一、小白劇場

小白：東哥，前幾次你給我講了網(wǎng)絡空間安全的“八個打”、“七宗罪”、“六個看”、“五個能”、“四個學”和“三個科”，今天講點啥??？

大東：哎呦，還真是，我們已經(jīng)從8講到3了，這次該2啦。前面我們系統(tǒng)性地對網(wǎng)絡空間安全傳統(tǒng)防御和先進防御態(tài)勢特點及其未來演進方向進行了分類，聚焦探討了“黑客”們發(fā)動網(wǎng)絡攻擊時的典型場景和基本原理，闡述了網(wǎng)絡空間安全專業(yè)學科領域分科治學的方法論。

小白：還基于攻防兩條主要線索對網(wǎng)絡安全企業(yè)對整個行業(yè)發(fā)展脈絡的觀測視角展開了分析，同時對專業(yè)學生科研攻堅的四個宏觀方向、走向職場之前必須具備的五項重要能力的塑造提出了若干建議。作為新時代網(wǎng)絡空間安全專業(yè)學生，我深感使命重大。

大東：是的，小白，祖國的未來需要你們這一代建設。但是你想想，還有哪些重要的內(nèi)容我們沒有探討？

小白：嗯，我覺得是情報的博弈，這可是網(wǎng)絡安全領域一塊重要內(nèi)容。

大東：是的，這塊正是我今天要講的內(nèi)容，我把它命名為“兩個情”。

小白：這真是“兩情若是久長時”。

二、話說“兩個情”

小白：東哥，那么“兩個情”包含哪些主要內(nèi)容呢？

大東：網(wǎng)絡安全的世界固然紛繁復雜，然而在前序“從8到3”系列文章的條分縷析、抽絲剝繭般拆解、剖析過程中，不難發(fā)現(xiàn)，網(wǎng)絡安全行業(yè)領域的發(fā)展主線，素來脫不開“攻、防”兩大研究對象的此消彼長。

小白：那“兩個情”體現(xiàn)在哪里呢？

大東：“兩個情”是指：“已知情報”和“未知情報”，它們將網(wǎng)絡空間安全專業(yè)領域看似混沌的情報博弈世界還原為清晰“二元”格局的過程。

小白：哦，“已知情報”和“未知情報”。

大東：小白，你還記得“三個科”嗎？

小白：當然啦，上期剛剛講過。

大東：在“三個科”中，我們提出了空間維的三要素——世情、國情和產(chǎn)情，空間維是兩個情——“已知情報”和“未知情報”的觀測基座。但是，你知道情報的概念嗎小白？

小白：我搜了一下：情報（Intelligence）一詞來源于軍事領域，指的是已獲得的敵方軍事、政治、經(jīng)濟、科學技術、地理等戰(zhàn)略要素情況。

大東：對。網(wǎng)絡空間安全領域的情報，主要是紅藍對抗雙方的威脅情報博弈，博弈的先機源于對情報的預先掌握和精準感知。

小白：這個我理解，這點恰恰契合了《孫子兵法》里“情先于事”的論斷。

大東：優(yōu)秀啊小白，你的理解很到位。談到情報，不得不對其中的“情”字展開分析，情緒、情形、情況都蘊含著變化，如何感知這個變化就可以成為網(wǎng)絡安全研究的重點。

小白：你這么一說，事和情總放一起說，這兩有區(qū)別嗎？

大東：是的。我們說情報的“情”，也可理解為情緒的延伸，實際上暗含了一定的主觀因素，也就是情報主體主觀認為需要獲得的信息，屬于“情報”的范疇，譬如軍事中將領對作戰(zhàn)情報的結(jié)論會直接催動“形”的變化；而客觀因素可側(cè)重理解歸屬于客觀存在的“事件”范疇?！扒椤焙汀笆隆?，可視為網(wǎng)安對抗棋譜的黑白棋子，一以貫之卻不可混淆。

小白：王右軍在《蘭亭集序》里發(fā)出“情隨事遷，感慨系之矣”的喟嘆，豈非說明了事件是情報的載體這樣一個道理？

大東：小白你最近對國學造詣很深?。〉拇_，二者之間更似“思考”和“實踐”的辯證統(tǒng)一關系：知情，是指研判情報提高的是知曉能力，對應思考；而識事，則是了解事件提高的是辨識能力，對應實踐。

小白：學而不思則罔，思而不學則殆。

大東：是的。辨析情報并非瞄準一時的風向，而是要真正看清隱藏在情報與事件背后的規(guī)律，因為矛盾的情報很多，所以這一點反而很難實現(xiàn)；此外，辨析主體的價值觀也會對情報博弈的過程和結(jié)果產(chǎn)生影響。有時，囿于情報主體的具體處境、認知狀態(tài)等因素，其辨析能力境界稍顯遜色，因此情報的挑戰(zhàn)在于知的能力，也就是發(fā)現(xiàn)的能力。

小白：哦，我學過異常行為發(fā)現(xiàn)，是說這個發(fā)現(xiàn)嗎？

大東：可以這么認識，全面地料敵于先、謀敵在前，更迅速地掌握威脅情報博弈的價值陣地，更科學地根據(jù)威脅對象、威脅來源、威脅方法對威脅情報進行分類拆解，進而針對攻擊面、攻擊者、攻擊手段、攻擊態(tài)勢開展精準布局，才能夠?qū)崿F(xiàn)運籌帷幄、算無遺策的威脅情報博弈目的。

小白：談笑間，檣櫓灰飛煙滅。

大東：哈哈。因此，“兩個情”的“兩”就重點著眼在“已知”和“未知”，可分為四個象限，分別是：已知的已知，已知的未知，未知的已知，未知的未知。

小白：好像繞口令啊，這個怎么理解？

大東：可從是否知己知彼的角度思考，譬如已知的未知就是已知己方的脆弱性，未知彼方的攻擊方法。從這四個象限來感知情報就可以持續(xù)性提升異常發(fā)現(xiàn)能力，從而逐步達成準確研判。

小白：原來如此，明白了東哥。

三、大話始末

大東：“兩個情”方法論的深層邏輯，可以引導各類組織通過威脅情報博弈能力的逐級躍遷，讓小到企業(yè)、單位，大到地區(qū)、國家，因地制宜掌握網(wǎng)絡威脅情報研判的理論依據(jù)和實操抓手。

小白：我覺得現(xiàn)實中的威脅情報博弈之所以對很多單位造成較大困擾，主要是原因是“不可見”——正因為威脅情報看不見、摸不著，才導致大量的“事后諸葛亮”，甚至遭受網(wǎng)絡攻擊后依然不知道被攻擊的尷尬境況。

大東：正是，小白進步很大。對于網(wǎng)安對抗雙方來說，威脅情報先知可以視為一種“單向透明”能力優(yōu)勢。這種能力的體系化建設可以從標準統(tǒng)一和深化外延兩個方面著手。譬如，標準統(tǒng)一目前產(chǎn)業(yè)界和學術界都在做威脅情報的標準制定，而我認為標準應該更加宏觀的、從用戶視角對網(wǎng)安領域做標準模型統(tǒng)一。譬如，“數(shù)字中國”包括數(shù)字鄉(xiāng)村、數(shù)字政府、數(shù)字經(jīng)濟等等，那么數(shù)字中國的網(wǎng)絡安全就可以建設一套網(wǎng)安指標體系標準系統(tǒng)化設計，這套體系的目標應該可以讓客體對象具有數(shù)字安全高韌性，進而實現(xiàn)數(shù)字安全領導力。

小白：東哥，這不就是你上次提及的網(wǎng)安對號領導力模型嗎，原來是從指標角度著手。

大東：此外，從深化外延的角度來看，站得高才能看得遠，看得遠才能看得見更多看不見的情報，因此情報的先知也應重點考慮聯(lián)合，從企業(yè)、單位的聯(lián)合，到地區(qū)、國家的聯(lián)合，只要實現(xiàn)有效聯(lián)合，就可以形成與時俱進的情報先知能力。

四、小白內(nèi)心說

小白：威脅情報的博弈，確實需要著重思考，這次課受益匪淺。從“八個打”到“兩個情”，東哥的網(wǎng)安理念研討課經(jīng)歷了從具象到抽象、從聚焦到收斂的總體脈絡，下一期要講“1”啦，我覺得應該是講安全事件，這個該怎么學習啊，想一想很難，期待哦！

來源：中國科學院信息工程研究所

本賬號稿件默認開啟微信“快捷轉(zhuǎn)載”

轉(zhuǎn)載請注明出處

其他渠道轉(zhuǎn)載請聯(lián)系 weibo@cashq.ac.cn