疏而不漏——链式安全妙计

疏而不漏——链式安全妙计

大东话安全原创

大东

中科院之声

2023-09-24 08:01:50

收录于话题

#大东话安全

编者按：普及网安知识、建设数字安全。中科院之声与信息工程研究所联合开设“大东话安全”专栏，以对话体形式，通过“大东”和“小白”两个角色设置，化解深奥技术用语，解读网络热点事件，与读者一起分享网络安全知识。

一、疏而不漏

大东：小白你在看电视剧呐！

小白：惭愧惭愧，今年第一次看电视剧就被东哥发现了，中午休息一下~

大东：看的什么剧？

小白：当然是开年大戏《狂飙》啊！善恶到头终有报，快哉，过瘾！

大东：是的，警察抓坏人的故事总会让热血沸腾，正是有这些坚守正义的人民卫士，我们才能享受幸福美好的生活。

小白：是啊，这让我想起了七宗罪和八个打。

大东：其实这类题材的电视剧，我觉得最值得看的点，可以概括为八个字。

小白：哪八个字？

大东：天网恢恢，疏而不漏。

小白：嗯。这句成语其实暗示了宇宙间的隐秘运行法则，任何不正当的行为最终都无法逃脱惩罚，而正义的力量最终会得到伸张。

大东：你说得对。但是从另外一个角度去思考，却可以发现另外一层道理。你想想看，为什么会“疏”呢？

小白：我想主要原因是不可能常态化投入那么多啊。

大东：对咯。一个健康的社会组织形态就是需要利用合适的成本维护社会治安。

大东：因此，这个“疏”是有原因的，即警力的“网”是有网孔的，这属于正常现象。但是只要保证它不“漏”，即使犯罪事件出现，恶劣后果也能快速被扼制，可以满足社会普遍治安要求。

大东：其实“疏而不漏”的思维对产业数字化安全建设思路来说，敢疏而不漏的核心在于规则和链条的刚柔并济。

大东：链式安全建设的妙计，应该围绕“疏而不漏”展开刚柔并济实施。姑且称之为“疏而不漏”计。

二、主体——降本

大东：疏而不漏值得借鉴的第一层含义，就是付出小成本解决大问题。所以主体这一块，主要是降低成本。

大东：借鉴哲学思想，今天的妙计可以分为四个体，分别是主体、客体、本体和超体。

大东：我们以前经常讨论两类网络安全防御模式：自卫模式和护卫模式。自卫模式是指依靠自身强化安全以自卫，而护卫模式则是通过外部协助防御来护卫。对于链式安全建设来说，就是要以自卫模式为主体开展数字安全韧性能力建设。

大东：数字化应该围绕提质、降本、增效、减损等这几点企业核心关切来开展建设。只有满足了产业链上全部企业的合理诉求，产业链、供应链的安全建设才有保障，数字化的建设前途才会更加顺畅。

三、客体——减损

大东：客体部分，是指产业中的软件供应链安全能力建设，因为软件供应链是产业数字化塑造过程中重要的客体对象。通过增强软件供应链的安全性和韧性，从而对整个产业链“减损”，这可以起到有效保障数字安全体系的稳定运行的作用。

大东：比如供应链审查。数字产业化韧性能力建设要求，在选择供应商和合作伙伴时，对其进行全面的供应链审查，也就是开展“四评”，评估、评审、评定以及评议。

四、本体——提质

大东：本体是指数字产业化的合规管理，进而实现“提质”的目标。比如，供应商的“四规”就是一个基本要求。

大东：它们分别是合作规范、培训规范、管理规范和审核规范。首先是合作规范，与供应商签订合同时，明确安全要求和合规标准，包括安全控制措施、数据保护要求、合规性要求等，以确保供应商在合作过程中遵循相应的安全标准和法规。

五、超体——增效

大东：超体部分，就是要超越产业数字化韧性能力建设的视角，再回头看链式安全建设，也就是要求我们超前布局，开展顶层战略规划，即顶规。如果说合规是立地，那么顶规无疑就是顶天。

大东：顶规的目标，是从战略视角实现整个产业链的“增效”，发展“无成本经济”。产业数字链式建设这样浩大的系统工程，其安全方面的设计体现在方方面面，所以自然要全方位多角度开展系统性、前瞻性、迭代性设计。

六、小白内心说

小白：今天东哥的“疏而不漏”妙计实在是太绝了，不仅从本体客体主体和超体的“四体”脉络，为整个数字产业化韧性能力建设提出了诸多建议，还穿插着“四评”、“四规”、“四合”策略帮助我们理解，真是精妙绝伦呢。