印巴戰(zhàn)爭讓我們看到體系化作戰(zhàn)能力的重要性，單件武器裝備的能力再強，在體系化作戰(zhàn)面前，只有被碾壓的份。

——聯(lián)軟科技CEO 祝青柳

1.網(wǎng)絡(luò)治安好，或許只是個“錯覺”

近期，銀狐勒索病毒大爆發(fā)，爆發(fā)的背景是比特幣的大流行以及中美地緣政治對抗，使得勒索病毒產(chǎn)業(yè)投資收益能力超過了幾乎任何產(chǎn)業(yè)。

比特幣大流行，使得黑客攻擊勒索無法通過資金鏈被追溯到，黑客攻擊變現(xiàn)成為一件現(xiàn)實可行的事情。

地緣政治緊張加劇，使得網(wǎng)絡(luò)攻擊追溯變得異常困難，黑客可以將自己隱藏在對方的勢力范圍內(nèi)，去攻擊對手。

現(xiàn)在，勒索病毒已發(fā)展為一個產(chǎn)業(yè)，有人制造攻擊工具、有人建立SaaS平臺分發(fā)攻擊、有人出售攻擊入口、有人負責攻擊、有人負責收錢，然后進行分贓。（黑客控制1900萬主機，通過出售主機訪問權(quán)限牟利，在新加坡被捕，這是網(wǎng)絡(luò)攻擊黑色產(chǎn)業(yè)鏈的冰山一角，一個人如何快速積累1900萬主機的控制權(quán)，這是非常值得思考的問題）

由于中國最近20多年來，社會治安越來越好，身在中國的人們非常容易產(chǎn)生一種錯覺，網(wǎng)絡(luò)上的治安也不會太差。其實，如果要打個比喻，現(xiàn)在網(wǎng)絡(luò)上的治安情況，好比有人背著大量現(xiàn)金，出現(xiàn)在九十年代的廣州火車站。九十年代末，我曾經(jīng)有一次在廣州火車站幫助一個親戚買火車票，剛拿到火車票和零錢，就被人搶了，然后他們還拿出匕首，要求我給錢，而離售票窗口不遠的警察轉(zhuǎn)頭看向外面?，F(xiàn)在的網(wǎng)絡(luò)治安，絕不是大家憑直覺想象的那樣“歲月靜好”。在去年，我曾經(jīng)簡單寫過一篇短文說明勒索病毒的泛濫程度，上市公司被多次勒索已經(jīng)成為常態(tài)。

2.網(wǎng)絡(luò)黑客已開始利用“地利”優(yōu)勢，發(fā)動攻擊

由于網(wǎng)絡(luò)安全防御理論研究的缺乏，現(xiàn)在大多數(shù)單位，對網(wǎng)絡(luò)安全的理解還是買個防火墻、殺毒軟件解決問題，少部分單位覺得要買EDR、建立態(tài)勢感知系統(tǒng)、請網(wǎng)絡(luò)安全公司派人保護、加強數(shù)據(jù)備份。這些措施是否有效果？當然有比沒有強，但是在面對已經(jīng)體系化作戰(zhàn)的勒索病毒產(chǎn)業(yè)面前，當下的防范措施基本可以說作用不大。要論對網(wǎng)絡(luò)安全最為重視的，肯定是大金融機構(gòu)、大制造業(yè)單位。然而，近幾年，我國銀行業(yè)龍頭單位、家電制造業(yè)龍頭單位被勒索事件時有發(fā)生，支付贖金以億計。這些單位，大都已經(jīng)部署了市場上各種類型的網(wǎng)絡(luò)安全產(chǎn)品，而且請了非常專業(yè)的人士做網(wǎng)絡(luò)安全管理，仍然頻繁出現(xiàn)問題。

網(wǎng)絡(luò)安全中的名詞非常多，廠商也熱衷于創(chuàng)造各種名詞，創(chuàng)造各種新產(chǎn)品，各個大單位也買各種各樣的網(wǎng)絡(luò)安全產(chǎn)品。如果打個比方，這些大單位好比印度，買了一堆武器裝備，卻缺乏統(tǒng)一的軍事理論，面對集團化、系統(tǒng)化攻擊黑客，吃敗仗幾乎難以避免。

銀狐病毒的出現(xiàn)已有多年，首次發(fā)現(xiàn)是2022年底，我們聯(lián)軟科技UniEDR在2023年上半年就在大型機構(gòu)檢測到了銀狐病毒的木馬樣本，然而兩年半過去，該病毒最近有愈演愈烈的趨勢。這個勒索病毒比較特殊，它熟悉中國網(wǎng)絡(luò)安全市場，利用了中國網(wǎng)絡(luò)安全環(huán)境特點進行木馬的內(nèi)部擴散，簡單來說就是黑客知道如何利用網(wǎng)絡(luò)環(huán)境中的“地利”，提升自己的攻擊效率。

然而，今天很少有高?；蛘甙踩珡S商，明確提出要利用網(wǎng)絡(luò)中的地利、人和、技術(shù)優(yōu)勢的結(jié)合，來防范勒索病毒。

我從1995年開始學習計算機網(wǎng)絡(luò)，1999年因為幫助證券交易所建設(shè)交易網(wǎng)絡(luò)，開始思考如何保護網(wǎng)絡(luò)的安全，2004年和一幫志同道合的技術(shù)人員創(chuàng)辦了聯(lián)軟科技(http://wd-bj.com)，目標是通過管理和技術(shù)解決，讓計算機的網(wǎng)絡(luò)安全實現(xiàn)可管可控（我們叫：構(gòu)建可控的互聯(lián)世界）。有十五年的時間，我們常聽客戶提出網(wǎng)絡(luò)安全問題，然后和客戶探討解決辦法，如果市場上缺乏相關(guān)的產(chǎn)品和技術(shù)，我們就和客戶共創(chuàng)，十五年下來雖然做出了不少安全產(chǎn)品，但離真正解決安全問題還比較遠。我們現(xiàn)在定義，真正解決安全問題要實現(xiàn)兩個目標：實現(xiàn)底線風險管控（不?。踩I(yè)務(wù)發(fā)展（獲勝）。 

3.《戰(zhàn)爭論》給予的啟發(fā)：防御戰(zhàn)優(yōu)勢明顯

2018年的一天，我和我們CTO王志在討論聯(lián)軟科技網(wǎng)絡(luò)安全產(chǎn)品到底應(yīng)該怎么做才能既提升客戶的安全又不影響業(yè)務(wù)效率時，發(fā)現(xiàn)一個很有趣的事情，蘋果手機十億人使用，不用安裝殺毒軟件、不用安裝安全管家、不用設(shè)置個人防火墻。通過分析，我們發(fā)現(xiàn)iOS從戰(zhàn)略上就說利用了“手機是信息消費終端”這個特點，構(gòu)建了一套安全保護體系，也就是說，喬布斯用“手機是信息消費終端”這個“戰(zhàn)場”環(huán)境的地形環(huán)境特點，設(shè)計出一個充分利用”地利、人和、技術(shù)”優(yōu)勢的保護方法，讓iOS系統(tǒng)又安全、又方便。當然，iOS系統(tǒng)并非絕對安全，但是對其99.9%的用戶來說，其安全性已經(jīng)足夠好。

通過這次討論，讓我意識到，我們聯(lián)軟科技不應(yīng)該只是單維度地開發(fā)安全產(chǎn)品，我們要從幫助客戶做總體安全規(guī)劃出發(fā)，幫助客戶充分地利用自己的”地利、人和、技術(shù)“優(yōu)勢，提升防御一方的作戰(zhàn)效率，改變攻防不平衡的態(tài)勢。為此，我們研究了戰(zhàn)爭中的案例和戰(zhàn)爭理論，最典型的是南宋末年的釣魚城之戰(zhàn)。它是中國古代軍事史上極具標志性的防御戰(zhàn)役，因其對蒙古帝國擴張進程的重大影響，被譽為 “上帝折鞭處”。南宋守將王堅，充分利用地利、人和、技術(shù)優(yōu)勢，以弱勝強、以少勝多。

同時，我們從卡爾·馮·克勞塞維茨的《戰(zhàn)爭論》中得到啟發(fā)，防御方是有優(yōu)勢的?！稇?zhàn)爭論》是軍事理論的經(jīng)典之作，對后世的軍事戰(zhàn)略和理論產(chǎn)生了深遠的影響。在這部著作中，克勞塞維茨提出了許多精彩且深刻的思想?？藙谌S茨認為，一般來說，防御戰(zhàn)比進攻戰(zhàn)有更多的優(yōu)勢。

無論是釣魚城之戰(zhàn)還是《戰(zhàn)爭論》，都說明防御方是有優(yōu)勢的。為什么到了網(wǎng)絡(luò)戰(zhàn)（網(wǎng)絡(luò)安全的本質(zhì)是對抗），大家就常說攻擊方有優(yōu)勢，攻防不平衡呢？我們進行了深入思考。通過思考，有幾個發(fā)現(xiàn)：

戰(zhàn)爭不以傷亡多少為判斷輸贏，以最終誰達到作戰(zhàn)目標作為判斷輸贏的標準。

換句話來說，傷亡一些將士，乃至短期損失一些土地，只要最終獲勝，就說贏了。典型的例子是中國解放戰(zhàn)爭中，1947年黨中央根據(jù)敵強我弱的戰(zhàn)場態(tài)勢，提出主動放棄延安的戰(zhàn)略決策，將國民黨的部隊牢牢地牽制在陜北戰(zhàn)場，為解放戰(zhàn)爭的最終勝利發(fā)揮了重要作用，真正實現(xiàn)了用一個延安換取了全國的勝利。

網(wǎng)絡(luò)安全中，大家經(jīng)常講的進攻容易，防御困難，指的是防御方做到零傷亡。

如果以“防御方零傷亡”這個標準來衡量戰(zhàn)爭輸贏，我想無論是王堅的釣魚城之戰(zhàn)，還是中國的解放戰(zhàn)爭，大家都會認為是非?；闹嚨?。

網(wǎng)絡(luò)安全防御中，廠商普遍被動采取措施，被攻擊方牽著鼻子走，所以成本極其高昂。

按照當下主流的安全理論，防御方需要找出所有網(wǎng)絡(luò)軟硬件資產(chǎn)，找出其中的漏洞，對漏洞打補丁，持續(xù)不斷進行監(jiān)測發(fā)現(xiàn)攻擊。這些都是成本極其高昂的建議，而且很難做到“實現(xiàn)底線風險管控”，即，"不敗"，更不要說實現(xiàn)“安全助力業(yè)務(wù)發(fā)展”，即，"獲勝"。

網(wǎng)絡(luò)防御戰(zhàn)，如何定義是否實現(xiàn)了"底線風險管控"？

我們認為標準是核心業(yè)務(wù)系統(tǒng)的連續(xù)性是否受到嚴重影響，是否影響到了企業(yè)經(jīng)營的可持續(xù)性？用戰(zhàn)爭的話來說，防御方是否失去了繼續(xù)作戰(zhàn)的能力？網(wǎng)絡(luò)防御戰(zhàn)中獲勝如何定義？我們認為標準是：讓對方失去攻擊價值，即對方認為繼續(xù)攻擊沒有意義，或者，在保障業(yè)務(wù)連續(xù)性的前提下安全投入低于可能的安全損失，即安全防御符合經(jīng)濟性原則。

4.改變網(wǎng)絡(luò)安全防御目標：保護業(yè)務(wù)連續(xù)性

通過上述的討論和思考，我們認識到，安全防御的目標變了，不再以“零傷亡”為目標，而是以“業(yè)務(wù)連續(xù)性保護”和“經(jīng)濟性”為目標。如果這樣，我們就沒有必要把所有的漏洞都補上，讓所有攻擊方式都無法入侵進來，我們只要抓住主要矛盾的主要方面即可。怎么抓住主要矛盾的主要方面？我們可以參考學習古代的城市防御系統(tǒng)，以唐朝的長安城為例，我們看看其是如何防御的。

首先，是要做身份識別，敵我識別。老百姓和士兵要區(qū)分，官員和老百姓要區(qū)分，士兵和將軍要區(qū)分，敵我要區(qū)分。

其次，建立外郭城的城墻、護城河，并將城內(nèi)分成108個坊和東市、西市，坊和坊之間有隔離措施，晚上9點之后不隨意出入。如果有敵方人員潛入，可以將其控制在某個坊內(nèi)，便于控制風險擴散。對水源，建立防止投毒的管理體系，避免大面積的人員傷亡。

再次，建立皇城和宮城，皇城外有護城河，對重點目標進行進一步的保護，對宮城內(nèi)人員實現(xiàn)進一步的容錯式保護。對糧倉、武器庫等重點資源進行專項保護，武器庫深藏在皇城的核心區(qū)中。

最后，建立哨兵、巡邏(金吾衛(wèi)每日在街道巡邏)、安全管理體系。

我們可以看到，唐朝的長安城的防御，不是依賴于某個城門，某個武術(shù)高手，某支軍隊，他是一個體系，城墻、護城河、坊、百姓、士兵、軍隊，以及百姓的戶籍和身份憑證管理，官員的服飾與"魚符"與"傳符"，乃至監(jiān)軍等，都是這個體系中的一部分。

（圖片由AI生成）

將今天絕大多數(shù)政企、金融機構(gòu)的網(wǎng)絡(luò)安全防御體系，與唐朝的長安城的防御體系對比，我們看到有如下差異：

身份識別，唐朝長安城對百姓、士兵、官員的身份識別管理，有一套清晰的外在（服飾）與憑證管理系統(tǒng)，有相關(guān)的授權(quán)控制體系。當下的政企網(wǎng)絡(luò)，目前還停留在統(tǒng)一的賬號管理階段，在權(quán)限可視化（服飾）與權(quán)限分層（百姓、士兵、官員）還有很大的差距。

唐朝長安城的防御系統(tǒng)，有外郭城、護城河、網(wǎng)格化的坊等措施，并將人員身份與進出各種“城”，以及“坊”的權(quán)限結(jié)合，建立了一套完整的權(quán)限控制系統(tǒng)。當下的政企單位，絕大多數(shù)“城墻”是不完整的，網(wǎng)絡(luò)內(nèi)部做分區(qū)分域、分權(quán)限管理的更少，對于黑客的橫向移動控制措施普遍不完整。

唐朝長安城通過皇城和宮城等措施，對重點目標、重點資源進行容錯式保護。當下政企單位的網(wǎng)絡(luò)中，幾乎沒有區(qū)分重點目標、重點資源，還在用“零傷亡”為主的思路進行防御。

唐朝長安城建立了哨兵、巡邏(金吾衛(wèi)每日在街道巡邏)、安全管理體系。由于國家倡導建立態(tài)勢感知系統(tǒng)，近年來關(guān)鍵基礎(chǔ)設(shè)施單位如公共通信與信息服務(wù)、金融、交通、能源、水利、國防科技工業(yè)等普遍建立了態(tài)勢感知等系統(tǒng)，但是這些系統(tǒng)的建設(shè)在信息的信噪比方面普遍存在嚴重的問題，沒有利用自己的環(huán)境優(yōu)勢來優(yōu)化信噪比，導致安全態(tài)勢感知系統(tǒng)價值沒有得到發(fā)揮。

對比唐朝的長安城防御體系，可以看到，當下的政企單位在前面三部分的安全防御投資不夠，第四部分的投資雖然很大，但是方法不正確。使得盡管整個社會投入了巨大的資源在網(wǎng)絡(luò)安全防御上，但是由于投資方向不完全正確、建設(shè)方法不完全正確，這樣漏洞百出的網(wǎng)絡(luò)安全防御體系，在面對類似銀狐病毒這種集團化、規(guī)?；艚M織面前，焉能不??？

▲聯(lián)軟科技TDNA可信數(shù)字網(wǎng)絡(luò)安全架構(gòu)理念

5.聯(lián)軟TDNA理論，指導網(wǎng)絡(luò)安全防御

我們經(jīng)過討論，聯(lián)軟科技在2018年認識到網(wǎng)絡(luò)安全需要新的思想、新的理論對網(wǎng)絡(luò)安全防御進行指導，指導整體安全規(guī)劃，指導網(wǎng)絡(luò)安全方案設(shè)計，指導網(wǎng)絡(luò)安全產(chǎn)品的研發(fā)。因此，我們進行了進一步的總結(jié)：

1.網(wǎng)絡(luò)安全防御理論指導思想：利用優(yōu)勢進行對抗，實現(xiàn)安全與效率的統(tǒng)一，提升經(jīng)濟性，不追求絕大安全，改變攻防不平衡。

2.TDNA可信數(shù)字網(wǎng)絡(luò)安全架構(gòu)：建立保護、對抗、安全運營的體系，用容錯進行保護，用對抗進一步提升黑客攻擊難度及攻擊成本，建立符合降噪原則的情報獲取系統(tǒng)和自動化的指揮控制系統(tǒng)。

3.安全方案，從身份與授權(quán)管理開始，到暴露面管理，到韌性業(yè)務(wù)安全，到一體化防勒索、防數(shù)據(jù)泄密以及原生安全建設(shè)。

4.產(chǎn)品研發(fā)，基于TDNA框架，研發(fā)市場上缺乏的產(chǎn)品、功能、特性，形成體系化能力。

5.功能、組件、技術(shù)，依據(jù)安全方案需要，開發(fā)符合防御體系的功能、組件、技術(shù)，提升效率、降低成本。