本文刊登於《網信軍民融合》雜誌2018年12月刊
【編者按】網絡安全工程師是國家安全的守護者,中測安華運用錢學森系統工程的思維和方法,牢記初心,踐行使命,逐步實現自主可控的安全突破,努力構建一個更安全的網絡世界。
網絡安全,國之大事,生死之地,因此維護網絡安全的工程師已不僅是普通的技術人員,而是國家安全的守護者,他們為滿足安全需求而生,為維護網絡環境而戰,網絡系統延伸到哪裡,網安人員就衝向哪裡,使命光榮,擔當重大。中測安華作為一支年輕的網安工程師專業隊伍,成立五年來,運用錢學森系統工程的思維和方法,遠離喧囂,埋頭苦幹,沉澱技術,鍛鍊隊伍,通過“靜水流深”,塑造了獨特的網絡安防能力。本文首次將我們實踐過程中的一些體會和做法予以梳理,旨在與志同道合者做一次有益的交流,共同維護網絡世界的秩序與安全。
一、網絡安全工程師對網絡安全的追問與思考
作為一個不爭的事實,網絡空間是一個以“工程”(Engineering)方式構建的人造世界。用本不可信的人造產品(零件)構築一個理想安全的網絡世界,除了寄託著人們共同的願景外,還真有可能並具有實際意義嗎?這個問題一直困擾著我們。錢學森《系統工程論》關於“不可靠零件可以組成優秀系統”的論斷給了我們重要啟發。我們看到人造世界與人造零件分屬於兩個不同範疇,前者屬於“Safety”範疇,後者屬於“Security”範疇。在工程實施過程中,由於“不同的拓撲結構在不同的攻擊面前有不同的魯棒性”,“Security”和“Safety”實際上完全可以逐漸統一為一個具有相對安全性的彈性工程(Resilience Engineering)。因此,堅持從攻擊中發現防禦之道,大力構築使命工程(Mission Engineering),不斷追求系統的抗打擊力,就可以實現系統的“大安全”。
“從攻擊中發現防禦之道”,巧用對手思維構建安全系統。現有的IT 系統,複雜程度已達到難以置信的水平,把信息安全工程做成信息化工程是業界普遍做法。業主方並沒有意識到“信息安全是IT 的立方,而不是IT 的邊角”,IT 系統中總會出現無法及時發現的漏洞。同時,國家支持型黑客集團往往水平高超、資源充足,且極富耐心,很難將其攻擊行為長期阻擋在系統之外。經驗數據表明,安全攻防間存在非對稱性,防禦成本急劇上升、碎片化安全問題嚴重。面對不確定的安全環境,網絡安全的假設已經發生了變化,假設已經遭遇違規、假設已經實現持久駐留是開展彈性設計的新起點,面對複雜的網絡威脅,不要奢望去防護它,而是要儘早地去發現它。發現漏洞的捷徑往往在於儘早發現敵對一方的攻擊行為,在於通過“漏洞分析和風險評估”的方式,透徹理解對手的行動方式,破敵“攻”而固己“防”。因此,站在高維視角通透理解信息系統安全生命週期全過程,將長期抗攻擊實踐中積累的網絡安全知識納入到基礎工程技術流程當中,才能構建一個更具彈性的安全系統(Resilience Engineering),最大程度提升系統的抗攻擊力,在自身系統與基礎設施遭遇入侵的情況下仍可繼續執行關鍵或基本任務。
構築使命工程,增強系統抗打擊力。沒有網絡安全就沒有網絡強國。安全是一種半公共產品,市場是安全創新的催化劑,以市場競爭的方式做安全無可厚非。但單點的創新並不一定能帶來整體的集聚效益,這就帶來了碎片化安全創新無法滿足體系化安全需求的問題。對抗與防守的不對稱性,從根本層面對支撐網絡攻擊與防禦領域的經濟形式提出了挑戰。事實證明,網絡安全是體系和體系之間的對抗,僅僅靠市場激勵是遠遠不夠的,必須一開始就從戰略的高度思考安全問題,通過體系系統SoS(SoS, System of Systems) 分解到System, 分解到Components,形成網絡安全領域的體系化裝備能力,這就是使命工程的重要性。作為對抗性系統,安全問題不只是系統的內在複雜性,更與組織行為和激勵機制有關。只有從對抗意圖和安全使命的高度進行任務分解,才能在設計建設某個局部安全系統時,就同時考慮到全局的體系系統協同能力。按照這個思路,我們在工程實踐中總結出了一套“安全協同系統工程方法論”,我們的服務都是從戰略合作協議簽署的方式入手的,服務模式與傳統安全公司從某個產品和單個項目切入不同,一開始就將自己定位為安全產業價值網絡上的一個十分必要的關鍵節點,從戰略的高度去設計系統、分解項目、聯合產業界的力量為用戶提供體系化的安全服務,用產業的心態做企業。
二、網絡安全工程師對網絡安全系統的實踐與擔當
對我國年輕的網絡安全隊伍而言,國家安全使命不是一個飄忽的宏大概念,而是必須紮實地融入每個工程項目的具體工作。按照上述思路,多年來中測安華牢記初心,踐行使命,一步一個腳印地實現了自主可控的安全突破。
利用關鍵技術突破,獲得自主可控能力。一個網絡安全隊伍的誕生,通常源於一兩個大型系統項目對安全自主可控的需求,並在項目建設過程中鍛鍊成長,中測安華亦是如此。六年前,中測安華核心團隊承接了某大型央企的安全系統設計和軟件研發任務,在對關鍵核心設備遂行安全檢測時,發現存有後門。在國內沒有自主可控替代產品的情況下,既要保證整體工程的順利交付,又不能留下安全隱患,這使我們面臨了巨大的考驗。對此,我們組織專項研發隊伍,突破技術難點,自主研發了安全產品,並在項目中大規模部署,實現了國產化的有效替代。安全難點有時會一通百通,解決了一個技術難點,便會帶動一系列問題的迎刃而解。通過大工程帶動小產品,發揮安全檢測的技術海關作用,提升安全產業的自主創新能力,是我們摸索到的一條便捷之路。
巧借系統安全工程,提升安全保障能力。通過承接諸多重大信息安全工程項目,我們發現,網絡安全隊伍的發展模式與“網絡安全領域系統工程院”的發展模式頗為類似。在這點上,我們借鑑了美國MITRE 的經驗,即為政府承建系統工程,形成研究開發和信息技術支持的非營利性組織。與MITRE不同的是,我們不只是作案頭研究工作,更注重對工程本身的開發與完善。總結工程實踐中的成功和失敗案例,我們的結論是,對於一個大型網絡安全工程項目而言,“信息安全”和“系統工程”兩類知識是保障其順利進行的必要前提, “大工程管理能力”和“大數據治理能力”是保障該工程項目順利竣工的決定性因素。在大數據時代,大工程和大數據是相輔相成的,只有同時具備兩種能力,才能使大項目工程系統既“立”起來,又“活”起來。關於這一點,我們教訓深刻,在早期承擔的網絡安全大型項目中,我們也犯過只重“大工程管理能力”,忽視“大數據治理能力”的錯誤,從而導致項目工期拖延嚴重,工程系統難以有效運轉。所以說,如何“用系統方法讓網絡世界更安全”,我們也不是一開始就清楚的,而是在一個個大型項目工程的實踐過程中一點一點摸索出來的。因此,若要將物理現實世界的工程方法應用到網絡安全世界,還需要大量的工程實踐,從美好藍圖到具體系統,有大量的細節要實現,這個過程亦是系統安全能力的提升過程。
設立總體設計部門,激發企業創新能力。網絡安全隊伍在為各大央企系統建設實踐過程中,積累了戰略級大型安全工程的實施經驗,這恰恰是中國的優勢之所在。能不能將零碎的成果匯成整體,將局部的經驗變成全局指導,是檢驗網絡安全隊伍是否具有生命力、創新力的試金石。我們深刻意識到,系統工程需要高超的組織管理,唯有組織起來才是力量,才能把比較籠統的初始安全要求逐步地變為若干個研製任務參加者的具體工作,以及把這些工作最終綜合成一個技術上合理、經濟上合算、研製週期短、能協調運轉的實際工程,並使該工程成為從屬更大系統的有效組成部分。這樣複雜的總體協調任務不可能靠個人來完成,個人也不可能精通整個系統所涉及的全部專業知識,不可能有足夠的時間來完成數量驚人的技術協調工作。這就要求需以一種組織、一個集體來代替先前的單體指揮,對這種大規模社會勞動進行總體協調。為此,我們成立了“總體設計部”。“總體設計部”一般不承擔具體部件的設計,卻是整個系統研製工作中必不可少的技術抓總單位。“總體設計部”是系統工程中國學派的創新,曾在“兩彈一星”大型工程中有過成功的實踐。“總體設計部”的成立,大大提升了我們的控制和創新能力。
搭乘“一帶一路”快車,拓展企業發展空間。隨著國家“一帶一路”深化推進,給中國網絡安全產業帶來了溢出效應。一個央企的體量等同於“一帶一路”上一個國家,其網絡的複雜性、應用的豐富性、面臨威脅的挑戰性更有甚之。有了這樣的建設經驗,移植到其他國家的難度大大減小。不久前,我們承接了“一帶一路”中兩個國家的大型安全項目,由於有一套科學方法作指導,使得技術指揮線和管理指揮線清晰並重,工程在很短時間內便展開了有效施工。在“一帶一路”宏圖推進過程中,我們用“總體設計部”思想做總體設計,凝聚中國智慧、傳播中國理念、提供中國方案,為網絡空間命運共同體貢獻中國力量。同時,我們用大數據技術組裝集成國內安全自主可控產品,形成了大規模分佈式集群網絡安全裝備,如“望遠鏡”、“顯微鏡”、“透視鏡”、“窺探鏡”等系列裝備,並實現了從商業級到國防級的技術轉換。解決的難題主要包括,如何做國家級的安全頂層設計?如何做戰略級的安全裝備集成?如何做戰術級的安全產品研發?這三個問題分別對應著“使命(Mission)、體系(System of Systems)、系統(System)”三個層面的架構和工程問題。這使我們積累了新的經驗,拓展了新的天地。
三、網絡安全工程師對網絡安全願景的展望與暢想
網絡空間安全是什麼標準,往何處去,是個大問題。我們雖然沒有清晰的目標,卻有明確的方向,即國家利益延伸到哪裡,網絡安全工程隊伍就要保護到哪裡,並用“風險驅動的安全價值網絡”來回答網絡空間安全的標準問題,用“安全協同系統工程方法論(SecCSE)”來回答往何處去、怎麼走的問題。構建網絡空間命運共同體是人類共同的心聲,但在大數據驅動的互聯網時代,個體的力量總是有限的,只有嵌入到宏觀協作中,才能發揮整體效益。我們構想,未來網絡空間將在產業預判能力、系統設計能力及協同創新能力上聚焦發力,用系統安全工程方法構建一張“風險驅動的安全價值網絡”(RiskSVN)。這張網絡將實現各方互相協作、共同傳遞安全價值,以正能量維護網絡世界的安全有序。
在這套思路中,有五個關鍵性元素,即:輸入(Input)是安全保障對象;處理(Process)是系統安全工程;控制(Control)是安全參考框架;機制(Mechanism)是安全協同機制;輸出(Output)是安全彈性系統。
輸入是安全保障對象:安全工程與系統工程不一樣,通常有一個需要保障的對象,從測評的角度稱之為“TOE(Testing of Object)”,一切的安全需求都要圍繞著被保護對象展開。保護對象的分解在安全設計中異常重要,這就是前面所說“信息安全是IT 立方的原因”,只有將被保護對象分析得清清楚楚,才能知道安全問題的核心所在,制定的安全措施才能有的放矢。
控制是安全參考框架:安全參考框架是指引性的,碎片化的安全問題需要體系化架構來指導,並由能力驅動的使命架構、體系架構、系統架構來解決,還需要從軍事架構領域引入到安全架構領域,兩者都有對抗性的特點。
機制是安全協同機制:安全協同機制不只是簡單的技術協同,沒有產業協同的經濟利益機制設計,就沒有產品設備層面的技術協同。安全協同機制要以“標準”為基礎,“利益”做牽引。命運共同體即是“利益共同體”,對於一個企業,要推動安全協同機制的有效運轉,一要在技術層面有安全標準制定;二要在運營層面有利益機制設計。並將安全標準對應到系統架構,利益機制對應到使命架構。
處理是系統安全工程:關注“信息安全”和“系統工程”兩個世界的打通,安全測評方法和裝備保障工程融入到系統安全工程,形成測評驅動的系統安全工程。“研製試驗與評價(DT&E) ”和“使用試驗與評價(OT&E) ”兩者全面貫通系統工程生命週期過程,從攻擊中發現防禦之道。
輸出是安全彈性系統:安全智能化和安全自動化是網絡安全的兩個發展趨勢,智能化提高對抗能力,自動化提升便利水平。未來安全可視化和安全智能化將更緊密地結合,可視化將拓展至解決安全問題,而不只是為安全信息特供可視化,人機將更緊密結合,發揮以人為主的形象思維優勢。安全自動化和安全可度量相結合,還將拓展數據驅動的安全自動化。Making Security Measurable 是MITRE的一項標準工程,只有標準化、自動化和智能化才有數據的基礎,協同化網絡才有可能,才能將安全彈性系統構成一張風險驅動的安全價值網絡,實現“你的發現即我的防禦”(圖1)。
圖1 基於系統思維維護網絡安全思路
在馬克思的墓碑上刻有兩行文字:“以往的哲學家只是解釋世界,而問題在於改造世界。”馮·卡門說“科學家研究已有的世界,工程師創造未來的世界。” 安全不僅在於發現問題,更在於解決問題。筆者再次鄭重呼籲,應賦予“網絡安全工程師”新的使命與榮耀,並造就大批量善開拓、有擔當的“紅色安全工程師”,瞭然攻防之道,永存敬畏之心,守護國家安全,用系統工程的方法構建一個更安全的網絡世界。
更多精彩內容,請關注網信軍民融合微信公眾號
雜誌訂閱 雜誌郵發代號:80-875
閱讀更多 網信軍民融合雜誌 的文章
