中國(guó)網(wǎng)/中國(guó)發(fā)展門(mén)戶(hù)網(wǎng)訊任何事物的推進(jìn)，都離不開(kāi)人、財(cái)、物?3?個(gè)要素。不同的領(lǐng)域，對(duì)“人、財(cái)、物”需求的解讀是不同的，而在網(wǎng)絡(luò)安全領(lǐng)域如果能夠重點(diǎn)關(guān)注“人、財(cái)、物”要素，將會(huì)顯著提升網(wǎng)絡(luò)空間的安全態(tài)勢(shì)。 

“人”——強(qiáng)化攻防實(shí)踐訓(xùn)練，完善網(wǎng)絡(luò)安全細(xì)分領(lǐng)域的人才認(rèn)證

任何領(lǐng)域都需要人才，這是毋庸置疑的。集成電路等領(lǐng)域?qū)θ瞬诺男枨缶哂小办o態(tài)、聚集”的特點(diǎn)，即人才是聚集在供給側(cè)；而網(wǎng)絡(luò)安全領(lǐng)域則不同，該領(lǐng)域的人才主要聚集在用戶(hù)側(cè)，旨在服務(wù)于用戶(hù)運(yùn)行時(shí)的安全問(wèn)題。政府、教育、信息技術(shù)等多個(gè)行業(yè)對(duì)于網(wǎng)絡(luò)安全具有龐大的用戶(hù)群需求，導(dǎo)致當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域?qū)I(yè)人才需求量的龐大缺口；而關(guān)注運(yùn)行時(shí)的安全問(wèn)題，導(dǎo)致行業(yè)對(duì)網(wǎng)絡(luò)安全人才的高度依賴(lài)性。網(wǎng)絡(luò)安全領(lǐng)域就好比醫(yī)療領(lǐng)域，再好的儀器設(shè)備也僅是輔助手段，最終還是依靠醫(yī)生來(lái)解決“運(yùn)行時(shí)”的問(wèn)題。

與計(jì)算機(jī)、通信等領(lǐng)域相比，網(wǎng)絡(luò)安全教育領(lǐng)域存在的時(shí)間不長(zhǎng)，人才積累量不夠，最近幾年的我國(guó)在該領(lǐng)域的人才缺口在?140?萬(wàn)人以上，而每年網(wǎng)絡(luò)安全相關(guān)專(zhuān)業(yè)的高校畢業(yè)生僅?2?萬(wàn)余人。因此，大量的網(wǎng)絡(luò)安全人才是從信息技術(shù)的其他領(lǐng)域橫向平移而來(lái)。網(wǎng)絡(luò)安全人才培養(yǎng)的核心問(wèn)題是，信息技術(shù)其他領(lǐng)域人才平移到網(wǎng)絡(luò)安全領(lǐng)域的核心抓手是什么？網(wǎng)絡(luò)安全領(lǐng)域如果僅從網(wǎng)絡(luò)攻防的層面來(lái)說(shuō)，本質(zhì)上就是對(duì)網(wǎng)絡(luò)應(yīng)用漏洞的發(fā)現(xiàn)利用和遏制對(duì)漏洞利用的對(duì)抗過(guò)程。網(wǎng)絡(luò)安全領(lǐng)域存在著理論與實(shí)踐弱關(guān)聯(lián)的特征，即發(fā)現(xiàn)漏洞及其利用的過(guò)程更多是實(shí)踐過(guò)程，而非僅憑理論分析；同樣，發(fā)現(xiàn)攻擊和對(duì)之防御的過(guò)程也是以實(shí)踐為主，而非僅憑理論指導(dǎo)。這就如同訓(xùn)練搏擊運(yùn)動(dòng)員，其水平的提高更多是來(lái)自于訓(xùn)練與實(shí)戰(zhàn)。因此，一般性的信息技術(shù)領(lǐng)域向網(wǎng)絡(luò)安全領(lǐng)域平移的抓手應(yīng)該是攻防實(shí)踐的訓(xùn)練。

目前來(lái)看，攻防實(shí)踐的最佳支撐點(diǎn)有?2?個(gè)：網(wǎng)絡(luò)靶場(chǎng)，讓人們有實(shí)踐的環(huán)境，避免在真實(shí)環(huán)境中出手而觸及法律紅線；網(wǎng)絡(luò)攻防演練及網(wǎng)絡(luò)對(duì)抗賽制，激發(fā)人們?cè)趯?shí)踐中感受到博弈帶來(lái)的挑戰(zhàn)與成就感。相比西方國(guó)家，我國(guó)在網(wǎng)絡(luò)對(duì)抗方面處于劣勢(shì)既是不爭(zhēng)的事實(shí)，也是國(guó)外長(zhǎng)期壟斷核心信息技術(shù)所帶來(lái)的必然結(jié)果。因此，我國(guó)在國(guó)家之間的網(wǎng)絡(luò)攻防對(duì)抗中極難取得優(yōu)勢(shì)。在這種情況下，應(yīng)大力鼓勵(lì)網(wǎng)民掌握網(wǎng)絡(luò)攻防技能、強(qiáng)化攻防實(shí)踐的訓(xùn)練，以期形成“全民皆兵”“農(nóng)村包圍城市”“打游擊戰(zhàn)”的戰(zhàn)略戰(zhàn)術(shù)效果。這也是一種通過(guò)開(kāi)辟非對(duì)稱(chēng)戰(zhàn)場(chǎng)來(lái)迂回獲取戰(zhàn)略?xún)?yōu)勢(shì)的模式。

網(wǎng)絡(luò)安全的人才認(rèn)定與其他信息技術(shù)人才的認(rèn)定方法不同，原因在于：網(wǎng)絡(luò)安全人才的學(xué)歷培養(yǎng)人數(shù)遠(yuǎn)遠(yuǎn)不及崗位的需求人數(shù)，無(wú)法像其他信息技術(shù)人才那樣僅靠學(xué)歷文憑來(lái)認(rèn)證；網(wǎng)絡(luò)安全人才的培養(yǎng)類(lèi)似于醫(yī)學(xué)生的培養(yǎng)，細(xì)分領(lǐng)域?qū)I(yè)之間并不具有必然的聯(lián)系。因此，需要有相應(yīng)的細(xì)分領(lǐng)域的認(rèn)證模式來(lái)應(yīng)對(duì)這一困局。一種創(chuàng)新的網(wǎng)絡(luò)安全人才認(rèn)定方法是采取領(lǐng)域適應(yīng)性的認(rèn)證模式（圖?1）：從理論與實(shí)踐出發(fā)，采取自適應(yīng)的遞進(jìn)式認(rèn)證模式，旨在通過(guò)分層測(cè)試來(lái)判定被測(cè)者可能在某一細(xì)分領(lǐng)域具有相應(yīng)的能力，從而形成面向過(guò)程的技能精準(zhǔn)評(píng)估體系。

網(wǎng)絡(luò)安全從業(yè)者主要是通過(guò)繼續(xù)教育從信息技術(shù)領(lǐng)域的其他行業(yè)平移過(guò)來(lái)，如計(jì)算機(jī)、通信、電子、控制等領(lǐng)域，由此彌補(bǔ)網(wǎng)絡(luò)安全領(lǐng)域的學(xué)歷教育人數(shù)不足的問(wèn)題。如果企業(yè)都擁有經(jīng)過(guò)技能認(rèn)證的網(wǎng)絡(luò)安全人才，這勢(shì)必將從人才的角度來(lái)明顯提升網(wǎng)絡(luò)空間的安全態(tài)勢(shì)。 

“財(cái)”——用網(wǎng)絡(luò)安全保險(xiǎn)來(lái)提升網(wǎng)絡(luò)安全生態(tài)

網(wǎng)絡(luò)安全的終極目標(biāo)是最大限度地減少損失；其中，損失既包含政治層面，也包含經(jīng)濟(jì)層面。從政治層面來(lái)看，網(wǎng)絡(luò)安全涉及國(guó)家安全，關(guān)系到經(jīng)濟(jì)社會(huì)的穩(wěn)定運(yùn)行，以及廣大人民群眾的利益保障；一旦出現(xiàn)問(wèn)題，其損失往往難以估量。該層面網(wǎng)絡(luò)安全的目標(biāo)主要是不惜一切代價(jià)來(lái)防范攻擊，其核心是加大能力建設(shè)，如情報(bào)發(fā)現(xiàn)能力、態(tài)勢(shì)感知能力、體系對(duì)抗能力、應(yīng)急響應(yīng)能力、容災(zāi)備份能力等。從經(jīng)濟(jì)層面來(lái)看，網(wǎng)絡(luò)安全主要涉及企業(yè)的經(jīng)濟(jì)損失。該層面網(wǎng)絡(luò)安全的目標(biāo)則是要將風(fēng)險(xiǎn)轉(zhuǎn)化成財(cái)務(wù)指標(biāo)，要以財(cái)務(wù)平衡為依據(jù)來(lái)進(jìn)行網(wǎng)絡(luò)安全防范能力的建設(shè)。

網(wǎng)絡(luò)空間是物理空間的延伸，傳統(tǒng)的保險(xiǎn)并不足以覆蓋網(wǎng)絡(luò)空間帶來(lái)的風(fēng)險(xiǎn)。從保險(xiǎn)標(biāo)的角度來(lái)看，傳統(tǒng)保險(xiǎn)產(chǎn)品大多以有形財(cái)產(chǎn)及其相關(guān)經(jīng)濟(jì)利益和損害賠償責(zé)任為標(biāo)的；而網(wǎng)絡(luò)安全的保險(xiǎn)標(biāo)的既包括有形財(cái)產(chǎn)，也包括無(wú)形財(cái)產(chǎn)，如計(jì)算機(jī)系統(tǒng)、數(shù)據(jù)、企業(yè)聲譽(yù)等。從風(fēng)險(xiǎn)環(huán)境的角度來(lái)看，傳統(tǒng)的保險(xiǎn)產(chǎn)品暴露于實(shí)體物質(zhì)環(huán)境中，受到的風(fēng)險(xiǎn)多來(lái)自意外、自然災(zāi)害等；而網(wǎng)絡(luò)安全保險(xiǎn)的風(fēng)險(xiǎn)除了來(lái)自實(shí)體物質(zhì)環(huán)境之外，還會(huì)來(lái)自網(wǎng)絡(luò)空間，如黑客攻擊、程序設(shè)計(jì)錯(cuò)誤等。從賠付對(duì)象的角度來(lái)看，傳統(tǒng)保險(xiǎn)產(chǎn)品的賠付對(duì)象主要是第一方損失；而網(wǎng)絡(luò)安全保險(xiǎn)除了第一方損失需要賠付外，還包括第三方損失需要賠付，甚至還會(huì)包括危機(jī)處理、咨詢(xún)服務(wù)、檢測(cè)鑒定等費(fèi)用。

網(wǎng)絡(luò)安全財(cái)務(wù)投資具有上限，而殘余風(fēng)險(xiǎn)的應(yīng)對(duì)需要依靠網(wǎng)絡(luò)安全保險(xiǎn)。信息系統(tǒng)一旦遭受到攻擊，會(huì)產(chǎn)生相應(yīng)的經(jīng)濟(jì)損失。因此，被攻擊成功的概率與所帶來(lái)經(jīng)濟(jì)損失的乘積就構(gòu)成了企業(yè)網(wǎng)絡(luò)安全保障的財(cái)務(wù)指標(biāo)。也就是說(shuō)，投資網(wǎng)絡(luò)安全保障的前提是，降低被攻擊成功的概率所帶來(lái)的經(jīng)濟(jì)回報(bào)——不應(yīng)該少于在網(wǎng)絡(luò)安全保障方面的追加投資。這種追求投入與產(chǎn)出的平衡、而非不惜一切代價(jià)的行為，就確定了網(wǎng)絡(luò)安全財(cái)務(wù)投資的上限。這就意味著必定存在殘余風(fēng)險(xiǎn)需要應(yīng)對(duì)。殘余風(fēng)險(xiǎn)的應(yīng)對(duì)需要靠網(wǎng)絡(luò)安全保險(xiǎn)（圖?2）。保險(xiǎn)是風(fēng)險(xiǎn)管理的一種財(cái)務(wù)手段，保險(xiǎn)公司通過(guò)識(shí)別目標(biāo)風(fēng)險(xiǎn)企業(yè)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)情況，預(yù)測(cè)與評(píng)估風(fēng)險(xiǎn)，并針對(duì)可控的風(fēng)險(xiǎn)來(lái)承保企業(yè)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，對(duì)最終的事故進(jìn)行經(jīng)濟(jì)賠付。因此，保險(xiǎn)公司出于對(duì)自身盈利的考慮，勢(shì)必會(huì)下力氣促進(jìn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的降低，從而有助于提升網(wǎng)絡(luò)空間的安全態(tài)勢(shì)。

網(wǎng)絡(luò)安全保險(xiǎn)的核心在于量化網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的評(píng)估，以便用于輸出保險(xiǎn)方案。其中，量化評(píng)估涉及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和網(wǎng)絡(luò)安全能力評(píng)估；還包括在基于不同風(fēng)險(xiǎn)場(chǎng)景、不同控制措施投入的情況下，對(duì)網(wǎng)絡(luò)安全成熟度的影響進(jìn)行定性評(píng)估，對(duì)網(wǎng)絡(luò)安全事件發(fā)生的概率進(jìn)行量化評(píng)估。研究不同控制措施的投入對(duì)網(wǎng)絡(luò)安全成熟度的影響，從而對(duì)網(wǎng)絡(luò)安全事件發(fā)生概率進(jìn)行量化評(píng)估，即可測(cè)算出網(wǎng)絡(luò)安全保險(xiǎn)的投資回報(bào)率。

網(wǎng)絡(luò)安全保險(xiǎn)之所以能夠提升網(wǎng)絡(luò)安全生態(tài)，體現(xiàn)在?5?個(gè)方面：

賦能企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理。網(wǎng)絡(luò)安全保險(xiǎn)有助于在戰(zhàn)略組織層、核心業(yè)務(wù)層和戰(zhàn)術(shù)系統(tǒng)層進(jìn)行風(fēng)險(xiǎn)賦能。

降低社會(huì)總成本，有效降低網(wǎng)絡(luò)安全事件發(fā)生的概率。一方面，可以提高企業(yè)的防災(zāi)水平——保險(xiǎn)公司通過(guò)自身的經(jīng)營(yíng)活動(dòng)，可以培養(yǎng)企業(yè)的風(fēng)險(xiǎn)意識(shí)；另一方面，可以提供專(zhuān)家級(jí)的安全服務(wù)——保險(xiǎn)公司與網(wǎng)絡(luò)安全企業(yè)合作，主動(dòng)為投保企業(yè)提供防災(zāi)防損工作，以提高自身的風(fēng)險(xiǎn)收益。    

樹(shù)立企業(yè)的安全形象。網(wǎng)絡(luò)安全保險(xiǎn)能夠提供事前、事中和事后的服務(wù)，為客戶(hù)進(jìn)一步降低風(fēng)險(xiǎn)。事前，保險(xiǎn)公司可識(shí)別企業(yè)面臨的風(fēng)險(xiǎn)類(lèi)型，針對(duì)可控的風(fēng)險(xiǎn)進(jìn)行承保；事中，通過(guò)一定的安全手段及措施對(duì)風(fēng)險(xiǎn)進(jìn)行監(jiān)控，協(xié)助企業(yè)降低事故概率；事后，針對(duì)安全事故提供及時(shí)的安全專(zhuān)家事故支持服務(wù)，幫助企業(yè)減少事故的損失。由此，保險(xiǎn)公司為企業(yè)所標(biāo)稱(chēng)的保險(xiǎn)標(biāo)的，從而通過(guò)投保的賠付率來(lái)間接反映出投保企業(yè)的網(wǎng)絡(luò)安全防范水平。

承擔(dān)社會(huì)責(zé)任。國(guó)家現(xiàn)已出臺(tái)了一系列法規(guī)政策，強(qiáng)化網(wǎng)絡(luò)安全保障的要求，但并非所有企業(yè)都具有網(wǎng)絡(luò)安全應(yīng)對(duì)的能力。例如，擁有用戶(hù)數(shù)據(jù)的企業(yè)可能不具有保護(hù)用戶(hù)數(shù)據(jù)的能力，但在個(gè)人信息保護(hù)法的約束下，他們必須承擔(dān)對(duì)用戶(hù)數(shù)據(jù)保護(hù)的責(zé)任。因此，網(wǎng)絡(luò)安全保險(xiǎn)可以成為擁有用戶(hù)數(shù)據(jù)的企業(yè)來(lái)承擔(dān)其社會(huì)責(zé)任的一種工具。

為安全產(chǎn)品的能力背書(shū)。對(duì)于網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)的提供商而言，網(wǎng)絡(luò)安全保險(xiǎn)可以為他們的產(chǎn)品和服務(wù)背書(shū)。附贈(zèng)第三方保險(xiǎn)的網(wǎng)絡(luò)安全產(chǎn)品供應(yīng)商與服務(wù)商，可以通過(guò)所附贈(zèng)的保險(xiǎn)額度來(lái)展現(xiàn)他們的網(wǎng)絡(luò)安全應(yīng)對(duì)能力。事實(shí)上，網(wǎng)絡(luò)安全產(chǎn)品供應(yīng)商與服務(wù)商也會(huì)為了不斷降低保險(xiǎn)費(fèi)用的開(kāi)銷(xiāo)而提升網(wǎng)絡(luò)安全保障的能力，努力減少網(wǎng)絡(luò)安全事件的發(fā)生。

“物”——?jiǎng)討B(tài)提升信息技術(shù)產(chǎn)品與網(wǎng)絡(luò)安全產(chǎn)品的安全能力

網(wǎng)絡(luò)安全產(chǎn)品的安全能力是在實(shí)踐中不斷打磨而提升的。傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品的認(rèn)證模式已經(jīng)不能適應(yīng)當(dāng)前這種網(wǎng)絡(luò)安全態(tài)勢(shì)快速變化的需要。在當(dāng)今時(shí)代，一個(gè)網(wǎng)絡(luò)安全產(chǎn)品通過(guò)認(rèn)證之后，很有可能會(huì)出現(xiàn)一種讓該產(chǎn)品無(wú)法應(yīng)對(duì)甚至直接攻垮該產(chǎn)品的攻擊方式。因此，追求對(duì)網(wǎng)絡(luò)安全產(chǎn)品和可靠、可信信息技術(shù)產(chǎn)品的動(dòng)態(tài)、持續(xù)的測(cè)試愈發(fā)重要。

數(shù)字孿生是物理世界到數(shù)字世界的一個(gè)映射。我們也可以構(gòu)造出相應(yīng)的系統(tǒng)孿生的產(chǎn)物，這就是為在線運(yùn)行系統(tǒng)構(gòu)造出一個(gè)相對(duì)應(yīng)的離線“影子系統(tǒng)”，即在同樣的系統(tǒng)下所處理的數(shù)據(jù)并不相同。在這種情況下，可以對(duì)“影子系統(tǒng)”進(jìn)行持續(xù)性和安全性測(cè)試；一旦發(fā)現(xiàn)任何問(wèn)題，在升級(jí)“影子系統(tǒng)”的同時(shí)，可以同步升級(jí)在線運(yùn)行系統(tǒng)。為此，構(gòu)造出能夠?qū)Α坝白酉到y(tǒng)”持續(xù)攻擊的環(huán)境就變得非常重要。

網(wǎng)絡(luò)靶場(chǎng)（圖?3）是一種由仿真平臺(tái)所構(gòu)造出來(lái)的攻防環(huán)境；以靶標(biāo)與攻擊手是否位于網(wǎng)絡(luò)靶場(chǎng)內(nèi)為判定條件，可以組合成“內(nèi)打內(nèi)”“內(nèi)打外”“外打內(nèi)”和“外打外”4?種攻防模型。“內(nèi)打內(nèi)”攻防模型，指靶標(biāo)與攻擊手都在網(wǎng)絡(luò)靶場(chǎng)內(nèi)的情況，主要用于網(wǎng)絡(luò)安全競(jìng)賽（如奪旗賽）、網(wǎng)絡(luò)安全人員教學(xué)訓(xùn)練場(chǎng)景。“內(nèi)打外”攻防模型，指攻擊手在網(wǎng)絡(luò)靶場(chǎng)內(nèi)、靶標(biāo)在網(wǎng)絡(luò)靶場(chǎng)外的情況，主要用于組織攻擊手在網(wǎng)絡(luò)靶場(chǎng)內(nèi)對(duì)網(wǎng)絡(luò)靶場(chǎng)外的真實(shí)信息系統(tǒng)目標(biāo)進(jìn)行攻擊的場(chǎng)景，如護(hù)網(wǎng)演練。將攻擊手封在網(wǎng)絡(luò)靶場(chǎng)中的主要目的是防止攻擊手在發(fā)現(xiàn)漏洞后對(duì)真實(shí)系統(tǒng)進(jìn)行不負(fù)責(zé)任的破壞。“外打內(nèi)”攻防模型，指靶標(biāo)在網(wǎng)絡(luò)靶場(chǎng)內(nèi)、攻擊手在網(wǎng)絡(luò)靶場(chǎng)外，這是一個(gè)典型的“眾測(cè)”模式。將靶標(biāo)放在網(wǎng)絡(luò)靶場(chǎng)內(nèi)用于攻擊測(cè)試，使得攻擊手在網(wǎng)絡(luò)靶場(chǎng)外可以肆無(wú)忌憚地攻擊，因?yàn)榫W(wǎng)絡(luò)靶場(chǎng)內(nèi)的靶標(biāo)并沒(méi)有真實(shí)數(shù)據(jù)，不會(huì)出現(xiàn)事實(shí)上的損失。通過(guò)“懸紅”攻擊，在讓攻擊手在獲得收益的前提下盡全力檢測(cè)出靶標(biāo)的安全缺陷，以便通過(guò)不斷升級(jí)來(lái)提升靶標(biāo)的抗攻擊能力。“外打外”攻防模型，指靶標(biāo)與攻擊手均在網(wǎng)絡(luò)靶場(chǎng)外，但攻擊手對(duì)靶標(biāo)的攻擊則是繞經(jīng)網(wǎng)絡(luò)靶場(chǎng)來(lái)進(jìn)行。也就是說(shuō)，靶標(biāo)只接受來(lái)自網(wǎng)絡(luò)靶場(chǎng)的連接，所有攻擊手只能在監(jiān)控下通過(guò)網(wǎng)絡(luò)靶場(chǎng)進(jìn)行攻擊。這是因?yàn)榘袠?biāo)系統(tǒng)足夠大，已經(jīng)不能遷移到網(wǎng)絡(luò)靶場(chǎng)之上；而攻擊手也足夠多或物理位置足夠分散，已經(jīng)不能集中在網(wǎng)絡(luò)靶場(chǎng)，所以會(huì)選擇“外打外”的方式來(lái)實(shí)施“護(hù)網(wǎng)”測(cè)試演練。

網(wǎng)絡(luò)靶場(chǎng)的“外打內(nèi)”模式作為一種眾測(cè)承載平臺(tái)，可以成為智慧城市建設(shè)中信息基礎(chǔ)設(shè)施的組成部分，即：對(duì)于需要保護(hù)的重要信息系統(tǒng)，可以將其“影子系統(tǒng)”以系統(tǒng)孿生的方式部署在網(wǎng)絡(luò)靶場(chǎng)上，并開(kāi)放給社會(huì)進(jìn)行眾測(cè)。如果擔(dān)心人們?nèi)狈⑴c眾測(cè)的動(dòng)力，還可以通過(guò)“懸紅”的方式來(lái)進(jìn)行眾測(cè)，以便檢驗(yàn)“影子系統(tǒng)”的安全特性。顯然，這將是“雙贏”的機(jī)會(huì)：如果“影子系統(tǒng)”屹立不倒，說(shuō)明系統(tǒng)孿生所對(duì)應(yīng)的在線運(yùn)行系統(tǒng)具有強(qiáng)悍的安全防御能力，長(zhǎng)期在網(wǎng)絡(luò)靶場(chǎng)上屹立不倒的系統(tǒng)也會(huì)樹(shù)立起安全口碑；如果“影子系統(tǒng)”被攻垮了，至少也會(huì)通過(guò)網(wǎng)絡(luò)靶場(chǎng)的監(jiān)測(cè)了解到問(wèn)題所在，在提升“影子系統(tǒng)”安全性能的同時(shí)也提升了對(duì)應(yīng)在線運(yùn)行系統(tǒng)的安全防御能力，而這又恰是在網(wǎng)絡(luò)靶場(chǎng)上部署“影子系統(tǒng)”的核心意圖。

在線運(yùn)行系統(tǒng)盡管事實(shí)上也與其“影子系統(tǒng)”同步出現(xiàn)在網(wǎng)絡(luò)上，但在線運(yùn)行系統(tǒng)被攻擊的概率遠(yuǎn)比影子系統(tǒng)要小。原因有?3?個(gè)：法律的保護(hù)使得尋常人不敢輕易攻擊在線運(yùn)行系統(tǒng)；在線運(yùn)行系統(tǒng)通常也不會(huì)高調(diào)出現(xiàn)在網(wǎng)絡(luò)上讓人們所關(guān)注；在線運(yùn)行系統(tǒng)還會(huì)配備外圍防御系統(tǒng)加以保護(hù)，以增加攻擊者的難度。而“影子系統(tǒng)”則不同，受到攻擊的概率較高：大量的網(wǎng)絡(luò)安全學(xué)習(xí)者原本就缺少實(shí)踐環(huán)節(jié)，尤其是缺少真實(shí)的實(shí)踐場(chǎng)景，所以通常不會(huì)放過(guò)這種眾測(cè)的好機(jī)會(huì)；“影子系統(tǒng)”也會(huì)被高調(diào)放到網(wǎng)絡(luò)靶場(chǎng)上以吸引人們的關(guān)注，至少網(wǎng)絡(luò)安全企業(yè)的競(jìng)爭(zhēng)者也會(huì)從競(jìng)爭(zhēng)的角度出發(fā)來(lái)進(jìn)行各種攻擊的嘗試；必要的“懸紅”也會(huì)吸引那些以“懸紅”收入為生存方式的“賞金獵人”積極地參與進(jìn)來(lái)。

可以想象，如果所有的信息技術(shù)產(chǎn)品或者網(wǎng)絡(luò)安全產(chǎn)品都是浸潤(rùn)在網(wǎng)絡(luò)靶場(chǎng)上經(jīng)歷著眾測(cè)的千錘百煉，必將會(huì)練就一身“本領(lǐng)”，甚至?xí)M(jìn)入“百毒不侵”的狀態(tài)。如果人們采用的都是這樣的網(wǎng)絡(luò)產(chǎn)品，以至于沒(méi)有在網(wǎng)絡(luò)靶場(chǎng)上放置“影子系統(tǒng)”的產(chǎn)品都不會(huì)被人們所采用；在這種情況下，網(wǎng)絡(luò)安全的安全態(tài)勢(shì)毫無(wú)疑問(wèn)會(huì)得到大幅度的提升。 

網(wǎng)絡(luò)安全的對(duì)抗可以看作是事前、事中、事后?3個(gè)階段，而網(wǎng)絡(luò)空間的安全態(tài)勢(shì)取決于在網(wǎng)絡(luò)安全對(duì)抗中是否能夠占據(jù)優(yōu)勢(shì)。從事前角度來(lái)看，網(wǎng)絡(luò)安全的對(duì)抗首先是安全設(shè)施能力的對(duì)抗，當(dāng)然是防御能力越強(qiáng)，安全態(tài)勢(shì)越好。但是，設(shè)備永遠(yuǎn)是靜態(tài)的，就算是采用了人工智能的手段，使之會(huì)根據(jù)態(tài)勢(shì)的變化而具有防御手段動(dòng)態(tài)提升的能力，而其提升方法仍然可以看作是相對(duì)靜態(tài)的。因此，依靠設(shè)備來(lái)進(jìn)行網(wǎng)絡(luò)安全防御所解決的主要是事前的防御。在事中，則更多地要依靠人的能動(dòng)性，因?yàn)橹挥腥瞬拍軌蛟趧?dòng)態(tài)博弈中展現(xiàn)出精巧的對(duì)抗能力。當(dāng)然，絕對(duì)的安全是不存在的，在事前防御和事中對(duì)抗中，總可能出現(xiàn)百密一疏，總是存在著殘余風(fēng)險(xiǎn)需要面對(duì)的情況。因此，網(wǎng)絡(luò)安全保險(xiǎn)就成為成本控制的救命稻草，需要通過(guò)必要的風(fēng)險(xiǎn)轉(zhuǎn)移來(lái)解決網(wǎng)絡(luò)安全防御投入過(guò)高的問(wèn)題。由此，構(gòu)成了以“人、財(cái)、物”為核心來(lái)提升網(wǎng)絡(luò)安全態(tài)勢(shì)的必由之路。

（作者：方濱興，哈爾濱工業(yè)大學(xué)（深圳）；《中國(guó)科學(xué)院院刊》供稿）

相關(guān)文章