在数据安全市场从“形式合规”转向“实质合规”的大趋势下,作为数字化体系安全测试评估的基础设施,数据安全“数字风洞”产品开启了一个崭新的模式,推动数据安全从“证有”走向“证无”,构建数字世界的安全感。
构建数据安全“数字风洞”
近日,国家级专精特新“小巨人”企业永信至诚正式推出了面向数据安全领域的测试评估产品——数据安全“数字风洞”。
据了解,数据安全“数字风洞”重点围绕人和系统两个维度,设置了7大产品模块,通过科学的测评方法、精心设计的测评环境、数字化的测试流程、丰富的测评手段、标准化的测评报告和精准的优化分析,支撑城市、行业、单位等用户进行常态化、数字化的测试评估,实现数据安全的可知、可视、可验和可量化。
永信至诚CTO(首席技术官)张凯表示,在数据安全的实践中,很多行业用户都部署了数据采集安全、数据访问控制、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全等各类安全设施,也在各方面做了多种尝试。不过,虽然每一次的加强建设可能为数据安全的某一方面提供了帮助,但不少用户依然面临“不知道”“看不清”等瓶颈,难以从总体上获得安全感。
众所周知,风洞是以人工的方式产生并控制气流,用来模拟飞行器或实体周围气体的流动情况,观测气流对实体作用效果的一种管道状实验设备,是进行空气动力实验最常用、最有效的工具之一。在永信至诚看来,正如风洞保证了各类飞行器的安全飞行一样,对于数据安全领域来说,也需要基于“数字风洞”进行持续性的测试评估。
永信至诚董事长蔡晶晶说,“数字风洞”强调测试评估的持续性与标准化,提倡尽早测试、频繁测试、全面测试,同时通过对人、系统、数据、方案、流程等进行量化评估,贯穿数据安全规划建设、运营和处置等全生命周期的各个阶段,形成持续验证,不断发现并消除安全隐患,直到证明没有问题,从而解决网络数据安全的“最后一公里”问题。
数据安全市场迎来井喷
当前,随着数字经济的蓬勃发展,数据已成为继土地、资本、劳动力、技术之后的新型生产要素。与此同时,数据安全市场也迎来井喷。
浙商证券近来发布的研报显示,数据安全市场正从传统以数据承载环境为中心的“系统视角”向以数据全生命周期流转为中心的“业务视角”转变,逐步演进为独立的赛道。预计2025年市场规模接近千亿元,2019年至2025年的复合增长率可达67%。
蔡晶晶也认为,三方面因素将促进数据安全行业快速发展井喷:首先,全球范围内网络和数据安全形势日益严峻,政企用户普遍面临数据安全合规、勒索病毒、特种攻击三大挑战,数据安全需求不断增长;其次,安全和发展是一体之两翼,在数字经济高速发展的当下,企业需要坚持发展和安全并重,实现高质量发展和高水平安全的良性互动;第三,国家数据局的组建表明,今后数字中国、数字经济、数字社会的建设环境将更加有序,制度保障更加常态化,数据安全行业也将得到更好的推进。
其中,数据安全测试评估正处在一个蓄势待发的阶段,目前亟待解决的痛点是,市场缺乏能够提供测试评估依据、长期运营、在人机交互和更加自动化上达到技术先进水平、对用户各种数据交互场景具备平行仿真能力的标准化产品和平台。
蔡晶晶说,随着数字经济和数据产业规模的发展,企业对数据安全测试评估的投入将迎来爆发式增长,“这方面的投入应该可以达到安全体系整体建设的10%至20%。”
数字世界需要建造安全感
近年来,数字化浪潮正在席卷全球,新技术、新业态、新模式不断涌现,越来越多重要的“神经系统”暴露在未经测试的网络威胁之中,安全风险与挑战与日俱增。
蔡晶晶表示,诸多数据安全产品之前一直在证明可以解决各种“有”的问题,比如证明系统有漏洞、有风险、有病毒等。然而,用户需要的不仅仅是“证明有问题”,还希望知道如何在“实质合规”的要求下,通过反复对人、系统、数据等要素进行持续测试评估,督促和帮助系统不断迭代优化,最终“证明没有问题”,从而带给数字世界安全感。
正是基于安全“证无”理念,永信至诚推出了数据安全“数字风洞”产品,并站在用户视角构建了覆盖数据收集、存储、使用、加工、传输、提供、公开等全周期数据处理活动的测试评估体系,以化解数据安全治理挑战,解锁数据安全能力建设新发力点,提升数据安全工作成效。
不过,张凯说,测试评估工作需要反复进行,并对阶段成果进行计量和评估,有目的、有计划的记录测评过程中的各类数据变化,根据计量结果不断科学调整优化方案。为此,永信至诚在“数字风洞”产品中构建了自主研发的风洞载荷时光机子系统,将测试环境以及配套的测试风险载荷以“风洞时光”的形态封存在“数字风洞”之中,成为下一次测试的基础。这样一来,每次测试前,系统都会优先测试并验证上一次的“风洞时光”封存下来的风险载荷,以确保之前的风险得到及时消除,系统实现了迭代进化,进而帮助用户实现安全“证无”的目标。
与此同时,随着系统的反复迭代,“数字风洞”内的诸多风险载荷也在不断积累,当企业需要分析风险成因或基于某些特定场景进行推演分析时,可以一键提取出封存的风险载荷,实现测试评估场景化、立体式分析,并对安全防御能力建设形成价值参考和有效指导。