咱们常说,网络安全没有“*安全”,由于“人”难免会发生失误,“系统”的新缝隙总会发生,“数据”危险无处不在,“百密一疏”发生在咱们事前幻想不到的当地。
但职业关于“*安全”的寻求并没有停步,更为谨慎地说,这儿的*安全并非百分之一百的安全,而是将安全的危险降到*、趋近于零的“*安全”。即便如此,相同充溢应战。
在网络安全职业,咱们好像现已习气了处理问题的办法论——“证有”,证明人有失误、有软弱,系统有缝隙、有危险、有病毒,数据有走漏、有越权、有残留等等。“证有”的逻辑很简单了解,当证明这些危险点存在,才干找到对症下药处理问题的办法,该训练的训练、该补洞的补洞,这时,网络安全产品亦在竭力证明“我有危险评价才能、有缝隙发掘才能、有数据防泄密才能”等。
当然,“证有”为维护网络安全发挥了巨大价值,但它就等于安全吗?必定程度上,“证有”或许自证了安全,但它是部分的、是产品第 一视角的安全。一次“证有”也仅是处理了一次安全问题。
怎么站在用户视角去完成近乎零的“*安全”?永信诚恳依据在网络靶场范畴构建的中心技术和经历堆集,树立了一套新的架构系统——“数字风洞”,经过重复对人、系统、数据等进行继续测验评价,并做出相应处置和优化,终究无限挨近安全,这便是“证无”的逻辑系统。
从“证有”到“证无”,“风洞”是完成这一改变的办法中心。源于航空航天范畴的专业词语,风洞经过进行空气动力实验,是飞翔器研制工作中的一个不行短少的组成部分。1903年,莱特兄弟成功完成了人类的第 一次飞翔,拓荒了航空史的新纪元,而这一切的条件离不开三年间进行的1000屡次的风洞实验,不断对机翼进行重复测验评价后飞上蓝天。F-22第五代战机的研制规划也是花费了近10年时刻,并在15座高低速风洞进行了约4.4万小时的实验,才终究确认结构和外形。所以,一次次“证有”终究完成了安全“证无”,保证航天器的安全安稳牢靠。
学习此理念,永信诚恳“数字风洞”定坐落对人、系统、数据、计划、流程等进行量化评价,贯穿规划建设、运营和处置等全生命周期的各个阶段,然后构成继续的验证,不断发现安全并消除隐患,直到“证明没有问题”,去到达迫临无、近乎零危险的“*安全”状况。
当然,或许有人疑问,“数字风洞”和咱们往常说的安全测验又有何差异,为什么它可以面向“证无”?
其间的中心在于永信诚恳在“数字风洞”产品中构建了自主研制的风洞载荷韶光机子系统,将测验环境以及配套的测验危险载荷以“风洞韶光”的形状封存在“数字风洞”之中,成为继续测验和重复验证的节点。也便是说,每次测验前,系统都会优先将上一次的“风洞韶光”封存下来的危险载荷进行测验并验证,以保证之前的危险得到及时消除,系统完成了迭代进化的方针。
在采访中,永信诚恳董事长蔡晶晶举例说,假如用户有一个新系统要上线,“数字风洞”会对其进行一个完好测验,并把测验环境、东西手法、问题危险和问题发生的原因等封装起来,待测验发现的问题整改后,“风洞韶光”会对整改或晋级后的系统进行类似于检验的从头测验。载荷测验结束后,假如问题仍然存在,则再见走上面的循环,直到改善结束,新的一轮测验又启动了。
“‘证无’的逻辑高度依赖于迭代的价值。”蔡晶晶指出,跟着“测验-发现危险-迭代优化-再测验-再迭代优化”进程的不断重复,逐步收敛并消除安全危险,从而协助用户完成安全“证无”的方针。
所以,“数字风洞”是一种测验评价,不过有别于众测等安全测验,它树立了一套系统化的科学的测验评价办法,以丰厚的测验评价手法、数字化的测验评价流程等,去到达“证无”的测验评价意图。
依据安全“证无”理念和3×3×3×(产品×服务)安全感公式,永信诚恳正式推出了数据安全“数字风洞”产品,构建掩盖数据搜集、存储、运用、加工、传输、供给、揭露等全周期数据处理活动的测验评价系统,环绕数据安全事务、数据安全危险、要挟、合规等需求,化解数据安全管理应战。
数据安满是信息安全的中心,这也就不难了解永信诚恳在发布“数字风洞”产品系统战略后,第 一个落地的产品便是环绕数据安全场景。一起从国家方针和微观环境来看,无论是《数据安全法》等方针法规的出台,仍是“国家数据局”的组成,都将数据资源和安全提升至新的战略高度。
为了将数据安全“数字风洞”产品落地,永信诚恳构建了数据安全“数字风洞”的七大产品模块:数据安全意识测验评价、技术测验评价、实网系统测验评价、数据生命周期测验评价、应急演练测评、合规测验评价和危险评价。以数据生命周期测验评价举例,其针对数据事务系统及防护办法对数据安全防护才能、战略有效性展开验证评价。依据事务使用场景构建高传神模仿环境,依据建设要求在平台中构建测评计划,加载测评东西及测评数据集,快速断定安全设置对使用场景的防护价值,使用测评数据辨认设备防护短板,及时调整战略或优化产品并重复测评,为数据安全才能建设、施行和改善供给数字化、流程化和模型化处理计划。
整体而言,永信诚恳数据安全“数字风洞”要点聚集人和系统树立的这套产品系统,可以站在用户视角协助客户看清楚危险在哪、处理计划在哪,经过重复的迭代优化不断“证无”,向“*安全”接近,成为伴生数字化的免疫系统。
更为重要的是,“证无”逻辑的“数字风洞”可以推进网络和数据安全由“方式合规”转向“本质合规”,愈加趋向于安全成果导向,发挥安全的自动效果。由此看来,永信诚恳“数字风洞”敞开了网络安全职业的一轮新的跃迁式立异,安全“证无”显着是一次换维考虑。“安全‘证无’具有划时代含义,让咱们打开了一个没有天花板的未来国际。”蔡晶晶如是说。