一、小白剧场
小白:东哥,考你个脑筋急转弯,四个0,打一成语?
大东:emm……是万(10000)无一(1)失吧?
小白:对咯。不过东哥,我最近在回顾您给我上的网安理念课程,也就是从“八个打”到“一个事”,有了一些新的思考。
大东:哦?说说看。
小白:我在想,很多行业都有一些“硬杠杠”,也就是那些众所周知的评价指标,比如移动通信领域,就是连接的广泛性,通信的速度等。
大东:没错,5G已然比4G有肉眼可见的速度提升。
小白:是啊。再比如超级计算机的科学评价指标也是算力和速度;芯片领域就是比拼高制程和纳米级的不断突破;而卫星导航领域,则是关注定位精度的不断提升。
大东:对的,小白知道的还不少。
小白:网络安全领域有没有比较统一共性的评价指标啊?
大东:小白,你这个问题启发了我啊。容我想想哈……(疯狂做笔记中)……有了,就是它!
小白:OMG(网红表情)!东哥,你你你你这是画了个啥啊!这难道是个掰折了的铅笔?
大东:说啥呢小白,人家这叫对号!
小白:那东哥你画的对号又暗含那些玄机呢?
大东:且听我娓娓道来~~
东哥刚才画的图
二、话说“零收敛”
大东:提到网络安全学科领域的评价指标,就不得不先理解我刚才画的那张图。
小白:仔细一看,这张图很有点藏宝图的感觉啊,似乎全是宝藏。
大东:回溯网络空间安全的学科演进路径,我们不难看出,网络安全的核心发展特征就是产业化紧密跟随和跨学科深度融合。产业化紧密跟随就是其演进历程一直与产业发展同频共振,休戚相关。
小白:嗯嗯,跨学科深度融合就是指网络空间安全学科体系不光包含着攻防技术,也与社会工程学、军事战略学等社会科学内容具有较强的关联度。
大东:不错啊小白,都会抢答了!
小白:那是,“四个学”和“五个能”可不是白听的!
大东:有进步。但提到网络空间安全学科领域的评价指标,也不能说没有,但很显然达不到你列举的通信、芯片、超算等领域的“硬杠杠”水平。
小白:这个怎么理解?
大东:比如企业安全能力框架ipdrr就是网络安全领域关于企业安全能力建设的一个评价标准,包括风险识别(Identify)、安全防御(Protect)、安全检测(Detect)、安全响应(Response)和安全恢复(Recovery)这五大能力,ipdrr模型体现了安全保障系统化的思想,管理与技术结合来有效保障系统核心业务的安全。譬如其中有一项指标称为平均修复时间MTTR,这个时间越短表示响应和恢复能力越强。
小白:听起来MTTR是很理想的评价指标啊,为什么还说没有评价指标呢?大东:随着当前数字经济的蓬勃发展,在万物互联的技术发展背景下,指标体系也是要逐步演进发展的,我们更应从网络空间安全学科的新工科视角,提出一套面向数字中国和网络强国的网安韧性能力评价指标体系,而这既是挑战也是机遇。
小白:哦哦~
大东:网络安全学科领域的发展,应遵循问题导向的原则。
小白:确实如此,科学本身是求真和收敛的过程,必须透过问题提炼规律、还原本质、发现真理。
大东:是的,因此要想重构适配于新发展格局的网络安全学科领域评价指标,就应遵循事物客观发展规律,找寻探索其学科的收敛特征,从而发现其发展的深层逻辑脉络,进而不断演进定义与时俱进的评价标准。
小白:那这套评价标准如何定义呢?
大东:我们应该从网安学科的独有视角,统筹兼顾社会科学和自然科学,定义统一的网安收敛域,将网安科学问题收敛归零,而网安的归零分为四个维度,分别是信任(Trust)、风险(Risk)、事故(Incident),右边的圆圈是损失(Energy),简称为:R.I.T.E,音同Right也就是对号,所以可以叫做网安对号领导力模型。
小白:嗯嗯,为什么是这四个维度,这个是怎么考虑的。
大东:首先,人类正在进入一个人机物三元融合的万物智能互联时代,而人机物三元融合强调的是物理空间、信息空间和社会空间的有机融合。因此,从自然科学的分析对象本体来看,我们需要考虑的就是人机物的三元维度的科学收敛指标,分别是零信任(Trust)、风险归零(Risk)、零事故(Incident);零信任是指由于因为人这一环节的问题造成安全风险,因此需要通过技术手段将失误收敛归零,譬如:开车时有人误把油门当刹车踩,那这个时候就需要通过技术感知当前行车环境,做出安全保护措施,也就是业界目前在提的零信任。
小白:哦,原来是这么回事,那么风险归零从“机”的角度怎么解释?
大东:风险归零则是主要侧重于机,即在泛指计算机网络领域的科学层面做缺陷收敛归零,譬如:近期网安领域关注的软件供应链安全挑战主要原因是开源软件缺陷造成的,如何能够做相应的网安科学研究,将这类问题逐步收敛归零,从而达到消除隐患的目的。
小白:零事故我知道,这个主要侧重在物,万物互联所以涉及到千行百业,而千行百业的应用场景涉及到不同的行业业务流程,譬如高铁列车有一个指标就是如果到站晚点的话就是运行事故,我们就可以针对安全故障归零的目标做相应技术研究。
大东:理解很到位,所以这三个“0”在图里示意为一个三角形。
小白:那为什么右边还有一个损失归零呢?
大东:刚才我也提到了,从安全保护对象的本体甚至主体来说,通过以上三个维度的收敛归零是可以的,但是如果从一个宏观生态视角来看的话就需要增加新的维度来考虑,譬如一家企业可以主动提升网络安全能力,但是这家企业作为产业链的一环来看,它的上下游企业的网络安全能力如果有短板的话,仍然会有网络安全风险,近年的太阳风事件等等都可以折射出这类挑战。因此,从网络空间安全领域行业宏观视角来看,需要再增加一个维度也就是零损失,从经济共赢的目标出发,让整个产业生态携手共建网安能力,才能够达成损失收敛归零。
小白:人、机、物、态共同构成了四个“0”的网络安全收敛模型,从这四个维度出发做网安战略规划是个不错的出发点。看来一个0代表空,四个0却代表着“万无一失”啊!
大东:哈哈,原来你今天的脑筋急转弯是这个意思哈。这四个0(RITE)可作为整个统一多元数字安全韧性能力评价体系的基座,托起了上面的对号模型,整体构成了网安对号领导力模型。
小白:领导力如何理解?
大东:领导力是希望通过构建一系列网安指标体系,通过数字化指标牵引使得企事业单位形成网安领导能力,最终达到一流的数字化高韧性安全水平,而这些数字化指标总共分为了九大类,一体化蕴含在对号这张图里。你仔细看看“对号”里面的节点,是不是有点眼熟?
小白:啊呀呀,这不是前面的网安理念课嘛!我数数,八个打,七宗罪,六个看,五个能,四个学,三个科,两个情,一个事,全在这里啊,这个对号好神奇!
大东:不错啊,小白你确实做到了温故知新。从一个事到八个打,是从八个不同视角分别对统一多元数字安全韧性能力评价体系进行支撑、构建,而对号的折角落在了四个“0”上面,这意味着无论是八个打还是七宗罪,抑或是五个能、四个学,最终都要收敛域四个“0”之上,才能发挥极致效能,即1到8汇聚了四个0 的整体效能。
小白:嗯嗯,这样说起来,我渐渐理解了整体的逻辑。那这个评价体系为什么不是平的,而是做成一个对号模样呢?
大东:问得好。其实这里暗含的逻辑,是一个殊途同归的过程。你想一想,是不是无论从南坡还是北坡,都能爬上珠穆朗玛峰?
小白:是啊。
大东:科学也是如此,对于探寻真理这一统一目标,自然不止一条路可以走,但其归宿却应该是统一的——也就是代表科学维度的“三个科”。对号的左右两端最终会收敛到珠穆朗玛峰。
小白:我明白了,但是既然网络安全是一门交叉学科,那为什么在重构指标体系的时候选择用两侧来度量解释,而不是三侧呢?
大东:这是因为,对号的左边,也就是一个事和两个情,是聚焦于社会科学关注的两个指标;而四个学、五个能、六个看、七宗罪、八个打,是从工程技术、攻防实战、协同育人、产业发展等角度考量的指标,这些更偏向于自然科学。而三个科,是自然科学与社会科学方法论的浑然交融,也是两种方法论殊途同归的分野起点。
小白:这样说来,积极研究完善这套评价体系可以对数字中国的统一多元安全韧性能力带来促进作用。那么具体到网络安全行业的发展,需要哪些韧性要素呢?
大东:其实,在四个“0”的前三个“0”里面,也暗含着你所说的韧性要素的密码,即抗毁、弹性、重构。
三、大话始末
小白:东哥我还有个疑问,就是数字安全韧性能力评价这件事,难道从来没有人做过吗?
大东:当然有啦,譬如国际电信联盟的全球网络安全指数(Global Cybersecurity Index,GCI)、波托马克政策研究所的网络就绪指数(Cyber Readiness Index,CRI),还有乌镇的世界互联网大会蓝皮书都有涉及。
小白:那我们这个的有什么特点呢?
大东:可以这么说。统一多元数字安全韧性能力评价体系的设计考虑更多是从网安学科的科学研究视角作为构建出发点,以数字指标化和指标数字化作为核心范式特征,以面向数字中国下的组织单元作为研究分析对象,应该努力成为中国式现代化在科技领域的一种科技领跑型思维的战略研究思路探索。
小白:什么是数字指标化和指标数字化呢?
大东:数字指标化是要将表象变为表征,通过指标化的手段直接从纷繁的数据中提炼规律;而指标数字化是因为现有的评价指标不够连续,需要拉长维度从宏观视角来看问题。这一问题我们将在下期进一步科普。
小白:这个我懂,大东话安全五年多的网安科普工作就是在做指标数字化,这样理解对吗?
大东:对的,小白你这也启发了我。由于构建生态和创新驱动的主体是企业,将数字安全企业纳入到生态连接时,将具有多元的适配场景。因此,大东话安全的2.0也就是东话优选我们将围绕网安对号领导力模型,萃取经典安全事件群,提炼网安共性要素,科普网安新理念。
四、小白内心说
小白:数字安全的韧性能力目标模式是随着时空发展而不断变化的,必须与时俱进、辉光日新。我一定要努力加入战略课题组,因为很显然未来开展这个领域的科学研究大有可为啊!
来源: 中科院之声