的最后一公里？

“当前的网络安全行业正在由形式合规向实质合规转变。”

近日，在永信至诚举办的数据安全“数字风洞”产品发布会上，永信至诚董事长蔡晶晶发出了这样的论断。

究其原因，是数据安全的重要性正日益凸显。

实质合规不仅需要 “证有”，还需要“证无”

近年来，全球范围内的安全形势都不容乐观。根据多个权威咨询机构对2023年网络安全趋势的预测，数据泄露事件将会不断发生，勒索病毒、特种攻击也会频繁带来新的风险和挑战。

加强数据安全保护已经成为全球命题，在我国也不例外。我国已经陆续出台了《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《数据出境安全评估办法》和《网络数据安全管理条例（征求意见稿）》《关于促进数据安全产业发展的指导意见》等数据安全相关的法律法规，并组建了国家数据局，对网络和数据安全建设工作提出了诸多标准和要求。

严峻的风险挑战和严格的法律法规使得政企单位必须对以结果为导向的“实质合规”重视起来，从业务视角出发，建立一个以保障业务连续性和规避风险为目标的安全体系。

那么，该如何让这种“实质合规”在政企单位中有效落地呢？

为此，永信至诚推出了数据安全风险“证无”计划。

永信至诚董事长 蔡晶晶

蔡晶晶指出，在过去的二十多年里，整个网络安全行业都在用各种产品和解决方案来证明用户有安全风险、证明自己有可以解决风险的能力。但是，在要求“实质合规”的情况下，用户不仅需要 “证有”，还需要“证无”。

蔡晶晶进一步解释到，用户需要的不仅仅是“证明有问题”，用户还希望知道，如何通过对人、系统、数据等进行反复持续的测试评估，督促和帮助系统不断迭代优化，最终无限接近安全，“证明没有问题”。

测试评估：补齐数据安全最后一公里的手段

就像飞机经过1000多次风洞测试评估，证明没有安全问题之后才能飞上蓝天一样。企业也需要“数字风洞”来进行持续性的测试评估，验证防范，化解风险，才能筑牢数字安全防线，保障业务经营安全。

事实上，在《数据安全法》《网络数据安全管理条例（征求意见稿）》《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》等法律法规中都明确提出了要“促进数据安全检测评估”“定期组织开展数据安全宣传教育培训、风险评估”“建立数据安全检测评估体系”。

由此可见，测试评估已经成为保障数据安全的核心基础。

蔡晶晶告诉记者，数据安全领域产品包含7大类21小类，而测试评估不仅是其中一条独特的赛道，也是补齐数据安全最后一公里的手段。永信至诚的定位就是通过安全测试评估手段，帮助政企用户厘清“实质合规”的程度，围绕数据的全生命周期，解决人和系统的风险“证无”问题。

数字风洞：聚焦人和系统，为用户持续迭代“证无”

据永信至诚CTO张凯介绍，此次永信至诚推出的数据安全“数字风洞”产品，是基于安全“证无”理念和3×3×3×（产品×服务）安全感公式，站在用户视角构建，覆盖数据收集、存储、使用、加工、传输、提供、公开等全周期数据处理活动的测试评估体系，围绕数据安全业务、数据安全风险、威胁、合规等需求，化解数据安全治理挑战，解锁数据安全能力，建设新发力点，提升数据安全工作成效。

永信至诚CTO 张凯

张凯指出，很多行业用户都部署了各种数据安全设施，如数据采集安全、数据访问控制、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全等等，这些工具都会在某一方面提供单点防护，在某一领域里解决自己对应的问题，但是用户依然面临着不知道风险在哪里、看不清系统建设价值的瓶颈，难以获得总体角度的安全感，达不到实质合规的预期。

为化解用户这个痛点，让用户看清楚自己所面临的风险和解决风险的办法，永信至诚数据安全“数字风洞”产品总结了各行各业的实践经验，重点聚焦在“人”和“系统”两个维度，设置了数据安全意识测试评估、技能测试评估、实网系统测试评估、数据生命周期测试评估、应急演练测评、合规测试评估和风险评估7大产品模块，希望通过科学的测评方法、精心设计的测评环境、数字化的测试流程、丰富的测评手段、标准化的测评报告和精准的优化分析，支撑用户进行常态化、数字化测试评估，实现数据安全可知、可视、可验、可量化，并从法律法规、风险评估、实战攻防、仿真模拟、国家标准规范等维度全流程提供专家支持，帮助用户找准发力点，通过反复迭代优化不断“证无”，在过程中科学量化数据安全建设成效，帮助用户实现实质合规要求。

当然，测试评估工作不是一蹴而就的，而是需要反复进行，并对阶段性成果进行计量和评估，有目的、有计划的记录测评过程中的各类数据变化，根据计量结果不断科学调整优化方案。

为此，永信至诚还在数据安全“数字风洞”产品中构建了自主研发的风洞载荷时光机子系统，将测试环境以及配套的测试风险载荷以“风洞时光”的形态封存在“数字风洞”之中，成为下一次测试的基础。

这样一来，在每次测试之前，系统都可以优先测试并验证上一次“风洞时光”封存下来的风险载荷，以确保上一次出现的风险得到及时消除，系统实现了迭代进化的目标。通过不断反复的“测试-发现风险-迭代优化-再测试-再迭代优化”过程，逐渐收敛并消除数据安全风险，进而帮助用户实现安全“证无”的目标。

随着系统的反复迭代，“数字风洞”内的风险载荷也会不断积累，当企业需要分析风险成因，或者基于某些特定场景进行推演分析时，可以一键提取出封存的风险载荷，实现测试评估场景化、立体式分析，并对安全防御能力建设形成有价值的参考和有效指导。

蔡晶晶为记者举例说明了数字风洞的应用方式，以用户上线新系统为例，用户可以先用数字风洞测试该系统的安全性，假设测试后发现了500个问题，那么用户就要找到系统供应商或者安全厂商进行整改。整改完毕后，数字风洞会把这500个问题产生的原因和情况变成风险载荷，以“风洞时光”的形态封存起来。几个月后，如果系统进行升级，用户可以用这个风险载荷做一个类似于验收的测试。测试完毕后，如果还有问题，就会循环启动新一轮测试。

张凯补充到，数字风洞共有三种商业模式：由客户直接购买然后运营，租用，或者和测评机构合作为客户提供服务。目前已在某数字政府、某能源央企、某高校中发挥着具体的作用。

永信至诚：专业优势，中立定位

事实上，此次发布的数据安全数字风洞是永信至诚数字风洞体系的成果之一。自2010年成立以来，永信至诚一直在网络靶场和网络安全人才建设领域深耕，在攻防兼备、平行仿真技术和人才领域都实现了大量的积累和赛事实践。2022年11月，永信至诚推出“数字风洞”产品体系，从此正式开启了安全测试评估赛道。

谈及永信至诚当前的优势时，张凯指出，和其他厂商相比，一方面，作为网络靶场领域的领军企业，永信至诚能够为数字风洞提供高仿真的环境、持续迭代的技术能力；另一方面，永信至诚是以“人是安全的核心”的角度切入网络安全产业的，但是并不向用户提供安全整改解决方案，而是希望能够帮助用户看清自己面临的网络安全问题到底在哪里。这决定了永信至诚具备独特的生态优势，能够提供中立、客观、专业的测试评估服务。

蔡晶晶表示，未来永信至诚会继续秉承“人是安全的核心”理念，继续加大研发创新，围绕数字风洞在其他领域不断深耕，陆续发布系列产品，引领测试评估百亿市场的赛道；也将凭借安全测试评估数字风洞产品体系，以及在网络靶场，人才建设领域的领军优势，与网络和数据安全行业不同赛道的企业形成合力，共同帮助用户实现安全“证无”，共建数据安全生态，促进数据安全产业高质量发展。