01 網絡安全之歸零

　東哥，考你個腦筋急轉彎：四個0，打一成語。

　嗯……是萬（10000）無一（1）失吧？

　對咯！東哥，我最近在預習你要講的網絡安全理念課程，有了一些思考。

　哦？說說看。

　我在想，很多行業(yè)都有一些“硬杠杠”，也就是那些眾所周知的評價指標，比如移動通信領域，就是連接的廣泛性、通信的速度等。

　沒錯，5G已然比4G有肉眼可見的速度提升。

　是啊！再比如超級計算機的評價指標是算力和速度，芯片領域就是比拼制程，而衛(wèi)星導航領域則關注定位精度。

　對的，小白知道的還不少！

　那網絡空間安全學科領域有沒有比較統(tǒng)一或者說共性的評價指標啊？

　小白，你這個問題啟發(fā)了我。容我想想啊……（瘋狂做筆記中）……有了，就是它！

　天哪！東哥，你、你、你、你這是畫了個啥啊！這難道是根被掰折了的鉛筆？

　說啥呢小白，人家這叫對號！

　那東哥你畫的對號又暗含哪些玄機呢？

　且聽我娓娓道來。

　提到網絡空間安全學科領域的評價指標，就不得不先理解我剛才畫的那張圖。

　仔細一看，這張圖很有點藏寶圖的感覺啊，里面似乎全是寶貝。

　回溯網絡空間安全學科的演進歷程，我們不難看出，網絡空間安全學科的核心發(fā)展特征就是產業(yè)化緊密跟隨和跨學科深度融合。產業(yè)化緊密跟隨就是其演進歷程一直與產業(yè)發(fā)展同頻共振，休戚相關。

　嗯嗯，跨學科深度融合就是指網絡空間安全學科體系不光包含著攻防技術，也與社會工程學、軍事戰(zhàn)略學等社會科學的內容具有較強的關聯(lián)度。

　不錯啊小白，都會搶答了！提到網絡空間安全學科領域的評價指標，也不能說沒有，但很顯然，它們還達不到你列舉的通信、芯片、超級計算機等領域的“硬杠杠”水平。

　這個怎么理解？

　比如企業(yè)安全能力框架IPDRR就是網絡空間安全學科領域關于企業(yè)安全能力建設的一個評價標準，包括風險識別（Identify）、安全防御（Protect）、安全檢測（Detect）、安全響應（Response）和安全恢復（Recovery）這五大能力。IPDRR模型體現(xiàn)了安全保障系統(tǒng)化的思想，通過管理與技術相結合來有效保障系統(tǒng)核心業(yè)務的安全。譬如其中有一項指標稱為平均修復時間（Mean Time To Repair，MTTR），這個時間越短表示響應和恢復能力越強。

　聽起來MTTR是很理想的評價指標啊，為什么還說網絡空間安全學科領域的評價指標不夠好呢？

　隨著當前數(shù)字經濟的蓬勃發(fā)展，在萬物互聯(lián)的技術發(fā)展背景下，指標體系也是要逐步演進的。我們更應從網絡空間安全學科的新工科視角，提出一套面向數(shù)字中國和網絡強國的網絡安全韌性評價體系，而這既是挑戰(zhàn)也是機遇。

　哦哦。

　網絡空間安全學科的發(fā)展，應遵循問題導向的原則。

　確實如此，科學本身是求真和收斂的過程，必須透過問題提煉規(guī)律、還原本質、發(fā)現(xiàn)真理。

　是的，因此要想重構適配于新發(fā)展格局的網絡空間安全學科領域評價指標，就應遵循事物的客觀發(fā)展規(guī)律，找尋或者說探索該學科的收斂特征，從而發(fā)現(xiàn)其發(fā)展的深層邏輯脈絡，進而不斷演進和定義與時俱進的評價標準。

　那這套評價標準如何定義呢？

　我們應該從網絡空間安全學科的獨有視角出發(fā)，統(tǒng)籌兼顧社會科學和自然科學，定義統(tǒng)一的網絡安全收斂域，將網絡安全科學問題收斂歸零，而歸零具體可分為四個維度，分別是信任（Trust）、隱患（Risk）、事故（Incident）和損失（Energy），簡稱為RITE，音同Right，也就是對號，所以可以叫作“網安對號領導力模型”。

　嗯嗯。那為什么是這四個維度，這個是怎么考慮的呢？

　首先，人類正在進入一個人、機、物三元融合的萬物智能互聯(lián)時代，而人、機、物三元融合強調的是物理空間、信息空間和社會空間的有機融合。因此，從自然科學分析對象的本體來看，我們需要考慮的就是人、機、物三個維度的科學收斂指標，分別是零信任（Trust）、隱患（Risk）歸零、零事故（Incident）。零信任是指由于“人”這一環(huán)節(jié)的問題可能引發(fā)安全事故，因此需要通過技術手段將失誤收斂歸零，譬如，開車時有人誤把油門當剎車踩，那這個時候就需要通過技術感知當前行車環(huán)境，采取安全保護措施，也就是業(yè)界目前在提的零信任。

　哦，原來是這么回事。那么隱患歸零從“機”的角度怎么解釋？

　隱患歸零則主要側重于“機”，即在泛指的計算機網絡領域的科學層面做缺陷收斂歸零。譬如，近期網絡安全領域關注的軟件供應鏈安全挑戰(zhàn)，主要原因是開源軟件存在缺陷，所以需要做相應的網絡安全科學研究，將這類問題逐步收斂歸零，從而達到消除隱患的目的。

　零事故我知道，這個主要側重在“物”。萬物互聯(lián)，所以零事故涉及千行百業(yè)，而千行百業(yè)的應用場景涉及不同的行業(yè)業(yè)務流程。譬如，高鐵列車有一個運營指標，就是如果到站晚點的話就是運行事故，我們就可以針對安全故障歸零的目標做相應的技術研究。

　理解很到位，所以這三個“0”在我畫的圖里示意為一個三角形。

　那為什么在它們右邊還有一個損失歸零呢？

　剛才我也提到了，從自然科學分析對象的本體甚至主體來說，只考慮以上三個維度的收斂歸零是可以的，但是，如果從宏觀生態(tài)視角來看，就需要增加新的思考維度。譬如，一家企業(yè)可以主動提升網絡安全能力，但是把這家企業(yè)作為產業(yè)鏈的一環(huán)來看，如果它的上下游企業(yè)的網絡安全能力有短板，這家企業(yè)仍然會有網絡安全風險，像近年的“太陽風”事件等就折射出這類問題。因此，從網絡安全領域的行業(yè)宏觀視角來看，需要再增加一個維度，也就是零損失。為了實現(xiàn)經濟共贏的目標，讓整個產業(yè)生態(tài)攜手共建網絡安全能力，才能夠達成損失收斂歸零。

　人、機、物、態(tài)共同構成了四個“0”的網絡安全收斂模型，從這四個維度出發(fā)做網絡安全戰(zhàn)略規(guī)劃是個不錯的主意。看來一個0代表空，四個0卻代表著“萬無一失”啊！

　哈哈，原來你今天的腦筋急轉彎是這個意思啊！這四個0（RITE）可作為整個統(tǒng)一多元數(shù)字安全韌性評價體系的基座，托起上面的對號模型，整體構成了網安對號領導力模型。

　領導力如何理解？

　領導力是希望構建一系列網絡安全評價指標，通過數(shù)字化評價指標的牽引，使得企事業(yè)單位形成網絡安全領導能力，最終達到一流的數(shù)字化高韌性安全水平，而這些數(shù)字化評價指標總共分為九大類，一體化地蘊含在對號這張圖里。

　我數(shù)數(shù)，“八個打”“七宗罪”“六個看”“五個能”“四個學”“三個科”“兩個情”“一個事”，全在這里啊，這個對號好神奇！

　不錯，這就是我們后面要講的網絡安全理念課。從“一個事”到“八個打”，是從八個不同視角分別對統(tǒng)一多元數(shù)字安全韌性評價體系進行支撐、構建，而對號的折角落在了四個“0”上面，這意味著無論是“八個打”還是“七宗罪”，抑或是“五個能”“四個學”，最終都要收斂于四個“0”之上，才能發(fā)揮極致效能，即四個0匯聚了“一”到“八” 的整體效能。

　嗯嗯，這樣說起來，我有些理解了整體的邏輯。那這個評價體系為什么不是平的，而是做成了一個對號模樣呢？

　問得好。其實，這里暗含的道理是殊途同歸。你想一想，是不是無論從南坡還是北坡，都能爬上珠穆朗瑪峰？

　是啊！

　科學也是如此，對于探尋真理這一統(tǒng)一的目標，自然不止一條路可以走，但其歸宿卻應該是統(tǒng)一的，也就是代表科學維度的“三個科”。對號的左右兩端最終會收斂到這一“珠穆朗瑪峰”。

　我明白了，但是既然網絡空間安全是一門交叉學科，那為什么在重構評價指標體系的時候選擇用兩側來度量和解釋，而不是三側呢？

　這是因為，對號的左邊，也就是“一個事”和“兩個情”，是社會科學關注的兩個指標；而“四個學”“五個能”“六個看”“七宗罪”“八個打”，是從工程技術、攻防實戰(zhàn)、協(xié)同育人、產業(yè)發(fā)展等角度考量的指標，這些更偏向于自然科學。而“三個科”，是自然科學與社會科學方法論的渾然交融，也是兩種方法論殊途同歸的交匯點。

　這樣說來，積極研究和完善這套評價體系有助于提升數(shù)字中國的統(tǒng)一多元數(shù)字安全韌性。那么具體到網絡安全行業(yè)的發(fā)展，需要哪些韌性要素呢？

　其實，在四個“0”的前三個“0”里面，就暗含著你所說的韌性要素的密碼，即抗毀、彈性、快速重構。

　東哥，我還有個疑問，就是數(shù)字安全韌性評價這件事，難道從來沒有人做過嗎？

　當然有啦，譬如國際電信聯(lián)盟的全球網絡安全指數(shù)（Global Cybersecurity Index，GCI）、波托馬克政策研究所的網絡就緒指數(shù)（Cyber Readiness Index，CRI），還有2022年世界互聯(lián)網大會烏鎮(zhèn)峰會上發(fā)布的藍皮書都有涉及。

　那我們這個有什么特點呢？

　可以這么說，統(tǒng)一多元數(shù)字安全韌性評價體系的設計更多的是以網絡空間安全學科的科學研究視角作為出發(fā)點，以數(shù)字指標化和指標數(shù)字化作為核心范式特征，以數(shù)字中國下的組織單元作為研究分析對象，努力成為中國式現(xiàn)代化在科技領域的一種科技領跑型思維的戰(zhàn)略研究思路探索。

　什么是數(shù)字指標化和指標數(shù)字化呢？

　數(shù)字指標化是要將表象變?yōu)楸碚鳎ㄟ^指標化的手段直接從紛繁的數(shù)據(jù)中提煉出規(guī)律；而指標數(shù)字化是因為現(xiàn)有的評價指標不夠連續(xù)，需要拉長維度從宏觀視角來看問題。這一問題我們以后將進一步科普。

　這個我懂，“大東話安全”五年多的網絡安全科普工作就是在做指標數(shù)字化，這樣理解對嗎？

　對的，小白，你的這句話也啟發(fā)了我。由于構建生態(tài)和創(chuàng)新驅動的主體是企業(yè)，將數(shù)字安全企業(yè)納入生態(tài)鏈時，將具有多元的適配場景。因此，“大東話安全”的2.0，也就是“東話優(yōu)選”，將圍繞網安對號領導力模型，萃取經典安全事件群，提煉網絡安全共性要素，科普網絡安全新理念。

　數(shù)字安全的韌性目標模式是隨著時空的變化而不斷變化的，必須與時俱進。我一定要努力學習，爭取早日加入戰(zhàn)略課題組，因為很顯然，這個領域的科學研究大有可為啊！