对网络空间安全建模的系统思考*

严定宇，张宇鹏，陆希玉，曹华平

(国家计算机网络应急技术处理协调中心，北京 100029)

0 引言

自从“网络空间”这一概念提出以来，安全的边界已不仅仅再是由计算机网络创建的虚拟环境，而是扩展到与信息技术直接关联的真实世界[1]。从系统安全，到网络安全，再到网络空间安全，概念范畴的进一步扩大对研究提出了更高的要求。当前对网络空间安全的研究更偏向于对宏观因素(如政策、经济等)解读以及微观技术问题分析，缺乏以整体思维思考网络空间安全问题[2-3]。举例来说，一是如何合理评估防御措施的效果，以及如何组织参与者联合部署协同防御机制以提升网络空间的安全性。尽管国家、企业以及个人在安全防护方面进行了大量的投资，但目前始终难以判断所采取防御措施是否能够真正抵御住可能面对的新型网络攻击。二是无论系统层面、单位层面还是国家层面都缺乏全面、准确的评估手段确认其当前安全状况。当前，网络空间安全领域缺乏一套统一且能被广泛接受的评估和度量体系[4-5]。三是安全研究中常常会忽略网络空间系统的组成部分、因素以及它们间的相互作用。网络空间庞大及复杂的组成部分、要素等极大增加了网络空间安全建模与分析的难度[6]。

面对网络空间安全研究的困难与挑战，系统思维(Systems Thinking)被认为是能帮助研究发展与进步的强大工具[7]。系统思维是一种从宏观整体视角看待问题和现象的思维方式，强调把宏观问题和现象看作是由各类相互交互联系的微观组成部分所构成的复杂系统[8]。系统思维能够为网络空间安全建模提供新颖而全面的视角，来度量和评估网络空间及组成部分的安全特性，揭示网络空间安全的整体发展与演化，并为解决具体安全问题提供参考。因此，本文致力于思考与探寻如何把系统思维与网络空间安全相结合。首先，分析了网络空间安全的主要特征以及建模的挑战，然后，介绍了系统思维以及探索如何把系统思维应用到网络空间安全建模上，最后，利用系统思维，给出了一个网络空间安全建模的框架结构。

1 以复杂系统角度看待网络空间安全

1.1 网络空间安全特征

网络空间可以被视为一个由大量不同类型的组成部分(Component)、影响因素(Factor)相互交互(Interaction)联系构成的复杂动态系统，其整体安全可转化为网络空间安全系统(Cybersecurity System)看待[6]。图1展示了在网络空间安全中各组成部分(如电子信息设备、组织单位、人等)在多个影响因素(如人类因素、信息技术因素等)下相互交互(如攻防过程、社会交往等)的情况。以全景视角看待网络安全空间，以下四个主要特征是在建模过程中必须着重考虑的。

图1 网络空间安全中的主要组成部分、影响因素及其相互作用

(1)复杂性。复杂性是网络空间安全最为显著的特征。一方面，网络空间安全的复杂性体现在组成部分的差异性以及影响因素的多样性。网络空间是一个涉及政治、经济、社会、信息技术等多领域的交叉范畴，其安全问题往往会由不同领域所引发，又会对其他领域产生影响。例如，“震网”行动是美国国家背景的攻击组织发起的针对伊朗核设施的国家级网络攻击，本次攻击服务于政治目的，结果是使得伊朗核试验推迟半年之久，影响到了伊朗相关科技领域。另一方面是网络空间中各个组成部分及其交互关系相当复杂。各个组成部分都可以被当作是复杂子系统[9]。特别是，作为网络空间的核心参与者，人是自然环境、人类社会以及信息技术的交叉点。地理位置、社交情况、行为习惯都会影响人在网络空间中的行为活动以及策略选择，同样这些行为和策略也会影响其他组成部分。

(2)不可预测性。复杂系统往往会导致其外在现象的不可预测[10]。第一，网络空间中参与者的行为、动作以及策略存在不确定性，尤其对于人而言，其非理性的特点是难以通过模型来刻画与预测的。第二，系统和协议中的漏洞和配置错误有时是难以察觉的，使得系统安全性及防御措施有效性的评估难以定量化。第三，网络

空间安全系统会出现涌现现象[11]。涌现现象主要是指微观层面上各组成部分的相互作用会使宏观层面产生新的性质或者现象。因此，当前是很难预测微观层面上某个攻防技术的突破对宏观的网络空间带来的影响与变化。

(3)动态性。全面摸清当前网络空间的安全状态，就必须要对每个组成部分的动态变化有清晰的认识[9]。一方面，每个组成部分的状态以及组成部分间的每次交互过程是随时间变化的。特别是对于参与者，每个时刻的行为、动作和策略都是动态的。另一方面，网络空间安全的动态性是系统涌现的前提条件。相同的环境条件以及同样的输入并不能保证会得到相同的输出结果。

(4)不对称性。在网络空间安全中，攻击者和防御者之间总是存在着不对称[12]。这种不对称性体现在以下三个方面。首先，攻击者是积极主动的，而防御者则处于被动面。一般来说，攻击者在发起攻击前往往会提前做足准备，如漏洞积累、情报收集、武器化等；但防御者却不清楚攻击者的准备工作。此外，以攻击面的角度来看，防御者必须随时保护所有可能的突破点，然而攻击者只需要找到一个有效突破点就能够发起渗透攻击。其次，防御者对防御措施有效性的评估是存在偏差的。正如前文所述，防御者难以分析某一特定防御技术或方法对其所保护系统安全态势的影响，因此防御者无法全面衡量其防御效果。最后，一般来说，攻击成本是低于防御成本的，攻击收益也是大于攻击付出。无论是研究新的防御技术，还是部署网络攻击的预警机制，防御者需要投入大量的资金、人力和资源。然而这些防御技术和机制却不能完全保证能够防御住可能到来的网络攻击。同时，攻击成功所带来的收益要大于攻击付出，无论是黑产组织还是国家级攻击队伍都在不遗余力开展攻击渗透。

1.2 网络空间安全建模的挑战

目前，网络空间安全建模仍处于起步阶段。现有理论模型和方法仅偏向于对安全技术的研究，旨在利用理论模型和方法解决某一特定技术问题[3]。例如，为刻画计算机病毒在网络中的传播扩展现象，研究人员参考流行病学中的仓室模型，构建基于网络化的动力学模型，以研究在网络拓扑条件下如何利用控制手段抑制病毒的传播范围和速率。技术性研究将进一步发展和夯实网络空间安全研究，安全技术问题的建模也将促进网络空间安全建模的研究。目前，对安全技术问题的理论研究仍存在一些困难点：(1)对安全技术问题的形式化表述；(2)对安全技术问题的定量和定性分析的统一；(3)理论指导与安全技术实践的结合。

网络空间安全理论建模除了要考虑安全技术性问题外，还要着重思考网络空间中政治、经济、社会和信息技术的属性，弄清理论、技术、实践等关系。如前文图1所示，网络空间安全被认为是一个相当复杂的系统，其中众多组成部分、因素以及环境领域相互交织。因此，对整个网络空间安全的建模工作要比单纯的安全技术的建模工作要更加复杂和繁琐。以人类因素对网络空间安全的影响举例，人类因素是一般技术性理论建模所不涉及的，但被认为会直接影响网络空间安全状态。研究人员曾调查发现，美国和英国的80%到90%的安全问题是由人为错误所引发的[13]。如何以模型来刻画出人类因素并分析其对网络空间的影响正是建模研究工作的重要挑战之一。一是人在网络空间中往往扮演着多重角色。对于网络系统、产品而言，人既是开发者，同时也是用户；在网络攻防对抗中，人既是攻击者，同时也是防御者。二是网络空间安全中的个体行为方面难以以单一理论来刻画[14]。人类认知偏差、赌徒心理以及个人不同性格等因素都是模型难以涵盖的。同时，个体异质性带来的是个体模型量级的大幅增长，给影响分析带来困难。

网络空间安全研究同样需要关注信息技术领域对真实世界的影响情况，着重关注信息物理系统(Cyber-physical System)层面的问题，尤其是在工业控制系统领域。工业控制系统在金融服务、电力网络、交通和医疗服务等领域中起着信息互联、数据储备等基础性作用，已成为网络攻击的重要目标对象，尤其是高级持续性威胁攻击。除了窃取大量重要敏感数据外，对工控系统攻击倾向于以破坏为目的，影响业务开展，扰乱生活秩序，引起民众恐慌。例如，2015年12月，乌克兰电力网络遭受名为黑暗能量(Black Energy)的攻击组织发起的网络攻击，造成约20多万居民停电约6个小时。因此，由于类似于针对信息物理系统的网络攻击存在，对网络空间安全的评估不能仅仅只局限在信息领域，还要把对真实世界造成的损失纳入考虑范畴。部分研究专家也致力于建立一套安全指标来定义、衡量和量化网络及系统安全[5]，但以网络空间安全的角度，还需要构建更为系统和全面的指标体系。

2 将系统思维应用到网络空间安全建模

2.1 系统思维的内涵

系统思维是一种整体性的研究方法，旨在分析系统的各个组成部分之间是如何相互作用以及作为一个整体产生的涌现及其变化情况[8]。与还原论思维不同，系统思维更强调系统的复杂性、动态性、整体性，以及系统各组成部分的多维性和与历史情况的关联性。系统思维兴起于20世纪初，目前已广泛应用在公共卫生、环境保护、城市管理、国际关系等领域。目前，只有少量研究尝试把系统思维应用到网络空间安全研究上[7]。

系统思维是在当前阶段最适合的网络空间安全建模研究方法之一。它不仅仅是关注网络空间中各特定领域及组成部分情况，而是以网络空间安全为一整个实体去探究其外部表现与内在变化的联系。将这种整体性方法应用到网络空间安全建模中，能够帮助研究人员更清晰认识和理解网络空间安全，弄清各组成部分及其之间的相互作用，预测网络空间安全的演变趋势，从而有效解决网络空间安全问题。系统思维也将有助于扩大网络空间安全研究范围与思考维度，把领域、参与者、环境和影响因素等整合纳入研究范畴。

因此，系统思维要求研究人员在网络空间安全建模时，思考维度要从细节到宏观发现根本性转变。系统思维的技巧方法区别于关注线性和静态的因果关系的传统枚举式或技术性分析方法，更侧重以组成部分间相互作用产生的宏观现象为目的。尽管网络安全技术取得了许多进步，但传统方法难以评估这些技术领域的突破将对整个网络空间带来的影响以及准确预测未来这些安全技术的发展趋势。从系统论的角度来看，网络空间安全建模的目的是提升网络空间整体安全状况，而非为了解决某类特定技术问题。这要求在运用系统思维时，不仅是弥补传统方法的不足，而是站在整体性的视角洞察网络空间安全。

2.2 参与者分析

参与者(Stakeholder)，又称利益相关方，是指能够影响某个特定项目、公司、领域的决策、发展及结果的个人、群体或者组织。对于复杂的网络空间，参与者往往涉及到政治、社会、信息技术等多个领域，与各组成部分相互联系。因此，将系统思维应用到网络空间安全建模的一个重要方面就是开展参与者分析(Stakeholder Analysis)，确定研究目标所涉及参与者以及参与者间的相互关系。

目前，已有少量研究关注网络空间安全中的参与者[15]。参与者分析大致分为以下几大步骤：一是确认研究目标所涉及关键参与者。表1列出了网络空间中五个关键参与者：政府机构、学术界、私营部门、关键信息基础设施以及国内外专业组织。并非所有的参与者都要纳入分析范围，要根据研究目标和分析难度适当选择。二是识别、描述参与者及找到与之相关的其他参与者、组成部分及因素。该步骤是数据及信息收集阶段，需要深入调查、了解各个参与者当前的基本情况。三是建立参与者画像及模型。特别是强调参与者的权利、地位及利益相关点，常使用矩阵、表格等方式进行归纳总结。

表1 网络空间安全的部分参与者

2.3 系统理论与方法

网络空间安全建模致力于以一种更为科学的方法，使网络空间安全更容易表示、定义、量化和理解。对于一个优秀的研究，理论模型和实验分析同样重要。因此，将系统思维应用到网络空间安全建模上的一个难点就是如何根据不同的研究场景及研究目标选择合适的理论和研究方式。

系统思维能够为网络空间安全提供更为适合和有力的理论与工具方法。研究过程中，在系统化理论(如系统论、控制论、博弈论等)的指导下，运用科学工具方法(如网络分析、动力学、代理模型等)分析与实践。表2简要列出了一些曾用于网络安全模型的典型系统化理论和科学工具方法。系统思维拥有丰富的理论武器，能够从特定视角提供一套思考、理念和原则的思维方式。

3 安全问题的系统化建模框架

如前所述，当前对安全建模的工作往往集中在具体的技术问题上，例如计算机病毒模型、网络空间安全经济学分析等。本节提出了一个针对安全问题的系统化建模框架，如图2所示。框图包括五个关键性要素及十一个建模步骤。

图2 针对安全问题的系统化建模框架图

真实世界(Real World)，既包括物理性实体维度，又包括网络空间映射并关联到现实的虚拟面。它既是数学建模中概念、参数及公式的实例化，还能为经验建模提供数据、案例、事件等观测值。

数学建模(Mathematical Modeling)，是一种以数学化的理论和语言把网络空间安全系统表现出的行为转化为精巧公式的理论方法。数学模型的目的是为了以形式化方式展示网络空间安全问题及网络空间安全系统的演变过程。

经验建模(Empirical Modeling)，是一种以网络空间安全系统输出(例如网络流量数据、安全事件、网络犯罪案例等)的观测值为依据建立模型的研究方法。经验模型的目的是找到观测值中的经验规律或特征，用以描述当前网络安全态势以及预测未来发展的趋势。

推理(Inference)，是指通过一系列分析方法和工具进行推断的过程。推理是以某一网络空间安全特定的问题为驱动，带有强烈目的性，去寻找用以解决该问题的最佳方法。

实践(Practice)，是指在分析结果的指导下，对安全问题解决方案开展实施、研究、验证的一系列过程。其属于把分析结果以技术方式开展的研究，旨在把理论分析结论转化成实际的网络空间安全技术或工具，并能够在真实网络空间场景中得以应用。

数学模型和经验模型是网络空间安全建模的两个重要方面。数学模型是对真实网络空间安全系统和场景的抽象化和形式化，而数学建模则是利用多种数学工具实现这类抽象化和形式化的过程。值得注意的是，数学建模以及之后的分析过程都是建立在模型假设的基础上(步骤(1))。因此，数学建模的一个关键问题就是在不同研究场景下，如何找到合适数学语言去构建此类框架，包括具体的数学公式、变量、函数等[3]。数学模型中所采用假设及形式化表述具有一定理想化特点，往往只能解释某部分的现象，难以全面描述整个网络空间安全系统。经验建模主要建立在如安全事件、网络攻击案例、实验结果等网络空间安全系统的输出，这些数据是研究人员从真实世界所观测获取的(步骤(2))[30]。因为观测结果具有一定的偏差性，有些难以以理论或者数学进行解释。虽然这两类建模方法截然不同，但两者却可以相互补充(步骤(3))。经验数据可以为数学建模提供重要的数据实例；反过来，数学模型也能够修正和改进经验模型，减少观测值的偏差。

数学建模及经验建模有助于将复杂网络空间安全问题转化为一个描述性模型，使研究人员能够更容易对问题去刻画、理解及推理。接下来，研究人员需要进一步利用网络空间安全模型，针对某一特定问题去分析、探寻具体的解决方案(Solution)。演绎推理(步骤(4))从数学模型中的假设、公理和方程开始，如果前提符合现实世界的观测情况，演绎推理的结论将具有一定的合理性。相反，归纳推理(步骤(5))则是直接从现实世界的观察值总结归纳得出结论。基于上述两类推理，研究将会得到针对特定网络空间安全问题的解决方案，这些解决方案(如方法、工具等)将以实践形式应用在真实世界(步骤(7))以检验其有效性。

网络空间安全系统的数据具有不可预测性。通过分析式推理获得的安全解决方案是否有效，需要在真实世界的实践中来验证。因此，一个完整的网络空间安全模型需要有来自真实世界的反馈(步骤(8))，为分析式推理提供验证(步骤(9))，并最终为数学建模和经验建模提供修正与改进(步骤(10)和(11))。网络空间安全模型及其分析式推理能够为安全解决方案的实践提供理论支持；反过来，来自实践的反馈也能够验证上述分析结果的有效性并改进当前模型。

4 结论

系统思维能够让研究者以整体、全面的视角去思考网络空间安全的建模问题。一方面，系统思维为网络空间安全提供一个概念框架，充分把组成部分、要素以及它们之间的交互动态结合。采用系统化网络空间安全建模研究充分考虑了之前研究中常常忽略的复杂性、不可预测性、动态性及不对称性等网络空间安全典型特点，将帮助研究人员更全面地刻画、度量、评估网络空间的安全特性，揭示网络空间安全的发展与演化规律。另一方面，通过包含建模、推理、实践分析式框架，系统思维能够为解决特定的网络空间安全问题提供新颖而全面的解决路线，帮助研究人员找到理论与实践的结合点，使技术实践有理论的指导，理论在实践中加以验证并改进网络空间安全模型。尽管系统思维应该被当作网络空间安全建模的必要基础来看待，但将系统思维应用到网络空间安全建模仍有很长的路要走。