「永信至诚」发布数据安全新产品「数字风洞」研发理念从“证有”转向“证无”

  据悉，数字风洞最初的上线月。截至正式对外发布前，永信至诚已与数字政府、能源企业、高等院校三类客户开展合作，完成了产品验证。

  永信至诚CTO张凯介绍，数字风洞仍重点聚焦人和系统两大维度，设置了7大产品模块，涵盖人员的数据安全意识测试评估、技能测试评估，以及系统层面的实网系统测试评估、数据生命周期测试评估、应急演练测评、合规测试评估、风险评估5个模块。测评内容有法律和法规、实战攻防、仿真模拟等。基于此，永信至诚期望达成更科学地量化企业数据安全建设成效的目标。

  此外，张凯指出，数字风洞的核心创新点是「风洞载荷时光机」子系统。该系统能够对测试环境和配套的测试风险载荷以“风洞时光”的形态进行封存，作为下一次测试的基础。

  通过计量、评估阶段性成果，公司能够识别在反复测评过程中各类数据的变化，并基于此一直在优化、调整后续测评计划，以及数据安全解决方案。也就是，公司能够实现“测试-发现风险-迭代优化-再测试-再迭代优化”这一螺旋迭代过程，以实现逐渐收敛、无限趋近无数据安全风险的状态，最终达成“证无”的目标。

  谈及数字风洞的产品研究开发逻辑，永信至诚董事长蔡晶晶表示，主要是公司基于近年来对政策层面和市场层面变化的洞察，发现政企用户对产品需求的价值导向已经从“形式合规”逐渐转变为“实质合规”。

  在政策层面，国家针对数据安全领域密集出台了一系列新的法律和法规，包括《数据安全法》《个人隐私信息保护法》《关键信息基础设施安全保护条例》《数据出境安全评估办法（征求意见稿）》和《网络数据安全管理条例（征求意见稿）》等。同时，蔡晶晶指出：“政府监管措施已经从强调企业数据安全的清单式管理转向结果管理，推出了数据泄露等多个数据安全事件触发的处罚条款。”

  在市场层面，企业的数据安全意识逐步提升，更加关注如何实质性地解决数据安全问题，希望预测风险到底存在于哪里，进而尽可能规避潜在风险会造成的不良影响。这一方面是受到了政策层面的驱动；另一方面，是由于近年来网络攻击手段升级，勒索病毒、特种攻击事件频发。

  因此，在永信至诚看来，新形势下的测试评估产品需要将研发理念从过去的“证有”转向“证无”。

  蔡晶晶指出：“过去二十几年的时间，安全行业都在试图证明，用户有安全风险，而我有安全措施，有漏洞挖掘的能力，有风险评估的能力，有数据环境等。而现在，我们应该证无，是一种安全验收的逻辑。”张凯补充道：“证无实际上的意思就是要持续性地保持安全状态，这个和新的数据安全法是一脉相承的。”

  目前，永信至诚推出了三类付费模式：直接提供数字风洞建设服务；数字风洞平台租用；与测评机构合作。

  另外，围绕近期的生成式AI技术发展可能对数据安全行业带来的机遇和挑战，蔡晶晶和张凯分别分享了永信至诚的观点。

  蔡晶晶指出：“公司网络靶场和数字风洞产品均是人工智能（AI）安全测试评估的基础设施平台。AI在不一样的行业、不相同的领域的应用有不同形态，例如ChatGPT类的人工智能平台，一般会出现接口类、越权类等网络安全风险，还有几率存在隐私泄露、数据泄露等数据安全风险，公司的网络靶场和数字风洞产品具备对该类产品和风险进行安全测试评估的能力。”

  张凯补充道：“ChatGPT是一个非常大的方向和重要的变革。我们很重视这件事情，包括AI的技术和自有产品之间的结合。我们大家都认为AI的发展和安全的结合是必不可少的，包括今天蔡总提到的微软推出的security copilot。我们自己也在做这方面的尝试，也在希望未来能有一定的可能性，能够让我们的平台能力基于AI的发展去上升一个台阶，做到下一个阶段。”