02088888254
永信至欧洲杯直播诚2023年年度董事会经营评述
永信至诚(股票代码:688244)是数字安全测试评估赛道领跑者,网络靶场和人才建设领军者,国家级专精特新“小巨人”企业。公司秉承“人是安全的核心”主导思想和“产品乘服务”创新理念,为政企用户提供专业的“数字风洞”测试评估、网络靶场及运营、安全防护与管控、网络安全竞赛服务以及其他服务,其他服务主要包括线年,在宏观经济环境承压的大背景下,公司克服不利因素影响,营业收入持续保持增长,实现营业收入39,586.55万元,同比增长19.72%;公司新签合同额同比增长40.82%,回款金额同比增长26.67%,公司整体经营情况持续向好。
报告期内,公司实现归属于上市公司股东的净利润3,110.54万元,同比下降38.78%。主要系:(1)为保持核心技术的先进性,增强核心竞争力,公司加强了高质量技术人才的引进,增加在“数字风洞”测试评估、人工智能和数据安全等重点领域研发投入,研发费用同比增长33.10%,研发投入持续增加;(2)公司持续强化营销体系建设,加强优秀销售人才引进,深耕华北、华东、华南等重点区域,同时不断开拓重点行业客户,市场投入持续增加,销售费用同比增长36.25%。
安全是人工智能健康发展和可持续应用的前提和保障,随着人工智能大模型广泛应用,潜在的安全风险也日益突出,人工智能大模型急需开展常态化测试评估。2023年以来,中央网信办、全国网安标委等部门先后颁布实施《生成式人工智能服务管理暂行办法》《生成式人工智能服务安全基本要求》,明确提出开展AI安全评估、建立常态化监测测评手段。作为人工智能安全测试评估的先行者,公司自2015年开始自主研发专有云架构,团队积累了丰富的AI技术能力与算力算法调优人才储备;2017年公司发布国内首个人工智能网络安全竞赛平台——春秋云境RHG人工智能攻防竞赛平台,开启了中国人工智能安全演练的先河。公司网络靶场系列产品和“数字风洞”产品体系均是人工智能安全测试评估的基础设施平台,具备对人工智能相关产品和风险进行安全测试评估的能力。基于公司AI大模型安全测评“数字风洞”,不仅可以为大模型打造基础安全设施测试平台,筑牢大模型安全基石,还可以协同AI春秋大模型为大模型打造内容过滤引擎,确保大模型输出内容更符合社会伦理和法律法规要求,从而实现常态化支撑大模型基础设施安全与内容风险测评,保障AI“数字健康”和规范应用。
人工智能已经成为驱动新一轮科技革命与产业变革的重要引擎,2024年国务院政府工作报告明确提出要“深化大数据、人工智能等研发应用,开展‘人工智能+’行动,打造具有国际竞争力的数字产业集群”。公司高度重视人工智能产业发展所带来的深远影响,充分抓住人工智能产业发展的历史机遇,设立全资子公司北京智能永信科技有限公司,聚焦人工智能前沿领域新技术探索、产品研发及应用场景落地实践;并基于公司在网络靶场、人才建设以及测试评估领域丰富的应用场景和实践数据,积极推动人工智能技术与现有主营业务的深度融合,发布“春秋”靶场构建大模型、“春秋”安全竞赛大模型和“春秋”人才测评大模型三款安全垂直领域大模型产品,为政企用户提供更智能、更高效、更便捷的网络安全解决方案,推动AI技术在安全垂直领域的应用与落地;同时,为进一步完善公司在人工智能领域的战略布局,公司战略投资翼盾智能、金睛云华,持续推动人工智能前沿技术在网络和数据安全领域应用落地。
作为数字安全测试评估赛道领跑者,报告期内,公司积极把握网络和数据安全行业由“形式合规”向“实质合规”加强的发展趋势,“数字风洞”产品体系已在多个行业领域实现应用落地,业务规模实现“从0到1”的突破,实现营业收入1.01亿元。
截至报告期末,公司“数字风洞”产品体系已实现六大应用场景落地,分别为数字政府安全测试评估、数据安全测试评估、系统安全测试评估、人员能力检验与评价、人工智能安全测试评估以及关键行业安全测试评估,助力政府部门、能源、电力、电信、民营企业等10多个关键行业和关键客户完成数字安全测试评估,持续推动安全趋于“证无”,保障“数字健康”。
报告期内,公司“数字风洞”产品体系已在人工智能、数据安全、车联网、工业安全、网络安全保险等多个业务领域实现应用落地。在人工智能领域,公司推出AI大模型安全测评“数字风洞”,支撑AI大模型开展常态化测试评估,保障AI“数字健康”;在数据安全领域,公司发布数据安全“数字风洞”产品体系,并支撑工信部首届数据安全专项赛事演练以及数字中国建设峰会首个网络数据安全赛道,持续验证数据安全工作成效;在车联网领域,公司构建了智能网联汽车“数字风洞”产品体系,助力智能网联汽车安全体检;在工业安全领域,公司与国家工业信息安全发展研究中心合作共建“工业安全数字风洞测试评估基地”,以国家战略和产业需求为导向,助力工业安全防护能力提升和风险防范化解;在网络安全保险领域,公司与中国人寿601628)财险达成合作,共建数字安全保险业务,推进数字安全与保险双产业融合发展。
随着“数字风洞”产品体系持续落地,报告期内,公司“数字风洞”产品体系得到了客户以及主管部门的高度认可。公司先后与多家具有代表性的行业龙头企业达成战略合作,成为政企用户数字化安全建设的“家庭医生”,客户结构持续优化和多元化,民营企业客户成为“数字风洞”产品体系重要的收入来源,为公司规模化发展夯实了基础。
依托“数字风洞”产品体系在测试评估领域的专业优势,基于“数字健康”理念,公司成为香港重点引进的内地网络和数据安全企业,先后与香港数码港、香港引进重点企业办公室签署战略合作协议,以“家庭医生”、“网络安全秘书”身份为香港客户提供“数字风洞”产品体系等“产品×服务”解决方案;建设、运营“香港数字风洞测评中心”,为香港本土市场提供数字安全“家庭医生”专业服务,助力香港数字安全体系优化升级。未来,公司也将利用香港地区的区位优势、高质量的海外资源,以永信至诚(香港)有限公司(以下简称“永信至诚(香港)”)为平台,推动公司“数字风洞”产品体系和网络靶场系列产品走向国际市场,不断提升公司市场份额和品牌影响力。
报告期内,公司网络靶场系列产品7+1应用场景持续运营,发展态势持续向好,实现营业收入2.32亿元,同比增长23.12%。公司网络靶场领军地位稳固,市场占有率与行业影响力均处于行业头部位置;春秋云境网络靶场荣获中国网络安全审查技术与认证中心颁发的首个网络靶场类IT产品信息安全认证证书,这也是国内网络靶场产品的第一个国家权威认证证书;在香港建设落地首个国产网络靶场—香江网络靶场,持续推动香港高校数字技术教育培养体系建设。
报告期内,公司围绕产业实际需求,参与起草《网络靶场基于技战术模型的安全测评方法》《网络靶场能力分级指南》《网络靶场资源描述要求》《网络靶场试验任务导调总体要求》4项网络靶场团体标准,为标准制定提供具有广泛行业适用性的方法论指导及可行建议;同时,公司深度参与起草《网络靶场产品安全技术要求和测试评价方法》标准并实施,持续为网络靶场的标准化建设提供专业支撑,引领网络靶场产业发展。
在人才建设领域,公司连续第七年稳居中国IT安全企业级培训服务市场第一;第六年成为教育部批准的产学合作协同育人项目支持企业,并荣获中国产学研合作促进会设立的我国产学研协同创新领域的最高荣誉奖—“2023年中国产学研合作创新奖”;持续深耕网络安全人才评价工作,作为主编单位之一发布了国内首部聚焦网络安全人才评价的白皮书—《网络安全人才实战能力白皮书-人才评价篇》,打造囊括全频谱类别角色、覆盖完整职业生命周期的“网络安全实战人才评价体系”,为网络安全实战人才评价指明了可行性路径;参股公司天健网安负责管理运营的网络安全科技馆入选由中央网信办等13个部门认定的全民数字素养与技能培训基地;基于公司“数字风洞”产品体系以及网络靶场系列产品支撑,公司创新构建以安全风险修复为导向的“ZHWU证无”赛制,全方位助力我国网络安全人才培养、评价、选拔体系建设;累计支撑由工信部、公安部、教育部、卫健委、信通院等部委和地方政府主办或指导超过610+场重点赛事演练和实网测试评估演练,参与人次超63万,覆盖高价值用户群体超6,000家,有力推动了高价值用户向客户的转化。
科技创新是驱动企业发展的第一生产力,公司坚持创新驱动战略,不断加大研发投入力度,加快技术创新步伐,进一步巩固并增强公司核心技术竞争优势,助力公司实现可持续高质量发展。报告期内,公司研发投入持续保持较快增长态势,研发投入8,409.69万元,同比增长33.10%;研发投入强度不断加大,研发投入占营业收入比例为21.24%,较去年同期增加2.13个百分点;公司拥有完备、稳定的研发团队,截至2023年末,公司拥有研发和技术人员241人,占员工总人数比例达48.39%,研发人员数量同比增长10.55%。
报告期内,公司持续增加在人工智能、“数字风洞”测试评估、数据安全等重点领域的研发投入,并持续推动科研成果转化落地,研发成果不断涌现。公司首创多循环数字风洞测试评估技术,可以实现对数字化系统全生命周期的各个阶段进行反复高度自动化的系统性安全验证,助力政企用户网络和数据安全趋于“证无”;产品结构日趋完善,市场竞争力显著增强,公司先后发布春秋云境“数字风洞”平台V2.0、春秋云境数据安全“数字风洞”平台V1.0、“春秋”靶场构建大模型、“春秋”安全竞赛大模型和“春秋”人才测评大模型等一系列产品并全面实现产品体系信创化;研发持续取得新突破,自主创新能力显著增强,公司2023年新获得授权专利18项,累计获得授权专利48项,科创属性不断增强。
永信至诚是数字安全测试评估赛道领跑者,网络靶场和人才建设领军者,国家级专精特新“小巨人”企业。公司秉承“人是安全的核心”主导思想和“产品乘服务”创新理念,为政企用户提供专业的“数字风洞”测试评估、网络靶场及运营、安全防护与管控、网络安全竞赛服务以及其他服务,其他服务主要包括线上线下培训服务。
目前,公司已经帮助上千家政企用户解决数字化进程中安全有效性验证和仿真环境缺失、人员实战能力不足、政企用户主动防护能力缺乏等问题。
数字风洞是为数字化建设提供安全测试评估的基础设施,基于永信至诚独创的安全趋于“证无”理念,以“3×3×3×(产品×服务)”(第一个3指三类用户:城市、行业、单位;第二个3指三类场景:人、系统、数据;第三个3指业务周期的三个阶段:规划、运营、处置)安全感公式为方法论构建而成,通过在指定场景里对城市、行业、单位、人、系统、数据等各要素进行系统性风险验证,度量安全效果,提升综合防护能力。公司以“家庭医生”、“网络安全秘书”身份,为政企用户提供“数字风洞”产品体系等“产品×服务”解决方案,全面助力网络和数据安全工作实现合规的保障、风险的预控、标准的践行和投入的回报,保障“数字健康”。
①风洞时光机:独创风洞时光机系统,实现各类测评任务整体封装、快速重放、风险复测。基于公司十年打磨全自研专有云平台,构建高逼真业务环境和高拟真数据交互的沉浸式安全测评环境,结合多循环激励模式及全维度数据可视化,不断迭代安全风险。
②威胁激励+全维数据采集:插件化的智能风险载荷控制,渐进式安全威胁激励和被试体全维响应采集,为被试体提供科学的全方位“风洞”测试,为迭代优化提供数据和平台支持。
③多循环激励响应:提供多类智能评估模型,结合多循环激励响应控制,科学评价被试体迭代成效。
④热修复方案:提供与风险载荷配套的热修复方案,利用系统化防护手段解决在系统迭代优化空窗期的安全保障难题,指导系统快速完成风险控制与修复处置。
⑤合规留痕:被试体测试评估和优化迭代全生命周期立体化数字留痕,助力被试体合规审查要求。
报告期内,“数字风洞”产品体系助力政府部门、能源、电力、电信、民营企业等关键行业安全趋于“证无”;落地了数字政府安全测试评估、数据安全测试评估、系统安全测试评估、人员能力检验与评价、人工智能安全测试评估以及关键行业安全测试评估六大典型应用场景;在等级保护测评主办的“2023年网络安全优秀评选”活动中,公司“数字风洞”安全测试评估产品凭借在测试评估领域的专业及领跑优势,入选“十大明星产品”。
网络靶场是数字化建设过程中安全性测试的重要基础设施,是检验和评估安全防御体系有效性的重要技术系统,是国家对重大网络安全风险和趋势进行推演和论证研判的重要科学装置,是防范化解重大网络安全风险的重要手段,也是政企、院校、科研机构等单位网络安全人才培养的重要支撑平台。
春秋云境网络靶场平台基于永信至诚多年研发实践的平行仿真技术体系构建而成,该平台融合了主机虚拟化、网络虚拟化、软件定义网络、多维数据采集、3D展示引擎和高可用云端架构等多种前沿技术,支持多种角色以不同权限和资源访问能力在同一靶场场景中进行联合交互和测试。实验和测试过程安全可控,数据采集准确详实,效能展示科学直观。同时,通过理解和分析客户的靶场应用场景,公司可以帮助客户分析和发现利用靶场各功能系统帮助客户实现最佳实践的方案,并结合客户痛点提供优质的运营服务,以靶场产品为核心帮助客户进行意识教育、人才培训及选拔、实网安全演练及测评、复杂业务模拟、安全对抗复盘等活动。经多位院士、专家评审,该平台具有大规模、多层次、高仿真、高柔性和全场景的特点,荣获北京市科学技术奖(科学技术进步奖)一等奖。公司通过春秋云境网络靶场平台连续三届为“网鼎杯”网络安全大赛提供专业支持,持续在大赛规则、赛制赛题设计、技术平台支持、赛事运营保障等方面树立国家级竞赛标准。
报告期内,公司网络靶场领军地位稳固,春秋云境网络靶场荣获中国网络安全审查技术与认证中心颁发的首个网络靶场类IT产品信息安全认证证书,也是国内网络靶场产品第一个国家权威认证证书;支撑了国家多个部委主办的数十场网络安全演练活动及多个行业的靶场建设工程;赛事演练、人才培养、智慧城市安全测试、案件线索追踪实战、业务模拟仿真、人工智能攻防、复杂业务安全推演及综合应用等“7+1”应用场景持续运营,发展态势持续向好。
公司安全防护与管控类产品主要包括春秋云阵新一代蜜罐系统、春秋云势网络安全态势感知与处置平台、蜜罐及态势感知整合安全管控、安全工具类产品、安全防护系列服务等。
春秋云阵新一代蜜罐系统基于“欺骗式防御”理念,利用永信至诚特有的平行仿真技术和全量行为捕获技术,构建高甜度的蜜罐环境,诱捕攻击者进入仿真网络环境中,大大延缓攻击者对实际业务网络的攻击。同时,不再依赖特征库对流量层的威胁行为进行甄别,“触碰蜜罐即报警”“深入蜜罐即攻击”,保证蜜罐系统对所有攻击的“零误报”特征。全程记录攻击轨迹和攻击行为,实现了对攻击者的快和溯源。在不影响现有网络的安全架构下,利用其高甜度、易部署、零误报的特性,简化网络安全运维工作的复杂程度,有效增强实际业务网络的安全防护能力。该平台已获评数说安全“中国网络安全蜜罐顶级供应商”。
该产品主要用户为政府部门、能源、电力、交通等国家关键信息基础设施运营单位。
春秋云势态势感知平台是基于大数据技术框架,综合全维度安全因素,从整体上动态监管网络安全状况,提升风险发现、决策分析、响应处置能力的网络空间安全综合治理体系。该体系具有“精准预警、高效处置”的特点,能够合理调配安全专家,在预定义的处置场景下,及时、高效处置网络安全事件,从而帮助监管部门和重点用户从总体把握网络安全态势,研判网络安全趋势和解决网络安全问题,最终实现“可感知、可研判、可处置”的网络态势安全闭环。
态势感知主要面向政府部门、行业主管机构、关键信息基础设施运营单位等用户。
蜜罐及态势感知系统可以组合使用,也可以分别单独使用。组合使用,可以发挥良好的协同效应,达成产品的最佳效能,对网络空间环境形成整体的安全管控。蜜罐主要部署于边界安全产品之后,其主要部署在被保护网络内部,与内部网络形成一体。态势感知平台利用其卓越的大数据汇聚、存储和分析处理能力,形成对非法入侵等网络威胁的感知能力,并依托公司网络安全处置能力,协助管理部门处置各类安全事件,为用户实现了全场景、高精度、高处置的“全天候、全方位感知网络安全态势”能力。
随着国家政策法规对网络安全要求的提升以及信息技术的高速发展,国家监管部门在新的业务场景和垂直领域中的需求不断更新,公司开发并快速迭代了一系列行业创新应用类产品,满足监管部门的特定需求,维护国家网络安全。安全工具类产品包括:流量监测类产品、数据分析类产品、情报管理类产品、安全攻防类产品等。
随着网络安全形势愈发严峻,政府、企业用户对网络安全保障需求不断提升,我国网络安全市场正从产品市场不断向服务市场扩展,安全服务是网络安全市场一个重要分支。网络安全相关法规对政府、企业等关键信息基础设施运营单位明确提出了开展安全检测、安全测评、安全演练的相关要求,规定了等级保护制度安全措施的基线要求并赋予强制力。随着法规和标准的实施,网络安全服务市场快速增长,成为网络安全产业中一个重要的细分领域。
公司基于自身对网络攻防和各行业网络安全风险场景的深刻理解,以高效、实效提升用户安全防御水平为目标,向用户提供安全检测与评估、安全咨询、安全运维与分析处置以及安全能力建设与评估等方面服务。
网络安全技术是一项注重实战的技术,在国家数字化转型的关键时期,各行各业在享受数字化红利的同时也面临勒索病毒、特种攻击、数据泄露、系统中断等巨大安全风险,各行业具有网络安全实践能力的人才培养及选拔,以及实战能力的有效测评成为急需解决的问题,关系到我国各行业数字化转型的战略实现。2019年5月,美国总统签署了一项行政令,要求举办新总统杯网络安全竞赛,为政府选拔出国家顶级网络安全人才。根据教育部《网络安全人才实战能力白皮书》数据显示,到2027年,我国网络安全人员缺口将达327万,诸多行业将面临网络安全人才缺失的困境。近年来我国相关部门也出台了有关政策,支持和规范网络安全竞赛健康发展。
永信至诚自2014年开始一直致力于国内网络安全赛事运营,打造了知名的网络安全赛事专业品牌春秋GAME,推动了安全赛事从小到大,从企业到集团,从集团到行业,从地区到全国,从单一到多元的发展,并带动不同产业网络安全人才选拔、训练、评价体系的建立。公司春秋GAME网络安全赛事运营服务包括竞赛平台开发、竞赛题目定制开发、竞赛效果呈现、赛事组织管理、竞赛裁判服务、赛事方案设计等;竞赛平台包括线上竞赛平台和线下竞赛平台,支持个人赛和团体赛,除了支持目前国际主流的夺旗赛(CTF)、攻防赛(AWD)外,并开创性发展了靶场赛(ISW)、人工智能网络安全竞赛(RHG)、共同防御、实景防御赛(RDG)等多种竞技模式,随着对数字化进程中数字安全的深刻思考和大量实践,创新构建以安全风险修复为导向的“ZHWU证无”赛制。这些赛事竞赛系统、竞技模式及规则和标准影响了我国各行业各领域网络安全竞赛实践。
随着公司多年来对国家主管单位和各部委进行的网络安全赛事市场普及教育和推广,自2019年起,网络安全赛事从一个网络安全盛会中可有可无的配套活动,变成了重大网络安全活动中的重点项目,行业人才培养、选拔、评价的重要手段,高校学科教育和人才评价的重要配套,以及地方政府招商引资、产业建设的重点工程。公司为全国各地、各行业打造了包括网鼎杯、强网杯、春秋杯等在内的数十个知名赛事品牌,成为行业及地方网络安全名片。
公司线上安全培训服务主要通过i春秋实训平台开展,该平台是自主研发的服务平台。i春秋实训平台以互联网门户网站形式展现,目前注册网安实战学习者超过80万名,课程超过300门,在线个。此外,平台建立了包含百度、阿里、腾讯、京东等八十多家互联网公司入驻的自有品牌SRC部落,形成了国内有重要影响力的网络安全社区,提升了公司在网络安全领域的影响力、知名度。
线下安全培训分为线下培训就业班、线下培训定制班和国家网络安全技术认证班三种类型。线下培训就业班以渗透测试工程和网络安全攻防工程师培训为主。线下培训定制班主要服务于政府部门、各大企事业单位、学校等,针对于网络安全技术和网络安全大赛技术为主要培训方向。网络安全技术认证班主要以培训及考取国家网络安全技术人员认证为主,是中国信息安全测评中心、网络安全技术审查与认证中心和公安部授权的培训机构。
公司盈利主要来源于向客户销售自主研发的网络安全产品,以及向客户提供网络安全服务。“数字风洞”测试评估、网络靶场及运营、安全防护与管控、网络安全竞赛服务主要面向政企类客户,线上线下培训服务主要面向个人和企事业单位。上述产品和服务形成了公司网络安全产品服务体系生态链条,在业务上既可独立销售,又相互补充、相互促进、相互带动,在技术上同根同源、模块共用、交互迭代。
公司采取的是“标品化研发+定向二次研发”的模式,公司始终坚持自主研发的研发模式,核心产品、核心技术通过自主研发取得。公司产品的底层技术为网络空间平行仿真、网络攻防对抗技术和多循环数字风洞测试评估技术,公司自建研发体系持续进行网络空间平行仿真、网络攻防对抗和多循环数字风洞测试评估等技术的研发,形成了标准化的产品体系和功能模块,并取得了相关的发明专利、软件著作权等自主知识产权。
公司产品研发以客户为中心,以市场需求为导向,公司主要产品线均有相应的研发团队支持,确保了研发方向符合客户和市场需求。通过销售部门、市场部门、研发部门、质量部门的整体协作,形成了技术储备、产品定义、技术攻关、验收测试、推广应用、产品迭代的全生命周期的研发架构。
公司在大的产品研发控制上采用项目管理开发模式,利用项目生命周期方法论,结合公司项目执行的实际情况,从项目的启动过程、计划过程、执行过程、控制过程以及收尾过程出发,以项目各过程组的成果输出为导向,制定了《项目管理规范》并持续运行、迭代。
公司在研发团队内部推行IPD开发模式,明确地划分为概念、计划、开发、验证、发布、生命周期管理等六个阶段,并且在流程中有定义清晰的决策评审点,立足于产品的市场定位及盈利情况,动态调整产品开发策略。研制过程中,结合公司内部的项目管理流程,从项目的启动、计划、执行、控制以及收尾等维度保障产品价值的持续输出,在保证产品成果交付质量的同时,运用各种工具和激励策略,实现整个产品研发过程的可视化和精准可控。
公司对外采购范围包括硬件、软件、服务三大类。对外采购的硬件主要用于公司软件的载体,包括服务器、计算机、网络设备等。对外采购的软件主要包含操作系统、数据库及专用软件产品等项目中非公司核心技术的软件。对外采购的服务主要用于为客户提供公司非关键岗位和环节的相关服务。由于公司业务一般体现为项目制特征,公司采购通常亦是跟随不同项目的具体需求进行采购。
公司制定了采购相关管理制度等规范采购行为,需求部门提出采购申请后,由商务部负责采购的执行。商务部负责建立合格供应商名录,定期对供应商的货物品质、交货期限、价格、服务、信誉等进行评价,为公司采购业务优选供应商。最终公司主要通过招标、询比价、议价谈判等市场化方式进行采购。针对部分项目采购,如果客户有明确要求,则会根据客户的要求进行采购。
公司网络安全产品主要形态是纯软件或软硬件结合产品。硬件为服务器、计算机、网络设备等,通过对外采购方式获得。软件分为标准化软件产品和定制开发软件产品。公司软件产品生产的具体情况如下:
公司市场部门根据市场中的热点方向,以及在为客户服务过程中发现新的客户需求,形成市场需求报告。研发部门在此基础上判断技术可行性。如技术上可行,则形成内部业务需求,经公司管理层审核通过后,确定产品研发需求,并对研发部门提出研发任务。研发部门则根据产品需求文档和设计文档进行产品研发,并最终形成标准化软件产品。
公司在开发客户或服务客户过程中,如果客户对公司现有产品提出新的技术要求或功能要求的,业务部门则根据客户需求形成业务需求,经公司管理层审批后,由研发部门进行实施。实施过程中,研发部门、业务部门与客户不断进行沟通和互动,获得及时反馈,并不断对产品进行优化,最终形成定制化软件产品。公司在定制化产品研发过程中,加强与客户的沟通和互动,获得及时反馈,把控定制化产品需求和目标,控制需求变更和可能发生的各类风险。
公司安全服务部门从技术和业务需求两个生产维度设定安全防护类服务的产品设计。首先依托对攻防技术的积累,根据网络空间安全的技术类型设定和市场共性需求,初步设计出安全防护类服务的服务类型;在为客户提供服务的过程中,根据行业客户的共性需求和自身技术积累,提交需求说明,进行产品设计优化,进行细分服务类型的二次开发和升级;在服务实施过程中,收集客户反馈和建议,对于服务质量和流程进行管控。在安全防护类服务的生产过程中,公司始终以客户需求为核心,以自身技术优势为基础,打造有市场、高能效的安全服务产品。
公司产品销售和服务以直销为主,非直接销售为辅,非直接销售指通过集成商等销售给终端用户,集成商通过招投标、竞争性谈判或单一来源等方式获取最终客户的商业机会后,向公司采购安全产品或服务并交付给终端用户。
公司将客户按行业分布及地域分布进行分类,公司总部或各地子公司、分支机构,通过销售人员直接接触客户,了解客户需求,根据客户实际情况引导和推荐相应解决方案,为客户直接提供产品或服务。
公司通常以“项目制”形式为客户提供产品和服务,公司主要通过参与客户组织的招投标、竞争性谈判或客户的单一来源采购等方式取得项目合同,公司获取项目合同后实施合同,经客户验收通过后出具验收文件。此外,为进一步拓展新客户和新市场,对于部分成熟产品,公司还采用试用推广模式,即先将成熟产品提供给最终客户试用,通过产品试用发展新客户。
近年来,全球重大网络安全事件频繁发生,严重威胁各国的经济发展和社会的安全稳定,“棱镜门”、RSA后门、Inte芯片安全漏洞、WannaCry勒索软件、Facebook用户数据泄漏等安全事件引起了全球各界对网络安全的高度重视。此外,随着网络空间安全形势快速变化以及人工智能技术的快速发展,国家级博弈更为突出、攻防对抗更为激烈、数字经济安全保障要求不断提升。
为应对层出不穷的网络安全威胁,主要发达国家均加大网络安全领域的投入力度、细化和调整网络安全相关政策和法规要求,在网络空间主导权、话语权方面争夺更加激烈。2017年,根据美国总统指示,美国国防部将网络司令部升级为一级联合作战司令部,成为美军第十个联合作战司令部,地位与美国中央司令部等主要作战司令部持平。2018年以来,美国在国土安全部设立一个新的网络安全机构“网络安全与基础设施保护局”,将网络安全预算大幅增加至300亿美元。
2023年以来,美国政府先后发布了《国家网络安全战略》《2023年国防部网络战略》《美国政府关键和新兴技术国家标准战略》《国家网络安全战略实施计划》等一系列政策文件,旨在进一步加速完善美国网络安全总体布局,增强美国在网络安全、关键信息基础设施安全、数据安全等领域的安全防御能力,确保国家安全、经济繁荣、国家关键基础设施、公民隐私免受网络安全威胁的攻击。
面对日益严峻的网络安全形势,欧盟也在2023年加速网络和数据安全领域相关法律法规的颁布与实施,先后出台了《关于在欧盟全境实现高度统一网络安全措施的指令》(NIS2指令)、《关于GDPR下的个人数据泄露通知的第9/2022号指南》《网络团结法案》等法律法规,2024年1月7日,欧盟《网络安全条例》正式生效,该条例规定了欧盟内实体内部网络安全风险管理、治理和控制框架的具体措施。
根据2015年4月人民网转发的中国军网的文章《美国网络“曼哈顿计划”》,早在2008年,美军就启动了被称为新世纪网络安全“曼哈顿计划”的国家网络靶场建设,为美国国防部模拟真实的网络攻防作战提供虚拟环境。
2021年7月,据美国国防部网站消息,美国已授权价值24.10亿美元的网络靶场相关合同。在未来的10年中,赢得订单的公司将为军方网络任务部队提供事件规划和执行、场地安全、信息技术管理以及靶场现代化和作战支持,同时通过测试、规划和系列活动来支持国家网络靶场综合设施的运行。总体上,该合同的主要目标是为其国家网络靶场综合设施提供IT服务。2023年,美国第2届网络空间日光浴委员会发布的《2023年实施报告》指出美国政府在网络空间建设方面有明确的战略规划和实施进度,网络靶场作为其中的重要支撑手段,得到了相应的政策支持和资源倾斜。
美国建设国家网络靶场引起了各国高度重视。英、德、俄、日、韩等国借鉴美国经验,建设了同类项目,作为支撑网络空间安全技术演示验证、网络武器装备研制试验的重要工具。
根据IDC发布的《全球网络安全支出指南》(2024年V1版)预测,中国网络安全市场规模预计将从2022年的123.5亿美元快速增长至2027年的233.2亿美元,期间年复合增长率为13.5%,高于全球平均水平。
中国网络安全产业联盟在《中国网络安全产业分析报告(2023年)》中指出,展望未来三年,网络安全产业发展顶层设计更加完善,促进行业发展的政策基础愈加稳固,数字经济加速发展等正向激励将给网络安全产业注入新动力300152),产业结构调整逐步深化,更多网络安全板块将涌现出来。
根据工信部发布《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》中提出,到2023年,电信等重点行业网络安全投入占信息化投入比例达10%。2023年网络安全产业规模超过2,500亿元。
没有网络安全就没有国家安全,随着各种新型攻击手段的不断出现以及大国竞争的持续深化,政企用户面临的网络安全形势越来越复杂严峻,网络安全牵一发而动全身。一方面,以勒索病毒为代表的网络安全威胁事件呈不断上升趋势,并呈现出勒索攻击逐渐产业链化、勒索方式多元化、勒索赎金规模化的发展特征,2023年以来,包括英国皇家邮政、波音、米高梅以及国内某大型银行在美全资子公司等一大批国内外知名单位先后遭受到勒索病毒攻击,勒索病毒已经成为危害政企用户网络安全的头号威胁,上述勒索事件给企业正常运营带来了严重的负面影响,同时也给政企用户如何构建主动防御体系保护网络和数据安全敲响了警钟。
另一方面,2023年9月,中国国家安全部在官方微信公众号发文指出,美国情报部门凭借其强大的网络攻击武器库,对包括中国在内的全球多国实施监控、窃密和网络攻击,并多次对我国进行体系化、平台化攻击,试图窃取我国重要数据资源。2023年7月26日,武汉市应急管理局地震监测中心部分地震速报数据前端台站采集点网络设备遭受境外组织的网络攻击,攻击手段符合美国情报机构特征,目标是窃取地震监测相关数据,具有明显的军事侦察目的。这是继2022年6月西北工业大学遭受境外网络攻击后又一具体案例,受全球经济增速放缓、地缘政治冲突的升级以及能源危机等因素影响,我国关键信息基础设施已经成为境外网络攻击重点关注和首要打击对象,未来或将持续暴露在境外特种攻击威胁之下。
我国互联网规模和用户规模均居世界第一,但核心技术与关键资源依赖国外产品情况严重,勒索病毒、网络攻击、信息窃取等事件呈多发态势,我国面临的境外网络攻击和威胁越发严重,网络靶场是保障网络安全的重要基础设施。在国家网络靶场建设方面,无论从靶场基础理论研究、关键技术和产品研发,还是网络空间安全风险评估研究,与欧美国家相比,我国都还存在着一定差距。
2023年1月30日,国家能源局综合司印发《2023年电力安全监管重点任务》(以下简称“重点任务”),面向全国电力单位,对2023年度电力安全工作进行详细部署,旨在确保电力系统安全稳定运行和电力可靠供应。在重点任务中,明确要求“推进国家级电力网络安全靶场建设”,并强调安全风险评估、攻防演练、教育培训等内容。
随着国家和社会不断加大对网络靶场的投入,贵阳启动大数据网络安全靶场建设、鹏城实验室成立、公司作为第一完成人的“基于平行仿真的大规模网络靶场构建技术及应用”项目荣获2019年度北京市科学技术奖(科学技术进步奖)一等奖,以及“网鼎杯”“强网杯”等国家级重要赛事的持续成功举办,推动网络靶场行业迅速发展。
近年来,我国网络和数据安全行业市场增长较快,参与厂商众多,不同的细分领域存在不同的优势厂商。永信至诚是数字安全测试评估赛道领跑者,网络靶场和人才建设领军者,国家级专精特新“小巨人”企业。
在测试评估领域,公司战略发布“数字风洞”产品体系,以中立的生态位置,开启并领跑数字安全测试评估专业赛道发展;与国家工业信息安全发展研究中心(工业和信息化部电子第一研究所)签署战略合作协议,共同建设并运营“工业安全数字风洞测试评估基地”;作为香港重点引进的内地网络和数据安全企业,先后与香港数码港、香港引进重点企业办公室签署战略合作协议,建设并运营“香港数字风洞测评中心”;“数字风洞”安全测试评估产品凭借在测试评估领域的专业及领跑优势,入选等级保护测评主办的“十大明星产品”评选。
在人才建设领域,公司连续第七年稳居中国IT安全企业级培训服务市场第一;i春秋实训平台拥有注册网安实战学习者超过80万名;荣获“2023年中国产学研合作创新奖”,成为网络和数据安全领域唯一获奖企业;参股公司天健网安负责管理运营的网络安全科技馆入选由中央网信办等13个部门认定的全民数字素养与技能培训基地;作为主编单位之一发布国内首部聚焦网络安全人才评价的白皮书—《网络安全人才实战能力白皮书-人才评价篇》;组织和支撑超过610+场重点赛事演练和实网测试评估演练,持续推动我国各领域网络安全人才选拔、训练、评价体系的建立。
公司行业地位连续多年处于领先水平,预计未来一段时间,公司行业地位仍不会发生重大变化。
3.报告期内新技术、新产业300832)、新业态、新模式的发展情况和未来发展趋势
没有网络安全就没有国家安全,网络和数据安全与国家经济运行、社会治理、公共服务等方面密切相关,保障网络和数据安全已成为事关国家安全与经济社会发展的重大问题。近年来,随着《网络安全法》《数据安全法》《个人信息保护法》《密码法》《网络安全审查办法》《关键信息基础设施安全保护条例》《信息安全技术关键信息基础设施安全保护要求》《网络安全等级保护制度2.0标准》《数据出境安全评估办法》等网络和数据安全相关法律法规相继出台、实施,以《网络安全法》和《数据安全法》为基础的网络和数据安全立法体系基本完成,网络和数据安全行业顶层设计愈发完善,政策驱动行业长期发展格局向好。2024年2月,工信部印发《工业领域数据安全能力提升实施方案(2024-2026年)》,为工信领域数据安全监管和保护工作提供了指导和依据。
随着数字经济的高速发展,网络和数据安全作为经济发展的关键基座,迎来了前所未见的机遇与挑战。一方面,近年来我国网络安全、数据安全相关法律法规陆续推出,对网络和数据安全建设工作提出了诸多标准和要求;另一方面,勒索病毒、特种攻击等网络安全威胁层出不穷,严重威胁国家安全和社会经济发展。在此背景下,网络和数据安全行业开始由“形式合规”向“实质合规”加强,永信至诚战略发布“数字风洞”产品体系,开启并领跑数字安全测试评估专业赛道。
数字风洞是为数字化建设提供安全测试评估的基础设施,基于永信至诚独创的安全趋于“证无”理念,以“3×3×3×(产品×服务)”安全感公式为方法论构建而成。通过在指定场景里对城市、行业、单位、人、系统、数据等各要素进行系统性风险验证,度量安全效果,提升综合防护能力。公司以“家庭医生”、“网络安全秘书”身份,为政企用户提供“数字风洞”产品体系等“产品×服务”解决方案,全面助力网络和数据安全工作实现合规的保障、风险的预控、标准的践行和投入的回报,保障“数字健康”。
公司将持续助力网络和数据安全行业由“形式合规”向“实质合规”加强,进一步夯实永信至诚网络靶场和人才建设领域的领军地位,跃迁式创新推动安全测试评估专业赛道发展,为公司整体迈入规模化发展奠定坚实基础。公司致力于成为中国网络空间与数字时代安全基础设施关键建设者,为我国数字经济安全稳健发展保驾护航。
以ChatGPT为代表的AI大模型新技术、新应用的快速发展给行业发展带来新的增量机会,打开了网络攻防对抗新局面,AI在赋能网络和数据安全行业发展的同时,一些实际存在的AI大模型安全问题引发公众的深切担忧,一是AI大模型作为复杂的软件系统,面临基础设施和软件安全风险,如系统漏洞、数据泄露、模型篡改等;二是AI大模型虽然提高了内容产出质量,但同时生成的内容可能包含误导信息或偏见内容,被用于不良目的,如钓鱼邮件和恶意软件的编写,降低网络攻击等犯罪门槛。
2023年8月15日,由国家网信办联合国家发展改革委、教育部、科技部、工业和信息化部、公安部、广电总局发布《生成式人工智能服务管理暂行办法》(以下简称“《办法》”)正式施行。《办法》明确要求提供具有舆论属性或者社会动员能力的生成式人工智能服务的,应当按照国家有关规定开展安全评估。
2024年3月1日,全国网络安全标准化技术委员会发布TC260-003《生成式人工智能服务安全基本要求》(以下简称“《要求》”),《要求》给出了生成式人工智能服务在安全方面的基本要求,包括语料安全、模型安全、安全措施、安全评估等,进一步明确要求提供者在向相关主管部门提出生成式人工智能服务上线的备案申请前,应按照《要求》中各项要求逐条进行安全性评估,并将评估结果以及证明材料在备案时提交。
公司网络靶场系列产品和“数字风洞”产品体系均是人工智能安全测试评估的基础设施平台,具备对人工智能相关产品和风险进行安全测试评估的能力。AI大模型安全测评“数字风洞”协同AI春秋大模型,可以实现对大模型基础设施安全和内容安全风险进行持续性检查,支撑AI大模型常态化安全测试评估,为AI技术在各行业的安全应用保驾护航,保障AI“数字健康”。
科技创新是驱动企业发展的第一生产力,公司高度重视研发创新对于公司可持续发展的推动作用,不断增加研发创新投入,巩固并增强公司核心技术竞争优势,公司始终坚持自主研发的研发模式,助力公司长远高质量发展。公司产品的底层技术为网络空间平行仿真、网络攻防对抗技术和多循环数字风洞测试评估,公司自建研发体系持续进行网络空间平行仿真、网络攻防对抗和
多循环数字风洞测试评估技术等技术的研发,形成了标准化的产品体系和功能模块,并取得了相关的发明专利、软件著作权等自主知识产权。公司现有主要核心技术相关情况如下:
提出平行仿真环境中关键要素属性平行仿真方法,按照目标场景的架构特点和靶标属性,利用自动化方式对各级网络中的资产进行信息采集,记录每个靶标的操作系统、服务、应用、漏洞、协议及业务等相关信息和特征指纹,结合人工分析形成标准化描述报告和场景模板的蓝图。通过与靶场平台靶标库已保存的靶标模板进行关联和匹配,大幅度提升了仿真的逼真度,减少场景模板的构建时间和难度;利用靶标全虚拟化节点、轻量级虚拟化节点、离散事件模拟技术、程序化仿真节点、协议流量仿真节点和实物节点六种不同节点形态的混合虚拟化融合仿真,在节点中的任意两者之间均可进行组网和数据通信,提升了场景实例化过程中的资源利用率和下发效率;针对无法使用虚拟化或其他仿真方式进行高逼真仿真的实体设备,利用靶场的软件定义和动态调整虚拟网络的能力,将实体设备的管理端口和业务端口动态地接入各类实验场景和网络,保证靶场内的场景在特定的物理属性方面与目标场景保持高度的一致性,实现了虚拟设备和物理设备的混合组网,从而提升了属性平行仿真程度。
高逼真仿真一个目标场景不仅仅需要在网络架构、操作系统、应用、服务、漏洞等基础场景层面做到一致,还需要保证场景中运行的数据、业务、行为也能保持活性和逼真性。在数据和业务仿真方面,采用分层数据流采集的模式,在目标网络中有针对性地对不同层次的数据流进行采集和留存,编制流量仿真重放策略,将这些有典型代表性的数据流在仿真场景中进行重放,赋予场景数据基础活力,进一步提升仿真效果;在行为模拟方面,利用自动化脚本的方式对网络应用行为、业务行为、攻击行为、安全运维行为、加固行为等进行描述,进一步地提升仿真效果并可以根据策略灵活配置,模拟出真实业务应用中各种常规行为,通过智能化程序能够按照通常的人类行为方式对这些行为进行模拟和重现,在靶场平台中内置丰富的攻击模拟智能化程序,从而提升了整个攻防行为的逼真性。
利用虚拟资源动态资源感知均衡调度技术,将云中心的资源调度过程分为三个阶段:资源初始分配、资源动态调度以及资源动态整合,通过主要应用虚拟机迁移技术将负载过高的物理机上的虚拟机迁移到资源利用率较低或者空闲物理机上,以此来实现负载均衡,并尽量减少服务等级协议冲突的概率;利用集约规划的虚拟资源分配技术,从软件即服务的角度实现在保证满足用户需求的前提下降低资源使用成本,将云平台中的虚拟资源分配问题进行建模,研发了基于本地节点效用和全局效用的决策模型,该模型的云平台由一组物理机组成,每个物理机通过虚拟化平台管理多个虚拟机,实现虚拟机可以在任意的两个物理机器之间进行迁移并利用监控技术对当前应用程序的性能进行监控,通过动态决策技术根据当前应用程序的负载和资源分配情况进行性能评估,从而决定是否需要分配更多的虚拟机,还是释放空闲的虚拟机。通过此模型的应用能够对靶场云计算环境中的虚拟资源进行高效的分配与管理,解决了在模拟仿真过程中云资源有效利用的问题。
针对大规模网络靶场业务复杂、节点众多、拓扑多样等特点,提出基于可扩展元场景的复杂业务模拟技术,提出基于最小元场景的多分区管理、多场景要素整合的复杂场景模型描述方法,解决了精准、高效描述复杂场景模型的难题。针对复杂场景模型节点众多难以扩展模拟的问题,采用了复杂业务场景结构描述文件记录的方法并采用元场景分区描述技术,针对性读取场景节点数据、结构数据或连通性数据,大幅提高读取效率。针对多重嵌套网络区域,在场景描述文件的场景结构描述区引入了多重嵌套技术,将其他场景描述文件作为一个子区域引入至主场景描述文件中,实现了以最小元场景为单位的复杂业务扩展模拟技术。利用该方法,解决了复杂业务场景下大规模靶场构建难、构建步骤繁杂以及本地存储瓶颈的难题,为大规模靶场构建提供了标准化描述体系和元场景扩展构建技术。
针对大规模网络靶场存储性能差、节点实例化难度大、节点存储拥塞等特点,提出基于镜像差分压缩和分级存储的节点快速重构技术。为完成虚拟机模板本地克隆、跨主机克隆等操作,实现靶机虚拟机文件无存储压力复制,设计了镜像差分压缩技术,实现主模板加增量模板的靶标模板体系,降低了存储网络的带宽拥堵可能性,实现计算节点优先派发,使节点具备高可用、动态水平扩展、动态垂直扩展、压力自适应等特性,实现多节点重构。为保证存储网络具有足够的带宽和充足的性能,提出了分级存储节点快速重构技术,将存储网络流量和其他类型的网络流量物理隔离,以保证存储网络的独立性和高效性。利用该方法,实现繁琐任务并发执行,充分发挥镜像差分压缩和分级存储的优势,有效缩短场景构建时间,可实现基于节点重构的大规模靶场构建。
针对场景实例化难以保持稳定、高速,步骤繁琐以及时间消耗突出的问题,提出基于多重隔离的高并发异步靶场构建技术,将繁琐任务进行拆分并分散到不同的计算节点服务器上并发执行,提高了创建效率,缩短了场景构建时间。采用基于多重隔离的消息队列,将外部消耗服务器资源的同步请求转化为异步请求,并按消息种类进行划分并发执行;实现任务调度、任务执行、后端存储和任务自动发现,大大提高场景构建效率。提出基于分布式任务执行的高并发异步构建技术,确保了整套系统的高吞吐量,充分发挥服务器的性能,根据服务器性能动态调整任务执行进程的数量,避免服务器资源浪费或压力过大导致任务执行效率低下,实现了真正意义上的并行计算。该技术已应用于大规模网络靶场构建之中,降低了复杂业务下的多重隔离和高并发异步靶场构建难度。
针对传统的静态靶标系统伪装程度不高的现状,提出了脆弱点感知的靶机动态伪装技术,从靶标漏洞特征方面,靶标系统预置大量被攻击场景以及漏洞特征,同时具备了漏洞场景靶机实时的切换能力,满足攻击者不同意图、不同手段的“需要”。从靶标网站仿真方面,将模仿的目标网站样式、标题数据、栏目数据以及网站的外形进行高度模拟;从主机标识仿真方面将靶标主机名称等信息高度仿真;从网站内容仿真方面将靶标网站内容伪装成更像企业内部正在使用的网站;从网站通讯仿真方面,利用网站与数据库系统、其它网站网络层进行交互仿真,模拟真实网站的访问请求信息,包括数据库交互、网站间交互等。从而弥补了静态伪装、低交互式伪装程度不足、诱惑程度不够的问题,从而提升了靶标系统诱惑攻击者的能力。
针对现实网络中被攻击的行为不能全量捕获,导致分析不够全面并且需要人工分析的问题,提出基于平行被攻击行为捕获和分析技术,对攻击者的攻击手段、攻击样本、攻击路径进行捕获,并从中分析出攻击者的攻击意图。在平行靶标中,采用基于内核级的行为监控方法,记录攻击者在靶标中的网络、文件、进程操作,并保存攻击者上传的恶意样本。在网络侧,采用旁路检测的方法,记录攻击者在网络上的攻击流量,并保存攻击载荷、样本信息。突破性地实现了通过关注局部、可全量记录的方式减少存储的消耗。全面加强了靶场内攻击行为数据全景捕获和分析能力。
针对传统对抗环境下防御方处于被动状态无法发动有效的反击的问题,提出面向应激反制的交互式对抗环境生成技术,此技术是在威胁激励下通过感知和归因分析做出有目的的反制响应,采用浏览器指纹追踪、操作系统指纹追踪、攻击者社交ID追踪、诱饵数据追踪、标识植入方法,结合IP溯源技术,可以准确的发现攻击来源并可通过高伪装毒饵的方式开展反制,最终实现在对抗环境内对攻击者的行为的捕获、追踪、溯源和反击,从而提高了攻击诱捕、数据分析、反制的对抗环境模拟能力。
安全对抗过程具有动态特点,攻防对抗的模式、手段和烈度等依据攻击诉求、攻防双方的能力和手段、对抗反馈等因素持续动态变化,为能够逼真的构造被试体在实际运行过程中可能遭受到的各类对抗情境,基于长期积累的知识库、工具库和靶标及场景库和专家系统,突破渐进式威胁激励生成技术,基于威胁工具、威胁流量、自动化威胁利用脚本等实现自动化、可重放、可衡量的威胁激励,以可控、可叠加、可动态调整的方式实现对被试体进行体系化和快速的高逼真威胁测试评估。
针对网络安全评估中测试强度及实施手段具有较高的依赖于人员主观的能力和经验的问题,研究多循环激励响应控制技术,生成数据驱动的、机器可读的统一描述方式,将安全评估的环境、测评方案和量化要求、测评威胁载荷等进行统一封装和重放,基于风险载荷以稳定的测试强度和测评流程进行高度自动化的多循环测评,以量化结果推进系统迭代。
针对被试体量化评估困难、指标分类和指标之间的关联性不强的问题,按应用场景对典型威胁进行分级、分类、分阶段建设指标体系,通过建立和沉淀威胁响应对比评估模型库,并基于指标体系为各指标建立成套的测评环境、威胁载荷、量化结果三位一体评估模型实现定性或定量评估,实现对人员、系统进行定性与定量相结合的效果评估,给出更加科学准确的评估结果。
该技术用于发现和定位已知和未知恶意代码。总结各种恶意代码对被感染系统的控制过程和留存方式,抓住恶意代码的核心行为特征,综合利用静态特征匹配与动态沙箱行为匹配相结合的方式,实现对恶意代码的发现和定位,尤其针对APT攻击过程中使用的特种隐藏型恶意软件,具有非常显著的效果。
该技术用于自动化的完成二进制代码漏洞挖掘和利用。利用靶场环境的多样性和资源快速调度的优势,结合智能FUZZ平台,根据既定策略快速生成多种变异的流量或文件样本,投放到被检测操作系统等信息系统中,同时利用靶场的全量数据采集和系统状态监控能力以及沙箱的精准行为监测能力,快速验证造成目标信息系统出现异常或故障的有效样本库,大幅提升漏洞挖掘的速度和质量,同时验证环境还能为漏洞利用代码的快速验证和留存积累提供良好的协作支持。
传统的流量检测方法只针对单包或者单流数据进行检测,但未通过把各流关联到一起进行检测。我们提出基于单流特征与关联特征相融合的关联模型,该模型由单流内部流量特征的贝叶斯网络识别算法与多流之间行为特征的支持向量机识别算法组成,通过此关联模型,将确保准确性和效率,可大规模应用在实际环境中。
采用基于协议结构和身份元数据进行特征萃取的方式,通过专有的算法训练得到身份元数据特征模板,形成身份元数据特征词词典,综合多种模式识别的方法,实现从数据中全面准确的提取身份元数据的目标。
该技术是一套网络数据处理技术,专门针对多核CPU硬件平台进行设计,可充分发挥多核CPU的性能优势和效率优势,提供线程级高速并行计算能力,在接入层、分析层、控制层、响应层均提供相应的网络数据处理能力,用户可灵活通过管理接口对各层功能进行设置,提供良好的扩展性,支持插件开发的方式扩展功能。
通过容器集群管理技术来承载Web服务,通过专有的描述语言文件定义、标准化的API接口来实现应用部署、更新迭代、横向扩容、可用性监控等一系列的运维能力。同时基于泛域名、内网DNS无配置文件解析自动寻址,基于去中心化虚拟节点方式,在不扩容集群硬件节点情况下,实现百万级容器服务承载。
基于不可逆加密算法,采用多项行业先进技术对视频文件进行周密的动态保护、内置了自主研发的防注入、防调试及自变异特性等加密引擎和超高清数字解码引擎。支持动态的自适应流和平滑流,以及常用的视频格式;支持高级的流压缩特性;支持自定义和扩展使用场景;支持手机及平板等多种移动端设备;支持视频水印,同时支持动态视频水印,保护版权;支持外置加密文件保持格式不变,同时支持自定义视频格式。
基于大数据组建形成分布式基础数据存储分析架构,利用合理架构分布式数据仓库、海量数据603138)收集、数据总线、计算框架、搜索引擎、交互式分析等组件实现对安全信息数据的接入与处理分析。联合使用实时流式分析、机器学习批式分析、交互分析等分析引擎,进行情报匹配检测、机器学习模型检测、关联分析、探索发现、事件追溯等分析工作。
基于攻击指纹ID、攻击IP、攻击手段、安全设备告警日志、服务器日志、应用日志、钓鱼邮件、恶意程序以及情报线索等,梳理出了针对不同攻击手段的溯源反制流程,可实现对指纹ID的分析与追踪、对攻击IP的分析与反渗透、钓鱼邮件的分析与反制、恶意程序的逆向分析与反连域名的追踪、对情报线索的深度利用,实现智能化的溯源反制框架。
以中大规模信息系统安全性测试验证为研究背景,分析实战条件下被试系统面临的业务应用交互情况和安全威胁对抗环境,研究基于云平台的中大规模信息系统的快速稳定构建技术,研究信息系统业务应用及带有时空时序的行为仿真复现技术,研究网络空间资产价值要素化建模方法,从属性仿真和行为仿真两个方面全面模拟接近实战的信息系统攻防对抗环境构建技术,建立资产与攻击行为相关的安全属性体系模型,建立标准的数字化沉浸式安全测评环境描述方法和技术。
研究建立网络攻击原子行为谱系,构建风险载荷知识图谱并研究统一的语义规则实现对原子威胁行为和由满足攻击逻辑的多个系列威胁行为及配套环境上下文共同形成针对特定漏洞的风险测试载荷。
在资产与攻击行为相关的安全属性体系模型以及风险载荷库基础上,基于资产安全属性与风险载荷的关联关系模型,研究针对复杂信息系统的智能化网络攻击路径选择技术,和针对路径上关键节点的威胁激励匹配技术,将复杂网络按网元节点属性进行结构和分拆,从多种风险载荷库中筛选合适的风险载荷予以匹配,根据任务策略和对抗烈度算法智能化筛选风险载荷进行多重循环的反复测试验证。
研究通过内核级攻击行为全景捕获与复现技术、基于应激反制的交互式对抗环境生成技术、基于LibVMI的带外采集技术和特征流量采集技术等多种基于流量、行为、日志、输出报告等的全维度数据采集技术,全面获取被试体在收到风险载荷攻击后的状态及反馈信息,从多个维度和层面快速采集和留存被试体在被输入各类威胁时的反馈信息和数据,为进行量化评估和优化建议提供详尽数据支撑。
为解决反复进行测试验证准备和执行过程中的信息录入、环境准备、数据比对判定等耗时难题,融合虚拟化技术、云管理技术、大数据技术等研究整合测试任务、环境、载荷、结果形成测试验证场景快照及重放引擎控制技术,实现多循环渐进式安全威胁激励体制为核心的武器装备安全测试验证方法。
快速的完成优化升级是测试评估的真正目的。数字风洞在测试出问题后提供快速控制相关风险的应急热修复方案,指导被试体快速的完成对风险的控制和修复。数字风洞构建资产地图及风险传播模型,根据风险载荷详细拆解被试体经测试评估发现的风险性质及被利用方法,为被试体提供对应的在内外部网络边界和终端主机等位置开启隔离、访问控制、恶意流量识别阻断、输入过滤等热修复方案帮助被试体快速修复,完成迭代优化。
2023年1月,公司发布春秋云境“数字风洞”平台V2.0版本。该平台采用标准化和数字化平台方式实现针对网络安全的全面人员能力测试评估和系统测试评估,通过对比测试评估结果明确优化方向,并对迭代优化后的成果进行验证,通过反复的“测试、评估、优化、再测试、再评估、再优化”循环模式实现从“形式合规”到“实质合规”的加强,利用数字风洞中的各类量化数据厘清网络安全建设成效和价值,消除网络安全风险。独创风洞载荷时光机将测评环境和风险载荷封装为“风洞时光”,用于留痕、追溯、复测。风洞载荷时光机作为数字风洞的核心设施,基于时光回溯机制,重现任意历史测评环境与风险载荷的全貌,通过追加新的载荷以开展反复测试,持续对被测目标优化迭代。风洞载荷时光机的运用紧扣迭代优化目标,能够缩短测试评估周期,增加测试评估频率,践行数字风洞“证无”理念。
2023年3月,公司发布春秋云境数据安全“数字风洞”平台V1.0版本。该平台是数字化系统安全的基础设施,基于创新的“证无”核心理念,以“量化成效、持续提升”为设计目标,让数据安全建设从“形式合规”向“实质合规”加强,是实现面向人员能力、系统能力的数据安全建设成果的测试评估,为企业数据安全建设持续优化提供重要的保障措施。平台遵循国内外主流数据安全治理模型和相关成熟度评价标准,数据安全数字风洞从人和系统两大维度,提供专业的测试评估业务功能模块实现数据安全人员能力、技术工具、制度流程和组织架构等全方位的测试评估,并依托风洞载荷时光机等提供平台化、电子化和标准化的迭代优化能力,用量化数据看清数据安全建设成效和优化方向,帮助客户通过不断地迭代验证实现数字化系统的持续提升。
2023年5月,公司发布春秋云境实战演训及测评靶场平台V2.0版本。该平台旨在帮助企业解决稀缺的实战人才培训和选拔难题,提供循序渐进的体系化训练科目和国际国内真实网络安全事件的模拟对抗环境,覆盖从单人基础知识、渗透夺旗、团队渗透、红蓝对抗以及技战术推演验证等多种模式,实现“人员快速上岗”并具备“掌握针对特定目标的攻防能力”。充分衔接实际业务中的学和用,打造“靶场即战场、靶场即设施、靶场即服务”实战训练生态,让“平行训练出的士兵”成为“线月,公司发布春秋云实企安殿V7.0版本。平台新增云上靶场模块,通过平行仿真技术进一步满足政企人才安全技能提升和测试评估的需求,以更加贴合行业特性的实操场景、更具实战化的训练环境和更加体系化的考核评价机制,助力政企用户安全技能提升、人才效能评价及专业人才梯队建设。针对政企网络安全人才培养现状及痛点,以实战为导向,以真实漏洞和真实业务场景为试炼,支撑企业在线进行网络安全人才测评、能力认证、漏洞研究、综合渗透、案例复现、靶场演练等服务。
2023年6月,公司发布的春秋云境行业演训平台V2.0版本,该平台是针对特定行业的专属型号。该平台依托于春秋云系统构建集培训考试、比武演练、案例复盘于一体的演训平台,建设形成覆盖网络特种技术和业务的体系化培训课程,支撑复盘特种实战典型案例,为各地特种用户开展常态化的技术培训、比武演练、案例复盘等工作提供全方位支撑。
2023年6月,公司发布春秋云服检测评估平台V1.0版本。该平台为全面识别信息系统在技术层面和管理层面存在的不足,查找信息安全现状和安全管理体系要求之间存在的差距,充分借鉴国内外信息安全实践和成熟的理论模型,重点参考国家等级保护标准规范,为有效达成安全检测的控制和审核,且将风险有效进行闭环管理,构建检测管控业务系统,进行检测工作及系统问题的管理和控制,以规范化的流程节点配合各类安全服务场景,执行检测评估任务,同时积累测评知识库,强化安全建设能力。平台核心目的是通过利用检测评估系统对安全检测和风险评估业务的开展进行合理有效的管控,设计合理的安全管理措施和技术措施,为全面的等级保护建设整改和安全保障体系建设提供依据,保证业务系统长期稳定运行,并能够不断完善和发展,以适应不断扩展的信息系统的安全管理需求。
2023年7月,公司发布春秋云境一体化演训平台。该平台依托公司自有的春秋云系统构建,集合教学培训、攻防比武、复盘推演等功能,形成一体化的演训平台。系统建设形成覆盖网络攻防技术和业务的体系化培训课程,构建集能力验证训练、渗透夺旗训练、场景渗透训练、红蓝对抗训练于一体的多样化、多层次的训练和任务模式,支撑复盘网络实战典型案例,提高参训者风险场景识别、安全防御与应急响应能力,且依托模型评估实现人才能力动态精准评估,全面支撑人才培养和选拔工作,推动网络攻防人员等级化能力验证工作与人才梯度建设工作。
2023年8月,公司发布“数字风洞”系统安全测试平台V2.0版本。该平台为数字化建设提供安全测试评估的基础设施,采用多循环激励和智能载荷技术,对数字化系统全生命周期的各个阶段进行反复高度自动化的系统性安全验证,度量安全建设成效,伴随式促进数字化系统快速迭代优化。系统通过风洞时光机将测评要求、测评环境和测评载荷等全量要素进行封装,一键实现测评任务的迭代复测、查看、追溯和重放;系统支持风洞内、风洞外等多种测评模式,通过分布式测评任务调度系统和测评引擎调度系统实现测评任务的实时生成、下发和自动化测评。通过对比测试评估结果明确优化方向,并对迭代优化后的成果进行验证,通过反复的“测试、评估、优化、再测试、再评估、再优化”循环模式实现从“形式合规”到“实质合规”的落地,利用系统中的各类量化数据帮助客户看清数据安全建设成效和价值,消除数据安全风险。
2023年9月,公司发布国家网络安全周系列科普教育展品V1.3版本,该产品用于各种网络安全主题科技展馆、临时性展览、教育培训基地、科普主题活动等场所,展品内容包括“Wifi绵羊墙”“仿冒电话”“U盘摆渡”“AI变脸”“语音合成”“二维码诈骗”等,展品形态分为主题造型墙式、便携可移动式及在线年网安周系列活动,并跟随最新的安全意识动态,保持持续优化迭代、不断推陈出新。
2023年11月,公司发布狩猎漏洞扫描验证系统,该系统以PoC验证性扫描技术为核心,结合目标应用特征原理扫描、快速验证程序框架技术,接入漏洞生命周期管理,识别和探测目标环境网络资产,生成扫描报告并提供风险处置建议,大大简化了安全团队的工作负担,使其能够更及时地识别、分析和解决潜在威胁。
2023年12月,公司发布“数字风洞”移动测评终端,该产品依托“数字风洞”产品体系,对企业网络资产进行定制化数字健康检查,通过探测识别、特征分析、弱点暴露、漏洞验证,进行多轮反复测试,贯彻“证有”到“证无”全阶段,全面守护和提升企业网络资产安全。
2、其他:主要包含作品版权、商标。本期新申请70个,其中作品版权4个,商标66个;本期新增获得51个,其中作品版权4个,商标47个。
平行仿真是永信至诚全自主研发的技术体系,是数字化新一代关键技术的基座。通过平行仿真技术的应用,可以模拟与现实网络空间相对应的场景模型,构建高仿真业务环境,支撑各关键行业进行网络空间的测试、演练、实训、推演、研判、指挥、防御、实战等综合性安全业务开展。同时,仿真环境中所产生的结果,也会平行影响并提升真实业务系统的安全防御能力。目前,“基于平行仿真的大规模网络靶场构建技术及应用”项目已经荣获北京市科学技术奖一等奖,被认定为总体技术达到行业领先水平,市场竞争力强,对行业技术进步和产业结构优化升级作用重大。
公司连续多年参加由公安部主办的国家级网络安全实战攻防演习,连续三年荣获企业组第一名;公司拥有五大专注于网络安全前沿核心技术、网络安全攻防技术和攻防实战思路研究实验室,在操作系统安全技术、漏洞分析与挖掘技术、机器学习与自动化技术、Web安全与渗透测试等方向拥有深厚积累,长期跟踪国内外最新网络安全漏洞研究动向,在主流系统及其应用的安全缺陷研究领域具备丰富实践经验,曾多次为微软检测发现最高级别安全漏洞;连续多年为国家和各省市公安机关提供高能效网络犯罪情报采集和侦察服务。
春秋云是永信至诚全自主研发的专用私有云,具备先进的资源管理、灵活调配和工程化运营服务能力,能够有效保证计算、网络、虚拟、存储等资源的高频调度和高效使用,可应对行业级、城市级等各种规模级别的多层级复杂场景仿线万人同时竞技的高并发洗礼,圆满支撑全球最大规模网络安全赛事演练“网鼎杯”现场2,000人同场演练。
多循环数字风洞测试评估技术是基于公司在网络靶场和人才建设领域深厚的技术与数据积累形成的,是公司“数字风洞”产品体系的核心技术支撑。通过该技术可以实现在风洞时光机的高仿真场景下,基于数字风洞平台统一的测评载荷、测评流程和测评结果管控,通过智能化的反复多次复测来帮助用户解决传统网络和数据安全风险控制中面临的供应链风险修复不及时、安全闭环测试时效性差、企业实质合规量化手段缺乏等难题,从而实现对数字化系统全生命周期的各个阶段进行反复高度自动化的系统性安全验证,度量安全建设成效,保障“数字健康”。
公司董事长蔡晶晶是教授级高级工程师、国家“万人计划”科技创业领军人才、中央网信办国家网络安全优秀人才、科技部第三届“杰出工程师”、国家网络安全实验平台项目专家、公安部网络安全专家等;公司副董事长兼总经理陈俊是教授级高级工程师,拥有十八年以上网络安全从业经历和攻防技术积累;董事兼副总经理张凯先后担任通信、电力、网络安全行业技术团队负责人,专注于网络安全技术产品化和工程化以及人工智能等前沿领域技术研发和产品落地,是春秋云平台的总架构师。
截至2023年末,公司拥有研发人员241人,占员工总人数比例达48.39%,支持了公司产品的研发、迭代和不断创新。公司致力于网络安全产品的研发,并形成具有自主知识产权的网络安全产品体系,截至报告期末公司共获取48项发明专利;拥有计算机软件著作权250项和1项科学技术成果。公司参与起草或修订多项标准,牵头完成了国标《信息技术系统安全工程能力成熟度模型》标准的修订;深度参与起草的《网络靶场产品安全技术要求和测试评价方法》(CCRC-TR-132-2023)标准已于2023年10月26日发布并实施;同时,公司还参与起草了信安标委国标《信息安全技术网络空间安全人员角色分类和能力要求》,以及《网络靶场基于技战术模型的安全测评方法》(T/CSAC001—2023)《网络靶场能力分级指南》(T/CSAC002—2023)《网络靶场资源描述要求》(T/CSAC003—2023)《网络靶场试验任务导调总体要求》(T/CSAC004—2023)4项网络靶场团体标准;春秋云境网络靶场荣获中国网络安全审查技术与认证中心颁发的首个网络靶场类IT产品信息安全认证证书,也是国内网络靶场产品第一个国家权威认证证书。
公司自2015年开始即推出网络靶场产品,并对产品持续进行更新迭代,截至目前公司网络靶场系列产品已覆盖政府部门、军队军工、能源、电力、电信、金融等十余个关键行业高价值用户群体,积累了数百个行业级场景,近百个城市级仿真互联网场景,近千个网络安全CVE漏洞靶标,数千个安全实训靶标,百余个人工智能漏洞挖掘训练集等。通过公司组织和支撑的超过610+场重点赛事演练和实网测试评估演练,网络靶场产品技术得以不断迭代升级并达到国内领先水平。
网络安全场景是漏洞研究、漏洞利用、应急处置、靶场组件构建、蜜罐陷阱部署等的关键支撑资源。公司在网络安全场景的积累优势,确保了公司在网络安全研究,产品升级迭代中的竞争优势。同时,也为公司下一步产品研发提供了明确方向。
依托过去在网络靶场领域的深厚技术积累及上千家政企用户网络安全建设的丰富实战经验,2022年11月19日,公司发布了“数字风洞”产品体系,开启并领跑数字安全测试评估专业赛道,产品先发优势明显。数字风洞是为数字化建设提供安全测试评估的基础设施,基于永信至诚独创的安全趋于“证无”理念,以“3×3×3×(产品×服务)”安全感公式为方法论构建而成。通过在指定场景里对城市、行业、单位、人、系统、数据等各要素进行系统性风险验证,度量安全效果,提升综合防护能力,全面助力政企用户网络和数据安全工作实现合规的保障、风险的预控、标准的践行和投入的回报,保障“数字健康”。
作为数字安全测试评估赛道领跑者,截至2023年末,“数字风洞”产品体系已经在政府部门、能源、电力、电信、民营企业等各关键行业,以及人工智能、数据安全、车联网、工业安全、网络安全保险等重要领域实现应用落地,构建了数字政府安全测试评估、数据安全测试评估、系统安全测试评估、人员能力检验与评价、人工智能安全测试评估以及关键行业安全测试评估六大典型应用场景,全面支撑数字化领域中,人、系统、数据等核心要素的安全测试与评估,贯穿规划、运营和处置整个生命周期的风险防范与化解,助力安全趋于“证无”。
目前公司已与国内多所大学、高等职业教育院校在网络安全教学与实践方面建立合作,第六年成为教育部批准的产学合作协同育人项目支持单位。此外,公司还与国内知名大学和专业机构在网络安全领域建立了产学研基地,其中包括:中国人民大学、中国人民公安大学、北京航空航天大学、哈尔滨工业大学、东南大学、广东省信息安全检测中心等。公司与高等院校的合作形成双赢局面,不仅有利于高等院校教学体系的完善,而且也是公司网络安全人才生态的重要基础,有利于巩固公司在网络安全人才流量入口优势。公司分别与知名互联网企业建立众测平台,充分利用众测方式帮助互联网企业进行产品的漏洞发现,不仅有利于i春秋人才生态的完善,而且提高了公司与知名互联网企业之间的合作粘性,提高公司行业影响力。
公司i春秋是网络安全专业学习社区,2015年6月上线以来,累计注册网安实战学习者超过80万人。此外,公司还是国内知名的网络安全赛事运营者。两者协同,形成了从实训培养到比赛提高的网络安全人才选拔途径,并使公司在网络安全人才方面占据了流量入口,并建成了网络安全人才生态。通过人才生态运营促进了公司技术迭代,推动了网络空间平行仿真技术发展,奠定网络靶场系列产品和“数字风洞”产品体系的技术基础;网络靶场系列产品和“数字风洞”产品体系不仅提供了网络安全赛事运营的技术基础,也使公司拥有了风险测试验证能力。
公司于2022年11月19日战略发布“数字风洞”产品体系,以第三方中立的生态位置开启并领跑数字安全测试评估专业赛道。作为沪深两市唯一一家以测试评估、网络靶场、人才建设为主营业务的网络和数据安全上市公司,依托在网络靶场、测试评估领域的深厚技术积累与服务经验,公司以独立的第三方安全视角,为客户提供独立、专业、客观的测试评估产品和服务,帮助用户持续关注数字健康状况,提升安全免疫效能,量化验证安全投入有效性,更有助于获得客户的信任与认可;同时,基于上千家政企用户网络和数据安全建设的丰富实战经验,公司还可以为客户提供与风险载荷配套的热修复方案,帮助客户快速完成风险控制与修复处置,推动安全趋于“证无”,保障“数字健康”。
(二)报告期内发生的导致公司核心竞争力受到严重影响的事件、影响分析及应对措施
报告期内,公司实现营业收入39,586.55万元,同比增长19.72%,实现归属于上市公司股东的净利润3,110.54万元,同比下降38.78%,实现归属于上市公司股东的扣除非经常性损益后的净利润1,103.04万元,比上年同期下降72.32%。公司业绩未来能否保持持续增长,受到宏观经济、产业政策、行业竞争态势等宏观因素的影响,同时公司主要以项目制形式开展业务,若不能通过技术、产品创新等方式及时满足客户的业务需求,或不能持续的开发新项目,或客户因为市场低迷等原因使其自身经营情况发生变化,导致其对公司产品或服务的需求大幅下降,或者公司不能持续拓展新的客户和市场,公司存在业绩下滑或亏损的风险。
信息通信技术的变革发展和新型安全威胁的不断出现,驱动了网络安全技术加速迭代创新。云安全、威胁情报等新兴安全产品和服务逐步落地,自适应安全、情境化智能安全、欺骗式防御、数字孪生、网络靶场、测试评估等新的安全防护理念接连出现,为网络安全技术发展不断注入创新活力。公司必须持续推进技术创新以及新产品开发,以适应不断发展的市场需求。尽管公司一直致力于科技创新,力争在网络安全细分领域保持领先优势,但不排除国内外竞争对手或潜在竞争对手率先取得重大突破,推出更先进、更具竞争力的技术和产品,从而使本公司的产品和技术失去领先优势。
网络安全行业是人才密集型行业,核心技术人员是公司保持技术领先的基础。本公司核心技术人员均已在公司工作多年,长期合作中形成了较高的忠诚度和凝聚力,为公司持续创新能力和技术优势作出了较大贡献。但随着市场竞争日趋激烈,不同公司对核心技术人才争夺日趋激烈,不排除公司核心技术人员流失,可能造成在研项目进度推迟、甚至中止,或者造成研发项目泄密或流失,给公司后续产品及技术的开发以及持续稳定增长带来不利影响。
公司的主要客户为政府部门、军队军工、央企等预算制单位,该类客户一般在上半年预算、立项及供应商评定,在年中或下半年进行合同签订、实施及验收,导致公司呈现上半年收入较少、下半年尤其第四季度收入较大的季节性特征。
经过多年的发展,公司已在测试评估、网络靶场、人才建设等网络安全细分领域取得领先优势,成为国内数字安全测试评估赛道领跑者,网络靶场和人才建设领军者。但随着网络和数据安全行业由“形式合规”向“实质合规”加强的趋势得到进一步强化,相关细分行业规模的持续增长以及客户需求的增加,将会吸引更多竞争者进入相关细分领域,届时,公司将会面临市场竞争进一步加剧的风险。
报告期。