中國網/中國發展門戶網訊任何事物的推進，都離不開人、財、物?3?個要素。不同的領域，對“人、財、物”需求的解讀是不同的，而在網絡安全領域如果能夠重點關注“人、財、物”要素，將會顯著提升網絡空間的安全態勢。 

“人”——強化攻防實踐訓練，完善網絡安全細分領域的人才認證

任何領域都需要人才，這是毋庸置疑的。集成電路等領域對人才的需求具有“靜態、聚集”的特點，即人才是聚集在供給側；而網絡安全領域則不同，該領域的人才主要聚集在用戶側，旨在服務于用戶運行時的安全問題。政府、教育、信息技術等多個行業對于網絡安全具有龐大的用戶群需求，導致當前網絡安全領域專業人才需求量的龐大缺口；而關注運行時的安全問題，導致行業對網絡安全人才的高度依賴性。網絡安全領域就好比醫療領域，再好的儀器設備也僅是輔助手段，最終還是依靠醫生來解決“運行時”的問題。

與計算機、通信等領域相比，網絡安全教育領域存在的時間不長，人才積累量不夠，最近幾年的我國在該領域的人才缺口在?140?萬人以上，而每年網絡安全相關專業的高校畢業生僅?2?萬余人。因此，大量的網絡安全人才是從信息技術的其他領域橫向平移而來。網絡安全人才培養的核心問題是，信息技術其他領域人才平移到網絡安全領域的核心抓手是什么？網絡安全領域如果僅從網絡攻防的層面來說，本質上就是對網絡應用漏洞的發現利用和遏制對漏洞利用的對抗過程。網絡安全領域存在著理論與實踐弱關聯的特征，即發現漏洞及其利用的過程更多是實踐過程，而非僅憑理論分析；同樣，發現攻擊和對之防御的過程也是以實踐為主，而非僅憑理論指導。這就如同訓練搏擊運動員，其水平的提高更多是來自于訓練與實戰。因此，一般性的信息技術領域向網絡安全領域平移的抓手應該是攻防實踐的訓練。

目前來看，攻防實踐的最佳支撐點有?2?個：網絡靶場，讓人們有實踐的環境，避免在真實環境中出手而觸及法律紅線；網絡攻防演練及網絡對抗賽制，激發人們在實踐中感受到博弈帶來的挑戰與成就感。相比西方國家，我國在網絡對抗方面處于劣勢既是不爭的事實，也是國外長期壟斷核心信息技術所帶來的必然結果。因此，我國在國家之間的網絡攻防對抗中極難取得優勢。在這種情況下，應大力鼓勵網民掌握網絡攻防技能、強化攻防實踐的訓練，以期形成“全民皆兵”“農村包圍城市”“打游擊戰”的戰略戰術效果。這也是一種通過開辟非對稱戰場來迂回獲取戰略優勢的模式。

網絡安全的人才認定與其他信息技術人才的認定方法不同，原因在于：網絡安全人才的學歷培養人數遠遠不及崗位的需求人數，無法像其他信息技術人才那樣僅靠學歷文憑來認證；網絡安全人才的培養類似于醫學生的培養，細分領域專業之間并不具有必然的聯系。因此，需要有相應的細分領域的認證模式來應對這一困局。一種創新的網絡安全人才認定方法是采取領域適應性的認證模式（圖?1）：從理論與實踐出發，采取自適應的遞進式認證模式，旨在通過分層測試來判定被測者可能在某一細分領域具有相應的能力，從而形成面向過程的技能精準評估體系。

網絡安全從業者主要是通過繼續教育從信息技術領域的其他行業平移過來，如計算機、通信、電子、控制等領域，由此彌補網絡安全領域的學歷教育人數不足的問題。如果企業都擁有經過技能認證的網絡安全人才，這勢必將從人才的角度來明顯提升網絡空間的安全態勢。 

“財”——用網絡安全保險來提升網絡安全生態

網絡安全的終極目標是最大限度地減少損失；其中，損失既包含政治層面，也包含經濟層面。從政治層面來看，網絡安全涉及國家安全，關系到經濟社會的穩定運行，以及廣大人民群眾的利益保障；一旦出現問題，其損失往往難以估量。該層面網絡安全的目標主要是不惜一切代價來防范攻擊，其核心是加大能力建設，如情報發現能力、態勢感知能力、體系對抗能力、應急響應能力、容災備份能力等。從經濟層面來看，網絡安全主要涉及企業的經濟損失。該層面網絡安全的目標則是要將風險轉化成財務指標，要以財務平衡為依據來進行網絡安全防范能力的建設。

網絡空間是物理空間的延伸，傳統的保險并不足以覆蓋網絡空間帶來的風險。從保險標的角度來看，傳統保險產品大多以有形財產及其相關經濟利益和損害賠償責任為標的；而網絡安全的保險標的既包括有形財產，也包括無形財產，如計算機系統、數據、企業聲譽等。從風險環境的角度來看，傳統的保險產品暴露于實體物質環境中，受到的風險多來自意外、自然災害等；而網絡安全保險的風險除了來自實體物質環境之外，還會來自網絡空間，如黑客攻擊、程序設計錯誤等。從賠付對象的角度來看，傳統保險產品的賠付對象主要是第一方損失；而網絡安全保險除了第一方損失需要賠付外，還包括第三方損失需要賠付，甚至還會包括危機處理、咨詢服務、檢測鑒定等費用。

網絡安全財務投資具有上限，而殘余風險的應對需要依靠網絡安全保險。信息系統一旦遭受到攻擊，會產生相應的經濟損失。因此，被攻擊成功的概率與所帶來經濟損失的乘積就構成了企業網絡安全保障的財務指標。也就是說，投資網絡安全保障的前提是，降低被攻擊成功的概率所帶來的經濟回報——不應該少于在網絡安全保障方面的追加投資。這種追求投入與產出的平衡、而非不惜一切代價的行為，就確定了網絡安全財務投資的上限。這就意味著必定存在殘余風險需要應對。殘余風險的應對需要靠網絡安全保險（圖?2）。保險是風險管理的一種財務手段，保險公司通過識別目標風險企業的網絡安全風險情況，預測與評估風險，并針對可控的風險來承保企業的網絡安全風險，對最終的事故進行經濟賠付。因此，保險公司出于對自身盈利的考慮，勢必會下力氣促進網絡安全風險的降低，從而有助于提升網絡空間的安全態勢。

網絡安全保險的核心在于量化網絡安全風險的評估，以便用于輸出保險方案。其中，量化評估涉及網絡安全風險評估和網絡安全能力評估；還包括在基于不同風險場景、不同控制措施投入的情況下，對網絡安全成熟度的影響進行定性評估，對網絡安全事件發生的概率進行量化評估。研究不同控制措施的投入對網絡安全成熟度的影響，從而對網絡安全事件發生概率進行量化評估，即可測算出網絡安全保險的投資回報率。

網絡安全保險之所以能夠提升網絡安全生態，體現在?5?個方面：

賦能企業網絡安全風險管理。網絡安全保險有助于在戰略組織層、核心業務層和戰術系統層進行風險賦能。

降低社會總成本，有效降低網絡安全事件發生的概率。一方面，可以提高企業的防災水平——保險公司通過自身的經營活動，可以培養企業的風險意識；另一方面，可以提供專家級的安全服務——保險公司與網絡安全企業合作，主動為投保企業提供防災防損工作，以提高自身的風險收益。    

樹立企業的安全形象。網絡安全保險能夠提供事前、事中和事后的服務，為客戶進一步降低風險。事前，保險公司可識別企業面臨的風險類型，針對可控的風險進行承保；事中，通過一定的安全手段及措施對風險進行監控，協助企業降低事故概率；事后，針對安全事故提供及時的安全專家事故支持服務，幫助企業減少事故的損失。由此，保險公司為企業所標稱的保險標的，從而通過投保的賠付率來間接反映出投保企業的網絡安全防范水平。

承擔社會責任。國家現已出臺了一系列法規政策，強化網絡安全保障的要求，但并非所有企業都具有網絡安全應對的能力。例如，擁有用戶數據的企業可能不具有保護用戶數據的能力，但在個人信息保護法的約束下，他們必須承擔對用戶數據保護的責任。因此，網絡安全保險可以成為擁有用戶數據的企業來承擔其社會責任的一種工具。

為安全產品的能力背書。對于網絡安全產品和服務的提供商而言，網絡安全保險可以為他們的產品和服務背書。附贈第三方保險的網絡安全產品供應商與服務商，可以通過所附贈的保險額度來展現他們的網絡安全應對能力。事實上，網絡安全產品供應商與服務商也會為了不斷降低保險費用的開銷而提升網絡安全保障的能力，努力減少網絡安全事件的發生。

“物”——動態提升信息技術產品與網絡安全產品的安全能力

網絡安全產品的安全能力是在實踐中不斷打磨而提升的。傳統的網絡安全產品的認證模式已經不能適應當前這種網絡安全態勢快速變化的需要。在當今時代，一個網絡安全產品通過認證之后，很有可能會出現一種讓該產品無法應對甚至直接攻垮該產品的攻擊方式。因此，追求對網絡安全產品和可靠、可信信息技術產品的動態、持續的測試愈發重要。

數字孿生是物理世界到數字世界的一個映射。我們也可以構造出相應的系統孿生的產物，這就是為在線運行系統構造出一個相對應的離線“影子系統”，即在同樣的系統下所處理的數據并不相同。在這種情況下，可以對“影子系統”進行持續性和安全性測試；一旦發現任何問題，在升級“影子系統”的同時，可以同步升級在線運行系統。為此，構造出能夠對“影子系統”持續攻擊的環境就變得非常重要。

網絡靶場（圖?3）是一種由仿真平臺所構造出來的攻防環境；以靶標與攻擊手是否位于網絡靶場內為判定條件，可以組合成“內打內”“內打外”“外打內”和“外打外”4?種攻防模型。“內打內”攻防模型，指靶標與攻擊手都在網絡靶場內的情況，主要用于網絡安全競賽（如奪旗賽）、網絡安全人員教學訓練場景。“內打外”攻防模型，指攻擊手在網絡靶場內、靶標在網絡靶場外的情況，主要用于組織攻擊手在網絡靶場內對網絡靶場外的真實信息系統目標進行攻擊的場景，如護網演練。將攻擊手封在網絡靶場中的主要目的是防止攻擊手在發現漏洞后對真實系統進行不負責任的破壞。“外打內”攻防模型，指靶標在網絡靶場內、攻擊手在網絡靶場外，這是一個典型的“眾測”模式。將靶標放在網絡靶場內用于攻擊測試，使得攻擊手在網絡靶場外可以肆無忌憚地攻擊，因為網絡靶場內的靶標并沒有真實數據，不會出現事實上的損失。通過“懸紅”攻擊，在讓攻擊手在獲得收益的前提下盡全力檢測出靶標的安全缺陷，以便通過不斷升級來提升靶標的抗攻擊能力。“外打外”攻防模型，指靶標與攻擊手均在網絡靶場外，但攻擊手對靶標的攻擊則是繞經網絡靶場來進行。也就是說，靶標只接受來自網絡靶場的連接，所有攻擊手只能在監控下通過網絡靶場進行攻擊。這是因為靶標系統足夠大，已經不能遷移到網絡靶場之上；而攻擊手也足夠多或物理位置足夠分散，已經不能集中在網絡靶場，所以會選擇“外打外”的方式來實施“護網”測試演練。

網絡靶場的“外打內”模式作為一種眾測承載平臺，可以成為智慧城市建設中信息基礎設施的組成部分，即：對于需要保護的重要信息系統，可以將其“影子系統”以系統孿生的方式部署在網絡靶場上，并開放給社會進行眾測。如果擔心人們缺乏參與眾測的動力，還可以通過“懸紅”的方式來進行眾測，以便檢驗“影子系統”的安全特性。顯然，這將是“雙贏”的機會：如果“影子系統”屹立不倒，說明系統孿生所對應的在線運行系統具有強悍的安全防御能力，長期在網絡靶場上屹立不倒的系統也會樹立起安全口碑；如果“影子系統”被攻垮了，至少也會通過網絡靶場的監測了解到問題所在，在提升“影子系統”安全性能的同時也提升了對應在線運行系統的安全防御能力，而這又恰是在網絡靶場上部署“影子系統”的核心意圖。

在線運行系統盡管事實上也與其“影子系統”同步出現在網絡上，但在線運行系統被攻擊的概率遠比影子系統要小。原因有?3?個：法律的保護使得尋常人不敢輕易攻擊在線運行系統；在線運行系統通常也不會高調出現在網絡上讓人們所關注；在線運行系統還會配備外圍防御系統加以保護，以增加攻擊者的難度。而“影子系統”則不同，受到攻擊的概率較高：大量的網絡安全學習者原本就缺少實踐環節，尤其是缺少真實的實踐場景，所以通常不會放過這種眾測的好機會；“影子系統”也會被高調放到網絡靶場上以吸引人們的關注，至少網絡安全企業的競爭者也會從競爭的角度出發來進行各種攻擊的嘗試；必要的“懸紅”也會吸引那些以“懸紅”收入為生存方式的“賞金獵人”積極地參與進來。

可以想象，如果所有的信息技術產品或者網絡安全產品都是浸潤在網絡靶場上經歷著眾測的千錘百煉，必將會練就一身“本領”，甚至會進入“百毒不侵”的狀態。如果人們采用的都是這樣的網絡產品，以至于沒有在網絡靶場上放置“影子系統”的產品都不會被人們所采用；在這種情況下，網絡安全的安全態勢毫無疑問會得到大幅度的提升。 

網絡安全的對抗可以看作是事前、事中、事后?3個階段，而網絡空間的安全態勢取決于在網絡安全對抗中是否能夠占據優勢。從事前角度來看，網絡安全的對抗首先是安全設施能力的對抗，當然是防御能力越強，安全態勢越好。但是，設備永遠是靜態的，就算是采用了人工智能的手段，使之會根據態勢的變化而具有防御手段動態提升的能力，而其提升方法仍然可以看作是相對靜態的。因此，依靠設備來進行網絡安全防御所解決的主要是事前的防御。在事中，則更多地要依靠人的能動性，因為只有人才能夠在動態博弈中展現出精巧的對抗能力。當然，絕對的安全是不存在的，在事前防御和事中對抗中，總可能出現百密一疏，總是存在著殘余風險需要面對的情況。因此，網絡安全保險就成為成本控制的救命稻草，需要通過必要的風險轉移來解決網絡安全防御投入過高的問題。由此，構成了以“人、財、物”為核心來提升網絡安全態勢的必由之路。

（作者：方濱興，哈爾濱工業大學（深圳）；《中國科學院院刊》供稿）

相關文章