下载掌阅APP,畅读海量书库
立即打开
东哥,考你个脑筋急转弯:四个0,打一成语。
嗯……是万(10000)无一(1)失吧?
对咯!东哥,我最近在预习你要讲的网络安全理念课程,有了一些思考。
哦?说说看。
我在想,很多行业都有一些“硬杠杠”,也就是那些众所周知的评价指标,比如移动通信领域,就是连接的广泛性、通信的速度等。
没错,5G已然比4G有肉眼可见的速度提升。
是啊!再比如超级计算机的评价指标是算力和速度,芯片领域就是比拼制程,而卫星导航领域则关注定位精度。
对的,小白知道的还不少!
那网络空间安全学科领域有没有比较统一或者说共性的评价指标啊?
小白,你这个问题启发了我。容我想想啊……(疯狂做笔记中)……有了,就是它!
天哪!东哥,你、你、你、你这是画了个啥啊!这难道是根被掰折了的铅笔?
说啥呢小白,人家这叫对号!
那东哥你画的对号又暗含哪些玄机呢?
且听我娓娓道来。
提到网络空间安全学科领域的评价指标,就不得不先理解我刚才画的那张图。
仔细一看,这张图很有点藏宝图的感觉啊,里面似乎全是宝贝。
回溯网络空间安全学科的演进历程,我们不难看出,网络空间安全学科的核心发展特征就是产业化紧密跟随和跨学科深度融合。产业化紧密跟随就是其演进历程一直与产业发展同频共振,休戚相关。
嗯嗯,跨学科深度融合就是指网络空间安全学科体系不光包含着攻防技术,也与社会工程学、军事战略学等社会科学的内容具有较强的关联度。
不错啊小白,都会抢答了!提到网络空间安全学科领域的评价指标,也不能说没有,但很显然,它们还达不到你列举的通信、芯片、超级计算机等领域的“硬杠杠”水平。
这个怎么理解?
比如企业安全能力框架IPDRR就是网络空间安全学科领域关于企业安全能力建设的一个评价标准,包括风险识别(Identify)、安全防御(Protect)、安全检测(Detect)、安全响应(Response)和安全恢复(Recovery)这五大能力。IPDRR模型体现了安全保障系统化的思想,通过管理与技术相结合来有效保障系统核心业务的安全。譬如其中有一项指标称为平均修复时间(Mean Time To Repair,MTTR),这个时间越短表示响应和恢复能力越强。
听起来MTTR是很理想的评价指标啊,为什么还说网络空间安全学科领域的评价指标不够好呢?
随着当前数字经济的蓬勃发展,在万物互联的技术发展背景下,指标体系也是要逐步演进的。我们更应从网络空间安全学科的新工科视角,提出一套面向数字中国和网络强国的网络安全韧性评价体系,而这既是挑战也是机遇。
哦哦。
网络空间安全学科的发展,应遵循问题导向的原则。
确实如此,科学本身是求真和收敛的过程,必须透过问题提炼规律、还原本质、发现真理。
是的,因此要想重构适配于新发展格局的网络空间安全学科领域评价指标,就应遵循事物的客观发展规律,找寻或者说探索该学科的收敛特征,从而发现其发展的深层逻辑脉络,进而不断演进和定义与时俱进的评价标准。
那这套评价标准如何定义呢?
我们应该从网络空间安全学科的独有视角出发,统筹兼顾社会科学和自然科学,定义统一的网络安全收敛域,将网络安全科学问题收敛归零,而归零具体可分为四个维度,分别是信任(Trust)、隐患(Risk)、事故(Incident)和损失(Energy),简称为RITE,音同Right,也就是对号,所以可以叫作“网安对号领导力模型”。
嗯嗯。那为什么是这四个维度,这个是怎么考虑的呢?
首先,人类正在进入一个人、机、物三元融合的万物智能互联时代,而人、机、物三元融合强调的是物理空间、信息空间和社会空间的有机融合。因此,从自然科学分析对象的本体来看,我们需要考虑的就是人、机、物三个维度的科学收敛指标,分别是零信任(Trust)、隐患(Risk)归零、零事故(Incident)。零信任是指由于“人”这一环节的问题可能引发安全事故,因此需要通过技术手段将失误收敛归零,譬如,开车时有人误把油门当刹车踩,那这个时候就需要通过技术感知当前行车环境,采取安全保护措施,也就是业界目前在提的零信任。
哦,原来是这么回事。那么隐患归零从“机”的角度怎么解释?
隐患归零则主要侧重于“机”,即在泛指的计算机网络领域的科学层面做缺陷收敛归零。譬如,近期网络安全领域关注的软件供应链安全挑战,主要原因是开源软件存在缺陷,所以需要做相应的网络安全科学研究,将这类问题逐步收敛归零,从而达到消除隐患的目的。
零事故我知道,这个主要侧重在“物”。万物互联,所以零事故涉及千行百业,而千行百业的应用场景涉及不同的行业业务流程。譬如,高铁列车有一个运营指标,就是如果到站晚点的话就是运行事故,我们就可以针对安全故障归零的目标做相应的技术研究。
理解很到位,所以这三个“0”在我画的图里示意为一个三角形。
那为什么在它们右边还有一个损失归零呢?
刚才我也提到了,从自然科学分析对象的本体甚至主体来说,只考虑以上三个维度的收敛归零是可以的,但是,如果从宏观生态视角来看,就需要增加新的思考维度。譬如,一家企业可以主动提升网络安全能力,但是把这家企业作为产业链的一环来看,如果它的上下游企业的网络安全能力有短板,这家企业仍然会有网络安全风险,像近年的“太阳风”事件等就折射出这类问题。因此,从网络安全领域的行业宏观视角来看,需要再增加一个维度,也就是零损失。为了实现经济共赢的目标,让整个产业生态携手共建网络安全能力,才能够达成损失收敛归零。
人、机、物、态共同构成了四个“0”的网络安全收敛模型,从这四个维度出发做网络安全战略规划是个不错的主意。看来一个0代表空,四个0却代表着“万无一失”啊!
哈哈,原来你今天的脑筋急转弯是这个意思啊!这四个0(RITE)可作为整个统一多元数字安全韧性评价体系的基座,托起上面的对号模型,整体构成了网安对号领导力模型。
领导力如何理解?
领导力是希望构建一系列网络安全评价指标,通过数字化评价指标的牵引,使得企事业单位形成网络安全领导能力,最终达到一流的数字化高韧性安全水平,而这些数字化评价指标总共分为九大类,一体化地蕴含在对号这张图里。
我数数,“八个打”“七宗罪”“六个看”“五个能”“四个学”“三个科”“两个情”“一个事”,全在这里啊,这个对号好神奇!
不错,这就是我们后面要讲的网络安全理念课。从“一个事”到“八个打”,是从八个不同视角分别对统一多元数字安全韧性评价体系进行支撑、构建,而对号的折角落在了四个“0”上面,这意味着无论是“八个打”还是“七宗罪”,抑或是“五个能”“四个学”,最终都要收敛于四个“0”之上,才能发挥极致效能,即四个0汇聚了“一”到“八”的整体效能。
嗯嗯,这样说起来,我有些理解了整体的逻辑。那这个评价体系为什么不是平的,而是做成了一个对号模样呢?
问得好。其实,这里暗含的道理是殊途同归。你想一想,是不是无论从南坡还是北坡,都能爬上珠穆朗玛峰?
是啊!
科学也是如此,对于探寻真理这一统一的目标,自然不止一条路可以走,但其归宿却应该是统一的,也就是代表科学维度的“三个科”。对号的左右两端最终会收敛到这一“珠穆朗玛峰”。
我明白了,但是既然网络空间安全是一门交叉学科,那为什么在重构评价指标体系的时候选择用两侧来度量和解释,而不是三侧呢?
这是因为,对号的左边,也就是“一个事”和“两个情”,是社会科学关注的两个指标;而“四个学”“五个能”“六个看”“七宗罪”“八个打”,是从工程技术、攻防实战、协同育人、产业发展等角度考量的指标,这些更偏向于自然科学。而“三个科”,是自然科学与社会科学方法论的浑然交融,也是两种方法论殊途同归的交汇点。
这样说来,积极研究和完善这套评价体系有助于提升数字中国的统一多元数字安全韧性。那么具体到网络安全行业的发展,需要哪些韧性要素呢?
其实,在四个“0”的前三个“0”里面,就暗含着你所说的韧性要素的密码,即抗毁、弹性、快速重构。
东哥,我还有个疑问,就是数字安全韧性评价这件事,难道从来没有人做过吗?
当然有啦,譬如国际电信联盟的全球网络安全指数(Global Cybersecurity Index,GCI)、波托马克政策研究所的网络就绪指数(Cyber Readiness Index,CRI),还有2022年世界互联网大会乌镇峰会上发布的蓝皮书都有涉及。
那我们这个有什么特点呢?
可以这么说,统一多元数字安全韧性评价体系的设计更多的是以网络空间安全学科的科学研究视角作为出发点,以数字指标化和指标数字化作为核心范式特征,以数字中国下的组织单元作为研究分析对象,努力成为中国式现代化在科技领域的一种科技领跑型思维的战略研究思路探索。
什么是数字指标化和指标数字化呢?
数字指标化是要将表象变为表征,通过指标化的手段直接从纷繁的数据中提炼出规律;而指标数字化是因为现有的评价指标不够连续,需要拉长维度从宏观视角来看问题。这一问题我们以后将进一步科普。
这个我懂,“大东话安全”五年多的网络安全科普工作就是在做指标数字化,这样理解对吗?
对的,小白,你的这句话也启发了我。由于构建生态和创新驱动的主体是企业,将数字安全企业纳入生态链时,将具有多元的适配场景。因此,“大东话安全”的2.0,也就是“东话优选”,将围绕网安对号领导力模型,萃取经典安全事件群,提炼网络安全共性要素,科普网络安全新理念。
数字安全的韧性目标模式是随着时空的变化而不断变化的,必须与时俱进。我一定要努力学习,争取早日加入战略课题组,因为很显然,这个领域的科学研究大有可为啊!