一、统一多元VS条分缕析
大东:小白,我们上次在《数字安全锦囊》里面根据战略、战备、战役三个方面针对区域数字安全韧性能力建设展开了分析。还记得吧?
小白:记得的东哥,上次是从宏观的角度来做的分析,也就是“经度”。这次是不是该“纬度”啦?
大东:你猜的没错,锦囊对应经度,妙计就对应纬度。经度侧重“统一”,而纬度侧重“多元”。锦囊侧重于涵盖多重数字安全应用场景,而妙计是主要场景与范式的提炼和凝华。
小白:妙哉,统一多元数字安全韧性能力建设的两大要素都齐活了。那么这次会从哪个角度来阐述?
大东:如果统一是“条分”,那么多元当然应该是“缕析”了。
小白:“条分”和“缕析”有哪些区别呢?
大东:你可以理解为,是从中观的颗粒度分析区域数字安全韧性能力建设。“纬度”可从安全事件分析的视角来看,自底向上构建分别为——万花筒、钻探机、金刚钻和瞭望塔。
小白:嗯嗯,笔记本已经准备好了东哥。
大东:课前准备倒是还不错。
二、万花筒
大东:第一层次就是万花筒,聚焦的是广度。
小白:万花筒我知道,你常说,大东话安全和东话优选就是万花筒的一部分,对吗?
大东:是的,但是你想想大东话安全系列科普文章的特点在于什么呢?
小白:是事件吧。
大东:完全正确。网安事件发生以后,要第一时间围绕该事件的核心细节要素开展客观真实收集,构建安全事件拼图,力图还原事件的态势全景。
小白:但是如果面向数字中国做网络安全事件分析是一个极具广度的系统工程,要把这个工程搞好,需要八方聚力才行。
大东:是的,所以要全面获取安全事件和数据,集结政产学研金服用等各个领域的生态力量,共同汇聚成数字中国安全的“广度”妙计。
小白:这么一说,让我想起了RITE领导力模型里面的提到的“九流”概念。但是东哥,汇聚起“九流”生态,万事俱备了,那么广度的目标是什么呢?
大东:可以从这四个字——快、准、全、智来评估。
小白: 具体是什么意思呢?
大东:别急,我们慢慢分析。其实广度“妙计”的要义就是在针对瞬息万变的安全事件跟踪过程中,不断捕捉其演变的趋势,进而开展安全态势发展预测。譬如说未来的数字经济发展过程中,将会面临AI安全问题,即AI与AI之间的攻击对抗,而这种攻击数量会呈现指数级井喷。
小白:那太严重了,怎么办呢?
大东:可以站在全球宏观视角,围绕不同的组织发展特征和重点建设,以安全事件为分析对象锻造安全事件监测能力,因地制宜构建新型安全事件应急响应能力。
小白:嗯嗯,“九流”生态都要参与进来,从善如流。
大东:是的。可以依托国家战略科技力量做统筹组织,以刚才提到的 “快准全智”做目标能力建设,具体来说,“全”是指信息获取来源覆盖面广,涵盖国内外网安情报权重系数高的开源情报载体,并且实现消息源自增长能力。“真”是不断纵深溯源威胁情报的初始源头,从而提高情报线索判定能力。“快”是指强化信息捕获能力,譬如漏洞发布可以从安全厂商的邮件组内做信息跟踪匹配。“智”是指通过对特定目的和领域的内容爬取后,做进一步的开源情报内容结构化信息抽取、时间线梳理、热点筛选和阵地分级,提高辅助决策能力。
小白:这四个字,简直就是“广度”妙计的精髓啊!
三、钻探机
大东:过奖了小白。此外,数字安全韧性能力建设同时也注重深度,可以比作“钻探机”。
小白:这个如何理解?
大东:钻探机,就是要求我们从纵深方向抓住线索,建设数字安全事件分析报告体系和机制——对安全事件不能停留于表面,这样其实就是管中窥豹,但是如何掌控全局,就需要对安全事件背后的产生动机、历史安全事件的关联等等做全局推演,譬如安全人员可以通过对勒索组织的跟踪发现,由于一个网络犯罪组织会不断作恶,因而持续地产生安全事件,这个犯罪组织的代号或者攻击手法就应该作为安全分析的重点。
小白:这让我想起了针对软件供应链安全开展研究,就可以发现其门类也属于供应链安全,其评判标准也是全真快智。但是如何把握研究的颗粒度呢?
大东:你提的问题很好。我们不妨换个场景来诠释,假如我们想开采石油,那么钻井要打到哪个深度呢?
小白:那就得根据油田的具体特征来看。
大东:没错。所以首先要勘探,根据特征找到油田的特征,再根据特征因地制宜地采取后续措施。针对安全事件的研究也是一样,从攻防的本质特征出发才能够把握钻探的尺寸,这个可以参考“七宗罪”和“八个打”。
小白:这次七八九都集齐啦~
大东:总之,“深度”妙计就是要结合业务场景特征做适度的准确钻探,譬如数字化转型场景,就可以面向产业数字化建立数字安全仿真实验验证平台,针对产业做数字孪生能力建设,从而可以做集约型的业务安全风险先行先试,开展有针对性的风险评估和预防,绝对不能乱打一气。
小白:确实如此。
四、金刚钻
大东:有了广度和深度,我们还要讲究精度,精度也可以比作“金刚钻”。
小白:对于精度,我们要从哪里来具体考量?
大东:随着数字经济的发展,应构建一套面向数字化的数字安全领域评价指标。还记得去年的文章《网络安全之归零》吗?
小白:记得,里面讲到了“基于RITE的网安对号领导力模型”。莫不是我们的数字安全韧性能力建设也离不开零信任、零风险、零事故和零损失?
大东:“RITE”可作为统一多元数字安全韧性能力评价体系的基座。比如通过对所有发生的网络安全事件进行分析,面对安全风险,我们应着力于从应急响应向从容应对转变,事先部署、事前防范、事中紧急控制、事后恢复处理四个层面将各类安全问题收敛归零。
小白:哦,有了“RITE”加持,数字安全韧性能力评价将更加精确。
大东:不错,理解深刻。
小白:那么数字安全的“精度”妙计要实现哪些目标呢?
大东:这一层次要对历史安全事件系列做时空维度的对比分析,对一些重点的安全事件做战略层面的分析,譬如太阳风事件是典型的软件供应链安全事件,我们根据这一特征向前溯源可以看到中兴、台积电都发生过类似的安全事件。对安全事件发生频率做分析,可以发现事件发生间隔频率越来越短,我们就可以预判出软件供应链安全应该重点研究,从而可研判出开源软件会成为攻击者考虑的犯罪温床。
小白:确实如此。
大东:“精度”妙计更应侧重于对业务的数字化场景做安全策略的精细化设计。譬如很多APT攻击有隐藏性,犹如清明上河图,暗藏了各种细节线索,这就需要聚集一批复合型人才,采取大兵团联合作战方式,各组织结合自身基础主动与国家战略科技力量联动,在将国家能力导入赋能到地方数字安全体系的同时,还能够为国家提供数字化业务的标杆研究样本,因地制宜锻造组织行业长板能力。
小白:这就涉及到一支数字安全铁军的锻造了。
大东:对的,所以“精度”妙计可以对应到“四个学”和“五个能”,也就是从专业学生的学习内容和能力需求层面,完成“深度”到“精度”的转变。
五、瞭望塔
小白:终于到了“高度”妙计了。那么数字安全“高度”妙计有哪些呢?
大东:“高度”可以比作“瞭望塔”。瞭望塔是需要不断向前看,做前瞻指引。众所周知,数字经济发展速度之快、辐射范围之广、影响程度之深前所未有,不断做强做优做大我国数字经济,如果从安全保驾护航的角度出发,也需要时刻把握科技快速发展的脉搏和方向。
小白:九层之台起于累土,但是要想修个千寻之塔,也绝非易事。
大东:因此瞭望塔的高度一定程度上取决于建在哪里,也就是说要找地势高的地方打地基,地势就好比前沿技术,是在不断演化之中的,这就意味着数字安全从业人员也要与时俱进,不断寻找前沿科技领域的制高点,不断地修建“瞭望塔”,而不是毕其功于一役。
小白:没错,非可一蹴而就者。
大东:而修建瞭望塔也必须高效,否则很容易被人赶超,因此要建立一套标准模式化的修建机制,才能有效地敏锐持续捕捉前沿科技的风向标和制高点,譬如说“信息高铁”就蕴含了具有具象化特征的科技创新机制模式,这就是我们之前讲的六个看,就是说跳出网安看网安,这样才能有新视角、新输入、新思路。
小白:突然感觉“六个看”有点像看玄机,只有真正懂行的人,看到玄机,才会产生“两眼发光、相见恨晚”的共鸣!
大东:哈哈,只可意会不可言传啊。
六、小白内心说
小白:统一、多元,经度、纬度,条分、缕析,还能对应到“RITE数字安全韧性领导力模型”,对区域数字安全韧性能力建设的赋能的拼图也愈加清晰,这期数字安全妙计解读值得琢磨!不说啦,我要去补笔记啦,特别期待下次《地方志·谱》对区域数字安全韧性能力建设的深化赋能哦!
来源: 中科院之声