1.3 網絡安全多樣視角

1.3.1 四方視角

安全圈的從業者都需要思考如何保障網絡安全嗎？顯然，攻擊團伙是以破壞網絡空間的安全性為己任的。即使是合法的漏洞挖掘者、滲透測試團隊，他們的工作雖然在客觀上有助于鞏固網絡空間的安全性，但在具體工作中卻只需要研究如何去破壞CIA（保密性、完整性、可用性）。在某些技術人員看來，網絡安全就是“挖洞”“搞站”。甚至專業的安全廠商也不需要思考CIA保障問題。廠商提供的日志采集、威脅情報、網絡測繪等服務，并不能直接實現CIA保障，只是起到間接賦能作用。此外，合規認證機構或行業監管單位在具體工作時一般只需對照條款判斷企業的安全措施是否符合預定條件即可，并不需要時刻考慮合規性與安全性之間的精確關聯。實際上，只有那些作為責任主體的網絡運營者需要以CIA保障為直接工作目標。必須認識到，不同視角下，人們對網絡安全的理解存在巨大差異。國家互聯網應急中心（CNCERT）的研究人員提出了“四方視角”模型，包括“組織視角”“廠商視角”“監管視角”和“威脅視角”，對網絡安全行業中的各類角色進行概括，并用統一的模型敘述龐大的網絡生態體系中的各類任務，這一認知模型被稱作“網絡安全大體系”。

組織視角也可稱甲方視角或企業視角。在該視角下，企業需要通過引入安全能力，保障自身網絡資產的CIA目標。廠商視角也可稱作乙方視角。在該視角下，廠商針對其客戶單位的CIA目標從事局部性的能力構建，從而輸出特定產品或服務，如網絡測繪數據、流量采集設備等。監管視角也可稱作社會視角或社區視角，不局限于單一企業的安全保障，而是立足全局高度，涉及政策討論、市場分析、行業協調、合規監管、調查執法等中觀、宏觀層面的任務。威脅視角也可稱攻擊視角或紅隊視角，是紅隊、駭客團伙、網絡間諜所采用的視角，通過各類滲透攻擊手段破壞他人的CIA目標。

網絡安全語境下的企業一般特指網絡運營者。《網絡安全法》將網絡運營者定義為“網絡的所有者、管理者和網絡服務提供者”，這里的網絡服務多是指對廣大用戶提供的2C服務（雖然2B企業也受該法約束）。網絡運營者一般是對網絡資產負責的甲方角色，不包括對外提供安全保障能力的乙方廠商角色，盡管現實中的企業可以同時扮演多個角色。某些英文文獻會把政府內一個歸口系統下的各級分支部門合稱為一個“企業”（enterprise），例如美國的政府文件經常提到“國防企業”“國土安全企業”“情報企業”等稱呼。這里的“企業”實際上是“機關事業單位”的集合，反倒不是常規意義上的營利性企業，若改譯為“國防部門”“國土安全序列”“情報口”之類或更為達意。這些部門所建設的全國性政務信息系統常被直譯為“企業級系統”，此處“企業級”強調的是跨越部門墻的集約化建設，該翻譯易被誤解為某類服務質量等級，或可譯作“集團級”。相比于各地區、各分支機構自主建設信息系統的工程方式，集約化建設的好處在于資源使用效率更高、信息互通性更強、協同聯動性更好。

1.3.2 黑帽、白帽和其他帽

黑客（hacker）被用于稱呼網絡安全領域的技術人員，尤其是掌握了攻擊類技術的人。黑客之“黑”只是音譯，從道德倫理角度可將黑客分為黑帽和白帽，有時還會出現灰帽的說法。黑、白帽子標簽的根源來自西方電影，其中主人公戴著白帽子，而反對者戴著黑帽子。美劇《西部世界》中的游戲玩家也可以選擇戴黑帽還是白帽，代表自己是否扮演好人。白帽黑客也叫道德黑客或倫理黑客，一般從事漏洞挖掘、滲透測試等建設性工作，動機是改善網絡安全，通常是合法的。黑帽就是駭客（cracker），從事破壞性或竊取性的活動，一般是違法的，雖然也有國家的法律允許這類行為。灰帽黑客則介于兩者之間，他們的行為可能會違反某些倫理標準，但并非出于典型的惡意。例如，黑帽在發現漏洞后會進行非法利用，或售到黑市；白帽在發現漏洞后會向相關方報告，絕不非法利用；灰帽在發現漏洞后，可能既不非法利用，也不報告。白帽在從事滲透測試時，只有在獲得屬主同意的前提下才會攻入一個系統；黑帽則會蓄意入侵一個系統，以謀私利；灰帽會在未經授權時即對系統進行滲透，但并無惡意。

大眾傳媒傾向把為非作歹的黑帽看作典型的黑客形象，而白帽群體多主張黑客應該是高尚的，黑帽不符合黑客精神，所以不算黑客。著名程序員埃里克·雷蒙德（Eric Raymond）認為，黑客是有建設性的，而駭客則專門搞破壞。國家推薦標準《信息安全技術 術語》（GB/T 25069）所定義的黑客更接近灰帽：對網絡或聯網系統進行未授權訪問，但無意竊取信息或造成損壞的個人。中國黑客界制定的《COG黑客自律公約》用“黑客精神”形容那些熱衷于解決問題、克服限制的人，公約認為黑客精神的特質在于好奇、懷疑、獨立思考、開放、共享，因此黑客精神并不限于電子、計算機或網絡領域，而可以是其他任何領域，如音樂或藝術等方面。

如今，黑客群體逐漸產生了其他一些色系，如紅、藍、綠等。紅帽是一款操作系統的名字，它的另一個含義是指不擇手段地對黑帽進行打擊的人。典型的紅帽行為包括侵入黑帽團伙的計算機資源進行破壞，或者對黑帽投放惡意程序。中國的一些黑客也曾自稱紅客，強調自己的一顆紅心。藍帽也有多個含義。藍帽有時是指報復心重的黑客，他們成為黑客的目的就是報復他人，而不強調學習技術。藍帽的另一個含義是獨立的安全研究員，偶爾被企業作為編外專家進行邀請。微軟的“藍帽大會”活動就會邀請這類黑客，但也有人認為藍代表微軟，這個會議的名稱是為了區別于知名的黑帽大會。綠帽黑客是指求知欲旺盛的新手黑客，常因大量發問而被其他黑客惡語相向，但他們不屈不撓，繼續熱衷學習。很少會聽說中國的黑客自稱綠帽。英文中的綠代表缺乏經驗，比如綠手就是生手的意識。網絡黑話中綠帽的同義詞是菜鳥（newbie），簡寫為newb、noob、n00b或nub。有些低水平黑客被稱為腳本小子（script kiddie），他們缺乏對技術的深刻理解，只會對腳本代碼進行復制粘貼，四處嘗試。

1.3.3 紅隊、藍隊和紫隊

網絡攻防演練可以幫助組織提前發現網絡弱點。在演練中，通常把安全技術人員分為紅隊和藍隊。紅隊負責模擬網絡威脅執行攻擊行動，藍隊負責防御。于是紅和藍這兩種顏色有了特殊的含義，分別指代攻和防。單就技術而言，合法的紅隊和非法的攻擊團伙使用的手段幾乎一致，因此網絡攻擊技術也叫紅隊技術。也有人分別用紅和藍代表假想我方和假想敵方[7]，這種賦色方式在網絡演練中比較少見。

在歐洲中央銀行的TIBER-EU（歐洲基于威脅情報的道德紅隊框架）中，存在一類“白隊”角色。TIBER-EU要求被測組織的大部分人都不知道紅隊的存在，但仍有一小部分工作人員對演練活動知情，以便對活動進行管理，如創建演練場景及充當裁判。這些人被稱作白隊。

在一些新型攻防演練活動中，還出現了紫隊。紅藍得紫，紫隊兼具紅隊和藍隊的角色，全面地理解安全控制和流程。相比于傳統的紅藍對抗，紫隊代表著更具協作性的方法，旨在幫助組織更有效地改善安全措施。例如，紅隊可能會片面追求取勝，而紫隊則可以結合威脅情報，僅模擬那些組織可能真實面臨的威脅，并在模擬威脅的過程中同步建設防御機制，在演練結束后，組織的防御效果能切實改善。在一些不太常見的場合，還有綠隊、黃隊、灰隊等說法；綠隊負責模擬普通用戶，通過有線或無線網絡將其通信終端連接到藍隊管理的網絡基礎設施上，此處再次體現出英文中用綠色代表小白的習慣；黃隊負責監控和報告網絡安全態勢信息；灰隊負責維護正常的網絡流量和服務請求。

1.3.4 定向攻擊與機會攻擊

網絡攻擊者可分為定向攻擊者（targeted threat）和機會攻擊者（opportunistic threat）。定向攻擊者有明確的攻擊目標，不會輕易知難而退，而機會攻擊者多采用廣泛撒網戰術，喜歡軟柿子，厭惡硬骨頭。典型的機會攻擊者不需要有很高超的技術，他們可以利用Shodan這種網絡資產搜索引擎，輕易找到大量帶有特定漏洞的網絡資產，然后用Metasploit這類開源的攻擊框架發起無差別攻擊，這是一種通過錘子找釘子的過程。定向攻擊者則需要對單個目標持續嘗試，通過給定目標的弱點確定合適的入侵滲透路徑，相當于通過釘子找錘子。

某些定向攻擊者對單個目標表現出百折不撓的耐心，可長達數月或數年之久，它們被稱作持續性威脅（Persistent Threat，PT），其中具有先進（advanced）手段的PT就是APT。APT通常肩負情報目的，背后有外國政府支持，因此又名“國家支持的網絡威脅”（State Sponsored Cyber Threat，SSCT）。近年來，APT的“帽子”有濫用趨勢，防守方會將武功平平的PT捧成APT，從而體現出工作不易；同時PT也渴求“認可”，于是攻防雙方建立了一種濫發APT頭銜的默契。有一些連PT都不算的攻擊團伙也自封APT，他們一般會通過戰績吹水吸引關注度。除了PT以外，黑客運動主義者（hacktivist）也是一類定向威脅，他們的工作是通過黑掉政企網站表達政治威懾。PT大都從事網絡間諜工作，必須“低調奢華”，而黑客運動則追求曝光度，當上網紅才算贏。

企業面對的威脅不僅來自外部，內部威脅（insider threat）更為致命。他們可能是心存怨氣的員工、馬馬虎虎的承包商或者受雇于人的臥底，可謂“家賊難防”。美國政府在屢遭重大泄密案后承認，當內部人士執意竊取資料時，得手只是時間問題。威脅甚至不全然來自主觀的惡意，網絡會在無人破壞的情況下自我癱瘓，造成可用性目標的失守。不良的設計、錯誤的配置、缺位的運維都會產生這類問題。這些威脅都是廣義上的網絡安全工作所應考慮的問題。