永信至诚依托于过去多年来在网络靶场领域的深厚技术积累及上千家政企用户网络安全建设的丰富实战经验,正式发布“数字风洞”产品体系,开启测试评估领域专业赛道。目前,已经形成了面向城市、行业和单位等不同用户群体的全场景、全要素、全生命周期的安全测试评估解决方案,全面助力网络安全合规保障、风险预控、标准践行和投入回报。
城市级 典型应用场景
数字政府网络安全测试评估
数字时代高速发展,数字政府建设迎来重大发展机遇,但同时也面临着网络安全威胁的巨大挑战。永信至诚配合数字城市规划单位,打造面向开发人员的深度检验测试平台、面向安全部门年度演练组织的攻防演练靶场平台和面向安全服务人员的风险评估平台,助力城市数字化建设。
1、网络安全深度检验测试
- 规划阶段:解决漏洞、性能等检测难题。基于深度检测平台,配合专业的安全服务人员,对用户上线前和上线后的功能和系统进行全面测试和漏洞挖掘,并模拟一些基于真实网络环境的攻击流量进行性能测试。与此同时,解决各系统间因融合问题可能导致的新的溢出业务级风险。
- 运营阶段:解决新旧结合的数字化系统共同验证风险难题。用户进入运营阶段后,面临着一些系统上线了、一些系统即将上线的局面,新旧系统需要通过API接口进行联动,在共同的网络环境下协同配合。这个过程中,就需要仿真一些环境场景,实现多个工具的联动、标准化的流程以及多个具体任务下发的逻辑等模拟,支撑上线系统和未上线系统进行安全风险的协同验证。
2、实战化攻防演练
随着国家近几年各部委和各监管单位的推动,攻防演练测试已经成为行之有效的实网安全检测模式。永信至诚在服务数字政府中也进行了攻防演练靶场建设,用于在线运营及处置效率的验证和测试。
以永信至诚连续三年支撑的广东省“粤盾”数字政府攻防演练为例,每次通过靶场进行测试,都会发现个人安全意识、系统存在未修补漏洞、流程存在缺陷等诸多典型风险问题,并进行相关风险的及时处置和优化。所以每一次演练,不仅是攻击检测,还有防御加固,甚至是防御效果也可以通过技术检测的方式进行评判。
3、全流程技术风险评估
技术检测是风险评估中非常重要的典型环节,但是由于具体技术检测过程标准和人员执行能力的差异,会导致不同的人做同一个风险评估得出不同的结论。为解决这些问题,永信至诚帮助数字政府用户构建风险评估平台,助力任务标准化、接口开放化和价值导向化。
- 任务标准化。支持渗透测试等任务的执行步骤和标准极大标准化,进而把人员的主观薄弱环节和标准执行的不确定性收敛至确定。
- 接口开放化。支持技术人员调用所有习惯可用、可信、可靠的安全检测工具,高效执行任务。
- 价值导向化。技术检测之前,平台支持执行标准的导入和自定义,检测完成后,平台会根据具体执行目标进行实际任务标准的比对,从而得出合规情况及处置的优化建议。
行业级 典型应用场景
能源行业网络安全测试评估
能源行业作为关系国计民生的关键信息基础设施之一,系统非常庞大,且对业务连续性要求非常高,一旦遭到安全挑战,影响巨大。所以如何在业务系统上线初期甚至在规划阶段就将风险反复验证,并在运营、处置等周期中基于高仿真环境测试验证风险,是用户的核心诉求。
1、标准高效率安全检测
面对庞杂的系统元件和极为有限的人员及成本,如何高效完成风险的广泛排查?
永信至诚配合用户构建标准高效检测平台,并按照用户实际情况配置检测标准和具体对应指标,帮助用户实现几分钟之内即可完成数百个系统的安全检测,极大提升安全检测效率。
2、高仿真验证测试
针对在线运行的系统,如何在不破坏业务连续性的前提下,实现重要系统全面、客观的安全测试是用户的一大痛点。
为此,永信至诚和用户一起基于“数字风洞”仿真验证平台搭建了一个准生产网络,对加固手段、防御措施进行两次实战验证,帮助用户在没有损伤到生产安全的前提下,促进相关安全机制、流程和技术配置等优化,总结出真正对业务安全有保障的安全策略。
3、客观综合评价安全工作成效
如何有效解决网络安全工作中不知道、看不清、量化评估等难题?
在深度服务用户的过程中,永信至诚和用户共同总结出综合评价安全工作成效的三个维度:安全能力、安全状态和安全效果。为此,永信至诚帮助用户构建综合评估平台,主要针对网络安全不知道、看不清、如何量化评估等问题,让具体工作的结果、风险、合规、人员能力等形成量化的数据和指标,并进行高效率计算,成为消除风险工作的有力抓手。
单位级 典型应用场景
重点单位网络安全任务测试评估
网络安全工作是持续的、动态的,没有时间节点。但是某些单位的某些网络安全任务是有起止时间的,比如协同防御、溯源反制等,这些任务是可以量化测试评估的。
在我国著名的基地中,永信至诚“数字风洞”产品承担了国家重大演习任务的测试环境建设及任务评价评估工作。这是永信至诚非常自豪的实践,通过自带的评估模型及配合用户自建评估模型,最终,在“数字风洞”中完成重大安全任务的测评并得到科学的评价结果。
基于赛事演练的
业务场景周期测试评估实践
作为网络靶场和人才建设领军者,永信至诚一直在通过赛事演练活动和人才生态运营,为安全测试评估营造更为开放的氛围和生态。目前已为八大国家部委在内的450多场重点网络安全赛事演练提供技术支撑,为新技术、新业态、新产品的测试评估开拓出更开放、更鲜活的模式。
最大规模国家级网络安全人才能力评估赛事——网鼎杯:不仅动员了全球最高的参赛人数和全国广泛的行业单位,同时建立了量化的人才能力认证。
全国首个国家级数据安全赛事:正值《数据安全法》施行一周年之际,专门针对数据安全领域的数据识别算法等进行测试评估,包括数据安全合规、数据分析算法、敏感数据识别和存储数据设备等都做了可以大规模复制的竞赛模式。比赛深入贯彻落实了《数据安全法》,有效促进数据安全风险防控和保障能力提升。
国内首创实景防御赛RDG:为解决运维类赛事因人为、主观等因素导致无法扩大规模的难题,帮助全国各行业建立标准化测试评估机制,永信至诚推出RDG赛制,并应用于国家级安全运维比赛,让数字世界的守护者,能够进行量化、多维度的能力验证和评价。
全球唯一运行中的人工智能攻防赛RHG:支撑人工智能等前沿技术在相对可控的环境中进行测试检验,不仅局限于自动漏洞挖掘,还包括高难度的自动化渗透。RHG甚至得到了国外CSET智库的关注。
国内首个在线开放性测试评估社区春秋云境.com:以在线运营形式和实战化漏洞环境与仿真场景训练体系,让人、系统和数据在开放性环境中自动融合,探索碰撞出更多新的测试评估模式。
如今,“数字风洞”作为网络靶场测试评估的重要形态,除上述场景应用外,在军工、公安、金融、电信、电力、医疗、交通等各关键行业及工业互联网安全、数据安全、人工智能、信创、车联网安全等新兴领域均实现了场景落地。全面支撑数字化领域中,人、系统、数据等核心要素的安全测试与评估,贯穿规划、运营和处置整个生命周期的风险防范与化解。
未来,永信至诚也将持续基于“数字风洞”产品体系和3x3x3x(产品x服务)安全感公式,配合各大政企单位打造能解决实际安全痛点的专业测试评估解决方案。把相关技术能力和对安全测试评估的理解,融入到更多行业场景和安全建设的生命周期中,让安全为用户带来切实价值,带给世界安全感。
