嚴(yán)定宇，張宇鵬，陸希玉，曹華平

(國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心，北京 100029)

0 引言

自從“網(wǎng)絡(luò)空間”這一概念提出以來，安全的邊界已不僅僅再是由計(jì)算機(jī)網(wǎng)絡(luò)創(chuàng)建的虛擬環(huán)境，而是擴(kuò)展到與信息技術(shù)直接關(guān)聯(lián)的真實(shí)世界[1]。從系統(tǒng)安全，到網(wǎng)絡(luò)安全，再到網(wǎng)絡(luò)空間安全，概念范疇的進(jìn)一步擴(kuò)大對(duì)研究提出了更高的要求。當(dāng)前對(duì)網(wǎng)絡(luò)空間安全的研究更偏向于對(duì)宏觀因素(如政策、經(jīng)濟(jì)等)解讀以及微觀技術(shù)問題分析，缺乏以整體思維思考網(wǎng)絡(luò)空間安全問題[2-3]。舉例來說，一是如何合理評(píng)估防御措施的效果，以及如何組織參與者聯(lián)合部署協(xié)同防御機(jī)制以提升網(wǎng)絡(luò)空間的安全性。盡管國(guó)家、企業(yè)以及個(gè)人在安全防護(hù)方面進(jìn)行了大量的投資，但目前始終難以判斷所采取防御措施是否能夠真正抵御住可能面對(duì)的新型網(wǎng)絡(luò)攻擊。二是無論系統(tǒng)層面、單位層面還是國(guó)家層面都缺乏全面、準(zhǔn)確的評(píng)估手段確認(rèn)其當(dāng)前安全狀況。當(dāng)前，網(wǎng)絡(luò)空間安全領(lǐng)域缺乏一套統(tǒng)一且能被廣泛接受的評(píng)估和度量體系[4-5]。三是安全研究中常常會(huì)忽略網(wǎng)絡(luò)空間系統(tǒng)的組成部分、因素以及它們間的相互作用。網(wǎng)絡(luò)空間龐大及復(fù)雜的組成部分、要素等極大增加了網(wǎng)絡(luò)空間安全建模與分析的難度[6]。

面對(duì)網(wǎng)絡(luò)空間安全研究的困難與挑戰(zhàn)，系統(tǒng)思維(Systems Thinking)被認(rèn)為是能幫助研究發(fā)展與進(jìn)步的強(qiáng)大工具[7]。系統(tǒng)思維是一種從宏觀整體視角看待問題和現(xiàn)象的思維方式，強(qiáng)調(diào)把宏觀問題和現(xiàn)象看作是由各類相互交互聯(lián)系的微觀組成部分所構(gòu)成的復(fù)雜系統(tǒng)[8]。系統(tǒng)思維能夠?yàn)榫W(wǎng)絡(luò)空間安全建模提供新穎而全面的視角，來度量和評(píng)估網(wǎng)絡(luò)空間及組成部分的安全特性，揭示網(wǎng)絡(luò)空間安全的整體發(fā)展與演化，并為解決具體安全問題提供參考。因此，本文致力于思考與探尋如何把系統(tǒng)思維與網(wǎng)絡(luò)空間安全相結(jié)合。首先，分析了網(wǎng)絡(luò)空間安全的主要特征以及建模的挑戰(zhàn)，然后，介紹了系統(tǒng)思維以及探索如何把系統(tǒng)思維應(yīng)用到網(wǎng)絡(luò)空間安全建模上，最后，利用系統(tǒng)思維，給出了一個(gè)網(wǎng)絡(luò)空間安全建模的框架結(jié)構(gòu)。

1 以復(fù)雜系統(tǒng)角度看待網(wǎng)絡(luò)空間安全

1.1 網(wǎng)絡(luò)空間安全特征

網(wǎng)絡(luò)空間可以被視為一個(gè)由大量不同類型的組成部分(Component)、影響因素(Factor)相互交互(Interaction)聯(lián)系構(gòu)成的復(fù)雜動(dòng)態(tài)系統(tǒng)，其整體安全可轉(zhuǎn)化為網(wǎng)絡(luò)空間安全系統(tǒng)(Cybersecurity System)看待[6]。圖1展示了在網(wǎng)絡(luò)空間安全中各組成部分(如電子信息設(shè)備、組織單位、人等)在多個(gè)影響因素(如人類因素、信息技術(shù)因素等)下相互交互(如攻防過程、社會(huì)交往等)的情況。以全景視角看待網(wǎng)絡(luò)安全空間，以下四個(gè)主要特征是在建模過程中必須著重考慮的。

圖1 網(wǎng)絡(luò)空間安全中的主要組成部分、影響因素及其相互作用

(1)復(fù)雜性。復(fù)雜性是網(wǎng)絡(luò)空間安全最為顯著的特征。一方面，網(wǎng)絡(luò)空間安全的復(fù)雜性體現(xiàn)在組成部分的差異性以及影響因素的多樣性。網(wǎng)絡(luò)空間是一個(gè)涉及政治、經(jīng)濟(jì)、社會(huì)、信息技術(shù)等多領(lǐng)域的交叉范疇，其安全問題往往會(huì)由不同領(lǐng)域所引發(fā)，又會(huì)對(duì)其他領(lǐng)域產(chǎn)生影響。例如，“震網(wǎng)”行動(dòng)是美國(guó)國(guó)家背景的攻擊組織發(fā)起的針對(duì)伊朗核設(shè)施的國(guó)家級(jí)網(wǎng)絡(luò)攻擊，本次攻擊服務(wù)于政治目的，結(jié)果是使得伊朗核試驗(yàn)推遲半年之久，影響到了伊朗相關(guān)科技領(lǐng)域。另一方面是網(wǎng)絡(luò)空間中各個(gè)組成部分及其交互關(guān)系相當(dāng)復(fù)雜。各個(gè)組成部分都可以被當(dāng)作是復(fù)雜子系統(tǒng)[9]。特別是，作為網(wǎng)絡(luò)空間的核心參與者，人是自然環(huán)境、人類社會(huì)以及信息技術(shù)的交叉點(diǎn)。地理位置、社交情況、行為習(xí)慣都會(huì)影響人在網(wǎng)絡(luò)空間中的行為活動(dòng)以及策略選擇，同樣這些行為和策略也會(huì)影響其他組成部分。

(2)不可預(yù)測(cè)性。復(fù)雜系統(tǒng)往往會(huì)導(dǎo)致其外在現(xiàn)象的不可預(yù)測(cè)[10]。第一，網(wǎng)絡(luò)空間中參與者的行為、動(dòng)作以及策略存在不確定性，尤其對(duì)于人而言，其非理性的特點(diǎn)是難以通過模型來刻畫與預(yù)測(cè)的。第二，系統(tǒng)和協(xié)議中的漏洞和配置錯(cuò)誤有時(shí)是難以察覺的，使得系統(tǒng)安全性及防御措施有效性的評(píng)估難以定量化。第三，網(wǎng)絡(luò)

空間安全系統(tǒng)會(huì)出現(xiàn)涌現(xiàn)現(xiàn)象[11]。涌現(xiàn)現(xiàn)象主要是指微觀層面上各組成部分的相互作用會(huì)使宏觀層面產(chǎn)生新的性質(zhì)或者現(xiàn)象。因此，當(dāng)前是很難預(yù)測(cè)微觀層面上某個(gè)攻防技術(shù)的突破對(duì)宏觀的網(wǎng)絡(luò)空間帶來的影響與變化。

(3)動(dòng)態(tài)性。全面摸清當(dāng)前網(wǎng)絡(luò)空間的安全狀態(tài)，就必須要對(duì)每個(gè)組成部分的動(dòng)態(tài)變化有清晰的認(rèn)識(shí)[9]。一方面，每個(gè)組成部分的狀態(tài)以及組成部分間的每次交互過程是隨時(shí)間變化的。特別是對(duì)于參與者，每個(gè)時(shí)刻的行為、動(dòng)作和策略都是動(dòng)態(tài)的。另一方面，網(wǎng)絡(luò)空間安全的動(dòng)態(tài)性是系統(tǒng)涌現(xiàn)的前提條件。相同的環(huán)境條件以及同樣的輸入并不能保證會(huì)得到相同的輸出結(jié)果。

(4)不對(duì)稱性。在網(wǎng)絡(luò)空間安全中，攻擊者和防御者之間總是存在著不對(duì)稱[12]。這種不對(duì)稱性體現(xiàn)在以下三個(gè)方面。首先，攻擊者是積極主動(dòng)的，而防御者則處于被動(dòng)面。一般來說，攻擊者在發(fā)起攻擊前往往會(huì)提前做足準(zhǔn)備，如漏洞積累、情報(bào)收集、武器化等；但防御者卻不清楚攻擊者的準(zhǔn)備工作。此外，以攻擊面的角度來看，防御者必須隨時(shí)保護(hù)所有可能的突破點(diǎn)，然而攻擊者只需要找到一個(gè)有效突破點(diǎn)就能夠發(fā)起滲透攻擊。其次，防御者對(duì)防御措施有效性的評(píng)估是存在偏差的。正如前文所述，防御者難以分析某一特定防御技術(shù)或方法對(duì)其所保護(hù)系統(tǒng)安全態(tài)勢(shì)的影響，因此防御者無法全面衡量其防御效果。最后，一般來說，攻擊成本是低于防御成本的，攻擊收益也是大于攻擊付出。無論是研究新的防御技術(shù)，還是部署網(wǎng)絡(luò)攻擊的預(yù)警機(jī)制，防御者需要投入大量的資金、人力和資源。然而這些防御技術(shù)和機(jī)制卻不能完全保證能夠防御住可能到來的網(wǎng)絡(luò)攻擊。同時(shí)，攻擊成功所帶來的收益要大于攻擊付出，無論是黑產(chǎn)組織還是國(guó)家級(jí)攻擊隊(duì)伍都在不遺余力開展攻擊滲透。

1.2 網(wǎng)絡(luò)空間安全建模的挑戰(zhàn)

目前，網(wǎng)絡(luò)空間安全建模仍處于起步階段?，F(xiàn)有理論模型和方法僅偏向于對(duì)安全技術(shù)的研究，旨在利用理論模型和方法解決某一特定技術(shù)問題[3]。例如，為刻畫計(jì)算機(jī)病毒在網(wǎng)絡(luò)中的傳播擴(kuò)展現(xiàn)象，研究人員參考流行病學(xué)中的倉(cāng)室模型，構(gòu)建基于網(wǎng)絡(luò)化的動(dòng)力學(xué)模型，以研究在網(wǎng)絡(luò)拓?fù)錀l件下如何利用控制手段抑制病毒的傳播范圍和速率。技術(shù)性研究將進(jìn)一步發(fā)展和夯實(shí)網(wǎng)絡(luò)空間安全研究，安全技術(shù)問題的建模也將促進(jìn)網(wǎng)絡(luò)空間安全建模的研究。目前，對(duì)安全技術(shù)問題的理論研究仍存在一些困難點(diǎn)：(1)對(duì)安全技術(shù)問題的形式化表述；(2)對(duì)安全技術(shù)問題的定量和定性分析的統(tǒng)一；(3)理論指導(dǎo)與安全技術(shù)實(shí)踐的結(jié)合。

網(wǎng)絡(luò)空間安全理論建模除了要考慮安全技術(shù)性問題外，還要著重思考網(wǎng)絡(luò)空間中政治、經(jīng)濟(jì)、社會(huì)和信息技術(shù)的屬性，弄清理論、技術(shù)、實(shí)踐等關(guān)系。如前文圖1所示，網(wǎng)絡(luò)空間安全被認(rèn)為是一個(gè)相當(dāng)復(fù)雜的系統(tǒng)，其中眾多組成部分、因素以及環(huán)境領(lǐng)域相互交織。因此，對(duì)整個(gè)網(wǎng)絡(luò)空間安全的建模工作要比單純的安全技術(shù)的建模工作要更加復(fù)雜和繁瑣。以人類因素對(duì)網(wǎng)絡(luò)空間安全的影響舉例，人類因素是一般技術(shù)性理論建模所不涉及的，但被認(rèn)為會(huì)直接影響網(wǎng)絡(luò)空間安全狀態(tài)。研究人員曾調(diào)查發(fā)現(xiàn)，美國(guó)和英國(guó)的80%到90%的安全問題是由人為錯(cuò)誤所引發(fā)的[13]。如何以模型來刻畫出人類因素并分析其對(duì)網(wǎng)絡(luò)空間的影響正是建模研究工作的重要挑戰(zhàn)之一。一是人在網(wǎng)絡(luò)空間中往往扮演著多重角色。對(duì)于網(wǎng)絡(luò)系統(tǒng)、產(chǎn)品而言，人既是開發(fā)者，同時(shí)也是用戶；在網(wǎng)絡(luò)攻防對(duì)抗中，人既是攻擊者，同時(shí)也是防御者。二是網(wǎng)絡(luò)空間安全中的個(gè)體行為方面難以以單一理論來刻畫[14]。人類認(rèn)知偏差、賭徒心理以及個(gè)人不同性格等因素都是模型難以涵蓋的。同時(shí)，個(gè)體異質(zhì)性帶來的是個(gè)體模型量級(jí)的大幅增長(zhǎng)，給影響分析帶來困難。

網(wǎng)絡(luò)空間安全研究同樣需要關(guān)注信息技術(shù)領(lǐng)域?qū)φ鎸?shí)世界的影響情況，著重關(guān)注信息物理系統(tǒng)(Cyber-physical System)層面的問題，尤其是在工業(yè)控制系統(tǒng)領(lǐng)域。工業(yè)控制系統(tǒng)在金融服務(wù)、電力網(wǎng)絡(luò)、交通和醫(yī)療服務(wù)等領(lǐng)域中起著信息互聯(lián)、數(shù)據(jù)儲(chǔ)備等基礎(chǔ)性作用，已成為網(wǎng)絡(luò)攻擊的重要目標(biāo)對(duì)象，尤其是高級(jí)持續(xù)性威脅攻擊。除了竊取大量重要敏感數(shù)據(jù)外，對(duì)工控系統(tǒng)攻擊傾向于以破壞為目的，影響業(yè)務(wù)開展，擾亂生活秩序，引起民眾恐慌。例如，2015年12月，烏克蘭電力網(wǎng)絡(luò)遭受名為黑暗能量(Black Energy)的攻擊組織發(fā)起的網(wǎng)絡(luò)攻擊，造成約20多萬居民停電約6個(gè)小時(shí)。因此，由于類似于針對(duì)信息物理系統(tǒng)的網(wǎng)絡(luò)攻擊存在，對(duì)網(wǎng)絡(luò)空間安全的評(píng)估不能僅僅只局限在信息領(lǐng)域，還要把對(duì)真實(shí)世界造成的損失納入考慮范疇。部分研究專家也致力于建立一套安全指標(biāo)來定義、衡量和量化網(wǎng)絡(luò)及系統(tǒng)安全[5]，但以網(wǎng)絡(luò)空間安全的角度，還需要構(gòu)建更為系統(tǒng)和全面的指標(biāo)體系。

2 將系統(tǒng)思維應(yīng)用到網(wǎng)絡(luò)空間安全建模

2.1 系統(tǒng)思維的內(nèi)涵

系統(tǒng)思維是一種整體性的研究方法，旨在分析系統(tǒng)的各個(gè)組成部分之間是如何相互作用以及作為一個(gè)整體產(chǎn)生的涌現(xiàn)及其變化情況[8]。與還原論思維不同，系統(tǒng)思維更強(qiáng)調(diào)系統(tǒng)的復(fù)雜性、動(dòng)態(tài)性、整體性，以及系統(tǒng)各組成部分的多維性和與歷史情況的關(guān)聯(lián)性。系統(tǒng)思維興起于20世紀(jì)初，目前已廣泛應(yīng)用在公共衛(wèi)生、環(huán)境保護(hù)、城市管理、國(guó)際關(guān)系等領(lǐng)域。目前，只有少量研究嘗試把系統(tǒng)思維應(yīng)用到網(wǎng)絡(luò)空間安全研究上[7]。

系統(tǒng)思維是在當(dāng)前階段最適合的網(wǎng)絡(luò)空間安全建模研究方法之一。它不僅僅是關(guān)注網(wǎng)絡(luò)空間中各特定領(lǐng)域及組成部分情況，而是以網(wǎng)絡(luò)空間安全為一整個(gè)實(shí)體去探究其外部表現(xiàn)與內(nèi)在變化的聯(lián)系。將這種整體性方法應(yīng)用到網(wǎng)絡(luò)空間安全建模中，能夠幫助研究人員更清晰認(rèn)識(shí)和理解網(wǎng)絡(luò)空間安全，弄清各組成部分及其之間的相互作用，預(yù)測(cè)網(wǎng)絡(luò)空間安全的演變趨勢(shì)，從而有效解決網(wǎng)絡(luò)空間安全問題。系統(tǒng)思維也將有助于擴(kuò)大網(wǎng)絡(luò)空間安全研究范圍與思考維度，把領(lǐng)域、參與者、環(huán)境和影響因素等整合納入研究范疇。

因此，系統(tǒng)思維要求研究人員在網(wǎng)絡(luò)空間安全建模時(shí)，思考維度要從細(xì)節(jié)到宏觀發(fā)現(xiàn)根本性轉(zhuǎn)變。系統(tǒng)思維的技巧方法區(qū)別于關(guān)注線性和靜態(tài)的因果關(guān)系的傳統(tǒng)枚舉式或技術(shù)性分析方法，更側(cè)重以組成部分間相互作用產(chǎn)生的宏觀現(xiàn)象為目的。盡管網(wǎng)絡(luò)安全技術(shù)取得了許多進(jìn)步，但傳統(tǒng)方法難以評(píng)估這些技術(shù)領(lǐng)域的突破將對(duì)整個(gè)網(wǎng)絡(luò)空間帶來的影響以及準(zhǔn)確預(yù)測(cè)未來這些安全技術(shù)的發(fā)展趨勢(shì)。從系統(tǒng)論的角度來看，網(wǎng)絡(luò)空間安全建模的目的是提升網(wǎng)絡(luò)空間整體安全狀況，而非為了解決某類特定技術(shù)問題。這要求在運(yùn)用系統(tǒng)思維時(shí)，不僅是彌補(bǔ)傳統(tǒng)方法的不足，而是站在整體性的視角洞察網(wǎng)絡(luò)空間安全。

2.2 參與者分析

參與者(Stakeholder)，又稱利益相關(guān)方，是指能夠影響某個(gè)特定項(xiàng)目、公司、領(lǐng)域的決策、發(fā)展及結(jié)果的個(gè)人、群體或者組織。對(duì)于復(fù)雜的網(wǎng)絡(luò)空間，參與者往往涉及到政治、社會(huì)、信息技術(shù)等多個(gè)領(lǐng)域，與各組成部分相互聯(lián)系。因此，將系統(tǒng)思維應(yīng)用到網(wǎng)絡(luò)空間安全建模的一個(gè)重要方面就是開展參與者分析(Stakeholder Analysis)，確定研究目標(biāo)所涉及參與者以及參與者間的相互關(guān)系。

目前，已有少量研究關(guān)注網(wǎng)絡(luò)空間安全中的參與者[15]。參與者分析大致分為以下幾大步驟：一是確認(rèn)研究目標(biāo)所涉及關(guān)鍵參與者。表1列出了網(wǎng)絡(luò)空間中五個(gè)關(guān)鍵參與者：政府機(jī)構(gòu)、學(xué)術(shù)界、私營(yíng)部門、關(guān)鍵信息基礎(chǔ)設(shè)施以及國(guó)內(nèi)外專業(yè)組織。并非所有的參與者都要納入分析范圍，要根據(jù)研究目標(biāo)和分析難度適當(dāng)選擇。二是識(shí)別、描述參與者及找到與之相關(guān)的其他參與者、組成部分及因素。該步驟是數(shù)據(jù)及信息收集階段，需要深入調(diào)查、了解各個(gè)參與者當(dāng)前的基本情況。三是建立參與者畫像及模型。特別是強(qiáng)調(diào)參與者的權(quán)利、地位及利益相關(guān)點(diǎn)，常使用矩陣、表格等方式進(jìn)行歸納總結(jié)。

表1 網(wǎng)絡(luò)空間安全的部分參與者

2.3 系統(tǒng)理論與方法

網(wǎng)絡(luò)空間安全建模致力于以一種更為科學(xué)的方法，使網(wǎng)絡(luò)空間安全更容易表示、定義、量化和理解。對(duì)于一個(gè)優(yōu)秀的研究，理論模型和實(shí)驗(yàn)分析同樣重要。因此，將系統(tǒng)思維應(yīng)用到網(wǎng)絡(luò)空間安全建模上的一個(gè)難點(diǎn)就是如何根據(jù)不同的研究場(chǎng)景及研究目標(biāo)選擇合適的理論和研究方式。

系統(tǒng)思維能夠?yàn)榫W(wǎng)絡(luò)空間安全提供更為適合和有力的理論與工具方法。研究過程中，在系統(tǒng)化理論(如系統(tǒng)論、控制論、博弈論等)的指導(dǎo)下，運(yùn)用科學(xué)工具方法(如網(wǎng)絡(luò)分析、動(dòng)力學(xué)、代理模型等)分析與實(shí)踐。表2簡(jiǎn)要列出了一些曾用于網(wǎng)絡(luò)安全模型的典型系統(tǒng)化理論和科學(xué)工具方法。系統(tǒng)思維擁有豐富的理論武器，能夠從特定視角提供一套思考、理念和原則的思維方式。

3 安全問題的系統(tǒng)化建?？蚣?/h2>

如前所述，當(dāng)前對(duì)安全建模的工作往往集中在具體的技術(shù)問題上，例如計(jì)算機(jī)病毒模型、網(wǎng)絡(luò)空間安全經(jīng)濟(jì)學(xué)分析等。本節(jié)提出了一個(gè)針對(duì)安全問題的系統(tǒng)化建?？蚣?，如圖2所示?？驁D包括五個(gè)關(guān)鍵性要素及十一個(gè)建模步驟。

圖2 針對(duì)安全問題的系統(tǒng)化建?？蚣軋D

真實(shí)世界(Real World)，既包括物理性實(shí)體維度，又包括網(wǎng)絡(luò)空間映射并關(guān)聯(lián)到現(xiàn)實(shí)的虛擬面。它既是數(shù)學(xué)建模中概念、參數(shù)及公式的實(shí)例化，還能為經(jīng)驗(yàn)建模提供數(shù)據(jù)、案例、事件等觀測(cè)值。

數(shù)學(xué)建模(Mathematical Modeling)，是一種以數(shù)學(xué)化的理論和語(yǔ)言把網(wǎng)絡(luò)空間安全系統(tǒng)表現(xiàn)出的行為轉(zhuǎn)化為精巧公式的理論方法。數(shù)學(xué)模型的目的是為了以形式化方式展示網(wǎng)絡(luò)空間安全問題及網(wǎng)絡(luò)空間安全系統(tǒng)的演變過程。

經(jīng)驗(yàn)建模(Empirical Modeling)，是一種以網(wǎng)絡(luò)空間安全系統(tǒng)輸出(例如網(wǎng)絡(luò)流量數(shù)據(jù)、安全事件、網(wǎng)絡(luò)犯罪案例等)的觀測(cè)值為依據(jù)建立模型的研究方法。經(jīng)驗(yàn)?zāi)Ｐ偷哪康氖钦业接^測(cè)值中的經(jīng)驗(yàn)規(guī)律或特征，用以描述當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)以及預(yù)測(cè)未來發(fā)展的趨勢(shì)。

推理(Inference)，是指通過一系列分析方法和工具進(jìn)行推斷的過程。推理是以某一網(wǎng)絡(luò)空間安全特定的問題為驅(qū)動(dòng)，帶有強(qiáng)烈目的性，去尋找用以解決該問題的最佳方法。

實(shí)踐(Practice)，是指在分析結(jié)果的指導(dǎo)下，對(duì)安全問題解決方案開展實(shí)施、研究、驗(yàn)證的一系列過程。其屬于把分析結(jié)果以技術(shù)方式開展的研究，旨在把理論分析結(jié)論轉(zhuǎn)化成實(shí)際的網(wǎng)絡(luò)空間安全技術(shù)或工具，并能夠在真實(shí)網(wǎng)絡(luò)空間場(chǎng)景中得以應(yīng)用。

數(shù)學(xué)模型和經(jīng)驗(yàn)?zāi)Ｐ褪蔷W(wǎng)絡(luò)空間安全建模的兩個(gè)重要方面。數(shù)學(xué)模型是對(duì)真實(shí)網(wǎng)絡(luò)空間安全系統(tǒng)和場(chǎng)景的抽象化和形式化，而數(shù)學(xué)建模則是利用多種數(shù)學(xué)工具實(shí)現(xiàn)這類抽象化和形式化的過程。值得注意的是，數(shù)學(xué)建模以及之后的分析過程都是建立在模型假設(shè)的基礎(chǔ)上(步驟(1))。因此，數(shù)學(xué)建模的一個(gè)關(guān)鍵問題就是在不同研究場(chǎng)景下，如何找到合適數(shù)學(xué)語(yǔ)言去構(gòu)建此類框架，包括具體的數(shù)學(xué)公式、變量、函數(shù)等[3]。數(shù)學(xué)模型中所采用假設(shè)及形式化表述具有一定理想化特點(diǎn)，往往只能解釋某部分的現(xiàn)象，難以全面描述整個(gè)網(wǎng)絡(luò)空間安全系統(tǒng)。經(jīng)驗(yàn)建模主要建立在如安全事件、網(wǎng)絡(luò)攻擊案例、實(shí)驗(yàn)結(jié)果等網(wǎng)絡(luò)空間安全系統(tǒng)的輸出，這些數(shù)據(jù)是研究人員從真實(shí)世界所觀測(cè)獲取的(步驟(2))[30]。因?yàn)橛^測(cè)結(jié)果具有一定的偏差性，有些難以以理論或者數(shù)學(xué)進(jìn)行解釋。雖然這兩類建模方法截然不同，但兩者卻可以相互補(bǔ)充(步驟(3))。經(jīng)驗(yàn)數(shù)據(jù)可以為數(shù)學(xué)建模提供重要的數(shù)據(jù)實(shí)例；反過來，數(shù)學(xué)模型也能夠修正和改進(jìn)經(jīng)驗(yàn)?zāi)Ｐ停瑴p少觀測(cè)值的偏差。

數(shù)學(xué)建模及經(jīng)驗(yàn)建模有助于將復(fù)雜網(wǎng)絡(luò)空間安全問題轉(zhuǎn)化為一個(gè)描述性模型，使研究人員能夠更容易對(duì)問題去刻畫、理解及推理。接下來，研究人員需要進(jìn)一步利用網(wǎng)絡(luò)空間安全模型，針對(duì)某一特定問題去分析、探尋具體的解決方案(Solution)。演繹推理(步驟(4))從數(shù)學(xué)模型中的假設(shè)、公理和方程開始，如果前提符合現(xiàn)實(shí)世界的觀測(cè)情況，演繹推理的結(jié)論將具有一定的合理性。相反，歸納推理(步驟(5))則是直接從現(xiàn)實(shí)世界的觀察值總結(jié)歸納得出結(jié)論?；谏鲜鰞深愅评?，研究將會(huì)得到針對(duì)特定網(wǎng)絡(luò)空間安全問題的解決方案，這些解決方案(如方法、工具等)將以實(shí)踐形式應(yīng)用在真實(shí)世界(步驟(7))以檢驗(yàn)其有效性。

網(wǎng)絡(luò)空間安全系統(tǒng)的數(shù)據(jù)具有不可預(yù)測(cè)性。通過分析式推理獲得的安全解決方案是否有效，需要在真實(shí)世界的實(shí)踐中來驗(yàn)證。因此，一個(gè)完整的網(wǎng)絡(luò)空間安全模型需要有來自真實(shí)世界的反饋(步驟(8))，為分析式推理提供驗(yàn)證(步驟(9))，并最終為數(shù)學(xué)建模和經(jīng)驗(yàn)建模提供修正與改進(jìn)(步驟(10)和(11))。網(wǎng)絡(luò)空間安全模型及其分析式推理能夠?yàn)榘踩鉀Q方案的實(shí)踐提供理論支持；反過來，來自實(shí)踐的反饋也能夠驗(yàn)證上述分析結(jié)果的有效性并改進(jìn)當(dāng)前模型。

4 結(jié)論

系統(tǒng)思維能夠讓研究者以整體、全面的視角去思考網(wǎng)絡(luò)空間安全的建模問題。一方面，系統(tǒng)思維為網(wǎng)絡(luò)空間安全提供一個(gè)概念框架，充分把組成部分、要素以及它們之間的交互動(dòng)態(tài)結(jié)合。采用系統(tǒng)化網(wǎng)絡(luò)空間安全建模研究充分考慮了之前研究中常常忽略的復(fù)雜性、不可預(yù)測(cè)性、動(dòng)態(tài)性及不對(duì)稱性等網(wǎng)絡(luò)空間安全典型特點(diǎn)，將幫助研究人員更全面地刻畫、度量、評(píng)估網(wǎng)絡(luò)空間的安全特性，揭示網(wǎng)絡(luò)空間安全的發(fā)展與演化規(guī)律。另一方面，通過包含建模、推理、實(shí)踐分析式框架，系統(tǒng)思維能夠?yàn)榻鉀Q特定的網(wǎng)絡(luò)空間安全問題提供新穎而全面的解決路線，幫助研究人員找到理論與實(shí)踐的結(jié)合點(diǎn)，使技術(shù)實(shí)踐有理論的指導(dǎo)，理論在實(shí)踐中加以驗(yàn)證并改進(jìn)網(wǎng)絡(luò)空間安全模型。盡管系統(tǒng)思維應(yīng)該被當(dāng)作網(wǎng)絡(luò)空間安全建模的必要基礎(chǔ)來看待，但將系統(tǒng)思維應(yīng)用到網(wǎng)絡(luò)空間安全建模仍有很長(zhǎng)的路要走。