安全圈的老司機趙武前輩寫了一篇“構(gòu)建基于攻防實效的安全體系，有效解決通報問題”的文章，提出了從技術(shù)層面來解決企業(yè)現(xiàn)目前不勝其煩的安全通報問題。其觀點提出：一是摸清家底，構(gòu)建完整的資產(chǎn)庫，聚焦“靶標(biāo)漏洞”；二是結(jié)合業(yè)務(wù)，聯(lián)防聯(lián)控，構(gòu)建快速響應(yīng)機制；三是識別未知風(fēng)險。結(jié)合我對安全的觀察與分析，我認為，目前能夠有效解決企業(yè)面臨的安全風(fēng)險，進而規(guī)避通報問題的有效方式是建立企業(yè)的安全文化基因。

　　對于一個企業(yè)，主張安全文化的建設(shè)要“將企業(yè)安全理念和安全價值觀表現(xiàn)在決策者和管理者的態(tài)度和行動中，落實在企業(yè)的管理制度中，將安全管理溶入企業(yè)整個管理的實踐中，將安全法規(guī)、制度落實在決策者、管理者和員工的行為方式中，將安全標(biāo)準(zhǔn)、技術(shù)、產(chǎn)品等落實在企業(yè)運營的業(yè)務(wù)、流程和應(yīng)用中，由此構(gòu)成一個良好的安全文化氣氛。通過安全文化的建設(shè)，影響企業(yè)各級管理人員和員工的安全自覺性，以文化的力量保障企業(yè)安全制度和安全體系的持續(xù)運營。”這樣才能抓住企業(yè)目前安全建設(shè)的實質(zhì)和根本內(nèi)涵。

　　如何來落實企業(yè)的安全文化建設(shè)？在我看來，通過網(wǎng)絡(luò)靶場可構(gòu)建企業(yè)的安全文化，網(wǎng)絡(luò)靶場是建立企業(yè)安全文化的一種手段和工具。具體來說，在趙武前輩攻防實效的安全體系的基礎(chǔ)上，基于網(wǎng)絡(luò)靶場構(gòu)建基于攻防實效的安全文化體系，主要包含四個階段：

　　一是企業(yè)攻擊面分析：摸清家底，構(gòu)建完整的資產(chǎn)庫和網(wǎng)絡(luò)拓撲，聚焦“靶標(biāo)漏洞”。攻擊面分析需要從網(wǎng)絡(luò)安全角度梳理企業(yè)的“攻擊暴露面”，通過分析企業(yè)組織體系的“攻擊暴露面”并建立安全知識庫。安全知識庫除了聚焦“靶標(biāo)漏洞”，還得包括企業(yè)的安全策略、管理制度、人員習(xí)慣等影響“攻擊暴露面”的內(nèi)容。基于收集和評估的企業(yè)“攻擊暴露面”知識數(shù)據(jù)，企業(yè)攻擊面分析需要對這些知識進行進一步處理，目標(biāo)是通過網(wǎng)絡(luò)靶場的仿真數(shù)據(jù)/安全事件構(gòu)造工具生成針對性的綜合安全事件（針對性的流量、攻擊等模擬）。

　　在此階段，網(wǎng)絡(luò)靶場具備或者提供的能力是：①企業(yè)組織體系資源管控能力，該能力能夠識別或梳理企業(yè)中網(wǎng)絡(luò)可達的完整的資產(chǎn)庫，建立捕獲“靶標(biāo)漏洞”在技術(shù)方面所需信息（例如已識別資產(chǎn)的類型和版本以及對應(yīng)的CVE漏洞等）的能力（或集成、對接目前各大安全廠商安全監(jiān)測平臺的能力）；②建立企業(yè)“攻擊暴露面”安全行為基線，比如攻擊路徑分析，為構(gòu)造安全事件提供數(shù)據(jù)和基準(zhǔn)。

　　二是企業(yè)網(wǎng)絡(luò)靶場環(huán)境：結(jié)合企業(yè)網(wǎng)絡(luò)、資產(chǎn)和業(yè)務(wù)等內(nèi)容，將企業(yè)的生產(chǎn)環(huán)境復(fù)制到網(wǎng)絡(luò)靶場中，建立監(jiān)測與仿真體系。監(jiān)測體系要求在企業(yè)的生產(chǎn)環(huán)境中安裝安全監(jiān)測采集探針，對企業(yè)網(wǎng)絡(luò)、業(yè)務(wù)及人員等建立操作行為建立數(shù)據(jù)采集。這些采集的數(shù)據(jù)將作為整體體系中重要的評估環(huán)節(jié)的原始數(shù)據(jù)。仿真體系使用虛擬化技術(shù)和仿真技術(shù)、以及結(jié)合不可模擬的實際設(shè)備對企業(yè)的生產(chǎn)環(huán)境進行復(fù)制，建立孿生環(huán)境或鏡像副本。同時，仿真體系還需要根據(jù)企業(yè)的“攻擊暴露面”分析，針對性構(gòu)造網(wǎng)絡(luò)安全事件、防御者的防御工具和技術(shù)、攻擊者的工具（戰(zhàn)術(shù)）和技術(shù)等亞歷山大？科特（Alexander Kott）所述的網(wǎng)絡(luò)空間安全概念模型的4元組內(nèi)容。

　　在此階段，網(wǎng)絡(luò)靶場具備或者提供的能力是：①具備對企業(yè)的運營資產(chǎn)、網(wǎng)絡(luò)、系統(tǒng)及人員等進行安全監(jiān)測的能力，建立全方位的安全檢測體系（或者集成、對接各個安全廠商的安全監(jiān)測平臺及態(tài)勢感知系統(tǒng)等）；②具備對企業(yè)網(wǎng)絡(luò)空間場景/組織的基礎(chǔ)結(jié)構(gòu)進行建模的能力。主要包含網(wǎng)絡(luò)空間靶場需要構(gòu)造或合成的4元組，即{ I：網(wǎng)絡(luò)事件，可以理解為不應(yīng)該發(fā)生的網(wǎng)絡(luò)安全事件}、{Td：防御者的防御工具和技術(shù)}、{Nd：防御者的運營資產(chǎn)，網(wǎng)絡(luò)和系統(tǒng)}、{ Ta：攻擊者的工具（戰(zhàn)術(shù)）和技術(shù)}。

　　三是結(jié)合業(yè)務(wù)建模培訓(xùn)：根據(jù)企業(yè)“攻擊面分析”和“網(wǎng)絡(luò)靶場環(huán)境”，針對企業(yè)的業(yè)務(wù)特殊需求量身定制結(jié)合業(yè)務(wù)的建模培訓(xùn)內(nèi)容，這些培訓(xùn)內(nèi)容是針對企業(yè)的“攻擊暴露面”進行的針對性培訓(xùn)，將在“網(wǎng)絡(luò)靶場環(huán)境”中對企業(yè)的“攻擊暴露面”進行還原，并要求企業(yè)員工在“網(wǎng)絡(luò)靶場環(huán)境”中，結(jié)合孿生的實際業(yè)務(wù)操作環(huán)境，練習(xí)、演練企業(yè)暴露面收斂，學(xué)習(xí)培訓(xùn)的相關(guān)安全教材（例如講座、教程、意識視頻等），并基于靶場仿真，構(gòu)建基于業(yè)務(wù)的劇情式培訓(xùn)演練和應(yīng)急響應(yīng)機制。

　　在此階段，網(wǎng)絡(luò)靶場具備或者提供的能力是：①具備結(jié)合企業(yè)業(yè)務(wù)及“攻擊暴露面”建模培訓(xùn)內(nèi)容的能力，靶場將在企業(yè)的復(fù)制環(huán)境中，能夠建模構(gòu)造可能引發(fā)的攻擊戰(zhàn)術(shù)、防御策略以及綜合安全事件，并將可能性引入到培訓(xùn)環(huán)節(jié)對學(xué)員進行安全應(yīng)對培訓(xùn)和指引；②具備提供學(xué)員快速場景構(gòu)建及場景還原的測試和評估新的策略和技術(shù)的能力。

　　四是企業(yè)監(jiān)測評估反饋：通過在第二階段建立的監(jiān)測體系，將實時監(jiān)測企業(yè)生產(chǎn)環(huán)境和企業(yè)網(wǎng)絡(luò)靶場環(huán)境。在靶場環(huán)境中，通過培訓(xùn)完成后，監(jiān)測體系將顯示每個學(xué)員和整個計劃的結(jié)果。監(jiān)測體系將對培訓(xùn)的結(jié)果做一個初步的評估。然后，監(jiān)測體系將在企業(yè)生產(chǎn)環(huán)境中，監(jiān)測學(xué)員的安全培訓(xùn)習(xí)慣和技能操作行為反饋，并最終評估是否達到培訓(xùn)的效果，如果監(jiān)測顯示，某項制度或技術(shù)在培訓(xùn)后，在企業(yè)的生產(chǎn)環(huán)境實際操作中，學(xué)員還是沒有遵循安全培訓(xùn)的要求，企業(yè)可將該學(xué)員再次回返到企業(yè)靶場的孿生環(huán)境，再次進行針對性訓(xùn)練，直到學(xué)員養(yǎng)成安全習(xí)慣，變成學(xué)員自身的行為習(xí)慣為止。

　　在此階段，網(wǎng)絡(luò)靶場具備或者提供的能力是：①具備企業(yè)生產(chǎn)環(huán)境和靶場復(fù)制環(huán)境操作行為和操作培訓(xùn)監(jiān)測采集、分析評估的能力。網(wǎng)絡(luò)靶場需在培訓(xùn)階段結(jié)束后在生產(chǎn)環(huán)境繼續(xù)審核學(xué)員的操作行為，目的是捕捉學(xué)員是否真正運用了自己的培訓(xùn)能力，建立了安全意識和操作習(xí)慣。②具備長期運營的能力，靶場需要在企業(yè)的業(yè)務(wù)和安全運營中一直進行不間斷的安全運營，為企業(yè)的安全文化建立提供運營手段。

　　網(wǎng)絡(luò)空間安全是此消彼長、對抗激烈的高科技較量，其能力的提升依賴于安全人員、攻防裝備、技戰(zhàn)法等多個方面的整體進步。而這些方面的進步，無不需要緊貼企業(yè)實際的安全需求，緊貼業(yè)務(wù)運行動態(tài)，反復(fù)檢驗、改進和完善。只有將安全文化融入到企業(yè)的文化基因，凝結(jié)起來一種文化氛圍，將員工的安全觀念、安全意識、安全態(tài)度、安全技能、行為習(xí)慣、以及對安全價值的理解和領(lǐng)導(dǎo)及個人所認同的安全原則和接受的行為方式。才能很好的解決網(wǎng)絡(luò)安全層面對企業(yè)現(xiàn)目前困擾問題。

　　通過安全觀念文化的建設(shè)，影響決策者、管理者和員工對安全的正確態(tài)度和意識，強化企業(yè)每一個人的安全意識。安全運營和安全文化，是提升企業(yè)安全保障體系長治久安的固本之舉。