中国的网络安全产业，乃至全球的网络安全产业，都习惯于“证有”。逻辑大概如此——证明“人”的能力有欠缺、有操作失误，证明“系统”有漏洞、有病毒，证明“数据”有越权、有残留、有泄露风险。

进而，他们又在证明自己有能力弥补这一切——有风险评估能力、有漏洞挖掘能力、有安全运营能力，有内网渗透能力、有防止数据泄露能力。这并没有错，但或许稍微调整逻辑关系，就有更好的解决方式。

120年前，北卡罗莱纳州空旷的沙滩上。“飞行者一号”在空中驶过36.5米。但为了这一改变人类历史的瞬间，此前三年，莱特兄弟已在“风洞”中，进行过1,000多次模拟飞机试验，并成功获取了一整套科学数据。

100年后，美国的F-22问世。作为世界第五代战机的代表产品，它在图纸定稿之前，也花费了近10年时间，并在15座高低速风洞中，进行了约4.4万小时的试验，才最终确定结构和外形。

这就是“证无”带来的安全感。关注到“飞行者一号”和F-22设计成功之余，我们更应该注意到一组数据：1,000和4.4万——工程师经历了1,000次和4.4万小时的风洞测试评估，最终实现了安全“证无”，确保航天器的安全稳定可靠。

但很是遗憾。

全球的网络安全产业还是习惯于“证有”。因为“证有”确实相对容易，但一次“证有”并不等于安全，一次“证有”可能还意味着，隐藏在角落中存在着99%的不安全。然而逆向思维，如果迭代1,000次“证有”，不安全的概率将下降到0.0043%，再如果迭代10,000次“证有”，IT架构中不安全的风险，将趋近于零。

这就是“证无”。

为了实践“证无”永信至诚也造了一个“风洞”——数据安全“数字风洞”。而且这家企业的观点是，网络安全需“证有”，也需“证无”。通过持续的测试评估，不断的优化迭代，达到无限接近安全的状态。

至此，还要回顾中国安全产业的发展背景。2016年之后，中国网络安全、数据安全相关法律法规陆续出台，而且在近期的修改意见中，还特别加大了惩罚力度。例如，《中华人民共和国网络安全法》修订的征求意见稿中，对企业罚款拟从最高100万元，提高至5000万元，或上一年度营收的5%。

不仅如此。

勒索病毒和APT攻击，以及APT化的勒索病毒也是肆意频发，而且专业化、职业化、产业化的新生代攻击团伙，已将矛头直指金融、医疗、高端制造、公共事业等大型企业。例如，某汽车部分数据遭窃取，某财务软件漏洞被勒索软件利用攻击国内企业等。

这就是警种，也给中国企业提了个醒。中国企业不能再以合规为底线标准，开列产品清单，就建设和优化信息体系。或者说，行业用户再不能忍受，虽已部署了数据采集安全、数据访问控制、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全等各类数据安全设施，做了各种尝试，但依然面临“不知道”“看不清”等瓶颈。

永信至诚将此称为：网络安全和数据安全正由“形式合规”转向“实质合规”。而正如风洞是航空航天事业的发展的摇篮，永信至诚所提出“证无”的“数字风洞”，也将成为数字化体系安全测试评估的重要基础。

具体而言，永信至诚在数据安全“数字风洞”产品中，构建了自主研发的风洞载荷时光机子系统，将测试环境和配套的测试风险载荷，以“风洞时光”的形态封存在“数字风洞”之中，成为下一次测试的基础。

这样，每次测试前，系统都会优先将上一次风洞时光封存下来的风险载荷测试进行测试并验证，以确保之前发现的风险已经被成功消除，从而验证系统迭代优化后的成效。随着“测试-发现风险-迭代优化-再测试-再迭代优化”过程的不断反复，逐渐收敛并消除数据安全风险，进而帮助用户实现安全“证无”的目标。

而随着系统的反复迭代，“数字风洞”内的诸多风险载荷也在不断积累，当企业需要分析风险成因，或基于某些特定场景进行推演分析时，可以一键提取出封存的风险载荷，实现测试评估场景化、立体式分析，并对安全防御能力建设形成价值参考和有效指导。

与此同时，“数字风洞”聚焦人和系统两个维度，还设置了7大产品模块：

数据安全意识测试评估模块

技能测试评估模块

实网系统测试评估模块

数据生命周期测试评估模块

应急演练测评模块

合规测试评估模块

风险评估模块

这显然又缩小了实践与实战间的差距。或者说，想要在实战中不掉链子，就要一遍遍的实践，一遍遍的“证无”。例如，技能测试评估模块就是在以测促学、以评促建，让上岗人员通过实战对抗，不断测评和总结，发现技能短板，掌握最新技能，如果上述过程重复1,000次，就可产生肌肉记忆。

不过，相较于技术创新，更值得注意的是，中国企业在从“形式合规”转向“实质合规”的过程中，安全从业人员的能力升级，新系统的上线，“证无”都将成为不可或缺的一环。这安全企业而言，“数字风洞”又是近期可见的百亿赛道，远期没有天花板的数字新世界。