對網(wǎng)絡(luò)空間安全建模的系統(tǒng)思考*

嚴(yán)定宇，張宇鵬，陸希玉，曹華平

(國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心，北京 100029)

0 引言

自從“網(wǎng)絡(luò)空間”這一概念提出以來，安全的邊界已不僅僅再是由計算機網(wǎng)絡(luò)創(chuàng)建的虛擬環(huán)境，而是擴展到與信息技術(shù)直接關(guān)聯(lián)的真實世界[1]。從系統(tǒng)安全，到網(wǎng)絡(luò)安全，再到網(wǎng)絡(luò)空間安全，概念范疇的進(jìn)一步擴大對研究提出了更高的要求。當(dāng)前對網(wǎng)絡(luò)空間安全的研究更偏向于對宏觀因素(如政策、經(jīng)濟等)解讀以及微觀技術(shù)問題分析，缺乏以整體思維思考網(wǎng)絡(luò)空間安全問題[2-3]。舉例來說，一是如何合理評估防御措施的效果，以及如何組織參與者聯(lián)合部署協(xié)同防御機制以提升網(wǎng)絡(luò)空間的安全性。盡管國家、企業(yè)以及個人在安全防護(hù)方面進(jìn)行了大量的投資，但目前始終難以判斷所采取防御措施是否能夠真正抵御住可能面對的新型網(wǎng)絡(luò)攻擊。二是無論系統(tǒng)層面、單位層面還是國家層面都缺乏全面、準(zhǔn)確的評估手段確認(rèn)其當(dāng)前安全狀況。當(dāng)前，網(wǎng)絡(luò)空間安全領(lǐng)域缺乏一套統(tǒng)一且能被廣泛接受的評估和度量體系[4-5]。三是安全研究中常常會忽略網(wǎng)絡(luò)空間系統(tǒng)的組成部分、因素以及它們間的相互作用。網(wǎng)絡(luò)空間龐大及復(fù)雜的組成部分、要素等極大增加了網(wǎng)絡(luò)空間安全建模與分析的難度[6]。

面對網(wǎng)絡(luò)空間安全研究的困難與挑戰(zhàn)，系統(tǒng)思維(Systems Thinking)被認(rèn)為是能幫助研究發(fā)展與進(jìn)步的強大工具[7]。系統(tǒng)思維是一種從宏觀整體視角看待問題和現(xiàn)象的思維方式，強調(diào)把宏觀問題和現(xiàn)象看作是由各類相互交互聯(lián)系的微觀組成部分所構(gòu)成的復(fù)雜系統(tǒng)[8]。系統(tǒng)思維能夠為網(wǎng)絡(luò)空間安全建模提供新穎而全面的視角，來度量和評估網(wǎng)絡(luò)空間及組成部分的安全特性，揭示網(wǎng)絡(luò)空間安全的整體發(fā)展與演化，并為解決具體安全問題提供參考。因此，本文致力于思考與探尋如何把系統(tǒng)思維與網(wǎng)絡(luò)空間安全相結(jié)合。首先，分析了網(wǎng)絡(luò)空間安全的主要特征以及建模的挑戰(zhàn)，然后，介紹了系統(tǒng)思維以及探索如何把系統(tǒng)思維應(yīng)用到網(wǎng)絡(luò)空間安全建模上，最后，利用系統(tǒng)思維，給出了一個網(wǎng)絡(luò)空間安全建模的框架結(jié)構(gòu)。

1 以復(fù)雜系統(tǒng)角度看待網(wǎng)絡(luò)空間安全

1.1 網(wǎng)絡(luò)空間安全特征

網(wǎng)絡(luò)空間可以被視為一個由大量不同類型的組成部分(Component)、影響因素(Factor)相互交互(Interaction)聯(lián)系構(gòu)成的復(fù)雜動態(tài)系統(tǒng)，其整體安全可轉(zhuǎn)化為網(wǎng)絡(luò)空間安全系統(tǒng)(Cybersecurity System)看待[6]。圖1展示了在網(wǎng)絡(luò)空間安全中各組成部分(如電子信息設(shè)備、組織單位、人等)在多個影響因素(如人類因素、信息技術(shù)因素等)下相互交互(如攻防過程、社會交往等)的情況。以全景視角看待網(wǎng)絡(luò)安全空間，以下四個主要特征是在建模過程中必須著重考慮的。

圖1 網(wǎng)絡(luò)空間安全中的主要組成部分、影響因素及其相互作用

(1)復(fù)雜性。復(fù)雜性是網(wǎng)絡(luò)空間安全最為顯著的特征。一方面，網(wǎng)絡(luò)空間安全的復(fù)雜性體現(xiàn)在組成部分的差異性以及影響因素的多樣性。網(wǎng)絡(luò)空間是一個涉及政治、經(jīng)濟、社會、信息技術(shù)等多領(lǐng)域的交叉范疇，其安全問題往往會由不同領(lǐng)域所引發(fā)，又會對其他領(lǐng)域產(chǎn)生影響。例如，“震網(wǎng)”行動是美國國家背景的攻擊組織發(fā)起的針對伊朗核設(shè)施的國家級網(wǎng)絡(luò)攻擊，本次攻擊服務(wù)于政治目的，結(jié)果是使得伊朗核試驗推遲半年之久，影響到了伊朗相關(guān)科技領(lǐng)域。另一方面是網(wǎng)絡(luò)空間中各個組成部分及其交互關(guān)系相當(dāng)復(fù)雜。各個組成部分都可以被當(dāng)作是復(fù)雜子系統(tǒng)[9]。特別是，作為網(wǎng)絡(luò)空間的核心參與者，人是自然環(huán)境、人類社會以及信息技術(shù)的交叉點。地理位置、社交情況、行為習(xí)慣都會影響人在網(wǎng)絡(luò)空間中的行為活動以及策略選擇，同樣這些行為和策略也會影響其他組成部分。

(2)不可預(yù)測性。復(fù)雜系統(tǒng)往往會導(dǎo)致其外在現(xiàn)象的不可預(yù)測[10]。第一，網(wǎng)絡(luò)空間中參與者的行為、動作以及策略存在不確定性，尤其對于人而言，其非理性的特點是難以通過模型來刻畫與預(yù)測的。第二，系統(tǒng)和協(xié)議中的漏洞和配置錯誤有時是難以察覺的，使得系統(tǒng)安全性及防御措施有效性的評估難以定量化。第三，網(wǎng)絡(luò)

空間安全系統(tǒng)會出現(xiàn)涌現(xiàn)現(xiàn)象[11]。涌現(xiàn)現(xiàn)象主要是指微觀層面上各組成部分的相互作用會使宏觀層面產(chǎn)生新的性質(zhì)或者現(xiàn)象。因此，當(dāng)前是很難預(yù)測微觀層面上某個攻防技術(shù)的突破對宏觀的網(wǎng)絡(luò)空間帶來的影響與變化。

(3)動態(tài)性。全面摸清當(dāng)前網(wǎng)絡(luò)空間的安全狀態(tài)，就必須要對每個組成部分的動態(tài)變化有清晰的認(rèn)識[9]。一方面，每個組成部分的狀態(tài)以及組成部分間的每次交互過程是隨時間變化的。特別是對于參與者，每個時刻的行為、動作和策略都是動態(tài)的。另一方面，網(wǎng)絡(luò)空間安全的動態(tài)性是系統(tǒng)涌現(xiàn)的前提條件。相同的環(huán)境條件以及同樣的輸入并不能保證會得到相同的輸出結(jié)果。

(4)不對稱性。在網(wǎng)絡(luò)空間安全中，攻擊者和防御者之間總是存在著不對稱[12]。這種不對稱性體現(xiàn)在以下三個方面。首先，攻擊者是積極主動的，而防御者則處于被動面。一般來說，攻擊者在發(fā)起攻擊前往往會提前做足準(zhǔn)備，如漏洞積累、情報收集、武器化等；但防御者卻不清楚攻擊者的準(zhǔn)備工作。此外，以攻擊面的角度來看，防御者必須隨時保護(hù)所有可能的突破點，然而攻擊者只需要找到一個有效突破點就能夠發(fā)起滲透攻擊。其次，防御者對防御措施有效性的評估是存在偏差的。正如前文所述，防御者難以分析某一特定防御技術(shù)或方法對其所保護(hù)系統(tǒng)安全態(tài)勢的影響，因此防御者無法全面衡量其防御效果。最后，一般來說，攻擊成本是低于防御成本的，攻擊收益也是大于攻擊付出。無論是研究新的防御技術(shù)，還是部署網(wǎng)絡(luò)攻擊的預(yù)警機制，防御者需要投入大量的資金、人力和資源。然而這些防御技術(shù)和機制卻不能完全保證能夠防御住可能到來的網(wǎng)絡(luò)攻擊。同時，攻擊成功所帶來的收益要大于攻擊付出，無論是黑產(chǎn)組織還是國家級攻擊隊伍都在不遺余力開展攻擊滲透。

1.2 網(wǎng)絡(luò)空間安全建模的挑戰(zhàn)

目前，網(wǎng)絡(luò)空間安全建模仍處于起步階段。現(xiàn)有理論模型和方法僅偏向于對安全技術(shù)的研究，旨在利用理論模型和方法解決某一特定技術(shù)問題[3]。例如，為刻畫計算機病毒在網(wǎng)絡(luò)中的傳播擴展現(xiàn)象，研究人員參考流行病學(xué)中的倉室模型，構(gòu)建基于網(wǎng)絡(luò)化的動力學(xué)模型，以研究在網(wǎng)絡(luò)拓?fù)錀l件下如何利用控制手段抑制病毒的傳播范圍和速率。技術(shù)性研究將進(jìn)一步發(fā)展和夯實網(wǎng)絡(luò)空間安全研究，安全技術(shù)問題的建模也將促進(jìn)網(wǎng)絡(luò)空間安全建模的研究。目前，對安全技術(shù)問題的理論研究仍存在一些困難點：(1)對安全技術(shù)問題的形式化表述；(2)對安全技術(shù)問題的定量和定性分析的統(tǒng)一；(3)理論指導(dǎo)與安全技術(shù)實踐的結(jié)合。

網(wǎng)絡(luò)空間安全理論建模除了要考慮安全技術(shù)性問題外，還要著重思考網(wǎng)絡(luò)空間中政治、經(jīng)濟、社會和信息技術(shù)的屬性，弄清理論、技術(shù)、實踐等關(guān)系。如前文圖1所示，網(wǎng)絡(luò)空間安全被認(rèn)為是一個相當(dāng)復(fù)雜的系統(tǒng)，其中眾多組成部分、因素以及環(huán)境領(lǐng)域相互交織。因此，對整個網(wǎng)絡(luò)空間安全的建模工作要比單純的安全技術(shù)的建模工作要更加復(fù)雜和繁瑣。以人類因素對網(wǎng)絡(luò)空間安全的影響舉例，人類因素是一般技術(shù)性理論建模所不涉及的，但被認(rèn)為會直接影響網(wǎng)絡(luò)空間安全狀態(tài)。研究人員曾調(diào)查發(fā)現(xiàn)，美國和英國的80%到90%的安全問題是由人為錯誤所引發(fā)的[13]。如何以模型來刻畫出人類因素并分析其對網(wǎng)絡(luò)空間的影響正是建模研究工作的重要挑戰(zhàn)之一。一是人在網(wǎng)絡(luò)空間中往往扮演著多重角色。對于網(wǎng)絡(luò)系統(tǒng)、產(chǎn)品而言，人既是開發(fā)者，同時也是用戶；在網(wǎng)絡(luò)攻防對抗中，人既是攻擊者，同時也是防御者。二是網(wǎng)絡(luò)空間安全中的個體行為方面難以以單一理論來刻畫[14]。人類認(rèn)知偏差、賭徒心理以及個人不同性格等因素都是模型難以涵蓋的。同時，個體異質(zhì)性帶來的是個體模型量級的大幅增長，給影響分析帶來困難。

網(wǎng)絡(luò)空間安全研究同樣需要關(guān)注信息技術(shù)領(lǐng)域?qū)φ鎸嵤澜绲挠绊懬闆r，著重關(guān)注信息物理系統(tǒng)(Cyber-physical System)層面的問題，尤其是在工業(yè)控制系統(tǒng)領(lǐng)域。工業(yè)控制系統(tǒng)在金融服務(wù)、電力網(wǎng)絡(luò)、交通和醫(yī)療服務(wù)等領(lǐng)域中起著信息互聯(lián)、數(shù)據(jù)儲備等基礎(chǔ)性作用，已成為網(wǎng)絡(luò)攻擊的重要目標(biāo)對象，尤其是高級持續(xù)性威脅攻擊。除了竊取大量重要敏感數(shù)據(jù)外，對工控系統(tǒng)攻擊傾向于以破壞為目的，影響業(yè)務(wù)開展，擾亂生活秩序，引起民眾恐慌。例如，2015年12月，烏克蘭電力網(wǎng)絡(luò)遭受名為黑暗能量(Black Energy)的攻擊組織發(fā)起的網(wǎng)絡(luò)攻擊，造成約20多萬居民停電約6個小時。因此，由于類似于針對信息物理系統(tǒng)的網(wǎng)絡(luò)攻擊存在，對網(wǎng)絡(luò)空間安全的評估不能僅僅只局限在信息領(lǐng)域，還要把對真實世界造成的損失納入考慮范疇。部分研究專家也致力于建立一套安全指標(biāo)來定義、衡量和量化網(wǎng)絡(luò)及系統(tǒng)安全[5]，但以網(wǎng)絡(luò)空間安全的角度，還需要構(gòu)建更為系統(tǒng)和全面的指標(biāo)體系。

2 將系統(tǒng)思維應(yīng)用到網(wǎng)絡(luò)空間安全建模

2.1 系統(tǒng)思維的內(nèi)涵

系統(tǒng)思維是一種整體性的研究方法，旨在分析系統(tǒng)的各個組成部分之間是如何相互作用以及作為一個整體產(chǎn)生的涌現(xiàn)及其變化情況[8]。與還原論思維不同，系統(tǒng)思維更強調(diào)系統(tǒng)的復(fù)雜性、動態(tài)性、整體性，以及系統(tǒng)各組成部分的多維性和與歷史情況的關(guān)聯(lián)性。系統(tǒng)思維興起于20世紀(jì)初，目前已廣泛應(yīng)用在公共衛(wèi)生、環(huán)境保護(hù)、城市管理、國際關(guān)系等領(lǐng)域。目前，只有少量研究嘗試把系統(tǒng)思維應(yīng)用到網(wǎng)絡(luò)空間安全研究上[7]。

系統(tǒng)思維是在當(dāng)前階段最適合的網(wǎng)絡(luò)空間安全建模研究方法之一。它不僅僅是關(guān)注網(wǎng)絡(luò)空間中各特定領(lǐng)域及組成部分情況，而是以網(wǎng)絡(luò)空間安全為一整個實體去探究其外部表現(xiàn)與內(nèi)在變化的聯(lián)系。將這種整體性方法應(yīng)用到網(wǎng)絡(luò)空間安全建模中，能夠幫助研究人員更清晰認(rèn)識和理解網(wǎng)絡(luò)空間安全，弄清各組成部分及其之間的相互作用，預(yù)測網(wǎng)絡(luò)空間安全的演變趨勢，從而有效解決網(wǎng)絡(luò)空間安全問題。系統(tǒng)思維也將有助于擴大網(wǎng)絡(luò)空間安全研究范圍與思考維度，把領(lǐng)域、參與者、環(huán)境和影響因素等整合納入研究范疇。

因此，系統(tǒng)思維要求研究人員在網(wǎng)絡(luò)空間安全建模時，思考維度要從細(xì)節(jié)到宏觀發(fā)現(xiàn)根本性轉(zhuǎn)變。系統(tǒng)思維的技巧方法區(qū)別于關(guān)注線性和靜態(tài)的因果關(guān)系的傳統(tǒng)枚舉式或技術(shù)性分析方法，更側(cè)重以組成部分間相互作用產(chǎn)生的宏觀現(xiàn)象為目的。盡管網(wǎng)絡(luò)安全技術(shù)取得了許多進(jìn)步，但傳統(tǒng)方法難以評估這些技術(shù)領(lǐng)域的突破將對整個網(wǎng)絡(luò)空間帶來的影響以及準(zhǔn)確預(yù)測未來這些安全技術(shù)的發(fā)展趨勢。從系統(tǒng)論的角度來看，網(wǎng)絡(luò)空間安全建模的目的是提升網(wǎng)絡(luò)空間整體安全狀況，而非為了解決某類特定技術(shù)問題。這要求在運用系統(tǒng)思維時，不僅是彌補傳統(tǒng)方法的不足，而是站在整體性的視角洞察網(wǎng)絡(luò)空間安全。

2.2 參與者分析

參與者(Stakeholder)，又稱利益相關(guān)方，是指能夠影響某個特定項目、公司、領(lǐng)域的決策、發(fā)展及結(jié)果的個人、群體或者組織。對于復(fù)雜的網(wǎng)絡(luò)空間，參與者往往涉及到政治、社會、信息技術(shù)等多個領(lǐng)域，與各組成部分相互聯(lián)系。因此，將系統(tǒng)思維應(yīng)用到網(wǎng)絡(luò)空間安全建模的一個重要方面就是開展參與者分析(Stakeholder Analysis)，確定研究目標(biāo)所涉及參與者以及參與者間的相互關(guān)系。

目前，已有少量研究關(guān)注網(wǎng)絡(luò)空間安全中的參與者[15]。參與者分析大致分為以下幾大步驟：一是確認(rèn)研究目標(biāo)所涉及關(guān)鍵參與者。表1列出了網(wǎng)絡(luò)空間中五個關(guān)鍵參與者：政府機構(gòu)、學(xué)術(shù)界、私營部門、關(guān)鍵信息基礎(chǔ)設(shè)施以及國內(nèi)外專業(yè)組織。并非所有的參與者都要納入分析范圍，要根據(jù)研究目標(biāo)和分析難度適當(dāng)選擇。二是識別、描述參與者及找到與之相關(guān)的其他參與者、組成部分及因素。該步驟是數(shù)據(jù)及信息收集階段，需要深入調(diào)查、了解各個參與者當(dāng)前的基本情況。三是建立參與者畫像及模型。特別是強調(diào)參與者的權(quán)利、地位及利益相關(guān)點，常使用矩陣、表格等方式進(jìn)行歸納總結(jié)。

表1 網(wǎng)絡(luò)空間安全的部分參與者

2.3 系統(tǒng)理論與方法

網(wǎng)絡(luò)空間安全建模致力于以一種更為科學(xué)的方法，使網(wǎng)絡(luò)空間安全更容易表示、定義、量化和理解。對于一個優(yōu)秀的研究，理論模型和實驗分析同樣重要。因此，將系統(tǒng)思維應(yīng)用到網(wǎng)絡(luò)空間安全建模上的一個難點就是如何根據(jù)不同的研究場景及研究目標(biāo)選擇合適的理論和研究方式。

系統(tǒng)思維能夠為網(wǎng)絡(luò)空間安全提供更為適合和有力的理論與工具方法。研究過程中，在系統(tǒng)化理論(如系統(tǒng)論、控制論、博弈論等)的指導(dǎo)下，運用科學(xué)工具方法(如網(wǎng)絡(luò)分析、動力學(xué)、代理模型等)分析與實踐。表2簡要列出了一些曾用于網(wǎng)絡(luò)安全模型的典型系統(tǒng)化理論和科學(xué)工具方法。系統(tǒng)思維擁有豐富的理論武器，能夠從特定視角提供一套思考、理念和原則的思維方式。

3 安全問題的系統(tǒng)化建模框架

如前所述，當(dāng)前對安全建模的工作往往集中在具體的技術(shù)問題上，例如計算機病毒模型、網(wǎng)絡(luò)空間安全經(jīng)濟學(xué)分析等。本節(jié)提出了一個針對安全問題的系統(tǒng)化建?？蚣?，如圖2所示。框圖包括五個關(guān)鍵性要素及十一個建模步驟。

圖2 針對安全問題的系統(tǒng)化建?？蚣軋D

真實世界(Real World)，既包括物理性實體維度，又包括網(wǎng)絡(luò)空間映射并關(guān)聯(lián)到現(xiàn)實的虛擬面。它既是數(shù)學(xué)建模中概念、參數(shù)及公式的實例化，還能為經(jīng)驗建模提供數(shù)據(jù)、案例、事件等觀測值。

數(shù)學(xué)建模(Mathematical Modeling)，是一種以數(shù)學(xué)化的理論和語言把網(wǎng)絡(luò)空間安全系統(tǒng)表現(xiàn)出的行為轉(zhuǎn)化為精巧公式的理論方法。數(shù)學(xué)模型的目的是為了以形式化方式展示網(wǎng)絡(luò)空間安全問題及網(wǎng)絡(luò)空間安全系統(tǒng)的演變過程。

經(jīng)驗建模(Empirical Modeling)，是一種以網(wǎng)絡(luò)空間安全系統(tǒng)輸出(例如網(wǎng)絡(luò)流量數(shù)據(jù)、安全事件、網(wǎng)絡(luò)犯罪案例等)的觀測值為依據(jù)建立模型的研究方法。經(jīng)驗?zāi)Ｐ偷哪康氖钦业接^測值中的經(jīng)驗規(guī)律或特征，用以描述當(dāng)前網(wǎng)絡(luò)安全態(tài)勢以及預(yù)測未來發(fā)展的趨勢。

推理(Inference)，是指通過一系列分析方法和工具進(jìn)行推斷的過程。推理是以某一網(wǎng)絡(luò)空間安全特定的問題為驅(qū)動，帶有強烈目的性，去尋找用以解決該問題的最佳方法。

實踐(Practice)，是指在分析結(jié)果的指導(dǎo)下，對安全問題解決方案開展實施、研究、驗證的一系列過程。其屬于把分析結(jié)果以技術(shù)方式開展的研究，旨在把理論分析結(jié)論轉(zhuǎn)化成實際的網(wǎng)絡(luò)空間安全技術(shù)或工具，并能夠在真實網(wǎng)絡(luò)空間場景中得以應(yīng)用。

數(shù)學(xué)模型和經(jīng)驗?zāi)Ｐ褪蔷W(wǎng)絡(luò)空間安全建模的兩個重要方面。數(shù)學(xué)模型是對真實網(wǎng)絡(luò)空間安全系統(tǒng)和場景的抽象化和形式化，而數(shù)學(xué)建模則是利用多種數(shù)學(xué)工具實現(xiàn)這類抽象化和形式化的過程。值得注意的是，數(shù)學(xué)建模以及之后的分析過程都是建立在模型假設(shè)的基礎(chǔ)上(步驟(1))。因此，數(shù)學(xué)建模的一個關(guān)鍵問題就是在不同研究場景下，如何找到合適數(shù)學(xué)語言去構(gòu)建此類框架，包括具體的數(shù)學(xué)公式、變量、函數(shù)等[3]。數(shù)學(xué)模型中所采用假設(shè)及形式化表述具有一定理想化特點，往往只能解釋某部分的現(xiàn)象，難以全面描述整個網(wǎng)絡(luò)空間安全系統(tǒng)。經(jīng)驗建模主要建立在如安全事件、網(wǎng)絡(luò)攻擊案例、實驗結(jié)果等網(wǎng)絡(luò)空間安全系統(tǒng)的輸出，這些數(shù)據(jù)是研究人員從真實世界所觀測獲取的(步驟(2))[30]。因為觀測結(jié)果具有一定的偏差性，有些難以以理論或者數(shù)學(xué)進(jìn)行解釋。雖然這兩類建模方法截然不同，但兩者卻可以相互補充(步驟(3))。經(jīng)驗數(shù)據(jù)可以為數(shù)學(xué)建模提供重要的數(shù)據(jù)實例；反過來，數(shù)學(xué)模型也能夠修正和改進(jìn)經(jīng)驗?zāi)Ｐ停瑴p少觀測值的偏差。

數(shù)學(xué)建模及經(jīng)驗建模有助于將復(fù)雜網(wǎng)絡(luò)空間安全問題轉(zhuǎn)化為一個描述性模型，使研究人員能夠更容易對問題去刻畫、理解及推理。接下來，研究人員需要進(jìn)一步利用網(wǎng)絡(luò)空間安全模型，針對某一特定問題去分析、探尋具體的解決方案(Solution)。演繹推理(步驟(4))從數(shù)學(xué)模型中的假設(shè)、公理和方程開始，如果前提符合現(xiàn)實世界的觀測情況，演繹推理的結(jié)論將具有一定的合理性。相反，歸納推理(步驟(5))則是直接從現(xiàn)實世界的觀察值總結(jié)歸納得出結(jié)論?；谏鲜鰞深愅评?，研究將會得到針對特定網(wǎng)絡(luò)空間安全問題的解決方案，這些解決方案(如方法、工具等)將以實踐形式應(yīng)用在真實世界(步驟(7))以檢驗其有效性。

網(wǎng)絡(luò)空間安全系統(tǒng)的數(shù)據(jù)具有不可預(yù)測性。通過分析式推理獲得的安全解決方案是否有效，需要在真實世界的實踐中來驗證。因此，一個完整的網(wǎng)絡(luò)空間安全模型需要有來自真實世界的反饋(步驟(8))，為分析式推理提供驗證(步驟(9))，并最終為數(shù)學(xué)建模和經(jīng)驗建模提供修正與改進(jìn)(步驟(10)和(11))。網(wǎng)絡(luò)空間安全模型及其分析式推理能夠為安全解決方案的實踐提供理論支持；反過來，來自實踐的反饋也能夠驗證上述分析結(jié)果的有效性并改進(jìn)當(dāng)前模型。

4 結(jié)論

系統(tǒng)思維能夠讓研究者以整體、全面的視角去思考網(wǎng)絡(luò)空間安全的建模問題。一方面，系統(tǒng)思維為網(wǎng)絡(luò)空間安全提供一個概念框架，充分把組成部分、要素以及它們之間的交互動態(tài)結(jié)合。采用系統(tǒng)化網(wǎng)絡(luò)空間安全建模研究充分考慮了之前研究中常常忽略的復(fù)雜性、不可預(yù)測性、動態(tài)性及不對稱性等網(wǎng)絡(luò)空間安全典型特點，將幫助研究人員更全面地刻畫、度量、評估網(wǎng)絡(luò)空間的安全特性，揭示網(wǎng)絡(luò)空間安全的發(fā)展與演化規(guī)律。另一方面，通過包含建模、推理、實踐分析式框架，系統(tǒng)思維能夠為解決特定的網(wǎng)絡(luò)空間安全問題提供新穎而全面的解決路線，幫助研究人員找到理論與實踐的結(jié)合點，使技術(shù)實踐有理論的指導(dǎo)，理論在實踐中加以驗證并改進(jìn)網(wǎng)絡(luò)空間安全模型。盡管系統(tǒng)思維應(yīng)該被當(dāng)作網(wǎng)絡(luò)空間安全建模的必要基礎(chǔ)來看待，但將系統(tǒng)思維應(yīng)用到網(wǎng)絡(luò)空間安全建模仍有很長的路要走。