我们常说,网络安全没有“绝对安全”,因为“人”难免会发生失误,“系统”的新漏洞总会产生,“数据”风险无处不在,“百密一疏”发生在我们事前想象不到的地方。
但行业对于“绝对安全”的追求并没有止步,更为严谨地说,这里的绝对安全并非百分之一百的安全,而是将安全的风险降到最低、趋近于零的“绝对安全”。即便如此,同样充满挑战。
安全“证无”,逼近零风险
在网络安全行业,我们似乎已经习惯了解决问题的方法论——“证有”,证明人有失误、有脆弱,系统有漏洞、有风险、有病毒,数据有泄露、有越权、有残留等等。“证有”的逻辑很容易理解,当证明这些风险点存在,才能找到对症下药解决问题的方法,该培训的培训、该补洞的补洞,这时,网络安全产品亦在极力证明“我有风险评估能力、有漏洞挖掘能力、有数据防泄密能力”等。
当然,“证有”为保护网络安全发挥了巨大价值,但它就等于安全吗?一定程度上,“证有”或许自证了安全,但它是局部的、是产品第一视角的安全。一次“证有”也仅是解决了一次安全问题。
如何站在用户视角去实现近乎零的“绝对安全”?永信至诚基于在网络靶场领域构建的核心技术和经验积累,建立了一套新的架构体系——“数字风洞”,通过反复对人、系统、数据等进行持续测试评估,并做出相应处置和优化,最终无限接近安全,这就是“证无”的逻辑体系。
从“证有”到“证无”,“风洞”是实现这一转变的方法核心。源于航空航天领域的专业词语,风洞通过进行空气动力实验,是飞行器研制工作中的一个不可缺少的组成部分。1903年,莱特兄弟成功实现了人类的第一次飞行,开辟了航空史的新纪元,而这一切的前提离不开三年间进行的1000多次的风洞实验,不断对机翼进行反复测试评估后飞上蓝天。F-22第五代战机的研发设计也是花费了近10年时间,并在15座高低速风洞进行了约4.4万小时的试验,才最终确定结构和外形。所以,一次次“证有”最终实现了安全“证无”,确保航天器的安全稳定可靠。
借鉴此理念,永信至诚“数字风洞”定位于对人、系统、数据、方案、流程等进行量化评估,贯穿规划建设、运营和处置等全生命周期的各个阶段,从而形成持续的验证,不断发现安全并消除隐患,直到“证明没有问题”,去达到逼近无、近乎零风险的“绝对安全”状态。
“数字风洞”有一个风洞载荷时光机
当然,也许有人疑问,“数字风洞”和我们平常说的安全测试又有何区别,为什么它能够推向“证无”?
其中的核心在于永信至诚在“数字风洞”产品中构建了自主研发的风洞载荷时光机子系统,将测试环境以及配套的测试风险载荷以“风洞时光”的形态封存在“数字风洞”之中,成为持续测试和反复验证的节点。也就是说,每次测试前,系统都会优先将上一次的“风洞时光”封存下来的风险载荷进行测试并验证,以确保之前的风险得到及时消除,系统实现了迭代进化的目标。
在采访中,永信至诚董事长蔡晶晶举例说,如果用户有一个新系统要上线,“数字风洞”会对其进行一个完整测试,并把测试环境、工具手段、问题风险和问题产生的原因等封装起来,待测试发现的问题整改后,“风洞时光”会对整改或升级后的系统进行类似于验收的重新测试。载荷测试完毕后,如果问题依然存在,则再会走上面的循环,直到改进完毕,新的一轮测试又启动了。
“‘证无’的逻辑高度依赖于迭代的价值。”蔡晶晶指出,随着“测试-发现风险-迭代优化-再测试-再迭代优化”过程的不断反复,逐渐收敛并消除安全风险,进而帮助用户实现安全“证无”的目标。
所以,“数字风洞”是一种测试评估,不过有别于众测等安全测试,它建立了一套系统化的科学的测试评估方法,以丰富的测试评估手段、数字化的测试评估流程等,去达到“证无”的测试评估目的。
聚焦数据安全,将“形式合规”推向“实质合规”
基于安全“证无”理念和3×3×3×(产品×服务)安全感公式,永信至诚正式推出了数据安全“数字风洞”产品,构建覆盖数据收集、存储、使用、加工、传输、提供、公开等全周期数据处理活动的测试评估体系,围绕数据安全业务、数据安全风险、威胁、合规等需求,化解数据安全治理挑战。
数据安全是信息安全的核心,这也就不难理解永信至诚在发布“数字风洞”产品体系战略后,第一个落地的产品即是围绕数据安全场景。同时从国家政策和宏观环境来看,无论是《数据安全法》等政策法规的出台,还是“国家数据局”的组建,都将数据资源和安全提升至新的战略高度。
为了将数据安全“数字风洞”产品落地,永信至诚构建了数据安全“数字风洞”的七大产品模块:数据安全意识测试评估、技能测试评估、实网系统测试评估、数据生命周期测试评估、应急演练测评、合规测试评估和风险评估。以数据生命周期测试评估举例,其针对数据业务系统及防御措施对数据安全防御能力、策略有效性开展验证评估。基于业务应用场景构建高逼真模拟环境,根据建设要求在平台中构建测评方案,加载测评工具及测评数据集,快速判定安全设置对应用场景的防护价值,利用测评数据识别设施防御短板,及时调整策略或优化产品并反复测评,为数据安全能力建设、实施和改进提供数字化、流程化和模型化解决方案。
整体而言,永信至诚数据安全“数字风洞”重点聚焦人和系统建立的这套产品体系,能够站在用户视角帮助客户看清楚风险在哪、解决方案在哪,通过反复的迭代优化不断“证无”,向“绝对安全”靠近,成为伴生数字化的免疫系统。
更为重要的是,“证无”逻辑的“数字风洞”能够推动网络和数据安全由“形式合规”转向“实质合规”,更加趋向于安全结果导向,发挥安全的主动作用。由此看来,永信至诚“数字风洞”开启了网络安全行业的一轮新的跃迁式创新,安全“证无”明显是一次换维思考。“安全‘证无’具有划时代意义,让我们打开了一个没有天花板的未来世界。”蔡晶晶如是说。
