◎中測(cè)安華副總經(jīng)理 姚軼嶄

◎《中國(guó)信息安全》雜志社 彭琳

網(wǎng)絡(luò)安全，國(guó)之大事，生死之地，因此維護(hù)網(wǎng)絡(luò)安全的工程師已不僅是普通的技術(shù)人員，而是國(guó)家安全的守護(hù)者，他們?yōu)闈M足安全需求而生，為維護(hù)網(wǎng)絡(luò)環(huán)境而戰(zhàn)，網(wǎng)絡(luò)系統(tǒng)延伸到哪里，網(wǎng)安人員就沖向哪里，使命光榮，擔(dān)當(dāng)重大。中測(cè)安華作為一支年輕的網(wǎng)安工程師專業(yè)隊(duì)伍，成立五年來(lái)，運(yùn)用錢學(xué)森系統(tǒng)工程的思維和方法，遠(yuǎn)離喧囂，埋頭苦干，沉淀技術(shù)，鍛煉隊(duì)伍，通過(guò)“靜水流深”，塑造了獨(dú)特的網(wǎng)絡(luò)安防能力。本文首次將我們實(shí)踐過(guò)程中的一些體會(huì)和做法予以梳理，旨在與志同道合者做一次有益的交流，共同維護(hù)網(wǎng)絡(luò)世界的秩序與安全。

一、網(wǎng)絡(luò)安全工程師對(duì)網(wǎng)絡(luò)安全的追問(wèn)與思考

作為一個(gè)不爭(zhēng)的事實(shí)，網(wǎng)絡(luò)空間是一個(gè)以“工程”（Engineering）方式構(gòu)建的人造世界。用本不可信的人造產(chǎn)品（零件）構(gòu)筑一個(gè)理想安全的網(wǎng)絡(luò)世界，除了寄托著人們共同的愿景外，還真有可能并具有實(shí)際意義嗎？這個(gè)問(wèn)題一直困擾著我們。錢學(xué)森《系統(tǒng)工程論》關(guān)于“不可靠零件可以組成優(yōu)秀系統(tǒng)”的論斷給了我們重要啟發(fā)。我們看到人造世界與人造零件分屬于兩個(gè)不同范疇，前者屬于“Safety”范疇，后者屬于“Security”范疇。在工程實(shí)施過(guò)程中，由于“不同的拓?fù)浣Y(jié)構(gòu)在不同的攻擊面前有不同的魯棒性”，“Security”和“Safety”實(shí)際上完全可以逐漸統(tǒng)一為一個(gè)具有相對(duì)安全性的彈性工程（Resilience Engineering）。因此，堅(jiān)持從攻擊中發(fā)現(xiàn)防御之道，大力構(gòu)筑使命工程（Mission Engineering），不斷追求系統(tǒng)的抗打擊力，就可以實(shí)現(xiàn)系統(tǒng)的“大安全”。

“從攻擊中發(fā)現(xiàn)防御之道”，巧用對(duì)手思維構(gòu)建安全系統(tǒng)。現(xiàn)有的IT系統(tǒng)，復(fù)雜程度已達(dá)到難以置信的水平，把信息安全工程做成信息化工程是業(yè)界普遍做法。業(yè)主方并沒(méi)有意識(shí)到“信息安全是IT的立方，而不是IT的邊角”，IT 系統(tǒng)中總會(huì)出現(xiàn)無(wú)法及時(shí)發(fā)現(xiàn)的漏洞。同時(shí)，國(guó)家支持型黑客集團(tuán)往往水平高超、資源充足，且極富耐心，很難將其攻擊行為長(zhǎng)期阻擋在系統(tǒng)之外。經(jīng)驗(yàn)數(shù)據(jù)表明，安全攻防間存在非對(duì)稱性，防御成本急劇上升、碎片化安全問(wèn)題嚴(yán)重。面對(duì)不確定的安全環(huán)境，網(wǎng)絡(luò)安全的假設(shè)已經(jīng)發(fā)生了變化，假設(shè)已經(jīng)遭遇違規(guī)、假設(shè)已經(jīng)實(shí)現(xiàn)持久駐留是開展彈性設(shè)計(jì)的新起點(diǎn)，面對(duì)復(fù)雜的網(wǎng)絡(luò)威脅，不要奢望去防護(hù)它，而是要盡早地去發(fā)現(xiàn)它。發(fā)現(xiàn)漏洞的捷徑往往在于盡早發(fā)現(xiàn)敵對(duì)一方的攻擊行為，在于通過(guò)“漏洞分析和風(fēng)險(xiǎn)評(píng)估”的方式，透徹理解對(duì)手的行動(dòng)方式，破敵“攻”而固己“防”。因此，站在高維視角通透理解信息系統(tǒng)安全生命周期全過(guò)程，將長(zhǎng)期抗攻擊實(shí)踐中積累的網(wǎng)絡(luò)安全知識(shí)納入到基礎(chǔ)工程技術(shù)流程當(dāng)中，才能構(gòu)建一個(gè)更具彈性的安全系統(tǒng)（Resilience Engineering），最大程度提升系統(tǒng)的抗攻擊力，在自身系統(tǒng)與基礎(chǔ)設(shè)施遭遇入侵的情況下仍可繼續(xù)執(zhí)行關(guān)鍵或基本任務(wù)。

構(gòu)筑使命工程，增強(qiáng)系統(tǒng)抗打擊力。沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有網(wǎng)絡(luò)強(qiáng)國(guó)。安全是一種半公共產(chǎn)品，市場(chǎng)是安全創(chuàng)新的催化劑，以市場(chǎng)競(jìng)爭(zhēng)的方式做安全無(wú)可厚非。但單點(diǎn)的創(chuàng)新并不一定能帶來(lái)整體的集聚效益，這就帶來(lái)了碎片化安全創(chuàng)新無(wú)法滿足體系化安全需求的問(wèn)題。對(duì)抗與防守的不對(duì)稱性，從根本層面對(duì)支撐網(wǎng)絡(luò)攻擊與防御領(lǐng)域的經(jīng)濟(jì)形式提出了挑戰(zhàn)。事實(shí)證明，網(wǎng)絡(luò)安全是體系和體系之間的對(duì)抗，僅僅靠市場(chǎng)激勵(lì)是遠(yuǎn)遠(yuǎn)不夠的，必須一開始就從戰(zhàn)略的高度思考安全問(wèn)題，通過(guò)體系系統(tǒng)SoS（SoS， System of Systems）分解到 System，分解到Components，形成網(wǎng)絡(luò)安全領(lǐng)域的體系化裝備能力，這就是使命工程的重要性。作為對(duì)抗性系統(tǒng)，安全問(wèn)題不只是系統(tǒng)的內(nèi)在復(fù)雜性，更與組織行為和激勵(lì)機(jī)制有關(guān)。只有從對(duì)抗意圖和安全使命的高度進(jìn)行任務(wù)分解，才能在設(shè)計(jì)建設(shè)某個(gè)局部安全系統(tǒng)時(shí)，就同時(shí)考慮到全局的體系系統(tǒng)協(xié)同能力。按照這個(gè)思路，我們?cè)诠こ虒?shí)踐中總結(jié)出了一套“安全協(xié)同系統(tǒng)工程方法論”，我們的服務(wù)都是從戰(zhàn)略合作協(xié)議簽署的方式入手的，服務(wù)模式與傳統(tǒng)安全公司從某個(gè)產(chǎn)品和單個(gè)項(xiàng)目切入不同，一開始就將自己定位為安全產(chǎn)業(yè)價(jià)值網(wǎng)絡(luò)上的一個(gè)十分必要的關(guān)鍵節(jié)點(diǎn)，從戰(zhàn)略的高度去設(shè)計(jì)系統(tǒng)、分解項(xiàng)目、聯(lián)合產(chǎn)業(yè)界的力量為用戶提供體系化的安全服務(wù)，用產(chǎn)業(yè)的心態(tài)做企業(yè)。

二、網(wǎng)絡(luò)安全工程師對(duì)網(wǎng)絡(luò)安全系統(tǒng)的實(shí)踐與擔(dān)當(dāng)

對(duì)我國(guó)年輕的網(wǎng)絡(luò)安全隊(duì)伍而言，國(guó)家安全使命不是一個(gè)飄忽的宏大概念，而是必須扎實(shí)地融入每個(gè)工程項(xiàng)目的具體工作。按照上述思路，多年來(lái)中測(cè)安華牢記初心，踐行使命，一步一個(gè)腳印地實(shí)現(xiàn)了自主可控的安全突破。

利用關(guān)鍵技術(shù)突破，獲得自主可控能力。一個(gè)網(wǎng)絡(luò)安全隊(duì)伍的誕生，通常源于一兩個(gè)大型系統(tǒng)項(xiàng)目對(duì)安全自主可控的需求，并在項(xiàng)目建設(shè)過(guò)程中鍛煉成長(zhǎng)，中測(cè)安華亦是如此。六年前，中測(cè)安華核心團(tuán)隊(duì)承接了某大型央企的安全系統(tǒng)設(shè)計(jì)和軟件研發(fā)任務(wù)，在對(duì)關(guān)鍵核心設(shè)備遂行安全檢測(cè)時(shí)，發(fā)現(xiàn)存有后門。在國(guó)內(nèi)沒(méi)有自主可控替代產(chǎn)品的情況下，既要保證整體工程的順利交付，又不能留下安全隱患，這使我們面臨了巨大的考驗(yàn)。對(duì)此，我們組織專項(xiàng)研發(fā)隊(duì)伍，突破技術(shù)難點(diǎn)，自主研發(fā)了安全產(chǎn)品，并在項(xiàng)目中大規(guī)模部署，實(shí)現(xiàn)了國(guó)產(chǎn)化的有效替代。安全難點(diǎn)有時(shí)會(huì)一通百通，解決了一個(gè)技術(shù)難點(diǎn)，便會(huì)帶動(dòng)一系列問(wèn)題的迎刃而解。通過(guò)大工程帶動(dòng)小產(chǎn)品，發(fā)揮安全檢測(cè)的技術(shù)海關(guān)作用，提升安全產(chǎn)業(yè)的自主創(chuàng)新能力，是我們摸索到的一條便捷之路。

巧借系統(tǒng)安全工程，提升安全保障能力。通過(guò)承接諸多重大信息安全工程項(xiàng)目，我們發(fā)現(xiàn)，網(wǎng)絡(luò)安全隊(duì)伍的發(fā)展模式與“網(wǎng)絡(luò)安全領(lǐng)域系統(tǒng)工程院”的發(fā)展模式頗為類似。在這點(diǎn)上，我們借鑒了美國(guó)MITRE的經(jīng)驗(yàn)，即為政府承建系統(tǒng)工程，形成研究開發(fā)和信息技術(shù)支持的非營(yíng)利性組織。與MITRE不同的是，我們不只是作案頭研究工作，更注重對(duì)工程本身的開發(fā)與完善?？偨Y(jié)工程實(shí)踐中的成功和失敗案例，我們的結(jié)論是，對(duì)于一個(gè)大型網(wǎng)絡(luò)安全工程項(xiàng)目而言，“信息安全”和“系統(tǒng)工程”兩類知識(shí)是保障其順利進(jìn)行的必要前提，“大工程管理能力”和“大數(shù)據(jù)治理能力”是保障該工程項(xiàng)目順利竣工的決定性因素。在大數(shù)據(jù)時(shí)代，大工程和大數(shù)據(jù)是相輔相成的，只有同時(shí)具備兩種能力，才能使大項(xiàng)目工程系統(tǒng)既“立”起來(lái)，又“活”起來(lái)。關(guān)于這一點(diǎn)，我們教訓(xùn)深刻，在早期承擔(dān)的網(wǎng)絡(luò)安全大型項(xiàng)目中，我們也犯過(guò)只重“大工程管理能力”，忽視“大數(shù)據(jù)治理能力”的錯(cuò)誤，從而導(dǎo)致項(xiàng)目工期拖延嚴(yán)重，工程系統(tǒng)難以有效運(yùn)轉(zhuǎn)。所以說(shuō)，如何“用系統(tǒng)方法讓網(wǎng)絡(luò)世界更安全”，我們也不是一開始就清楚的，而是在一個(gè)個(gè)大型項(xiàng)目工程的實(shí)踐過(guò)程中一點(diǎn)一點(diǎn)摸索出來(lái)的。因此，若要將物理現(xiàn)實(shí)世界的工程方法應(yīng)用到網(wǎng)絡(luò)安全世界，還需要大量的工程實(shí)踐，從美好藍(lán)圖到具體系統(tǒng)，有大量的細(xì)節(jié)要實(shí)現(xiàn)，這個(gè)過(guò)程亦是系統(tǒng)安全能力的提升過(guò)程。

設(shè)立總體設(shè)計(jì)部門，激發(fā)企業(yè)創(chuàng)新能力。網(wǎng)絡(luò)安全隊(duì)伍在為各大央企系統(tǒng)建設(shè)實(shí)踐過(guò)程中，積累了戰(zhàn)略級(jí)大型安全工程的實(shí)施經(jīng)驗(yàn)，這恰恰是中國(guó)的優(yōu)勢(shì)之所在。能不能將零碎的成果匯成整體，將局部的經(jīng)驗(yàn)變成全局指導(dǎo)，是檢驗(yàn)網(wǎng)絡(luò)安全隊(duì)伍是否具有生命力、創(chuàng)新力的試金石。我們深刻意識(shí)到，系統(tǒng)工程需要高超的組織管理，唯有組織起來(lái)才是力量，才能把比較籠統(tǒng)的初始安全要求逐步地變?yōu)槿舾蓚€(gè)研制任務(wù)參加者的具體工作，以及把這些工作最終綜合成一個(gè)技術(shù)上合理、經(jīng)濟(jì)上合算、研制周期短、能協(xié)調(diào)運(yùn)轉(zhuǎn)的實(shí)際工程，并使該工程成為從屬更大系統(tǒng)的有效組成部分。這樣復(fù)雜的總體協(xié)調(diào)任務(wù)不可能靠個(gè)人來(lái)完成，個(gè)人也不可能精通整個(gè)系統(tǒng)所涉及的全部專業(yè)知識(shí)，不可能有足夠的時(shí)間來(lái)完成數(shù)量驚人的技術(shù)協(xié)調(diào)工作。這就要求需以一種組織、一個(gè)集體來(lái)代替先前的單體指揮，對(duì)這種大規(guī)模社會(huì)勞動(dòng)進(jìn)行總體協(xié)調(diào)。為此，我們成立了“總體設(shè)計(jì)部”?！翱傮w設(shè)計(jì)部”一般不承擔(dān)具體部件的設(shè)計(jì)，卻是整個(gè)系統(tǒng)研制工作中必不可少的技術(shù)抓總單位?！翱傮w設(shè)計(jì)部”是系統(tǒng)工程中國(guó)學(xué)派的創(chuàng)新，曾在“兩彈一星”大型工程中有過(guò)成功的實(shí)踐?！翱傮w設(shè)計(jì)部”的成立，大大提升了我們的控制和創(chuàng)新能力。

搭乘“一帶一路”快車，拓展企業(yè)發(fā)展空間。隨著國(guó)家“一帶一路”深化推進(jìn)，給中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)帶來(lái)了溢出效應(yīng)。一個(gè)央企的體量等同于“一帶一路”上一個(gè)國(guó)家，其網(wǎng)絡(luò)的復(fù)雜性、應(yīng)用的豐富性、面臨威脅的挑戰(zhàn)性更有甚之。有了這樣的建設(shè)經(jīng)驗(yàn)，移植到其他國(guó)家的難度大大減小。不久前，我們承接了“一帶一路”中兩個(gè)國(guó)家的大型安全項(xiàng)目，由于有一套科學(xué)方法作指導(dǎo)，使得技術(shù)指揮線和管理指揮線清晰并重，工程在很短時(shí)間內(nèi)便展開了有效施工。在“一帶一路”宏圖推進(jìn)過(guò)程中，我們用“總體設(shè)計(jì)部”思想做總體設(shè)計(jì)，凝聚中國(guó)智慧、傳播中國(guó)理念、提供中國(guó)方案，為網(wǎng)絡(luò)空間命運(yùn)共同體貢獻(xiàn)中國(guó)力量。同時(shí)，我們用大數(shù)據(jù)技術(shù)組裝集成國(guó)內(nèi)安全自主可控產(chǎn)品，形成了大規(guī)模分布式集群網(wǎng)絡(luò)安全裝備，如“望遠(yuǎn)鏡”、“顯微鏡”、“透視鏡”、“窺探鏡”等系列裝備，并實(shí)現(xiàn)了從商業(yè)級(jí)到國(guó)防級(jí)的技術(shù)轉(zhuǎn)換。解決的難題主要包括，如何做國(guó)家級(jí)的安全頂層設(shè)計(jì)？如何做戰(zhàn)略級(jí)的安全裝備集成？如何做戰(zhàn)術(shù)級(jí)的安全產(chǎn)品研發(fā)？這三個(gè)問(wèn)題分別對(duì)應(yīng)著“使命（Mission）、體系（System of Systems）、系統(tǒng)（System）”三個(gè)層面的架構(gòu)和工程問(wèn)題。這使我們積累了新的經(jīng)驗(yàn)，拓展了新的天地。

三、網(wǎng)絡(luò)安全工程師對(duì)網(wǎng)絡(luò)安全愿景的展望與暢想

網(wǎng)絡(luò)空間安全是什么標(biāo)準(zhǔn)，往何處去，是個(gè)大問(wèn)題。我們雖然沒(méi)有清晰的目標(biāo)，卻有明確的方向，即國(guó)家利益延伸到哪里，網(wǎng)絡(luò)安全工程隊(duì)伍就要保護(hù)到哪里，并用“風(fēng)險(xiǎn)驅(qū)動(dòng)的安全價(jià)值網(wǎng)絡(luò)”來(lái)回答網(wǎng)絡(luò)空間安全的標(biāo)準(zhǔn)問(wèn)題，用“安全協(xié)同系統(tǒng)工程方法論（SecCSE）”來(lái)回答往何處去、怎么走的問(wèn)題。構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體是人類共同的心聲，但在大數(shù)據(jù)驅(qū)動(dòng)的互聯(lián)網(wǎng)時(shí)代，個(gè)體的力量總是有限的，只有嵌入到宏觀協(xié)作中，才能發(fā)揮整體效益。我們構(gòu)想，未來(lái)網(wǎng)絡(luò)空間將在產(chǎn)業(yè)預(yù)判能力、系統(tǒng)設(shè)計(jì)能力及協(xié)同創(chuàng)新能力上聚焦發(fā)力，用系統(tǒng)安全工程方法構(gòu)建一張“風(fēng)險(xiǎn)驅(qū)動(dòng)的安全價(jià)值網(wǎng)絡(luò)”（RiskSVN）。這張網(wǎng)絡(luò)將實(shí)現(xiàn)各方互相協(xié)作、共同傳遞安全價(jià)值，以正能量維護(hù)網(wǎng)絡(luò)世界的安全有序。

在這套思路中，有五個(gè)關(guān)鍵性元素，即：輸入（Input）是安全保障對(duì)象；處理（Process）是系統(tǒng)安全工程；控制（Control）是安全參考框架；機(jī)制（Mechanism）是安全協(xié)同機(jī)制；輸出（Output）是安全彈性系統(tǒng)。

輸入是安全保障對(duì)象：安全工程與系統(tǒng)工程不一樣，通常有一個(gè)需要保障的對(duì)象，從測(cè)評(píng)的角度稱之為“TOE（Testing of Object）”，一切的安全需求都要圍繞著被保護(hù)對(duì)象展開。保護(hù)對(duì)象的分解在安全設(shè)計(jì)中異常重要，這就是前面所說(shuō)“信息安全是IT立方的原因”，只有將被保護(hù)對(duì)象分析得清清楚楚，才能知道安全問(wèn)題的核心所在，制定的安全措施才能有的放矢。

圖1 基于系統(tǒng)思維維護(hù)網(wǎng)絡(luò)安全思路

控制是安全參考框架：安全參考框架是指引性的，碎片化的安全問(wèn)題需要體系化架構(gòu)來(lái)指導(dǎo)，并由能力驅(qū)動(dòng)的使命架構(gòu)、體系架構(gòu)、系統(tǒng)架構(gòu)來(lái)解決，還需要從軍事架構(gòu)領(lǐng)域引入到安全架構(gòu)領(lǐng)域，兩者都有對(duì)抗性的特點(diǎn)。

機(jī)制是安全協(xié)同機(jī)制：安全協(xié)同機(jī)制不只是簡(jiǎn)單的技術(shù)協(xié)同，沒(méi)有產(chǎn)業(yè)協(xié)同的經(jīng)濟(jì)利益機(jī)制設(shè)計(jì)，就沒(méi)有產(chǎn)品設(shè)備層面的技術(shù)協(xié)同。安全協(xié)同機(jī)制要以“標(biāo)準(zhǔn)”為基礎(chǔ)，“利益”做牽引。命運(yùn)共同體即是“利益共同體”，對(duì)于一個(gè)企業(yè)，要推動(dòng)安全協(xié)同機(jī)制的有效運(yùn)轉(zhuǎn)，一要在技術(shù)層面有安全標(biāo)準(zhǔn)制定；二要在運(yùn)營(yíng)層面有利益機(jī)制設(shè)計(jì)。并將安全標(biāo)準(zhǔn)對(duì)應(yīng)到系統(tǒng)架構(gòu)，利益機(jī)制對(duì)應(yīng)到使命架構(gòu)。

處理是系統(tǒng)安全工程：關(guān)注“信息安全”和“系統(tǒng)工程”兩個(gè)世界的打通，安全測(cè)評(píng)方法和裝備保障工程融入到系統(tǒng)安全工程，形成測(cè)評(píng)驅(qū)動(dòng)的系統(tǒng)安全工程?！把兄圃囼?yàn)與評(píng)價(jià)（DT&E） ”和“使用試驗(yàn)與評(píng)價(jià)（OT&E） ”兩者全面貫通系統(tǒng)工程生命周期過(guò)程，從攻擊中發(fā)現(xiàn)防御之道。

輸出是安全彈性系統(tǒng)：安全智能化和安全自動(dòng)化是網(wǎng)絡(luò)安全的兩個(gè)發(fā)展趨勢(shì)，智能化提高對(duì)抗能力，自動(dòng)化提升便利水平。未來(lái)安全可視化和安全智能化將更緊密地結(jié)合，可視化將拓展至解決安全問(wèn)題，而不只是為安全信息特供可視化，人機(jī)將更緊密結(jié)合，發(fā)揮以人為主的形象思維優(yōu)勢(shì)。安全自動(dòng)化和安全可度量相結(jié)合，還將拓展數(shù)據(jù)驅(qū)動(dòng)的安全自動(dòng)化。Making Security Measurable是MITRE的一項(xiàng)標(biāo)準(zhǔn)工程，只有標(biāo)準(zhǔn)化、自動(dòng)化和智能化才有數(shù)據(jù)的基礎(chǔ)，協(xié)同化網(wǎng)絡(luò)才有可能，才能將安全彈性系統(tǒng)構(gòu)成一張風(fēng)險(xiǎn)驅(qū)動(dòng)的安全價(jià)值網(wǎng)絡(luò)，實(shí)現(xiàn)“你 的發(fā)現(xiàn)即我的防御”（圖 1）。

在馬克思的墓碑上刻有兩行文字：“以往的哲學(xué)家只是解釋世界，而問(wèn)題在于改造世界?！瘪T·卡門說(shuō)“科學(xué)家研究已有的世界，工程師創(chuàng)造未來(lái)的世界?！?安全不僅在于發(fā)現(xiàn)問(wèn)題，更在于解決問(wèn)題。筆者再次鄭重呼吁，應(yīng)賦予“網(wǎng)絡(luò)安全工程師”新的使命與榮耀，并造就大批量善開拓、有擔(dān)當(dāng)?shù)摹凹t色安全工程師”，了然攻防之道，永存敬畏之心，守護(hù)國(guó)家安全，用系統(tǒng)工程的方法構(gòu)建一個(gè)更安全的網(wǎng)絡(luò)世界。