摘要

当下，网络安全已成为国家战略安全的有机组成部分，围绕网络安全建设的法律法规、指引要求、技术管理、标准规范、体系流程等方面均已具备较为完善的内容，同时又面临缺乏统筹综合的整体方法论，导致无法为网络安全的建设路径和发展方向制定清晰而适配的路线和把控实施进程中的问题。本文旨在从辩证唯物主义的角度为网络安全建设提供一种包含认识论、辨证论、实践论、统一论、运动论、联系论和科学技术观的网络安全建设方法论，揭示了网络安全建设的辩证统一思想，从而为网络安全建设的路径思考和实践探索提供参考指引。

关键词：网络安全；辩证唯物主义；攻击与防御

网络安全已成为企业科技能力建设和战略发展方向必须要考虑的问题，各行业在网络安全建设中均面临各式各样的问题，虽然有各类成熟安全解决方案可以参考和借鉴，依然缺乏全局性、统领性和综合性的安全建设方法论，从而引发对网络安全建设认识的片面性和局限性，导致难以实现较为清晰和明确的建设方针和目标方案，因此需要从辩证唯物的角度认识网络安全建设中的原理要义与核心思想。

一、网络安全建设的认识与实践

网络安全建设的认识与实践统一于企业网络安全建设的全过程，二者紧密关联互为补充，构成了网络安全建设方法论的纲要。

1.认识与实践的来源方式与模式

网络安全建设的认识来源主要从三个层面进行：上级要求、自身赋能、行业驱动。

上级要求主要包括国家层面的法律法规和行业监管的指引文件。法律法规包括《网络安全法》、《个人信息保护法》、《数据安全法》在内的一整套网络安全法律法规体系，例如等级保护测评和攻防演练等大多来源于法律法规要求，近年来的处罚案例增多、力度加大等表明该层面的执法愈发严格，企业需要根据法律法规条款解读专项事宜，从而避免违法行为发生。监管指引要求层面侧重于行业属性，例如2022年证监会发布了《证券期货业信息技术服务连续性管理指南》标准，给出了证券期货行业机构开展信息技术服务连续性管理的基本程序和措施，目的在于引导行业机构认识信息技术服务连续性的重要性强化组织保障，提升信息技术服务连续性管理水平[1]，而在指引发布后不久某证券就因为信息技术服务连续性中断导致的网络安全事件被采取责令改正的监督管理措施。部分行业金融监管单位的监管要求往往高于国家法律法规要求，监管范围和措施手段也往往更加严格，立足行业属性，需要更加细化的了解监管的要求和意见。

自身赋能的认识在于从公司战略和业务发展的角度提升网络安全的站位和赋能价值。数字化转型与数字经济的驱动下，业务线上化和数字化、信息化已成为主流方向，金融科技的已成为引领金融行业转型的关键策略，这也意味着网络安全作为整体科技能力中的关键环节需要发挥更大的价值和能力，从而助力企业发展“稳、高、快”的目标。企业发展对于网络安全建设的需求在于安全和合规两项能力，一是从业务发展角度出发，保障业务载体的各类应用系统和所关联的网络、数据库、服务器等有机整体的安全性，较为典型的网络安全事件如勒索、病毒、挖矿等，通过构建全方位的安全保障能力将网络安全事件苗头扼杀在起始阶段。二是深入业务流程，熟悉业务的各类逻辑和设计模块，重点关注逻辑类的漏洞如身份鉴别和访问控制缺失导致的账号失窃、资金盗用、业务欺诈、信息泄密等等，保护客户的资金和信息的安全，从而提升客户信任，使安全成为业务的关键属性。三是增加对内部员工的安全赋能，外部钓鱼邮件和恶意附件及链接情况频发，通过组织钓鱼邮件演练和员工安全意识培训等事宜，强化员工的安全意识和对恶意欺诈及钓鱼事件的侦查发现能力，避免员工的误操作导致自身的资金损失和对公司造成影响。

网络安全建设离不开网络安全行业厂商的发展和赋能。网络安全厂商和企业站位趋于同侧，两者在业务和需求上互补，双赢的合作模式能够为双方带来更大的价值赋能。企业处于攻防一线的境遇意味着需要安全厂商提供高于市面主流攻击能力的安全产品和服务能力才能有效抵御外部攻击，安全厂商需要在深入了解企业安全能力现状的基础上提供满足企业要求的产品和服务从而实现研发或科技产品能力变现。在安全厂商的选择方面，“大而全”的公司能够在整体网络安全架构层面提供全方位的保障能力，“小而美”的公司在特定领域能够解决专精问题，两者的有机结合可以帮助企业实现安全能力的全覆盖。另一方面，可以通过参与行业会议如金融行业会议的分享，了解同行业机构的安全建设方向和规划内容，通过参与网络安全行业的会议分享，了解安全厂商的前沿技术探索，从而对网络安全建设具有综合的认识。

2.认识与实践层次与过程

认识的过程是一个循环往复的模式，每一个层次都是主客观统一的感性和理性融合的结果。

“不知者无畏”出自于《论语·季氏篇第十六》，从不知到知是认知的第一个层次；“虽知其然，而未必知其所以然也”出自《建宁府建阳县长滩社仓记》，知其然不知其所以然是认知的第二个层次；“四十而不惑，是知其然；五十知天命，是其所以然”出自《论语》卷二十三，知其然且知其所以然是认识的第三个层次。

成熟的企业安全建设多是照本宣科的沿用成熟安全防御体系，以边界安全为起点，建设覆盖网络、应用、主机、数据、办公等多层次的纵深防御体系，再延伸至云安全等领域，如此种种便可以达到从不知到知，从无到有的第一个认知层次，而通用的网络安全架构可能存在空有其表的现象，需要完善架构和补充人员等能力。知其然不知其所以然的第二个层次意味着在第一层次的基础上，能够对安全在企业中的定位有一个清晰地认知，并根据这个定位要求规划网络安全建设的方向和目标，并协调组织资源和管理层支持在网络安全架构、人员、预算等方面合理配置，成立职能明确、分工合理、目标清晰、能力均衡的网络安全团队。知其然且知其所以然的认知与实践层次是较为成熟真正具有完善的保障企业安全能力的安全建设第三层次，这也要求企业具有足够的网络安全支持能力，用于深层次建设较为繁难但是对于提升安全保障能力至关重要的各类网络安全工程如数据安全治理、开发安全SDLC和DevSecOps等工程，而这些工程基础能力的建设能够帮助企业在网络安全的“最后一公里”上实现安全价值的综合体现和保障能力的强化。

3.认识与实践的反作用

认知并不是总能够为实践指明方向，错误的认知可能对实践造成反作用。

真理是人们对客观事物及其规律的认知总结，真理具有条件性和具体性，超过了其存在条件范围和具体内容，往往会转化为谬论，导致错误的实践，产生不良后果和影响。

爱因斯坦提出的关于时空的引力的基本理论“相对论”成立的条件就是光速不变真理，光速极限是因果论和狭义相对论共同的得出的结论。网络安全建设中要遵循真理相对性与条件性的客观规律，从而减少错误的认知对实践的反作用和影响。

网络安全建设的成熟度往往和企业的行业属性、规模大小、财务状况、组织架构等具有紧密的关联性，金融行业的安全能力成熟度往往高于制造行业的原因与金融行业的强监管、高投入、强组织密不可分。同时网络安全与企业整体科技能力有较强的关系，和科技部门的整体的研发、运维、测试等均具有较强的贴合性，所以安全能力应当与整体科技能力保持一致，而不应当割裂安全作为科技能力中一环的协同性，从而实现与其他科技能力的紧密配合。拒绝形而上学和脱离实际的安全能力建设，把握网络安全建设的相对性和条件性，实现认知与实践的正向统一。

二、攻与防两端能力的辩证统一

攻击与防御作为企业安全建设能力的两端，应当辩证统一于安全建设的构图中，成为安全建设天平的两端力量。

1. 攻与防的形式对立统一

攻防两端能力不对等是企业网络安全建设的难题所在，也是网络安全事件频发的主要原因。根据“木桶效应”原理，一旦企业防御存在短板，那么就意味着即使能够保持接近百分之百的防御能力，而黑客攻击者只要找到微乎其微的一点短板就能够突破整个防御体系长驱直入造成严重后果，这也就意味着防守方要数倍于投入攻击者的资源才能提升攻击成本和难度阻断攻击过程降低攻击影响。从这一点来看，攻与防处于对立面，二者是零和博弈，一方的成功必然对应着另一方的失败。

从攻击者和防守者的角度来看，攻与防是对立关系，从企业建设者的角度来看，又能够有机运用二者为一体，实现二者的对立统一的关系。攻与防的统一关键主要依赖于漏洞扫描、渗透测试、攻防演练、安全运营日志告警跟踪等安全产品或服务形式，在于从黑客的角度主动发现和检测系统的存在的漏洞，通过模拟黑客的攻击手段能攻击能力，从而实现己方攻防能力的均衡发展，提升总体安全防御能力。

以攻防演练为例，攻防演练的双方中防守方为企业安全团队自身力量，攻击方为自行聘请的外部安全厂商或监管组织的攻击队伍。在整个演练过程中，攻击方使用各类攻击工具和攻击手段对防守方真实业务业务系统发起攻击，甚至可能使用0day(未公开的高级安全漏洞)，攻击队伍一般为3-5支有20-30人或更多，攻击时间和目标不限，攻击期限为2周甚至更多，以获取核心系统权限为目的，完整复刻了高级持续性威胁APT组织的攻击模式。防守方通过建立指挥、监控、研判、处置等各工作组明确分工，以流水线工作方式对演练过程中发现的各类攻击告警进行妥当的处置，用以及时阻断攻击者的攻击路径和攻击效果，减少对系统的影响，同时通过应急响应、溯源止损等操作及时打断攻击进程，保障生产系统的机密性、完整性和可控性。在整个过程中，通过高强度的攻防对抗，用以发现生产系统存在的漏洞及风险问题，提高组织应急响应协同配合处置能力，排查安全隐患和防护薄弱点，通过专项加固和强化措施增加整体安全能力的可靠性，实现对整体安全能力可知可控可预测。

2.攻与防的度量对立统一

攻与防的度量从属性和对应人员职能分工上具有天然的矛盾性，同时又统一于实际效用方面。

企业攻防能力建设中，往往会遇到一个困境，以安全开发为例，在系统上线前经过了层层安全赋能，经历了需求阶段安全评审、设计阶段安全把关、开发阶段代码审计、测试阶段渗透测试等流程，但是系统上线生产后依然存在漏洞问题，可能引发监管通报或客诉问题，或者在防御端安全运营中发现对系统的漏洞成功攻击实证，这些都表明攻击端的能力不足；而一些攻击防御端无法发现，直至发生重大事件后如勒索事件发生后才发现防御的不足；这些情况都表明攻与防都存在不足，二者的矛盾性体现在攻击端与防御端的局限性和对立性，又统一于企业网络安全部门的主动行动与改进措施上。

建立应急响应中心SRC和引入众测平台已成为解决攻与防局限矛盾性的重要解决方案。大型互联网企业和金融业等已有较多安全应急响应中心的实践案例，并具有良好的成效和结果产出。安全应急响应中心的构建以自建自运营和托管式建立运营模式两种，大型互联网资源较为充裕，一般选择自建运营模式。在该类模式下，企业需要自行搭建应急响应平台，并组织活动吸引白帽黑客安全专家挖掘和提交漏洞，企业自行负责漏洞和审核、通告、修复和复测、关闭等全生命周期漏洞管理，并需要运营人员定期和白帽互动、解答疑惑、组织活动提升白帽的粘性和依赖度。中小型企业一般采用托管运营模式，该模式依托于众测平台优质白帽资源，通过赏金漏洞的形式邀请白帽提交企业的相关漏洞，并发放漏洞奖金，通过第三方平台建立和白帽的沟通渠道和方式。这两种模式下，攻击端而言，可以通过白帽提交的漏洞及时发现系统缺陷，从而避免被黑客攻击利用的情况发生，补充内部攻击端能力不足的情况，相关成果和发现也归结于攻击端能力的延伸。防守端而言，在白帽的攻击过程中可以检验是否能够有效检测到相关告警，以及排查检测到而未响应或应急的原因所在，从而不断提升检测和响应能力，同时可以根据白帽提交的各类安全威胁情报如数据泄露等发现安全运营中的缺失问题和是否已存在内部潜伏攻击者问题，实现防守端赋能的效果。

3.攻防整体和部分的对立统一

攻防整体和部分的区别在于两者的含义、地位、作用、功能等是不同的。

网络安全整体能力是企业安全能力的总和，部分是网络安全分解的各模块和组成部门，两者形成一对多的关系。整体居于主导地位，通过各类机制和方式统率部分协调工作，从而达到最优解和能力最大化。部分处于被领导和支配地位，各部分功能不同，通过技术手段拼接和组装，实现整体功能的一致协调性。

安全运营中可以将企业整体防护能力分为网络安全、应用安全、数据安全、办公安全等模块部分[2]，通过安全运营中枢平台SIEM或态势感知平台SOC实现有机连接，将一颗颗散落的“珍珠”部分串成安全运营框架整体。第一步，建设全公司安全大数据汇集分析能力，将网络日志、运维日志、应用系统日志、安全设备告警日志等汇总分析，联动其他情报信息如威胁情报等进行综合关联挖掘分析，实现网络安全攻击告警的检测、分析、排查、防护一体化。第二步，构建完善安全管理体系流程形成安全运营能力闭环覆盖模式。将资产测绘与管理、威胁感知建模、漏洞检测与告警、攻击日志聚合分析、应急响应处置溯源、重大活动网络安全保障等工作具流程化和规范化，提高安全事件处置与协同能力，立体化和数字化展示网络安全工作成果和指标，形成安全运营的流程可控。第三步，引入攻击模拟BAS等技术形成安全有效性验证机制，查找防护薄弱点和失效点，强化安全设备和策略机制的有效性。通过BAS对当前防御能力和覆盖度进行全面深入验证，通过引入安全有效性验证平台，实现持续化自动化闭环化的全天候验证评估机制，建立全覆盖面验证体系和流程，将最新攻击工具、手法等应用其中，帮助企业安全运营先于攻击者发现防护失效点，减少安全人员的投入和告警误报，沉淀企业自身的安全攻防知识经验和实践能力，全面提升安全运营效率和防护能力。第四步，安全度量可视化，将网络安全攻击维度情况进行指标化展现，对整体网络安全综合态势情况现状进行全方位、多维度的计算和评价，实现全网网络安全态势可见、可知、可预测。

三、网络安全建设的运动性与联系性

1.网络安全建设的运动与发展

网络安全建设是随着时代和科学技术的发展而不断变化衍生新的内容和形式的永动体。

1983年上映的《战争游戏》电影中，一名天才少年搜索到了一台网络电脑，简单破解后成功入侵War Operation Plan Response (WOPR)的系统，最终险些引发“第三次世界大战”的故事既有荒谬性又有现实意义，原因在于早期的系统中很少考虑安全的因素，所以导致各类弱口令和默认口令密码频频引发安全问题，甚至于国内2010年后仍然有“某白帽弱口令渗透到卫星系统”的传说，确实也暴露了国内部分企业安全意识薄弱的现象。

以2016年《网络安全法》的颁布实施为安全元年，国内经过数年来的发展，法律法规愈发完善，企业重视程度更加深入，网络安全行业发展更加规范，安全社群与组织发展壮大，白帽黑客等一大批网络空间安全人员培养模式成熟、人员能力更强，行业之间交流愈发紧密，整个行业的变化给网络安全从业人员带来了机遇和展现才华的舞台。目前国内网络安全人才紧缺，有研究数据表明网络安全从业人员收入在同类岗位中位居前列，专业型、复合型人才在企业有有更大的施展空间。

与此同时，新的技术推动更加成熟和优异的安全产品被市场认可和引入。以主机入侵检测HIDS为例，七年前市场对其认可度和接受度还处于较低的水平，相关厂商较少，厂商产品综合成熟度较差，案例较少。自2018年后，随着攻防演练的推进，各关键基础设施单位开始意识到HIDS的重要性开始大量采购相关产品，大量的市场需求反馈反哺厂商不断优化改进产品，版本迭代加速，从传统的HIDS的产品延伸了微蜜罐、容器安全等相关功能和模块，同时引发了市场的激烈竞争，多家安全厂商相继推出相关产品并不断扩展市场，该类产品市场赛马机制趋于稳定，各家占比达到行业平衡。

2.网络安全的联系性

网络安全的定位应当是立足科技，赋能业务，服务全司。

国内外主流的安全人员认证如CISSP(信息系统安全专业认证)和CISP(注册信息安全专业人员)被业内人士冠以“一英里宽,一英寸深”的原因在于网络安全关联涉及面多，需要沟通协调的方面繁难杂多，这也对网络安全从业人员专业技能和其他能力方面提出了更高的要求。

以等级保护测评为例，中间牵涉内外部多个部门的沟通、配合、协调、共识和管理等事宜。2021年发布的《JR∕T 0067-2021 证券期货业网络安全等级保护测评要求》三级包括通用安全测评、云计算扩展安全测评、移动互联网扩展安全测评、物联网安全测评和工业控制系统安全测评五大类，涵盖数百项测评内容，涉及网络安全、科技研发、运维、质控测试、项目管理等科技条线，需要协调人力资源、合规审计、运营管理、市场等部门共同参与，包括系统梳理、定级备案、现场测评、实施整改等步骤和流程，还需要和网信、公安、监管等部门及组织机构交流沟通汇报工作，关联范围广泛，每一个环节都可能影响测评的进度和结果。

另外一个角度来说，很多安全设备如IPS(网络入侵检测阻断)、WAF(Web应用安全防护墙)以串联的形式部署在网络架构中，一旦设备发生故障或问题，将会对业务造成很大的影响，所以在应急演练和部署模式方面通常需要同网络、运维等多次反复沟通。其他一些安全软件如防病毒、敏感数据防泄漏等需要在公司员工电脑上安装对应软件，对于非标准化的系统安装防病毒及其他软件通常会引发兼容性或其他问题，导致影响员工办公从而投诉安全部门，这也是安全工作开展的关联性引发的挑战。

四、网络安全科学技术观

1.网络安全科学技术发展的组织结构

目前中国网络安全科学技术发展的组织结构为“官-产-学”三足鼎立发展模式，政府、企业和大学之间呈现新的发展模式。

2023年4月27号，中国金融业网络安全大会在北京召开，大会宣布了由中国人民银行科技司指导下发起的金融网络安全实验室筹备启动并公布了包括工商银行、农业银行、三六零科技、长亭科技等金融企业和安全厂商在内的筹建单位，表明政府与企业在网络安全共建共赢方面合作愈发紧密。2022年11月3日，在2022补天白帽大会上，上海交通大学与奇安信集团举行成立“上海交通大学电子信息与电气工程学院-奇安信信息系统安全联合实验室”（简称信息系统安全联合实验室）的签约仪式，高校与企业共同推进信息系统安全领域的技术创新与产业发展的合作模式和方式愈发广泛。

2.网络安全科学技术人才创新观

中国目前已经构成了以企业为主体产学研相结合的人才技术创新体系，科学研究与高等教育有机结合的人才知识创新体系，社会化、网络化的网络安全科学技术人才培训服务创新体系。

以企业为主体的产学研相结合的技术创新体系能够为企业培训符合要求的网络安全技术人才，部分高校通过聘请企业安全专家授课的方式增加学生的技术实战能力，并组织安排学生到安全厂商公司或企业网络安全部门实习，从而增加网络安全技能的全面性，提高学生择业成功率。

科学研究与高等教育相结合的知识创新体系有助于强化教育系统和科学研究的沟通，尤其是在网络安全新技术领域的应用和实践探索，有助于推动行业前沿的研究探索实践。

体系化、标准化、流程化的社会网络安全培训组织和机构已经培养了相当比例的网络安全人才，这部分人才对于补充当下网络安全人才短缺的困境起到了关键的作用。

3.网络安全的发展模式

网络安全作为当下科学技术的一种表现形式，继承了马克思科学技术思想的本质，在发展模式和动力上和科学保持一致。

在纵向上，网络安全发展表现为渐进与飞跃的统一。在《网络安全法》颁布以前，网络安全发展遵循渐进的模式，进展较为缓慢。在《网络安全法》法颁布后，发展迅猛日新月异，行业呈现飞跃式发展，体现了量变与质变的统一的关系，认识网络安全的纵向发展模式能够帮助我们把握网络安全发展动态和方向，做好安全建设的规划和实施工作。

在横向上，网络安全发展表现为分化和综合的统一。根据安全牛第十版网络安全行业全景图，网络安全细分领域共收录3180项，较第九版增加571项，细分领域和专精层面的网络安全能力愈发扩展延伸，这也表明小众市场的网络安全需求愈发细化和广泛，而这些网络安全技术与能力总能够归集成一个综合体—企业安全能力建设需求，围绕着安全能力建设需求的扩展，形成了整体安全能力的全覆盖。

在总体趋势上，网络安全发展表现为继承与创新的统一。有相当比例的网络安全技术与产品来源于原有产品继承的基础上的创新。以WAF为例，早先的WAF技术以规则匹配为主，存在较大被绕过的可能以及在站点增多的情况下资源处置不及时影响时间效率的问题，近年来词法语义分析和人工智能技术结合的WAF已逐渐推广应用，避免有原有WAF技术问题的同时，提高了检测的准确性和降低了误拦截率。此外还有零信任等有较多是基于VPN等技术进行改造和升级创新。

4.网络安全的发展动力

社会网络安全需求与网络安全技术发展水平之间的矛盾是网络安全发展的基本动力，交互式应用安全检测IAST的出现就是遵循这一规律。传统的动态安全检测DAST存在难以覆盖逻辑漏洞和检出率较低的问题，静态安全检测IAST的误报率过高同时无法检测应用系统运行起来状态的漏洞准确度较低，所以IAST在综合两者的优劣势方面，通过插桩式、代理式、镜像式等方式实现了漏洞检测高准确率和低误报率的问题。

网络安全技术目的和技术手段之间的矛盾是网络安全技术发展的直接动力。网络空间资产测绘技术解决了企业互联网资产管理盲区的问题，该领域的安全厂商从IP、域名、证书、指纹、hash等维度实现了全互联网资产的归属和管理问题，帮助企业及时发现防护能力覆盖空白区，提高了安全管理水平和能力。

科学进步是网络安全技术发展的重要动力。人工智能的发展大大加快了网络安全产业和技术的更新迭代，目前已经有较多关于人工智能在网络安全攻击检测、漏洞发现等方面的应用。

五、结论

网络安全建设中的认识与实践对于明确建设路径和方法具有决定性作用，两者统一于网络安全建设的战略定位与方向规划；攻与防两端能力的对立统一则标志着网络安全建设的路径和行进步骤，从攻与防的形式对立统一、度量对立统一和整体部分对立统一方面论述了网络安全建设过程中的矛盾性和必然性；网络安全建设的运动性和联系性从全局考虑了网络安全建设的发散性和收敛性及动态性，是建设过程中要重点关注考虑的问题；网络安全的科学技术观从网络安全行业发展组织结构、人才创新、发展模式和动力方面预判了行业的发展方向和前景。