数字安全锦囊丨大东话安全
2023/3/25 8:00:00 中科院之声
一、白话数字安全
大东:提问时间到。小白,数字安全屏障能力该如何强化呢?
小白:这个确实没想过。
大东:首先,得了解数字安全的技术内涵;其次,需清楚数字中国的涵盖范畴;然后,还要结合数字中国的建设协同规划,真正把能力强化落实到位。
小白:思来想去头绪很多,但是又不知该从何着手做起,有没有锦囊妙计呢?
大东:还记得我们去年在《Black out—— 网络安全“一个事”》里讲过的内容吗?
小白:网安事件无法消除,应该充分认可千变万化是永恒的客观事实;在此基础上,我们应建立对网安事件持续跟踪分析能力,从人、机、物、态四个象限做安全风险收敛。
大东:总结的非常到位,因此面向组织客体的网安事件分析观测基座构建很有必要。
小白:那就要对针对数字中国做经纬度及交错节点定义啊,这个该怎么规划设计呢?
大东:这个需要娓娓道来,篇幅原因,今天可以先聊聊与数字中国有关的网安事件集的经度。
小白:那我理解锦囊就是网安事件分析策略,这个应从战备、战略、战役三个层次出发。
二、数字安全“锦囊”小白:你刚才提到要首先搞了解数字安全的技术内涵,具体包括哪些呢?
大东:数字安全包括网络安全和数据安全,其实在咱们做的历年网安事件中都有国家战略体系结构的映射。我们对这两个方面做了五年的网安事件整理,具体如下,看看下面两张图你就明白了。
小白:果然,原来通过对五年网安事件的事件脉络梳理,确实可以有些启示,但具体到着手针对数字安全宏观韧性能力建设布局,如何做呢?
大东:其实数字安全宏观韧性能力建设可从指标、人才和平台着眼。
小白:搬小板凳学习。
三、战略锦囊
大东:我们先从战略说起。数字安全韧性能力的战略布局,应坚持“大领跑型思维”,主动谋划、超前布局,努力达成我国数字安全韧性能力从“并跑”到“领跑”的实质性跃变目标。
小白:既然领跑得有排名规则啊?
大东:是的,所以应该在网安事件梳理分析的基础上针对性地“知己”,可以建立一套面向数字中国的数字安全韧性能力指标体系,可以针对不同的组织单元,周期性指数评估排名,锻造长板、补齐短板。
小白:这个在数字指标化那节课讲过,类似于我国现行的GDP、CPI等经济指数方式。
大东:是的,建立了数字指标化和指标数字化的评估范式,就可以充分发挥我国的新型举国体制,有力推动数字中国安全的建设。
小白:嗯嗯,因此,我们今天讲的战略就是以数字安全韧性能力为分析对象,开展数字指标化和指标数字化的统一度量体系的建设。有兴趣的读者可以参阅《一份体检报告的思考——数字指标化和指标数字化》这篇文章了解更多哦。大东:光有指标不行,找准定位和差距后,还得需要人才建设,所以如何聚集专业人才、持续培养专业人才也需要提前谋划。
小白:我可以以一当百!
大东:只凭一腔热血还不够,应该因地制宜考虑人才聚集机制,这个挑战需要通过宏观育人思路来解决,中国科学院联合教育部于 2012 年提出“科教结合协同育人行动计划”,就是一种与时俱进的科教融合解决方式。针对数字安全,可从需求导向的科研任务与专业人才教育内容深度一体融合出发,优先选拔聚集专业头部人才,进而建立多层次人才梯队,打通产学研人才生态循环的思路设计,最终实现数字中国人才梯队建设的源源不断、久久为功。
小白:有了指标和人才,干就完了。
大东:还需要有一套配套的平台。数字中国的数字技术创新体系意味着数字化转型是现在进行时,无论是数字政务还是千行百业数字化转型,不可避免都会对原有业务体系重塑升级,而安全威胁是不等人的,网安挑战愈演愈烈。
小白:确实是两难。
大东:所以,可以结合组织单元的业务属性和技术特征,在考虑技术演进和业务迭代的前提下,尽快部署构建功能完备最小集的实验床,开展网络安全的先行先试工作。譬如运营商就可以构建5G/6G实验平台,而物流公司就可以搭建数字孪生物流试验平台,针对性开展安全测评和业务数字化优化工作。有了先试先行的平台,就可以将成本集约化,同时无论是指标评估还是人才实训都可以在平台做实践场景演训,将三者有机融合。
小白:原来战略锦囊就是统一建设指标、锻造人才铁军、构建试验平台这三位一体的数字安全韧性能力建设要素的有机融合,bingo。
四、战备锦囊
小白:战备锦囊快讲来听啊。
大东:这又要考考你了小白,还记得“两个情”吗?
小白:这难不倒我,“两个情”是指:“已知情报”和“未知情报”,它们将网络空间安全专业领域看似混沌的情报博弈世界还原为清晰“二元”格局的过程。
大东:对。要通过情报真正看清隐藏在情报与事件背后的规律,因此情报的挑战在于知的能力,也就是发现的能力。就像你刚才说的,其实类似于我们上期讲到的chatGPT,这些“黑天鹅”都是不可预测的,如何能够实现“防患于未然”或者“防患于将然”,可从安全风险场景提前智能推演的技术角度解决。
小白:如何具备这种智能推演能力?
大东:网安对抗棋谱就是探索将数字化场景业务要素提炼为研究对象,并通过AI将业务场景泛化,再将攻防事件棋谱化后做持续性对抗实验,从而提升数字安全韧性防护水平。比如,在金融业务场景下,可以对易受攻击的数字安全场景、赛道开展棋谱设计,针对性地构建数字安全韧性能力的孪生智能推演能力。
小白:这个棋谱真不错,重视情报获取能力的建设,才能窥知区域数字安全韧性发展的全貌,的确是战备的重要环节。如果想回顾,可以参考《ChatGPT的Chat安全吗?》这篇文章。大东:所以战备就是要精准定位、靶向探究,在国家视角看各组织单元的数字安全韧性能力建设的全局,做好感知态势。首先要把握存量、摸清底牌,这种存量思维也是战备建设的第一步,它代表了一种对历史准确把握、科学溯源的思路。
小白:嗯嗯,看来战备锦囊就是做数字中国的网络攻防事件应急能力储备,只有从应急能力提升到应对能力,才能有力支撑产业链供应链安全韧性。
五、战役锦囊
小白:三国演义中的诸葛亮是三个锦囊,还差一个战役锦囊。这千变万化的网安事件,一个锦囊够吗?
大东:还记得“三个科”吗?
小白:三个科是以时间维、空间维、学科维演进路线剖析为主要着眼点,总结既往,立足当下,展望未来,探究网络空间安全分科治学发展的前瞻性、方向性问题。
大东:对,战役锦囊即从“三个科”的科学角度来观测区域数字安全韧性能力建设的演进脉络和方向趋势。三个科最终要收敛到rite的4个0的体系中找寻应对之策。
小白:也就是万无一失,实践是检验真理的唯一标准。无论是什么样的安全定制解决方案还是先进安全产品,最后还是要看疗效,而这个疗效的好坏可以从4个0的收敛效果做评估。
大东:没错。可以针对性构建RITE安全能力评估体系,实时动态通过观测人、机、物、态四个象限做安全风险收敛,进而更好地赋能千行百业的数字化转型。
小白:明白了,有实际的教学战役学习吗?
大东:你说的就是战备锦囊中提到的网安对抗棋谱,我们也准备了一盘棋,类似于经典残局,便于具象理解掌握,数字中国网安棋谱有9颗星?
小白:哇,我想学,快讲讲。
大东:有棋谱就应有棋盘,棋盘就是典型业务场景,譬如我们的这盘棋就是针对电信行业做的网安棋谱设计。时间原因,就留到下一篇数字中国妙计篇来讲。
六、小白内心说小白:关于万花筒、钻探机、瞭望塔和金刚钻的比喻,可以参阅《Black out——网络安全“一个事”》文章。
来源:中国科学院信息工程研究所
本账号稿件默认开启微信“快捷转载”
转载请注明出处
其他渠道转载请联系 weibo@cashq.ac.cn
源网页 http://weixin.100md.com
返回 中科院之声 返回首页 返回百拇医药