對網絡空間安全建模的系統思考*

嚴定宇，張宇鵬，陸希玉，曹華平

(國家計算機網絡應急技術處理協調中心，北京 100029)

0 引言

自從“網絡空間”這一概念提出以來，安全的邊界已不僅僅再是由計算機網絡創建的虛擬環境，而是擴展到與信息技術直接關聯的真實世界[1]。從系統安全，到網絡安全，再到網絡空間安全，概念范疇的進一步擴大對研究提出了更高的要求。當前對網絡空間安全的研究更偏向于對宏觀因素(如政策、經濟等)解讀以及微觀技術問題分析，缺乏以整體思維思考網絡空間安全問題[2-3]。舉例來說，一是如何合理評估防御措施的效果，以及如何組織參與者聯合部署協同防御機制以提升網絡空間的安全性。盡管國家、企業以及個人在安全防護方面進行了大量的投資，但目前始終難以判斷所采取防御措施是否能夠真正抵御住可能面對的新型網絡攻擊。二是無論系統層面、單位層面還是國家層面都缺乏全面、準確的評估手段確認其當前安全狀況。當前，網絡空間安全領域缺乏一套統一且能被廣泛接受的評估和度量體系[4-5]。三是安全研究中常常會忽略網絡空間系統的組成部分、因素以及它們間的相互作用。網絡空間龐大及復雜的組成部分、要素等極大增加了網絡空間安全建模與分析的難度[6]。

面對網絡空間安全研究的困難與挑戰，系統思維(Systems Thinking)被認為是能幫助研究發展與進步的強大工具[7]。系統思維是一種從宏觀整體視角看待問題和現象的思維方式，強調把宏觀問題和現象看作是由各類相互交互聯系的微觀組成部分所構成的復雜系統[8]。系統思維能夠為網絡空間安全建模提供新穎而全面的視角，來度量和評估網絡空間及組成部分的安全特性，揭示網絡空間安全的整體發展與演化，并為解決具體安全問題提供參考。因此，本文致力于思考與探尋如何把系統思維與網絡空間安全相結合。首先，分析了網絡空間安全的主要特征以及建模的挑戰，然后，介紹了系統思維以及探索如何把系統思維應用到網絡空間安全建模上，最后，利用系統思維，給出了一個網絡空間安全建模的框架結構。

1 以復雜系統角度看待網絡空間安全

1.1 網絡空間安全特征

網絡空間可以被視為一個由大量不同類型的組成部分(Component)、影響因素(Factor)相互交互(Interaction)聯系構成的復雜動態系統，其整體安全可轉化為網絡空間安全系統(Cybersecurity System)看待[6]。圖1展示了在網絡空間安全中各組成部分(如電子信息設備、組織單位、人等)在多個影響因素(如人類因素、信息技術因素等)下相互交互(如攻防過程、社會交往等)的情況。以全景視角看待網絡安全空間，以下四個主要特征是在建模過程中必須著重考慮的。

圖1 網絡空間安全中的主要組成部分、影響因素及其相互作用

(1)復雜性。復雜性是網絡空間安全最為顯著的特征。一方面，網絡空間安全的復雜性體現在組成部分的差異性以及影響因素的多樣性。網絡空間是一個涉及政治、經濟、社會、信息技術等多領域的交叉范疇，其安全問題往往會由不同領域所引發，又會對其他領域產生影響。例如，“震網”行動是美國國家背景的攻擊組織發起的針對伊朗核設施的國家級網絡攻擊，本次攻擊服務于政治目的，結果是使得伊朗核試驗推遲半年之久，影響到了伊朗相關科技領域。另一方面是網絡空間中各個組成部分及其交互關系相當復雜。各個組成部分都可以被當作是復雜子系統[9]。特別是，作為網絡空間的核心參與者，人是自然環境、人類社會以及信息技術的交叉點。地理位置、社交情況、行為習慣都會影響人在網絡空間中的行為活動以及策略選擇，同樣這些行為和策略也會影響其他組成部分。

(2)不可預測性。復雜系統往往會導致其外在現象的不可預測[10]。第一，網絡空間中參與者的行為、動作以及策略存在不確定性，尤其對于人而言，其非理性的特點是難以通過模型來刻畫與預測的。第二，系統和協議中的漏洞和配置錯誤有時是難以察覺的，使得系統安全性及防御措施有效性的評估難以定量化。第三，網絡

空間安全系統會出現涌現現象[11]。涌現現象主要是指微觀層面上各組成部分的相互作用會使宏觀層面產生新的性質或者現象。因此，當前是很難預測微觀層面上某個攻防技術的突破對宏觀的網絡空間帶來的影響與變化。

(3)動態性。全面摸清當前網絡空間的安全狀態，就必須要對每個組成部分的動態變化有清晰的認識[9]。一方面，每個組成部分的狀態以及組成部分間的每次交互過程是隨時間變化的。特別是對于參與者，每個時刻的行為、動作和策略都是動態的。另一方面，網絡空間安全的動態性是系統涌現的前提條件。相同的環境條件以及同樣的輸入并不能保證會得到相同的輸出結果。

(4)不對稱性。在網絡空間安全中，攻擊者和防御者之間總是存在著不對稱[12]。這種不對稱性體現在以下三個方面。首先，攻擊者是積極主動的，而防御者則處于被動面。一般來說，攻擊者在發起攻擊前往往會提前做足準備，如漏洞積累、情報收集、武器化等；但防御者卻不清楚攻擊者的準備工作。此外，以攻擊面的角度來看，防御者必須隨時保護所有可能的突破點，然而攻擊者只需要找到一個有效突破點就能夠發起滲透攻擊。其次，防御者對防御措施有效性的評估是存在偏差的。正如前文所述，防御者難以分析某一特定防御技術或方法對其所保護系統安全態勢的影響，因此防御者無法全面衡量其防御效果。最后，一般來說，攻擊成本是低于防御成本的，攻擊收益也是大于攻擊付出。無論是研究新的防御技術，還是部署網絡攻擊的預警機制，防御者需要投入大量的資金、人力和資源。然而這些防御技術和機制卻不能完全保證能夠防御住可能到來的網絡攻擊。同時，攻擊成功所帶來的收益要大于攻擊付出，無論是黑產組織還是國家級攻擊隊伍都在不遺余力開展攻擊滲透。

1.2 網絡空間安全建模的挑戰

目前，網絡空間安全建模仍處于起步階段。現有理論模型和方法僅偏向于對安全技術的研究，旨在利用理論模型和方法解決某一特定技術問題[3]。例如，為刻畫計算機病毒在網絡中的傳播擴展現象，研究人員參考流行病學中的倉室模型，構建基于網絡化的動力學模型，以研究在網絡拓撲條件下如何利用控制手段抑制病毒的傳播范圍和速率。技術性研究將進一步發展和夯實網絡空間安全研究，安全技術問題的建模也將促進網絡空間安全建模的研究。目前，對安全技術問題的理論研究仍存在一些困難點：(1)對安全技術問題的形式化表述；(2)對安全技術問題的定量和定性分析的統一；(3)理論指導與安全技術實踐的結合。

網絡空間安全理論建模除了要考慮安全技術性問題外，還要著重思考網絡空間中政治、經濟、社會和信息技術的屬性，弄清理論、技術、實踐等關系。如前文圖1所示，網絡空間安全被認為是一個相當復雜的系統，其中眾多組成部分、因素以及環境領域相互交織。因此，對整個網絡空間安全的建模工作要比單純的安全技術的建模工作要更加復雜和繁瑣。以人類因素對網絡空間安全的影響舉例，人類因素是一般技術性理論建模所不涉及的，但被認為會直接影響網絡空間安全狀態。研究人員曾調查發現，美國和英國的80%到90%的安全問題是由人為錯誤所引發的[13]。如何以模型來刻畫出人類因素并分析其對網絡空間的影響正是建模研究工作的重要挑戰之一。一是人在網絡空間中往往扮演著多重角色。對于網絡系統、產品而言，人既是開發者，同時也是用戶；在網絡攻防對抗中，人既是攻擊者，同時也是防御者。二是網絡空間安全中的個體行為方面難以以單一理論來刻畫[14]。人類認知偏差、賭徒心理以及個人不同性格等因素都是模型難以涵蓋的。同時，個體異質性帶來的是個體模型量級的大幅增長，給影響分析帶來困難。

網絡空間安全研究同樣需要關注信息技術領域對真實世界的影響情況，著重關注信息物理系統(Cyber-physical System)層面的問題，尤其是在工業控制系統領域。工業控制系統在金融服務、電力網絡、交通和醫療服務等領域中起著信息互聯、數據儲備等基礎性作用，已成為網絡攻擊的重要目標對象，尤其是高級持續性威脅攻擊。除了竊取大量重要敏感數據外，對工控系統攻擊傾向于以破壞為目的，影響業務開展，擾亂生活秩序，引起民眾恐慌。例如，2015年12月，烏克蘭電力網絡遭受名為黑暗能量(Black Energy)的攻擊組織發起的網絡攻擊，造成約20多萬居民停電約6個小時。因此，由于類似于針對信息物理系統的網絡攻擊存在，對網絡空間安全的評估不能僅僅只局限在信息領域，還要把對真實世界造成的損失納入考慮范疇。部分研究專家也致力于建立一套安全指標來定義、衡量和量化網絡及系統安全[5]，但以網絡空間安全的角度，還需要構建更為系統和全面的指標體系。

2 將系統思維應用到網絡空間安全建模

2.1 系統思維的內涵

系統思維是一種整體性的研究方法，旨在分析系統的各個組成部分之間是如何相互作用以及作為一個整體產生的涌現及其變化情況[8]。與還原論思維不同，系統思維更強調系統的復雜性、動態性、整體性，以及系統各組成部分的多維性和與歷史情況的關聯性。系統思維興起于20世紀初，目前已廣泛應用在公共衛生、環境保護、城市管理、國際關系等領域。目前，只有少量研究嘗試把系統思維應用到網絡空間安全研究上[7]。

系統思維是在當前階段最適合的網絡空間安全建模研究方法之一。它不僅僅是關注網絡空間中各特定領域及組成部分情況，而是以網絡空間安全為一整個實體去探究其外部表現與內在變化的聯系。將這種整體性方法應用到網絡空間安全建模中，能夠幫助研究人員更清晰認識和理解網絡空間安全，弄清各組成部分及其之間的相互作用，預測網絡空間安全的演變趨勢，從而有效解決網絡空間安全問題。系統思維也將有助于擴大網絡空間安全研究范圍與思考維度，把領域、參與者、環境和影響因素等整合納入研究范疇。

因此，系統思維要求研究人員在網絡空間安全建模時，思考維度要從細節到宏觀發現根本性轉變。系統思維的技巧方法區別于關注線性和靜態的因果關系的傳統枚舉式或技術性分析方法，更側重以組成部分間相互作用產生的宏觀現象為目的。盡管網絡安全技術取得了許多進步，但傳統方法難以評估這些技術領域的突破將對整個網絡空間帶來的影響以及準確預測未來這些安全技術的發展趨勢。從系統論的角度來看，網絡空間安全建模的目的是提升網絡空間整體安全狀況，而非為了解決某類特定技術問題。這要求在運用系統思維時，不僅是彌補傳統方法的不足，而是站在整體性的視角洞察網絡空間安全。

2.2 參與者分析

參與者(Stakeholder)，又稱利益相關方，是指能夠影響某個特定項目、公司、領域的決策、發展及結果的個人、群體或者組織。對于復雜的網絡空間，參與者往往涉及到政治、社會、信息技術等多個領域，與各組成部分相互聯系。因此，將系統思維應用到網絡空間安全建模的一個重要方面就是開展參與者分析(Stakeholder Analysis)，確定研究目標所涉及參與者以及參與者間的相互關系。

目前，已有少量研究關注網絡空間安全中的參與者[15]。參與者分析大致分為以下幾大步驟：一是確認研究目標所涉及關鍵參與者。表1列出了網絡空間中五個關鍵參與者：政府機構、學術界、私營部門、關鍵信息基礎設施以及國內外專業組織。并非所有的參與者都要納入分析范圍，要根據研究目標和分析難度適當選擇。二是識別、描述參與者及找到與之相關的其他參與者、組成部分及因素。該步驟是數據及信息收集階段，需要深入調查、了解各個參與者當前的基本情況。三是建立參與者畫像及模型。特別是強調參與者的權利、地位及利益相關點，常使用矩陣、表格等方式進行歸納總結。

表1 網絡空間安全的部分參與者

2.3 系統理論與方法

網絡空間安全建模致力于以一種更為科學的方法，使網絡空間安全更容易表示、定義、量化和理解。對于一個優秀的研究，理論模型和實驗分析同樣重要。因此，將系統思維應用到網絡空間安全建模上的一個難點就是如何根據不同的研究場景及研究目標選擇合適的理論和研究方式。

系統思維能夠為網絡空間安全提供更為適合和有力的理論與工具方法。研究過程中，在系統化理論(如系統論、控制論、博弈論等)的指導下，運用科學工具方法(如網絡分析、動力學、代理模型等)分析與實踐。表2簡要列出了一些曾用于網絡安全模型的典型系統化理論和科學工具方法。系統思維擁有豐富的理論武器，能夠從特定視角提供一套思考、理念和原則的思維方式。

3 安全問題的系統化建模框架

如前所述，當前對安全建模的工作往往集中在具體的技術問題上，例如計算機病毒模型、網絡空間安全經濟學分析等。本節提出了一個針對安全問題的系統化建模框架，如圖2所示。框圖包括五個關鍵性要素及十一個建模步驟。

圖2 針對安全問題的系統化建模框架圖

真實世界(Real World)，既包括物理性實體維度，又包括網絡空間映射并關聯到現實的虛擬面。它既是數學建模中概念、參數及公式的實例化，還能為經驗建模提供數據、案例、事件等觀測值。

數學建模(Mathematical Modeling)，是一種以數學化的理論和語言把網絡空間安全系統表現出的行為轉化為精巧公式的理論方法。數學模型的目的是為了以形式化方式展示網絡空間安全問題及網絡空間安全系統的演變過程。

經驗建模(Empirical Modeling)，是一種以網絡空間安全系統輸出(例如網絡流量數據、安全事件、網絡犯罪案例等)的觀測值為依據建立模型的研究方法。經驗模型的目的是找到觀測值中的經驗規律或特征，用以描述當前網絡安全態勢以及預測未來發展的趨勢。

推理(Inference)，是指通過一系列分析方法和工具進行推斷的過程。推理是以某一網絡空間安全特定的問題為驅動，帶有強烈目的性，去尋找用以解決該問題的最佳方法。

實踐(Practice)，是指在分析結果的指導下，對安全問題解決方案開展實施、研究、驗證的一系列過程。其屬于把分析結果以技術方式開展的研究，旨在把理論分析結論轉化成實際的網絡空間安全技術或工具，并能夠在真實網絡空間場景中得以應用。

數學模型和經驗模型是網絡空間安全建模的兩個重要方面。數學模型是對真實網絡空間安全系統和場景的抽象化和形式化，而數學建模則是利用多種數學工具實現這類抽象化和形式化的過程。值得注意的是，數學建模以及之后的分析過程都是建立在模型假設的基礎上(步驟(1))。因此，數學建模的一個關鍵問題就是在不同研究場景下，如何找到合適數學語言去構建此類框架，包括具體的數學公式、變量、函數等[3]。數學模型中所采用假設及形式化表述具有一定理想化特點，往往只能解釋某部分的現象，難以全面描述整個網絡空間安全系統。經驗建模主要建立在如安全事件、網絡攻擊案例、實驗結果等網絡空間安全系統的輸出，這些數據是研究人員從真實世界所觀測獲取的(步驟(2))[30]。因為觀測結果具有一定的偏差性，有些難以以理論或者數學進行解釋。雖然這兩類建模方法截然不同，但兩者卻可以相互補充(步驟(3))。經驗數據可以為數學建模提供重要的數據實例；反過來，數學模型也能夠修正和改進經驗模型，減少觀測值的偏差。

數學建模及經驗建模有助于將復雜網絡空間安全問題轉化為一個描述性模型，使研究人員能夠更容易對問題去刻畫、理解及推理。接下來，研究人員需要進一步利用網絡空間安全模型，針對某一特定問題去分析、探尋具體的解決方案(Solution)。演繹推理(步驟(4))從數學模型中的假設、公理和方程開始，如果前提符合現實世界的觀測情況，演繹推理的結論將具有一定的合理性。相反，歸納推理(步驟(5))則是直接從現實世界的觀察值總結歸納得出結論。基于上述兩類推理，研究將會得到針對特定網絡空間安全問題的解決方案，這些解決方案(如方法、工具等)將以實踐形式應用在真實世界(步驟(7))以檢驗其有效性。

網絡空間安全系統的數據具有不可預測性。通過分析式推理獲得的安全解決方案是否有效，需要在真實世界的實踐中來驗證。因此，一個完整的網絡空間安全模型需要有來自真實世界的反饋(步驟(8))，為分析式推理提供驗證(步驟(9))，并最終為數學建模和經驗建模提供修正與改進(步驟(10)和(11))。網絡空間安全模型及其分析式推理能夠為安全解決方案的實踐提供理論支持；反過來，來自實踐的反饋也能夠驗證上述分析結果的有效性并改進當前模型。

4 結論

系統思維能夠讓研究者以整體、全面的視角去思考網絡空間安全的建模問題。一方面，系統思維為網絡空間安全提供一個概念框架，充分把組成部分、要素以及它們之間的交互動態結合。采用系統化網絡空間安全建模研究充分考慮了之前研究中常常忽略的復雜性、不可預測性、動態性及不對稱性等網絡空間安全典型特點，將幫助研究人員更全面地刻畫、度量、評估網絡空間的安全特性，揭示網絡空間安全的發展與演化規律。另一方面，通過包含建模、推理、實踐分析式框架，系統思維能夠為解決特定的網絡空間安全問題提供新穎而全面的解決路線，幫助研究人員找到理論與實踐的結合點，使技術實踐有理論的指導，理論在實踐中加以驗證并改進網絡空間安全模型。盡管系統思維應該被當作網絡空間安全建模的必要基礎來看待，但將系統思維應用到網絡空間安全建模仍有很長的路要走。