安全圈的老司機(jī)趙武前輩寫了一篇“構(gòu)建基于攻防實(shí)效的安全體系，有效解決通報(bào)問(wèn)題”的文章，提出了從技術(shù)層面來(lái)解決企業(yè)現(xiàn)目前不勝其煩的安全通報(bào)問(wèn)題。其觀點(diǎn)提出：一是摸清家底，構(gòu)建完整的資產(chǎn)庫(kù)，聚焦“靶標(biāo)漏洞”；二是結(jié)合業(yè)務(wù)，聯(lián)防聯(lián)控，構(gòu)建快速響應(yīng)機(jī)制；三是識(shí)別未知風(fēng)險(xiǎn)。結(jié)合我對(duì)安全的觀察與分析，我認(rèn)為，目前能夠有效解決企業(yè)面臨的安全風(fēng)險(xiǎn)，進(jìn)而規(guī)避通報(bào)問(wèn)題的有效方式是建立企業(yè)的安全文化基因。

　　對(duì)于一個(gè)企業(yè)，主張安全文化的建設(shè)要“將企業(yè)安全理念和安全價(jià)值觀表現(xiàn)在決策者和管理者的態(tài)度和行動(dòng)中，落實(shí)在企業(yè)的管理制度中，將安全管理溶入企業(yè)整個(gè)管理的實(shí)踐中，將安全法規(guī)、制度落實(shí)在決策者、管理者和員工的行為方式中，將安全標(biāo)準(zhǔn)、技術(shù)、產(chǎn)品等落實(shí)在企業(yè)運(yùn)營(yíng)的業(yè)務(wù)、流程和應(yīng)用中，由此構(gòu)成一個(gè)良好的安全文化氣氛。通過(guò)安全文化的建設(shè)，影響企業(yè)各級(jí)管理人員和員工的安全自覺(jué)性，以文化的力量保障企業(yè)安全制度和安全體系的持續(xù)運(yùn)營(yíng)?！边@樣才能抓住企業(yè)目前安全建設(shè)的實(shí)質(zhì)和根本內(nèi)涵。

　　如何來(lái)落實(shí)企業(yè)的安全文化建設(shè)？在我看來(lái)，通過(guò)網(wǎng)絡(luò)靶場(chǎng)可構(gòu)建企業(yè)的安全文化，網(wǎng)絡(luò)靶場(chǎng)是建立企業(yè)安全文化的一種手段和工具。具體來(lái)說(shuō)，在趙武前輩攻防實(shí)效的安全體系的基礎(chǔ)上，基于網(wǎng)絡(luò)靶場(chǎng)構(gòu)建基于攻防實(shí)效的安全文化體系，主要包含四個(gè)階段：

　　一是企業(yè)攻擊面分析：摸清家底，構(gòu)建完整的資產(chǎn)庫(kù)和網(wǎng)絡(luò)拓?fù)?，聚焦“靶?biāo)漏洞”。攻擊面分析需要從網(wǎng)絡(luò)安全角度梳理企業(yè)的“攻擊暴露面”，通過(guò)分析企業(yè)組織體系的“攻擊暴露面”并建立安全知識(shí)庫(kù)。安全知識(shí)庫(kù)除了聚焦“靶標(biāo)漏洞”，還得包括企業(yè)的安全策略、管理制度、人員習(xí)慣等影響“攻擊暴露面”的內(nèi)容?；谑占驮u(píng)估的企業(yè)“攻擊暴露面”知識(shí)數(shù)據(jù)，企業(yè)攻擊面分析需要對(duì)這些知識(shí)進(jìn)行進(jìn)一步處理，目標(biāo)是通過(guò)網(wǎng)絡(luò)靶場(chǎng)的仿真數(shù)據(jù)/安全事件構(gòu)造工具生成針對(duì)性的綜合安全事件（針對(duì)性的流量、攻擊等模擬）。

　　在此階段，網(wǎng)絡(luò)靶場(chǎng)具備或者提供的能力是：①企業(yè)組織體系資源管控能力，該能力能夠識(shí)別或梳理企業(yè)中網(wǎng)絡(luò)可達(dá)的完整的資產(chǎn)庫(kù)，建立捕獲“靶標(biāo)漏洞”在技術(shù)方面所需信息（例如已識(shí)別資產(chǎn)的類型和版本以及對(duì)應(yīng)的CVE漏洞等）的能力（或集成、對(duì)接目前各大安全廠商安全監(jiān)測(cè)平臺(tái)的能力）；②建立企業(yè)“攻擊暴露面”安全行為基線，比如攻擊路徑分析，為構(gòu)造安全事件提供數(shù)據(jù)和基準(zhǔn)。

　　二是企業(yè)網(wǎng)絡(luò)靶場(chǎng)環(huán)境：結(jié)合企業(yè)網(wǎng)絡(luò)、資產(chǎn)和業(yè)務(wù)等內(nèi)容，將企業(yè)的生產(chǎn)環(huán)境復(fù)制到網(wǎng)絡(luò)靶場(chǎng)中，建立監(jiān)測(cè)與仿真體系。監(jiān)測(cè)體系要求在企業(yè)的生產(chǎn)環(huán)境中安裝安全監(jiān)測(cè)采集探針，對(duì)企業(yè)網(wǎng)絡(luò)、業(yè)務(wù)及人員等建立操作行為建立數(shù)據(jù)采集。這些采集的數(shù)據(jù)將作為整體體系中重要的評(píng)估環(huán)節(jié)的原始數(shù)據(jù)。仿真體系使用虛擬化技術(shù)和仿真技術(shù)、以及結(jié)合不可模擬的實(shí)際設(shè)備對(duì)企業(yè)的生產(chǎn)環(huán)境進(jìn)行復(fù)制，建立孿生環(huán)境或鏡像副本。同時(shí)，仿真體系還需要根據(jù)企業(yè)的“攻擊暴露面”分析，針對(duì)性構(gòu)造網(wǎng)絡(luò)安全事件、防御者的防御工具和技術(shù)、攻擊者的工具（戰(zhàn)術(shù)）和技術(shù)等亞歷山大？科特（Alexander Kott）所述的網(wǎng)絡(luò)空間安全概念模型的4元組內(nèi)容。

　　在此階段，網(wǎng)絡(luò)靶場(chǎng)具備或者提供的能力是：①具備對(duì)企業(yè)的運(yùn)營(yíng)資產(chǎn)、網(wǎng)絡(luò)、系統(tǒng)及人員等進(jìn)行安全監(jiān)測(cè)的能力，建立全方位的安全檢測(cè)體系（或者集成、對(duì)接各個(gè)安全廠商的安全監(jiān)測(cè)平臺(tái)及態(tài)勢(shì)感知系統(tǒng)等）；②具備對(duì)企業(yè)網(wǎng)絡(luò)空間場(chǎng)景/組織的基礎(chǔ)結(jié)構(gòu)進(jìn)行建模的能力。主要包含網(wǎng)絡(luò)空間靶場(chǎng)需要構(gòu)造或合成的4元組，即{ I：網(wǎng)絡(luò)事件，可以理解為不應(yīng)該發(fā)生的網(wǎng)絡(luò)安全事件}、{Td：防御者的防御工具和技術(shù)}、{Nd：防御者的運(yùn)營(yíng)資產(chǎn)，網(wǎng)絡(luò)和系統(tǒng)}、{ Ta：攻擊者的工具（戰(zhàn)術(shù)）和技術(shù)}。

　　三是結(jié)合業(yè)務(wù)建模培訓(xùn)：根據(jù)企業(yè)“攻擊面分析”和“網(wǎng)絡(luò)靶場(chǎng)環(huán)境”，針對(duì)企業(yè)的業(yè)務(wù)特殊需求量身定制結(jié)合業(yè)務(wù)的建模培訓(xùn)內(nèi)容，這些培訓(xùn)內(nèi)容是針對(duì)企業(yè)的“攻擊暴露面”進(jìn)行的針對(duì)性培訓(xùn)，將在“網(wǎng)絡(luò)靶場(chǎng)環(huán)境”中對(duì)企業(yè)的“攻擊暴露面”進(jìn)行還原，并要求企業(yè)員工在“網(wǎng)絡(luò)靶場(chǎng)環(huán)境”中，結(jié)合孿生的實(shí)際業(yè)務(wù)操作環(huán)境，練習(xí)、演練企業(yè)暴露面收斂，學(xué)習(xí)培訓(xùn)的相關(guān)安全教材（例如講座、教程、意識(shí)視頻等），并基于靶場(chǎng)仿真，構(gòu)建基于業(yè)務(wù)的劇情式培訓(xùn)演練和應(yīng)急響應(yīng)機(jī)制。

　　在此階段，網(wǎng)絡(luò)靶場(chǎng)具備或者提供的能力是：①具備結(jié)合企業(yè)業(yè)務(wù)及“攻擊暴露面”建模培訓(xùn)內(nèi)容的能力，靶場(chǎng)將在企業(yè)的復(fù)制環(huán)境中，能夠建模構(gòu)造可能引發(fā)的攻擊戰(zhàn)術(shù)、防御策略以及綜合安全事件，并將可能性引入到培訓(xùn)環(huán)節(jié)對(duì)學(xué)員進(jìn)行安全應(yīng)對(duì)培訓(xùn)和指引；②具備提供學(xué)員快速場(chǎng)景構(gòu)建及場(chǎng)景還原的測(cè)試和評(píng)估新的策略和技術(shù)的能力。

　　四是企業(yè)監(jiān)測(cè)評(píng)估反饋：通過(guò)在第二階段建立的監(jiān)測(cè)體系，將實(shí)時(shí)監(jiān)測(cè)企業(yè)生產(chǎn)環(huán)境和企業(yè)網(wǎng)絡(luò)靶場(chǎng)環(huán)境。在靶場(chǎng)環(huán)境中，通過(guò)培訓(xùn)完成后，監(jiān)測(cè)體系將顯示每個(gè)學(xué)員和整個(gè)計(jì)劃的結(jié)果。監(jiān)測(cè)體系將對(duì)培訓(xùn)的結(jié)果做一個(gè)初步的評(píng)估。然后，監(jiān)測(cè)體系將在企業(yè)生產(chǎn)環(huán)境中，監(jiān)測(cè)學(xué)員的安全培訓(xùn)習(xí)慣和技能操作行為反饋，并最終評(píng)估是否達(dá)到培訓(xùn)的效果，如果監(jiān)測(cè)顯示，某項(xiàng)制度或技術(shù)在培訓(xùn)后，在企業(yè)的生產(chǎn)環(huán)境實(shí)際操作中，學(xué)員還是沒(méi)有遵循安全培訓(xùn)的要求，企業(yè)可將該學(xué)員再次回返到企業(yè)靶場(chǎng)的孿生環(huán)境，再次進(jìn)行針對(duì)性訓(xùn)練，直到學(xué)員養(yǎng)成安全習(xí)慣，變成學(xué)員自身的行為習(xí)慣為止。

　　在此階段，網(wǎng)絡(luò)靶場(chǎng)具備或者提供的能力是：①具備企業(yè)生產(chǎn)環(huán)境和靶場(chǎng)復(fù)制環(huán)境操作行為和操作培訓(xùn)監(jiān)測(cè)采集、分析評(píng)估的能力。網(wǎng)絡(luò)靶場(chǎng)需在培訓(xùn)階段結(jié)束后在生產(chǎn)環(huán)境繼續(xù)審核學(xué)員的操作行為，目的是捕捉學(xué)員是否真正運(yùn)用了自己的培訓(xùn)能力，建立了安全意識(shí)和操作習(xí)慣。②具備長(zhǎng)期運(yùn)營(yíng)的能力，靶場(chǎng)需要在企業(yè)的業(yè)務(wù)和安全運(yùn)營(yíng)中一直進(jìn)行不間斷的安全運(yùn)營(yíng)，為企業(yè)的安全文化建立提供運(yùn)營(yíng)手段。

　　網(wǎng)絡(luò)空間安全是此消彼長(zhǎng)、對(duì)抗激烈的高科技較量，其能力的提升依賴于安全人員、攻防裝備、技戰(zhàn)法等多個(gè)方面的整體進(jìn)步。而這些方面的進(jìn)步，無(wú)不需要緊貼企業(yè)實(shí)際的安全需求，緊貼業(yè)務(wù)運(yùn)行動(dòng)態(tài)，反復(fù)檢驗(yàn)、改進(jìn)和完善。只有將安全文化融入到企業(yè)的文化基因，凝結(jié)起來(lái)一種文化氛圍，將員工的安全觀念、安全意識(shí)、安全態(tài)度、安全技能、行為習(xí)慣、以及對(duì)安全價(jià)值的理解和領(lǐng)導(dǎo)及個(gè)人所認(rèn)同的安全原則和接受的行為方式。才能很好的解決網(wǎng)絡(luò)安全層面對(duì)企業(yè)現(xiàn)目前困擾問(wèn)題。

　　通過(guò)安全觀念文化的建設(shè)，影響決策者、管理者和員工對(duì)安全的正確態(tài)度和意識(shí)，強(qiáng)化企業(yè)每一個(gè)人的安全意識(shí)。安全運(yùn)營(yíng)和安全文化，是提升企業(yè)安全保障體系長(zhǎng)治久安的固本之舉。