图片来源新华社
四方面原因,决定网络空间需要数字风洞进行安全测试评估
风洞,被誉为“飞行器的摇篮”,主要是通过模拟不同飞行条件下的气流流动,来测试评估飞机的性能和安全性,是飞机研发过程中的重要环节。通过风洞测试,C919可以在实验环境中经受各种复杂飞行情况的验证,确保其在商业运营中的飞行安全。
不仅是C919,所有的飞机在正式飞上蓝天之前,都需要经过风洞测试——人类第一架飞机试飞之前,莱特兄弟三年间进行了1000多次风洞实验;世界第五代战机的代表产品F-22在图纸定稿之前,也花费了近10年时间,在风洞中进行了约4.4万小时的实验。
如今风洞测试还被广泛应用在交通、土木工程、体育等各行业领域,日常生活中常见的汽车、高铁、摩天大楼、立交桥等,在建造或制造过程中大都要经历风洞反复试验,以进一步更好地优化它们的结构、外形及性能等,确保安全性和可靠性。
随着数字经济的发展,风洞测试评估的理念也应用到了网络安全领域,形成“数字风洞”产品体系。
网络空间为什么需要“数字风洞”?
第一,近年来我国网络安全、数据安全相关法律法规密集出台,全面深化企业实质合规要求,明确强调测试、风险评估、攻防演练等内容;
第二,勒索病毒、特种攻击等网络安全威胁层出不穷,网络安全形势愈加复杂。面临越来越多的未知、新型攻击,需要持续的检测、验证和消除手段;
第三,数字化转型过程中,各种新技术、新应用、新场景与业务相结合,由此扩大了攻击面,导致很多系统可能会“带病上岗”。提前测试和验证风险,可以有效检测并保证系统健康安全。
第四,数字场景下重要行业,如电力、金融、能源、交通等业务不可中断,在规划建设和运营的不同阶段,都要提前考虑安全问题及风险化解,而前置风险、保障业务连续运行的基础手段就是安全测试评估。
所以,类比我国发展航空工业、建造大飞机,在飞机飞上蓝天之前必须进行不断的风洞实验,网络强国和数字中国高质量建设的前提,也需要基于“数字风洞”构建全场景、全要素、全业务周期的测试评估体系,以持续加强人、系统和数据的安全风险验证,不断发现问题并采取措施,提前防范化解安全风险。
六大测试评估应用场景,持续推动安全“证无”
作为“数字风洞”产品体系的提出者和建设者,永信至诚依托在网络靶场和人才建设领域的深厚技术积累,开启并领跑测试评估专业赛道。秉承独创的安全“证无”理念,以“3×3×3×(产品×服务)”安全感公式为方法论,搭载自主研发的风洞载荷时光机系统,永信至诚已经形成面向城市、行业、单位等不同用户群体的测试评估应用场景,能够满足人、系统和数据等各关键要素测试评估需求,助力政企用户网络安全工作实现合规的保障、风险的预控、标准的践行和投入的回报。以高逼真业务环境和高仿真数据交互的沉浸式安全测评环境、多循环激励升级模式及全维度数据量化,反复快速进行成果验证,保障数字健康。
场景一:数字政府安全测试评估
当前数字政府建设迎来重大发展机遇,但同时在跨行业、跨领域的多个关键信息基础设施安全、运营处置、技术检测等方面也面临着网络和数据安全威胁的巨大挑战。基于“数字风洞”测试评估平台,可以在大批系统研发及上线阶段,对系统进行场景化的风险验证和性能测试;基于“数字风洞”攻防演练平台,帮助安全部门发现城市各方运营过程中潜在的风险,提升应对大规模攻击的应急处置能力;基于“数字风洞”风险评估平台,实现对安全服务人员在技术检测各个环节的标准要求和安全管控,全方位助力城市数字化安全建设。
场景二:关键行业安全测试评估
关键行业的大型组织分支机构众多,系统庞大复杂,业务更新频繁。基于“数字风洞”高效检测平台,可以帮助用户短时间之内完成数百个系统的安全检测,极大提升安全检测效率。同时,针对电力、石油、石化等工业互联网领域的运行系统和安全体系风险排查需求,进行复杂业务模拟仿真,搭建准生产网络环境,通过赛事演练、方案推演等方式,助力各行业用户进行风险验证,促进安全机制、流程、策略配置、应急处置的优化升级。
场景三:人工智能安全测试评估
随着ChatGPT类的大语言模型人工智能的降临,人工智能安全受到高度关注。基于“数字风洞”产品体系,采用多循环、智能激励对抗等方式,对AI模型的注入、欺骗、推理和绕过等安全问题进行测试评估,使用多种类型的工具和数据集,基于文本、代码、图像、声音或通用输入等不同的数据类型,发现潜在的漏洞并进行日志记录,评估可能的危害性。同时,严格验证人工智能模型训练数据的安全控制,确保数据不会被篡改或污染,保证模型的准确性。
场景四:数据安全测试评估
遵循国内外主流数据安全治理模型和相关成熟度评价标准,依托数据安全“数字风洞”,从人和系统两大维度,提供专业的测试评估业务功能模块,实现数据安全人员能力、技术工具、制度流程、应急协同、安全合规等全方位的风险验证,覆盖数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁等全生命周期安全测试评估。同时,基于风洞载荷时光机系统,提供平台化和持续化的迭代能力,用量化的数据,看清数据安全建设成效和优化方向,帮助用户通过不断地迭代验证,保护数据安全。
场景五:人员测试评估
依据《网络安全法》《数据安全法》等法规要求,构建涵盖业务场景和实际案例分析场景的测评内容,打造数据安全专业运维人员进行体系化的实战测评环境,为安全意识提升、实战演练、技能考评提供支撑条件。以测促学、以评促建,让上岗人员通过教育培训、实践考核、攻防对抗,发现意识和技能短板,掌握专业化的数据安全运维能力。
场景六:业务系统安全测试评估
业务系统的安全测试评估,贯穿于规划、运营及处置的各个阶段。其中,在系统规划阶段,对上线前、上线后的系统和功能进行全面且高效地测试与漏洞挖掘,并模拟真实网络环境的攻击流量进行性能测试,保证新系统能够安全投入实际运行环境;在运营阶段,经过持续性、场景化测试验证,解决新旧结合的数字化系统共同验证风险难题,避免各系统间因融合可能导致的新的溢出业务级风险。同时,通过赛事演练、攻防演练、应急演练等模式,及时发现系统隐患,提升应急处置能力,保护数字系统安全。
数字化时代,实效价值最大化和安全风险最小化是各行业用户保持业务连续运行的关键。通过安全测试评估,可以发现和修复安全漏洞、提供全面的安全性报告和处置建议、制定健全的安全防护策略,帮助各行业用户保障网络和数据安全,从而实现业务的连续运行和可持续发展。最重要的是,网络安全测试评估是一个持续的过程,随着数字技术的不断发展和安全威胁的不断演变,具备测试评估能力的“数字风洞”,将成为数字化体系安全测试评估的重要基础设施,而“数字风洞”产品体系的应用场景也在不断落地,持续助力各行业领域网络和数据安全建设。
目前,永信至诚“数字风洞”已经助力军工、公安、金融、电信、电力、医疗、交通等各关键行业进行安全测试评估标准化平台建设,涵盖数据安全、工业互联网安全、人工智能安全、信创安全、车联网安全等重要领域。未来,永信至诚也将继续发挥网络靶场和人才建设领军优势,基于“数字风洞”产品体系,领跑测试评估赛道,帮助数字化转型过程的各行业用户发现安全隐患、验证并消除安全风险,保障数字健康,带给世界安全感。