开启安全测试评估赛道 数字风洞带给时代安全感

扫码订阅《中国信息安全》杂志

邮发代号 2-786

征订热线：010-82341063

近日，永信至诚发布了面向安全测试评估领域的“数字风洞”产品体系。按照永信至诚董事长蔡晶晶的话说，“数字风洞”是网络靶场的发展形态之一。谈起网络靶场，业界首先就会想到测试平台，但对于“数字风洞”，在永信至诚看来，这并不是新造一个概念，一方面是数字时代对人、系统、数据的测试评估需求的强烈呼唤；另一方面，“数字风洞”面向的是更广、更多、更复杂的应用场景。

蔡晶晶认为，数字时代下，网络空间需要“数字风洞”来对数字世界进行安全测试评估。无论是智慧城市、重要行业，还是政企单位，人员、系统、数据这些核心要素，都贯穿于其网络安全规划、运营和处置的整个生命周期。这些都将是基于“数字风洞”进行测试评估的对象。

这些要素就像一个三阶的魔方，构成了复杂多变的网络安全场景。对这些形形色色的不同场景，永信至诚依托于过去八年多在网络靶场领域的技术积累，以及服务于上千家政企用户网络安全建设的实战经验，再结合面对的测试评估对象，总结形成了一套“3x3x3”的立体化模型。

同时，现在的网络安全防护体系已不再仅仅以合规为目的，堆叠了再多的产品，也需要专业的服务才能让产品真正发挥作用。为此，蔡晶晶提出，为了让“3x3x3”模型真正有效，需要再融入“产品乘服务”的理念，将产品价值发挥到极致，最终形成一个“3x3x3x（产品x服务）”的算法，这是永信至诚总结了多年经验和实践，得到的一个“安全感公式”。这个公式体现在测试评估领域，就是“数字风洞”的价值所在：在各类场景中，通过安全测试评估帮助用户获得真正的安全价值，拥有安全感。

在永信至诚高级副总裁李炜看来，数字化时代，安全测试评估已经成为企业安全工作必不可少的环节。例如，美国在DoD5000、DoD8500.1、DoDi8510.01中，均提出了网络空间安全符合性测试要求。国际的ISO22000、270001，国内的GB/T 20984-2022《信息安全技术信息安全风险评估方法》，都对不同层次的安全体系提出了不同的测试标准和要求。李炜表示，“数字风洞”作为网络靶场测试评估的重要形态，帮助用户对技术、产品、系统等查漏补缺，防患于未然，助力各行业在网络安全工作中实现合规的保障、风险的预控、标准的践行和投入的回报。

那么，“数字风洞”在测试评估领域有哪些创新实践？能给用户带来哪些实际价值？对此，李炜介绍了几种常见的典型应用场景。

第一是城市级别的用户，例如数字政府。我国于今年4月颁布了《关于加强数字政府建设的指导意见》，标志着我国数字政府建设进入了加速期。其中，构建数字政府全方位安全保障体系，强化数字政府安全管理责任是推进数字政府建设工作的重要抓手。

数字政府包含了大量关系到国计民生的业务系统，各个系统之间数据交换频繁。当一个新单位的业务系统上线，必须在“数字风洞”里先进行测试，看清是否有未发现的漏洞等风险隐患。其次，这个系统能不能承受住实际业务环境的压力，也需要在模拟的真实网络环境中进行测试。再次，新的业务系统和其他已经上线的系统能否正常联动？联动的过程中会不会产生新的业务风险？这些也需要在一个仿真的环境中进行验证。

以上是数字政府网络安全系统的规划阶段，“数字风洞”此时是一个深度检测测试平台，通过测试验证保证新的系统能够安全投入实际运营环境，避免“带病上岗”，给业务造成影响。到了运营和处置阶段，“数字风洞”则是一个仿真的演练靶场，通过对真实系统中的数据、人、业务进行攻防演练测试和评估，发现系统实际运营中潜在的风险，并做相应的处置和优化。

此外，在实际运营中，系统经常要接受来自内外部的风险评估，而基于网络靶场的“数字风洞”可以让风险评估更加有效。以往的风险评估，有的环节必须通过技术检测才能找出问题，但受制于不同人的能力和经验，无论是漏洞扫描还是渗透测试，技术检测的结果往往并不统一。此时，“数字风洞”变身为一个风险评估平台，其关键作用是实现了技术检测各个环节的标准化，尽可能将人员的主观因素所带来的不确定性降低到最低，输出符合标准要求的高质量安全评估结果。

第二个应用场景是大型行业。大型行业子分支机构众多，信息系统庞大复杂，业务更新频繁。按照行业要求，众多上线的新业务新系统，必须通过入网安评。尽管行业用户的IT建设大多非常先进，但安全投入不足的问题也是行业常态，在云原生、开发运营一体化（DevOps）已经广泛应用的今天，行业的网络安全部门每天可能都要面对大量需要上线的系统更新，仅靠自己的人力或者外部服务来进行安全检测评估，往往成了一个“不可能任务”。

此时，“数字风洞”就化身为一个标准高效的安全检测平台，根据用户实际情况配置检测标准和具体对应指标，对每天上线的新业务新系统，进行标准化、自动化的入网安评，在几分钟之内就能对数百个系统进行半自动化的检测，其效率远非人力可比。

系统上线后，安全体系对各类新型攻击譬如勒索病毒能否有效防范？这对用户其实是一个心里犯嘀咕的问题。到底能不能防住，通过应急演练就能看清。但应急演练不可能在真实的生产网络中进行，一旦失控后果不堪设想。“数字风洞”此时又是一个应急演练平台，根据真实的生产网络，模拟出一个包括系统运行流程、软件版本配置，甚至漏洞都一样的仿真环境，让用户验证系统的安全措施是否有效，例如技术手段和应急流程的效果如何，根据所发现的问题，帮助用户优化相应的安全机制、流程、策略，让这些风险不会在实际的网络环境中发生，做到防患于未然。

同时，在实际工作中，安全往往难以量化。不出问题，安全部门经常被忽视，出了问题，安全部门又成了最大的“背锅侠”。安全能力、结果和成效如何评价？对这个行业广泛存在的痛点，“数字风洞”变成了综合评估平台，自动和其他系统的数据对接，将具体的工作结果通过量化的指标和算法，对安全工作的成效自动化地进行综合评估，包括人员的能力和贡献，算出一个评判数据，让安全的价值可以被评价，可以被“看见”。

第三，“数字风洞”的测试评估对象不仅只有人、系统、数据，还可针对网络安全“任务”进行测试评估。这个任务可能是协同指挥、防御、检测、溯源反制等，一般有着明确的时间节点和任务要求，例如，业内熟知的重保关保，就是典型的网络安全任务。

对任务该如何进行测试评估？真实的演练代价巨大，“数字风洞”的测试可以更好地实现任务效果的评估。这里的要点在于评估模型的各个指标都可以自定义，从而建立一个完全满足用户需求的、专门的任务评估平台，就像“彩排”一样，通过全周期全要素的检测，评估任务的可行性和存在的问题。到了真正执行任务时，各单位对自己所做的工作、对可能出现的问题了然于心，真正做到万无一失。

第四个场景，则回到了永信至诚最擅长的赛事。赛事和测试评估有啥关系？李炜认为，赛事不仅是测人，而是面向人、系统、数据，面向规划、运营、处置不同周期的一种公开的测试评估活动。赛事让测试评估从封闭走向开放，让测试评估更加鲜活，不断衍生出新的应用场景。

永信至诚打造的赛事不仅有CTF夺旗赛，还有模拟真实网络对抗的AWD攻防赛、针对人才能力评估的网鼎杯、面向信创的安全众测大赛、数据安全大赛、前沿的RHG机器人自动攻防大赛、仿真大型城市靶场攻防演习大赛、行业级运营场景演练等众多类型。很多赛事的测试评估目标，例如攻防类赛事，不能在实际的网络中进行，必须在相对可控的环境当中进行检验。这些不同类型的赛事，背后都是网络靶场和数字风洞的产品体系在支撑，反过来，永信至诚通过赛事的融合创新，不断探索出网络靶场新的亮点和应用模式。

在上述的应用场景中，无论是测试平台、训练平台、仿真验证平台、研究平台、竞赛平台、实训平台等，最后的原点都是回到测试和评估。网络安全行业对测试评估的价值认知在提升，数字时代对测试评估的需求在提升，所以有了“数字风洞”这一网络靶场形态的落地。

李炜强调，“数字风洞”产品体系的发布，最根本的推动力来自永信至诚的实践认知和用户的教育。用户需要一个模块化的测试评估平台、需要一个标准化的测试评估流程、需要可精细化定义的测试评估任务、需要多种多样的测试评估工具插件，这样一个集大成于一体的测试评估平台，就是“数字风洞”。永信至诚多年来网络靶场的技术、场景积累推动了“数字风洞”的诞生，“3x3x3x（产品x服务）”的立体化模型给了“数字风洞”大展拳脚的千千万万个空间。李炜表示，“数字风洞”不仅能测安全，也能测性能，所以，“数字风洞”未来不仅是网络安全体系的基础设施，甚至是整个数字化体系的基础设施。作为面向全场景、全要素、全生命周期的安全测试评估解决方案，化身万千的“数字风洞”，将给网络空间持续带来安全感。

《中国信息安全》杂志倾情推出

“企业成长计划”

点击下图了解详情