永信至诚发布“数字风洞”，剑指数据安全测试评估“证无”新赛道

3月29日，科创板上市公司永信至诚在北京举办数据安全“数字风洞”产品发布会，正式推出面向数据安全领域的测试评估产品。在“形式合规”转向“实质合规”的行业背景下，作为网络靶场领域龙头企业的永信至诚，亮出的这把利剑，志在引领开启安全风险测试评估由“证有”走向“证无”的新赛道、新时代。

开启安全“证无”产品序列，关注安全最后一公里

永信至诚董事长蔡晶晶在发布会上表示，随着数字经济的高速发展，网络安全和数据安全作为经济发展的关键基座，迎来了前所未见的机遇与挑战。在此情势下，网络和数据安全行业规模增长开始由“形式合规”转向“实质合规”，各行业领域更加主动理解网络安全的意义和任务，从业务视角出发，建立以保障业务连续性和安全风险为目标的安全体系，积极开展网络和数据安全测试评估，验证防范化解安全风险，以筑牢数字安全防线和和保障业务经营。

纵观网络安全发展史，可以发现，网络安全一直在做的事情，是证明可以解决各种“有”的问题，比如证明人有失误、有脆弱，系统有漏洞、有风险、有病毒，数据有泄露、有越权、有残留等。但对用户来说，他们需要的不仅是“证明有问题”，还希望知道如何在实质合规的要求下，通过反复对人、系统、数据等进行持续测试评估，督促和帮助系统不断迭代优化，最终无限接近安全，“证明没有问题”。

事实上，关于安全“证无”的理念，人类历史上有许多成功的经验值得借鉴。例如，莱特兄弟在第一架飞机试飞之前，三年间进行了1000多次的风洞实验，不断对机翼进行反复测试评估后飞上蓝天。

对于网络和数据安全领域来说，也需要基于“数字风洞”进行持续性的测试评估。正如风洞是航空航天事业发展的摇篮，数字风洞也是数字化体系安全测试评估的重要基础。数字风洞强调测试评估的持续性与标准化，提倡尽早测试、频繁测试、全面测试，通过对人、系统、数据、方案、流程等进行量化评估，贯穿规划建设、运营和处置等全生命周期的各个阶段，从而形成持续的验证，不断发现并消除安全隐患，直到证明没有问题，解决数据安全最后一公里问题，让用户获得真正的安全服务。

基于安全“证无”理念，数据安全“数字风洞”产品横空出世

基于安全“证无”理念和3×3×3×（产品×服务）安全感公式，永信至诚推出数据安全“数字风洞”产品，站在用户视角构建覆盖全周期数据处理活动的测试评估体系，围绕数据安全业务、数据安全风险、威胁、合规等需求，化解数据安全治理挑战，解锁数据安全能力建设新发力点，提升数据安全工作成效。

永信至诚CTO张凯表示，在数据安全的实践中，很多行业用户都部署了数据采集安全、数据访问控制、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全等各类数据安全设施，做了各种尝试，每一次加强建设可能都在某一方面上提供了帮助，但用户依然面临“不知道”“看不清”等瓶颈，从总体安全的角度难以获得安全感。

依据国家标准、政策要求、行业指南等内容，通过各行业经验的实践总结，永信至诚数据安全“数字风洞”产品重点聚焦人和系统两个维度设置7大产品模块，通过科学的测评方法、精心设计的测评环境、数字化的测试流程、丰富的测评手段、标准化的测评报告和精准的优化分析等，支撑城市、行业、单位等用户进行常态化、数字化测试评估，实现数据安全可知、可视、可验、可量化，并从法律法规、风险评估、实战攻防、仿真模拟、国家标准规范等维度全流程提供专家支持，帮助用户找准发力点，通过反复的迭代优化不断“证无”，在过程中科学量化数据安全建设成效，帮助用户实现实质合规要求。

风洞载荷时光机，助力安全测评风险及时优化与消除

张凯表示，在实质合规的驱动下，测试评估工作需要反复进行，并对阶段成果进行计量和评估，有目的、有计划地记录测评过程中的各类数据变化，根据计量结果不断科学调整优化方案。

为此，永信至诚在数据安全“数字风洞”产品中构建了自主研发的风洞载荷时光机子系统，将测试环境以及配套的测试风险载荷以“风洞时光”的形态封存在“数字风洞”之中，成为下一次测试的基础。这样，每次测试前，系统都会优先将上一次的“风洞时光”进行测试并验证，以确保之前的风险得到及时的迭代进化。随着“测试-发现风险-迭代优化-再测试-再迭代优化”过程的不断反复，逐渐收敛并消除数据安全风险，进而帮助用户实现安全“证无”的目标。

 与此同时，随着系统的反复迭代，“数字风洞”内的诸多风险载荷也在不断积累，当企业需要分析风险成因或基于某些特定场景进行推演分析时，可以一键提取出封存的风险载荷，实现测试评估场景化、立体式分析，并对安全防御能力建设形成价值参考和有效指导。

七大产品模块，打造数据安全测试评估标准平台

围绕人、系统、数据、合规等安全测试验证需求，永信至诚数据安全“数字风洞”构建了七大产品模块。

01 数据安全意识测试评估

为帮助数据安全人员能力、制度流程和组织架构建设的完善提升，在遵循《数据安全法》《数据安全能力成熟度模型》等国家标准前提下，数据安全意识测评内容丰富多样，不仅涵盖法律法规和数据安全治理标准的常规考点，在考评中加入实际案例分析场景，还沉淀数千道可用于合规、防诈骗、防泄密、基础安全知识等方面的测评内容。在工信部指导的首届数据安全大赛中，该测试评估内容模块进行了有效实践。

02 技能测试评估

围绕数据安全专业运维人员提供体系化的模拟实战测评环境，为实施日常演练、技能考评、实践强化提供支撑条件。以测促学、以评促建，让上岗人员通过实战对抗，不断测评和总结，发现技能短板，掌握最新技能，帮助受训人员和团队掌握专业化的数据安全运维能力。

03 实网系统测试评估

支持对实网测评全过程的把控，包括测评前准备、测评中成果审核和行为监控、测评后数据统计分析和优化等，内置多种测评打分模型和技战术模型并支持后续导入。在测评中有效检验目标系统设施存在的安全漏洞，并提供可借鉴的漏洞解决方案，漏洞挖掘过程全程审计和相关数据全面留存在系统内，使参演单位及时发现问题，修补漏洞，大大降低数据安全风险，验证实网系统的建设成效。

04 数据生命周期测试评估

针对数据业务系统及防御措施对数据安全防御能力、策略有效性开展验证评估。基于业务应用场景构建高逼真模拟环境，根据建设要求在平台中构建测评方案，加载测评工具及测评数据集，快速判定安全设置对应用场景的防护价值，利用测评数据识别设施防御短板，及时调整策略或优化产品并反复测评，为数据安全能力建设、实施和改进提供数字化、流程化和模型化解决方案。

05 应急演练测评

依托应急推演模式，构建各种触发数据安全事故的场景，验证组织设定的应急响应措施、流程及各部门执行能力，不断改进应急预案及数据安全防护能力。

06 合规测试评估

涵盖人员能力、技术设施、制度流程建设、组织架构完善程度等方面的多套合规体系，动态加载测评指标、评价模型，并利用数字化流程规范和记录合规测评全流程以及数据归档及分析，是进行日常合规性管理的信息聚合工具和数字化测评管控平台，服务于数据安全业务方日常建设、监管方常态化监督以及测评机构第三方评估。

07 风险评估

参考国家风险评估标准，全面识别信息系统在技术层面和管理层面存在的不足，通过现网系统风险测评、新建系统脆弱性测评，主动发现和验证数据安全问题，内置多个成熟评价模型开展数据安全定性定量评估，有效达成安全检测的控制和审核，对风险进行闭环管理，实现检测工作及漏洞的全生命周期管理和控制。

在统筹发展和安全的战略指引以及当前网络和数据安全新形势之下，“形式合规”转向“实质合规”的大趋势已然形成，网络安全与数据安全市场发展空间巨大，加强人、系统和数据安全风险的持续测试，不断发现问题并采取措施、提前防范化解风险和威胁，是数字中国发展的前提。

作为数字化系统安全的基础设施，我们看到，永信至诚“数字风洞”产品体系正在与业界专业的安全防御产品一起，为政企用户数字化转型提供专业的网络和数据安全测试保障及专有人才支撑，共同帮助用户实现安全“证无”，构建数字时代的安全感。