|
中國(guó)網(wǎng)/中國(guó)發(fā)展門(mén)戶(hù)網(wǎng)訊任何事物的推進(jìn),都離不開(kāi)人、財(cái)、物?3?個(gè)要素。不同的領(lǐng)域,對(duì)“人、財(cái)、物”需求的解讀是不同的,而在網(wǎng)絡(luò)安全領(lǐng)域如果能夠重點(diǎn)關(guān)注“人、財(cái)、物”要素,將會(huì)顯著提升網(wǎng)絡(luò)空間的安全態(tài)勢(shì)。
“人”——強(qiáng)化攻防實(shí)踐訓(xùn)練,完善網(wǎng)絡(luò)安全細(xì)分領(lǐng)域的人才認(rèn)證
任何領(lǐng)域都需要人才,這是毋庸置疑的。集成電路等領(lǐng)域?qū)θ瞬诺男枨缶哂小办o態(tài)、聚集”的特點(diǎn),即人才是聚集在供給側(cè);而網(wǎng)絡(luò)安全領(lǐng)域則不同,該領(lǐng)域的人才主要聚集在用戶(hù)側(cè),旨在服務(wù)于用戶(hù)運(yùn)行時(shí)的安全問(wèn)題。政府、教育、信息技術(shù)等多個(gè)行業(yè)對(duì)于網(wǎng)絡(luò)安全具有龐大的用戶(hù)群需求,導(dǎo)致當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域?qū)I(yè)人才需求量的龐大缺口;而關(guān)注運(yùn)行時(shí)的安全問(wèn)題,導(dǎo)致行業(yè)對(duì)網(wǎng)絡(luò)安全人才的高度依賴(lài)性。網(wǎng)絡(luò)安全領(lǐng)域就好比醫(yī)療領(lǐng)域,再好的儀器設(shè)備也僅是輔助手段,最終還是依靠醫(yī)生來(lái)解決“運(yùn)行時(shí)”的問(wèn)題。
與計(jì)算機(jī)、通信等領(lǐng)域相比,網(wǎng)絡(luò)安全教育領(lǐng)域存在的時(shí)間不長(zhǎng),人才積累量不夠,最近幾年的我國(guó)在該領(lǐng)域的人才缺口在?140?萬(wàn)人以上,而每年網(wǎng)絡(luò)安全相關(guān)專(zhuān)業(yè)的高校畢業(yè)生僅?2?萬(wàn)余人。因此,大量的網(wǎng)絡(luò)安全人才是從信息技術(shù)的其他領(lǐng)域橫向平移而來(lái)。網(wǎng)絡(luò)安全人才培養(yǎng)的核心問(wèn)題是,信息技術(shù)其他領(lǐng)域人才平移到網(wǎng)絡(luò)安全領(lǐng)域的核心抓手是什么?網(wǎng)絡(luò)安全領(lǐng)域如果僅從網(wǎng)絡(luò)攻防的層面來(lái)說(shuō),本質(zhì)上就是對(duì)網(wǎng)絡(luò)應(yīng)用漏洞的發(fā)現(xiàn)利用和遏制對(duì)漏洞利用的對(duì)抗過(guò)程。網(wǎng)絡(luò)安全領(lǐng)域存在著理論與實(shí)踐弱關(guān)聯(lián)的特征,即發(fā)現(xiàn)漏洞及其利用的過(guò)程更多是實(shí)踐過(guò)程,而非僅憑理論分析;同樣,發(fā)現(xiàn)攻擊和對(duì)之防御的過(guò)程也是以實(shí)踐為主,而非僅憑理論指導(dǎo)。這就如同訓(xùn)練搏擊運(yùn)動(dòng)員,其水平的提高更多是來(lái)自于訓(xùn)練與實(shí)戰(zhàn)。因此,一般性的信息技術(shù)領(lǐng)域向網(wǎng)絡(luò)安全領(lǐng)域平移的抓手應(yīng)該是攻防實(shí)踐的訓(xùn)練。
目前來(lái)看,攻防實(shí)踐的最佳支撐點(diǎn)有?2?個(gè):網(wǎng)絡(luò)靶場(chǎng),讓人們有實(shí)踐的環(huán)境,避免在真實(shí)環(huán)境中出手而觸及法律紅線;網(wǎng)絡(luò)攻防演練及網(wǎng)絡(luò)對(duì)抗賽制,激發(fā)人們?cè)趯?shí)踐中感受到博弈帶來(lái)的挑戰(zhàn)與成就感。相比西方國(guó)家,我國(guó)在網(wǎng)絡(luò)對(duì)抗方面處于劣勢(shì)既是不爭(zhēng)的事實(shí),也是國(guó)外長(zhǎng)期壟斷核心信息技術(shù)所帶來(lái)的必然結(jié)果。因此,我國(guó)在國(guó)家之間的網(wǎng)絡(luò)攻防對(duì)抗中極難取得優(yōu)勢(shì)。在這種情況下,應(yīng)大力鼓勵(lì)網(wǎng)民掌握網(wǎng)絡(luò)攻防技能、強(qiáng)化攻防實(shí)踐的訓(xùn)練,以期形成“全民皆兵”“農(nóng)村包圍城市”“打游擊戰(zhàn)”的戰(zhàn)略戰(zhàn)術(shù)效果。這也是一種通過(guò)開(kāi)辟非對(duì)稱(chēng)戰(zhàn)場(chǎng)來(lái)迂回獲取戰(zhàn)略?xún)?yōu)勢(shì)的模式。
網(wǎng)絡(luò)安全的人才認(rèn)定與其他信息技術(shù)人才的認(rèn)定方法不同,原因在于:網(wǎng)絡(luò)安全人才的學(xué)歷培養(yǎng)人數(shù)遠(yuǎn)遠(yuǎn)不及崗位的需求人數(shù),無(wú)法像其他信息技術(shù)人才那樣僅靠學(xué)歷文憑來(lái)認(rèn)證;網(wǎng)絡(luò)安全人才的培養(yǎng)類(lèi)似于醫(yī)學(xué)生的培養(yǎng),細(xì)分領(lǐng)域?qū)I(yè)之間并不具有必然的聯(lián)系。因此,需要有相應(yīng)的細(xì)分領(lǐng)域的認(rèn)證模式來(lái)應(yīng)對(duì)這一困局。一種創(chuàng)新的網(wǎng)絡(luò)安全人才認(rèn)定方法是采取領(lǐng)域適應(yīng)性的認(rèn)證模式(圖?1):從理論與實(shí)踐出發(fā),采取自適應(yīng)的遞進(jìn)式認(rèn)證模式,旨在通過(guò)分層測(cè)試來(lái)判定被測(cè)者可能在某一細(xì)分領(lǐng)域具有相應(yīng)的能力,從而形成面向過(guò)程的技能精準(zhǔn)評(píng)估體系。
網(wǎng)絡(luò)安全從業(yè)者主要是通過(guò)繼續(xù)教育從信息技術(shù)領(lǐng)域的其他行業(yè)平移過(guò)來(lái),如計(jì)算機(jī)、通信、電子、控制等領(lǐng)域,由此彌補(bǔ)網(wǎng)絡(luò)安全領(lǐng)域的學(xué)歷教育人數(shù)不足的問(wèn)題。如果企業(yè)都擁有經(jīng)過(guò)技能認(rèn)證的網(wǎng)絡(luò)安全人才,這勢(shì)必將從人才的角度來(lái)明顯提升網(wǎng)絡(luò)空間的安全態(tài)勢(shì)。
“財(cái)”——用網(wǎng)絡(luò)安全保險(xiǎn)來(lái)提升網(wǎng)絡(luò)安全生態(tài)
網(wǎng)絡(luò)安全的終極目標(biāo)是最大限度地減少損失;其中,損失既包含政治層面,也包含經(jīng)濟(jì)層面。從政治層面來(lái)看,網(wǎng)絡(luò)安全涉及國(guó)家安全,關(guān)系到經(jīng)濟(jì)社會(huì)的穩(wěn)定運(yùn)行,以及廣大人民群眾的利益保障;一旦出現(xiàn)問(wèn)題,其損失往往難以估量。該層面網(wǎng)絡(luò)安全的目標(biāo)主要是不惜一切代價(jià)來(lái)防范攻擊,其核心是加大能力建設(shè),如情報(bào)發(fā)現(xiàn)能力、態(tài)勢(shì)感知能力、體系對(duì)抗能力、應(yīng)急響應(yīng)能力、容災(zāi)備份能力等。從經(jīng)濟(jì)層面來(lái)看,網(wǎng)絡(luò)安全主要涉及企業(yè)的經(jīng)濟(jì)損失。該層面網(wǎng)絡(luò)安全的目標(biāo)則是要將風(fēng)險(xiǎn)轉(zhuǎn)化成財(cái)務(wù)指標(biāo),要以財(cái)務(wù)平衡為依據(jù)來(lái)進(jìn)行網(wǎng)絡(luò)安全防范能力的建設(shè)。
網(wǎng)絡(luò)空間是物理空間的延伸,傳統(tǒng)的保險(xiǎn)并不足以覆蓋網(wǎng)絡(luò)空間帶來(lái)的風(fēng)險(xiǎn)。從保險(xiǎn)標(biāo)的角度來(lái)看,傳統(tǒng)保險(xiǎn)產(chǎn)品大多以有形財(cái)產(chǎn)及其相關(guān)經(jīng)濟(jì)利益和損害賠償責(zé)任為標(biāo)的;而網(wǎng)絡(luò)安全的保險(xiǎn)標(biāo)的既包括有形財(cái)產(chǎn),也包括無(wú)形財(cái)產(chǎn),如計(jì)算機(jī)系統(tǒng)、數(shù)據(jù)、企業(yè)聲譽(yù)等。從風(fēng)險(xiǎn)環(huán)境的角度來(lái)看,傳統(tǒng)的保險(xiǎn)產(chǎn)品暴露于實(shí)體物質(zhì)環(huán)境中,受到的風(fēng)險(xiǎn)多來(lái)自意外、自然災(zāi)害等;而網(wǎng)絡(luò)安全保險(xiǎn)的風(fēng)險(xiǎn)除了來(lái)自實(shí)體物質(zhì)環(huán)境之外,還會(huì)來(lái)自網(wǎng)絡(luò)空間,如黑客攻擊、程序設(shè)計(jì)錯(cuò)誤等。從賠付對(duì)象的角度來(lái)看,傳統(tǒng)保險(xiǎn)產(chǎn)品的賠付對(duì)象主要是第一方損失;而網(wǎng)絡(luò)安全保險(xiǎn)除了第一方損失需要賠付外,還包括第三方損失需要賠付,甚至還會(huì)包括危機(jī)處理、咨詢(xún)服務(wù)、檢測(cè)鑒定等費(fèi)用。
網(wǎng)絡(luò)安全財(cái)務(wù)投資具有上限,而殘余風(fēng)險(xiǎn)的應(yīng)對(duì)需要依靠網(wǎng)絡(luò)安全保險(xiǎn)。信息系統(tǒng)一旦遭受到攻擊,會(huì)產(chǎn)生相應(yīng)的經(jīng)濟(jì)損失。因此,被攻擊成功的概率與所帶來(lái)經(jīng)濟(jì)損失的乘積就構(gòu)成了企業(yè)網(wǎng)絡(luò)安全保障的財(cái)務(wù)指標(biāo)。也就是說(shuō),投資網(wǎng)絡(luò)安全保障的前提是,降低被攻擊成功的概率所帶來(lái)的經(jīng)濟(jì)回報(bào)——不應(yīng)該少于在網(wǎng)絡(luò)安全保障方面的追加投資。這種追求投入與產(chǎn)出的平衡、而非不惜一切代價(jià)的行為,就確定了網(wǎng)絡(luò)安全財(cái)務(wù)投資的上限。這就意味著必定存在殘余風(fēng)險(xiǎn)需要應(yīng)對(duì)。殘余風(fēng)險(xiǎn)的應(yīng)對(duì)需要靠網(wǎng)絡(luò)安全保險(xiǎn)(圖?2)。保險(xiǎn)是風(fēng)險(xiǎn)管理的一種財(cái)務(wù)手段,保險(xiǎn)公司通過(guò)識(shí)別目標(biāo)風(fēng)險(xiǎn)企業(yè)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)情況,預(yù)測(cè)與評(píng)估風(fēng)險(xiǎn),并針對(duì)可控的風(fēng)險(xiǎn)來(lái)承保企業(yè)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),對(duì)最終的事故進(jìn)行經(jīng)濟(jì)賠付。因此,保險(xiǎn)公司出于對(duì)自身盈利的考慮,勢(shì)必會(huì)下力氣促進(jìn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的降低,從而有助于提升網(wǎng)絡(luò)空間的安全態(tài)勢(shì)。
網(wǎng)絡(luò)安全保險(xiǎn)的核心在于量化網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的評(píng)估,以便用于輸出保險(xiǎn)方案。其中,量化評(píng)估涉及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和網(wǎng)絡(luò)安全能力評(píng)估;還包括在基于不同風(fēng)險(xiǎn)場(chǎng)景、不同控制措施投入的情況下,對(duì)網(wǎng)絡(luò)安全成熟度的影響進(jìn)行定性評(píng)估,對(duì)網(wǎng)絡(luò)安全事件發(fā)生的概率進(jìn)行量化評(píng)估。研究不同控制措施的投入對(duì)網(wǎng)絡(luò)安全成熟度的影響,從而對(duì)網(wǎng)絡(luò)安全事件發(fā)生概率進(jìn)行量化評(píng)估,即可測(cè)算出網(wǎng)絡(luò)安全保險(xiǎn)的投資回報(bào)率。
網(wǎng)絡(luò)安全保險(xiǎn)之所以能夠提升網(wǎng)絡(luò)安全生態(tài),體現(xiàn)在?5?個(gè)方面:
賦能企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理。網(wǎng)絡(luò)安全保險(xiǎn)有助于在戰(zhàn)略組織層、核心業(yè)務(wù)層和戰(zhàn)術(shù)系統(tǒng)層進(jìn)行風(fēng)險(xiǎn)賦能。
降低社會(huì)總成本,有效降低網(wǎng)絡(luò)安全事件發(fā)生的概率。一方面,可以提高企業(yè)的防災(zāi)水平——保險(xiǎn)公司通過(guò)自身的經(jīng)營(yíng)活動(dòng),可以培養(yǎng)企業(yè)的風(fēng)險(xiǎn)意識(shí);另一方面,可以提供專(zhuān)家級(jí)的安全服務(wù)——保險(xiǎn)公司與網(wǎng)絡(luò)安全企業(yè)合作,主動(dòng)為投保企業(yè)提供防災(zāi)防損工作,以提高自身的風(fēng)險(xiǎn)收益。
樹(shù)立企業(yè)的安全形象。網(wǎng)絡(luò)安全保險(xiǎn)能夠提供事前、事中和事后的服務(wù),為客戶(hù)進(jìn)一步降低風(fēng)險(xiǎn)。事前,保險(xiǎn)公司可識(shí)別企業(yè)面臨的風(fēng)險(xiǎn)類(lèi)型,針對(duì)可控的風(fēng)險(xiǎn)進(jìn)行承保;事中,通過(guò)一定的安全手段及措施對(duì)風(fēng)險(xiǎn)進(jìn)行監(jiān)控,協(xié)助企業(yè)降低事故概率;事后,針對(duì)安全事故提供及時(shí)的安全專(zhuān)家事故支持服務(wù),幫助企業(yè)減少事故的損失。由此,保險(xiǎn)公司為企業(yè)所標(biāo)稱(chēng)的保險(xiǎn)標(biāo)的,從而通過(guò)投保的賠付率來(lái)間接反映出投保企業(yè)的網(wǎng)絡(luò)安全防范水平。
承擔(dān)社會(huì)責(zé)任。國(guó)家現(xiàn)已出臺(tái)了一系列法規(guī)政策,強(qiáng)化網(wǎng)絡(luò)安全保障的要求,但并非所有企業(yè)都具有網(wǎng)絡(luò)安全應(yīng)對(duì)的能力。例如,擁有用戶(hù)數(shù)據(jù)的企業(yè)可能不具有保護(hù)用戶(hù)數(shù)據(jù)的能力,但在個(gè)人信息保護(hù)法的約束下,他們必須承擔(dān)對(duì)用戶(hù)數(shù)據(jù)保護(hù)的責(zé)任。因此,網(wǎng)絡(luò)安全保險(xiǎn)可以成為擁有用戶(hù)數(shù)據(jù)的企業(yè)來(lái)承擔(dān)其社會(huì)責(zé)任的一種工具。
為安全產(chǎn)品的能力背書(shū)。對(duì)于網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)的提供商而言,網(wǎng)絡(luò)安全保險(xiǎn)可以為他們的產(chǎn)品和服務(wù)背書(shū)。附贈(zèng)第三方保險(xiǎn)的網(wǎng)絡(luò)安全產(chǎn)品供應(yīng)商與服務(wù)商,可以通過(guò)所附贈(zèng)的保險(xiǎn)額度來(lái)展現(xiàn)他們的網(wǎng)絡(luò)安全應(yīng)對(duì)能力。事實(shí)上,網(wǎng)絡(luò)安全產(chǎn)品供應(yīng)商與服務(wù)商也會(huì)為了不斷降低保險(xiǎn)費(fèi)用的開(kāi)銷(xiāo)而提升網(wǎng)絡(luò)安全保障的能力,努力減少網(wǎng)絡(luò)安全事件的發(fā)生。
“物”——?jiǎng)討B(tài)提升信息技術(shù)產(chǎn)品與網(wǎng)絡(luò)安全產(chǎn)品的安全能力
網(wǎng)絡(luò)安全產(chǎn)品的安全能力是在實(shí)踐中不斷打磨而提升的。傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品的認(rèn)證模式已經(jīng)不能適應(yīng)當(dāng)前這種網(wǎng)絡(luò)安全態(tài)勢(shì)快速變化的需要。在當(dāng)今時(shí)代,一個(gè)網(wǎng)絡(luò)安全產(chǎn)品通過(guò)認(rèn)證之后,很有可能會(huì)出現(xiàn)一種讓該產(chǎn)品無(wú)法應(yīng)對(duì)甚至直接攻垮該產(chǎn)品的攻擊方式。因此,追求對(duì)網(wǎng)絡(luò)安全產(chǎn)品和可靠、可信信息技術(shù)產(chǎn)品的動(dòng)態(tài)、持續(xù)的測(cè)試愈發(fā)重要。
數(shù)字孿生是物理世界到數(shù)字世界的一個(gè)映射。我們也可以構(gòu)造出相應(yīng)的系統(tǒng)孿生的產(chǎn)物,這就是為在線運(yùn)行系統(tǒng)構(gòu)造出一個(gè)相對(duì)應(yīng)的離線“影子系統(tǒng)”,即在同樣的系統(tǒng)下所處理的數(shù)據(jù)并不相同。在這種情況下,可以對(duì)“影子系統(tǒng)”進(jìn)行持續(xù)性和安全性測(cè)試;一旦發(fā)現(xiàn)任何問(wèn)題,在升級(jí)“影子系統(tǒng)”的同時(shí),可以同步升級(jí)在線運(yùn)行系統(tǒng)。為此,構(gòu)造出能夠?qū)Α坝白酉到y(tǒng)”持續(xù)攻擊的環(huán)境就變得非常重要。
網(wǎng)絡(luò)靶場(chǎng)(圖?3)是一種由仿真平臺(tái)所構(gòu)造出來(lái)的攻防環(huán)境;以靶標(biāo)與攻擊手是否位于網(wǎng)絡(luò)靶場(chǎng)內(nèi)為判定條件,可以組合成“內(nèi)打內(nèi)”“內(nèi)打外”“外打內(nèi)”和“外打外”4?種攻防模型。“內(nèi)打內(nèi)”攻防模型,指靶標(biāo)與攻擊手都在網(wǎng)絡(luò)靶場(chǎng)內(nèi)的情況,主要用于網(wǎng)絡(luò)安全競(jìng)賽(如奪旗賽)、網(wǎng)絡(luò)安全人員教學(xué)訓(xùn)練場(chǎng)景。“內(nèi)打外”攻防模型,指攻擊手在網(wǎng)絡(luò)靶場(chǎng)內(nèi)、靶標(biāo)在網(wǎng)絡(luò)靶場(chǎng)外的情況,主要用于組織攻擊手在網(wǎng)絡(luò)靶場(chǎng)內(nèi)對(duì)網(wǎng)絡(luò)靶場(chǎng)外的真實(shí)信息系統(tǒng)目標(biāo)進(jìn)行攻擊的場(chǎng)景,如護(hù)網(wǎng)演練。將攻擊手封在網(wǎng)絡(luò)靶場(chǎng)中的主要目的是防止攻擊手在發(fā)現(xiàn)漏洞后對(duì)真實(shí)系統(tǒng)進(jìn)行不負(fù)責(zé)任的破壞。“外打內(nèi)”攻防模型,指靶標(biāo)在網(wǎng)絡(luò)靶場(chǎng)內(nèi)、攻擊手在網(wǎng)絡(luò)靶場(chǎng)外,這是一個(gè)典型的“眾測(cè)”模式。將靶標(biāo)放在網(wǎng)絡(luò)靶場(chǎng)內(nèi)用于攻擊測(cè)試,使得攻擊手在網(wǎng)絡(luò)靶場(chǎng)外可以肆無(wú)忌憚地攻擊,因?yàn)榫W(wǎng)絡(luò)靶場(chǎng)內(nèi)的靶標(biāo)并沒(méi)有真實(shí)數(shù)據(jù),不會(huì)出現(xiàn)事實(shí)上的損失。通過(guò)“懸紅”攻擊,在讓攻擊手在獲得收益的前提下盡全力檢測(cè)出靶標(biāo)的安全缺陷,以便通過(guò)不斷升級(jí)來(lái)提升靶標(biāo)的抗攻擊能力。“外打外”攻防模型,指靶標(biāo)與攻擊手均在網(wǎng)絡(luò)靶場(chǎng)外,但攻擊手對(duì)靶標(biāo)的攻擊則是繞經(jīng)網(wǎng)絡(luò)靶場(chǎng)來(lái)進(jìn)行。也就是說(shuō),靶標(biāo)只接受來(lái)自網(wǎng)絡(luò)靶場(chǎng)的連接,所有攻擊手只能在監(jiān)控下通過(guò)網(wǎng)絡(luò)靶場(chǎng)進(jìn)行攻擊。這是因?yàn)榘袠?biāo)系統(tǒng)足夠大,已經(jīng)不能遷移到網(wǎng)絡(luò)靶場(chǎng)之上;而攻擊手也足夠多或物理位置足夠分散,已經(jīng)不能集中在網(wǎng)絡(luò)靶場(chǎng),所以會(huì)選擇“外打外”的方式來(lái)實(shí)施“護(hù)網(wǎng)”測(cè)試演練。
網(wǎng)絡(luò)靶場(chǎng)的“外打內(nèi)”模式作為一種眾測(cè)承載平臺(tái),可以成為智慧城市建設(shè)中信息基礎(chǔ)設(shè)施的組成部分,即:對(duì)于需要保護(hù)的重要信息系統(tǒng),可以將其“影子系統(tǒng)”以系統(tǒng)孿生的方式部署在網(wǎng)絡(luò)靶場(chǎng)上,并開(kāi)放給社會(huì)進(jìn)行眾測(cè)。如果擔(dān)心人們?nèi)狈⑴c眾測(cè)的動(dòng)力,還可以通過(guò)“懸紅”的方式來(lái)進(jìn)行眾測(cè),以便檢驗(yàn)“影子系統(tǒng)”的安全特性。顯然,這將是“雙贏”的機(jī)會(huì):如果“影子系統(tǒng)”屹立不倒,說(shuō)明系統(tǒng)孿生所對(duì)應(yīng)的在線運(yùn)行系統(tǒng)具有強(qiáng)悍的安全防御能力,長(zhǎng)期在網(wǎng)絡(luò)靶場(chǎng)上屹立不倒的系統(tǒng)也會(huì)樹(shù)立起安全口碑;如果“影子系統(tǒng)”被攻垮了,至少也會(huì)通過(guò)網(wǎng)絡(luò)靶場(chǎng)的監(jiān)測(cè)了解到問(wèn)題所在,在提升“影子系統(tǒng)”安全性能的同時(shí)也提升了對(duì)應(yīng)在線運(yùn)行系統(tǒng)的安全防御能力,而這又恰是在網(wǎng)絡(luò)靶場(chǎng)上部署“影子系統(tǒng)”的核心意圖。
在線運(yùn)行系統(tǒng)盡管事實(shí)上也與其“影子系統(tǒng)”同步出現(xiàn)在網(wǎng)絡(luò)上,但在線運(yùn)行系統(tǒng)被攻擊的概率遠(yuǎn)比影子系統(tǒng)要小。原因有?3?個(gè):法律的保護(hù)使得尋常人不敢輕易攻擊在線運(yùn)行系統(tǒng);在線運(yùn)行系統(tǒng)通常也不會(huì)高調(diào)出現(xiàn)在網(wǎng)絡(luò)上讓人們所關(guān)注;在線運(yùn)行系統(tǒng)還會(huì)配備外圍防御系統(tǒng)加以保護(hù),以增加攻擊者的難度。而“影子系統(tǒng)”則不同,受到攻擊的概率較高:大量的網(wǎng)絡(luò)安全學(xué)習(xí)者原本就缺少實(shí)踐環(huán)節(jié),尤其是缺少真實(shí)的實(shí)踐場(chǎng)景,所以通常不會(huì)放過(guò)這種眾測(cè)的好機(jī)會(huì);“影子系統(tǒng)”也會(huì)被高調(diào)放到網(wǎng)絡(luò)靶場(chǎng)上以吸引人們的關(guān)注,至少網(wǎng)絡(luò)安全企業(yè)的競(jìng)爭(zhēng)者也會(huì)從競(jìng)爭(zhēng)的角度出發(fā)來(lái)進(jìn)行各種攻擊的嘗試;必要的“懸紅”也會(huì)吸引那些以“懸紅”收入為生存方式的“賞金獵人”積極地參與進(jìn)來(lái)。
可以想象,如果所有的信息技術(shù)產(chǎn)品或者網(wǎng)絡(luò)安全產(chǎn)品都是浸潤(rùn)在網(wǎng)絡(luò)靶場(chǎng)上經(jīng)歷著眾測(cè)的千錘百煉,必將會(huì)練就一身“本領(lǐng)”,甚至?xí)M(jìn)入“百毒不侵”的狀態(tài)。如果人們采用的都是這樣的網(wǎng)絡(luò)產(chǎn)品,以至于沒(méi)有在網(wǎng)絡(luò)靶場(chǎng)上放置“影子系統(tǒng)”的產(chǎn)品都不會(huì)被人們所采用;在這種情況下,網(wǎng)絡(luò)安全的安全態(tài)勢(shì)毫無(wú)疑問(wèn)會(huì)得到大幅度的提升。
網(wǎng)絡(luò)安全的對(duì)抗可以看作是事前、事中、事后?3個(gè)階段,而網(wǎng)絡(luò)空間的安全態(tài)勢(shì)取決于在網(wǎng)絡(luò)安全對(duì)抗中是否能夠占據(jù)優(yōu)勢(shì)。從事前角度來(lái)看,網(wǎng)絡(luò)安全的對(duì)抗首先是安全設(shè)施能力的對(duì)抗,當(dāng)然是防御能力越強(qiáng),安全態(tài)勢(shì)越好。但是,設(shè)備永遠(yuǎn)是靜態(tài)的,就算是采用了人工智能的手段,使之會(huì)根據(jù)態(tài)勢(shì)的變化而具有防御手段動(dòng)態(tài)提升的能力,而其提升方法仍然可以看作是相對(duì)靜態(tài)的。因此,依靠設(shè)備來(lái)進(jìn)行網(wǎng)絡(luò)安全防御所解決的主要是事前的防御。在事中,則更多地要依靠人的能動(dòng)性,因?yàn)橹挥腥瞬拍軌蛟趧?dòng)態(tài)博弈中展現(xiàn)出精巧的對(duì)抗能力。當(dāng)然,絕對(duì)的安全是不存在的,在事前防御和事中對(duì)抗中,總可能出現(xiàn)百密一疏,總是存在著殘余風(fēng)險(xiǎn)需要面對(duì)的情況。因此,網(wǎng)絡(luò)安全保險(xiǎn)就成為成本控制的救命稻草,需要通過(guò)必要的風(fēng)險(xiǎn)轉(zhuǎn)移來(lái)解決網(wǎng)絡(luò)安全防御投入過(guò)高的問(wèn)題。由此,構(gòu)成了以“人、財(cái)、物”為核心來(lái)提升網(wǎng)絡(luò)安全態(tài)勢(shì)的必由之路。
(作者:方濱興,哈爾濱工業(yè)大學(xué)(深圳);《中國(guó)科學(xué)院院刊》供稿)