數據安全，不僅要證“有”，還要證“無”

圖片來源 @視覺中國

數據安全，從 " 形式合規 " 轉向 " 實質合規 "，已經成爲行業趨勢。

自 2020 年 4 月數據要素成爲新型生産要素，到 2022 年 3 月國家數據局的組建批準，在政策上，數據成爲了基礎性資源和重要生産力被逐步重視。這一過程中，與數據天然伴随的數據安全問題也進入公衆視野。

近年來，我國陸續推出了多項網絡安全、數據安全相關法律法規，對網絡和數據安全建設工作提出了諸多标準和要求。與此同時，勒索病毒、特種攻擊等網絡安全威脅層出不窮：根據 IBM   Security《2022 年數據洩露成本報告》顯示，全球數據洩露的平均成本創下 435 萬美元的曆史新高，83% 的受訪組織已經不是第一次發生數據洩露事件。

市場需要與大環境挑戰夾擊，用戶對數據安全的需求逐漸變被動爲主動。

需求被激發，但已有系統是不是能夠保證數據安全，對很多企業來說依然是個未解題。

數據安全，不僅要證 " 有 "，還要證 " 無 "

" 證明有問題 "，這是網絡安全發展二十多年，諸多網絡安全産品一直想要做好的事情。比如，證明人有失誤、有脆弱，系統有漏洞、有風險、有病毒，數據有洩露、有越權、有殘留等等。但是，用戶需要的不僅僅是 " 證明有問題 "，在 " 形式合規 " 轉向 " 實質合規 " 的大背景下，企業還希望通過反複對人、系統、數據等進行持續測試評估，督促和幫助系統不斷叠代優化，最終無限接近安全，" 證明沒有問題 "。

" 證無 " 理念最早體現在一百多年前萊特兄弟第一架飛機試飛。彼時，萊特兄弟三年間進行了 1000 多次的風洞實驗，不斷對機翼進行反複測試評估後飛上藍天；世界第五代戰機的代表産品 F-22，在圖紙定稿之前，也花費了近 10 年時間，并在 15 座高低速風洞進行了約 4.4 萬小時的試驗，才最終确定結構和外形。他們依靠風洞測試評估，最終實現了安全 " 證無 "，确保航天器的安全穩定可靠。

" 證無 " 理念和 " 風洞測試 " 同樣試用于網絡安全領域，" 在每次測試之前，系統都可以優先測試并驗證上一次‘風洞時光’封存下來的風險載荷，以确保上一次出現的風險得到及時消除，使系統實現了叠代進化的目标。"永信至誠CTO 張凱表示，" 随着‘測試 - 發現風險 - 叠代優化 - 再測試 - 再叠代優化’過程的不斷反複，逐漸收斂并消除數據安全風險，進而幫助用戶實現安全‘證無’的目标。"

近期網絡安全企業永信至誠科技股份有限公司（以下簡稱 "永信至誠"）推出了面向數據安全領域的測試評估産品 " 數字風洞 "，張凱補充，公司在數據安全 " 數字風洞 " 産品中構建了自主研發的風洞載荷時光機子系統，将測試環境以及配套的測試風險載荷以 " 風洞時光 " 的形态封存在 " 數字風洞 " 之中，成爲持續測試和反複驗證的節點。與以往傳統的數據安全産品側重于數據本身的單點防護不同，其 " 數字風洞 " 産品強調測試評估的持續性與标準化。

永信至誠董事長蔡晶晶在解讀時表示，" 數字風洞 " 産品的特色在于，提倡盡早測試、頻繁測試、全面測試，通過對人、系統、數據、方案、流程等進行量化評估，貫穿規劃建設、運營和處置等全生命周期的各個階段，從而形成持續的驗證，不斷發現安全并消除隐患，直到證明沒有問題。

與此同時，随着系統的反複叠代，" 數字風洞 " 内的諸多風險載荷也在不斷積累，當企業需要分析風險成因或基于某些特定場景進行推演分析時，可以一鍵提取出封存的風險載荷，實現測試評估場景化、立體式分析，并對安全防禦能力建設形成價值參考和有效指導。

不過，據钛媒體 App 了解，永信至誠當前的主營業務之一爲網絡靶場，" 數字風洞 " 可以理解爲是該項核心業務的技術更叠品，也或是永信至誠對未來網絡安全趨勢判斷的押注點之一。而作爲一項戰略産品，" 數字風洞 " 的設計也集成了時下最熱門的 "AI" 技術。

" 數字風洞 " 後，安全是否會邁上 AI 技術新台階？

随着 ChatGPT 概念爆火，近期人工智能風暴席卷各行各業，網絡安全也成爲其中一個受影響行業之一。截至目前，國内一些數據安全廠商也提出了 AI 賦能數據安全的嘗試。微軟更是發布 GPT-4 驅動的網絡安全工具 Microsoft   Security   Copilot，這個由 AI 提供支持的安全分析工具，可以使分析師能夠快速響應威脅，并在幾分鍾内評估風險暴露。

那麽 ChatGPT 或者類 ChatGPT，是否會在網絡安全行業掀起新浪潮，" 數字風洞 " 能否搭上人工智能的快車，也是業内備受關注的話題。

張凱向钛媒體 App 表示，ChatGPT 确實已經到了有可能改變一些業界生态的機會，AI 的發展和安全的結合是必不可少的，這個也是一個必然的趨勢。

不過人工智能在網絡安全領域的應用并非是從 ChatGPT 開始的。張凱表示，就永信至誠來說，自 2017 年，公司就開始組織人工智能網絡攻防對抗領域的測試驗證活動，并通過一系列行業賽事不斷吸引更多研究者通過公司 RHG 靶場平台對其研究成果進行測試和驗證。

" 我們自己公司的技術研究團隊也在嘗試如何利用 AI 來進行安全突破研究工作，這些工具也都集成到了‘數字風洞’裏面，成爲自動化測試評估安全檢測的手段。未來，它有可能會成爲我們這個平台裏面很重要的智能設施，代替一些人員操作。" 張凱向钛媒體 App 介紹。

對于未來，AI 與數據安全的互動或許會産生更多想象。張凱表示：" 或許會有一定的可能性，讓我們的平台能力基于 AI 的發展上升一個台階，并把 AI 能力體現到下一階段的戰略産品中。"

今日國家網信辦就《生成式人工智能服務管理辦法（征求意見稿）》公開征求意見發布，其中提到，提供生成式人工智能産品或服務禁止非法獲取、披露、利用個人信息和隐私、商業秘密。人工智能市場的波瀾影響至數據安全領域，網絡安全概念股随後集體拉升。截至今日發稿，永信至誠于 13 時 22 分觸及漲停闆，大漲 20%，股價升至 110.35 元創上市以來新高。

不過股市的漲跌最終要回歸價值，未來，" 數字風洞 " 能否繼續網絡靶場業務的增量，成爲業績收入的第二增長曲線，一切都還是未知數。新興業務數字風洞與 AI 數據安全能否拓展出新的營收領域，還有待時間驗證。（本文首發钛媒體 APP 作者 | 賈雨微 編輯 | 秦聰慧）‌

更多精彩内容，關注钛媒體微信号（ID：taimeiti），或者下載钛媒體 App