前言

网络安全能力在今天已经成为国家信息化建设水平和综合国力的体现，是建设“两个强国”的重要支撑，也是机构和企业在数字化浪潮下生存的必备技能。

然而当前，用户和网络安全从业者普遍感觉安全平时用不上，出事不管用。由于以往“未知攻，焉知防；要想防御威胁，先要看到威胁”等传统威胁防御观念根深蒂固，如今形成了“没有100%的安全，系统一定会被攻破，安全只能尽力而为”的必然结果。因此，业界对于能否在风险条件下有效保障关键基础设施的安全普遍缺乏信心，从心底认为安全是个无底洞，安全投资难以产生实效。可见，如果不从安全基本理论、方法论和架构上正本清源，就无法让安全建设走上正轨，也就无法扭转当前安全面临的严峻形势，更不可能满足国家“两个强国”建设的要求。

本书介绍华为的韧性架构，它不以尽力而为地对抗无穷的威胁为目标，而是致力于保证有限业务可预期、可验证的确定性状态。韧性架构以安全的第一性原理为基础，以OODA（Observe-Orient-Decide-Act，观察—判断—决策—行动）对抗方法论为指导，超越了线性的防御思路，从业务的内生可信、威胁的有效防御、全局的动态运营三个维度，构造系统化竞争力，建立可预期、可验证的、确定的网络安全环境。在系统“漏洞不可修补、威胁不可感知、防御已经失效”的情况下，保证系统核心业务始终处于可预期、可验证的确定性状态，从而在防不住威胁的情况下，确保系统的安全底线一定能守住。

自2019年以来，华为的韧性架构已经在多个关系国计民生的关键场景中获得实际应用，经受住了市场的考验，取得了显著的安全效果。如今，韧性安全理念、架构、解决方案被越来越多的用户所接受，必然可以极大地提高国内各行业的信息安全建设水平，让用户实现安全建设的价值回归，让安全目标更清晰、价值可衡量、效果可验证。

本书中，网络安全（Cybersecurity）指的是广义的网络空间的安全，为简洁起见，如无特指，后文一般表述为“安全”。

编写本书的初衷，主要有以下三点。

1.当前缺少一本系统地介绍安全的图书

现有的安全类图书，讲各种安全技术的很多，但能系统展现安全的动机、体系和全景的很少。安全的概念实在是太多了，读者一进入安全领域，很容易陷入具体技术当中，有“只见树木，不见森林”的感觉。在实际工作中，经常有人咨询我，是否有比较好的、能帮助了解整个安全体系的入门书。回想起来，很多安全类图书，更像是特定科目的应试指南，而不是系统性的教材，只能让读者知道要求是什么、应该做什么，却不能让他们知道为什么这么做、背后的知识体系是什么。

工作中，还曾有人向我抱怨，虽然讲安全的书非常多，但是有三个问题始终没人给出明确答案：到底什么是安全？如何判断当前是否安全？怎样做才能保证安全？

本书从安全的本质和安全的第一性原理出发，逐步阐述安全观念和体系研究的基本思路与方法。通过对国内外安全体系结构演进历史的回顾，以及对各种安全热点技术背后规律的分析，梳理网络安全演进的脉络，揭示安全界“从针对威胁的防御到面向业务的韧性保障”思路的转变趋势，以及韧性架构的发展现状。通过理论与实例，证明安全是一门有理论指导的科学而非单纯的经验积累，安全效果应该是确定的、可预期、可验证的，而不该是只能尽力而为、不可预测的。基于正确的安全方法论和架构，是可以做到以有限的成本来保证关键基础设施在极限打击下能守住安全底线的。

希望本书能帮助读者建立起系统化的安全视角，让读者可以从安全理论出发，自行解答各种安全问题。

2.对流行的安全观念与方法正本清源

当前一些安全观点被业界公认，不是因为观点本身正确，而是因为其流行；一些核心技术概念被接受，不是因为重要，而是因为能吸引眼球。本书希望能对业界一些流行的安全观念进行澄清，并且帮助读者理解它们的来龙去脉。

（1）威胁对抗理论的局限性

威胁是无穷无尽、无法穷举的，针对威胁的防御，是以有限的安全资源对抗无穷的攻击威胁，从理论上讲注定会失败。成功的安全保障，并不以在攻防对抗中战胜对手为目标，而是应当避免陷入直接的攻防对抗，只要进入对抗，防御迟早会失败。网络安全不等于威胁防御，安全本身是个业务概念而不只是攻防概念。威胁是安全问题的表现而非原因，只针对威胁现象进行防御，必定无法保障安全。

（2）要正确理解“等保”要求

不理解“等保”网络安全（等级保护）而只去套用等保基线能力，就如同马谡照搬兵法。无论是ISO/IEC 15408、ISO/IEC 27001、CC（Common Criteria，通用准则），还是“等保”的安全测评要求，原本都是用来对已经建成的安全体系进行安全等级测评的，好比通过标准化试卷来评价学生对知识的掌握水平。如果把这些原本用于测评的基线检查项作为指导安全体系建设的依据，就好比学生不去上课而只通过考试试卷+标准答案来学习一样，是很难真正掌握知识的；同样，只依据等保基线逆向建设的安全系统，除了能顺利通过测评外，并不真正具备相应等级的安全强度。

（3）安全问题整改清单不能保证安全

现在的用户做过安全咨询后，都希望安全机构能输出一个尽量完备的风险与整改清单，让用户的安全建设有的放矢。实际上，用户按照清单完成整改后，虽然感觉已经对所有的风险做好了万全的准备，实则只能防范旧风险的再次发生，依然无法应对新出现的风险。因为凡是能够在清单中列出的，都是看得见的问题现象，而不是看不见的未知威胁以及造成风险的根源。但是，看不见的风险因素才是最可怕的。

（4）威胁检出率不是安全的关键

无论是99%还是99.99%的威胁检出率，都无法保证系统的安全。这是因为根据安全木桶原理，只要存在哪怕是最小的威胁，系统都是处于不安全的状态；又因为威胁总量是无穷的，最终能被检测到的永远只是极少的一部分。在实际情况中，造成最大损失的正是那些无法被检出的看不见的威胁。因此，与其不遗余力地提高威胁检测能力，不如设法建立应对看不见的威胁的健全机制。

（5）相同安全产品不同组合的安全效果差异巨大

现在很多用户和厂商不关心用户具体场景与安全解决方案的架构和流程，只关心最后的产品组合是什么。他们认为无论什么样的方案，最终能发挥防护作用的都是产品能力。其实完全不是这样，由相同安全产品所组成的不同解决方案，效果的差别也会如同石墨与金刚石的性能差别一样大。要理解系统与部件之间的关系，可以思考以下问题：一辆车完成了80%的装配，是否就获得了80%的功能？把宝马发动机、大众底盘、奔驰车架堆在一起，能否获得更好的质量？象棋冠军获胜时所用的棋子，与对手有多大差别？可见，我们只能系统地比较整体架构和解决方案，不能将其拆成部件进行对比。

3.帮助读者建立正确的安全理念，梳理安全体系

归根结底，安全是一门科学而不是玄学，是一种技术而非艺术。安全是有方法论作指导的。安全作为系统的属性，应当具有确定性，是可预期、可验证的。当前安全所表现出的“效果尽力而为，能力不可验证，价值不可评估”的现状，并不是安全的固有属性，而是当前安全研究中存在的问题。如今安全所表现出的混沌状态，并不是安全的正常状态，而是需要通过安全理论与架构的创新加以解决的问题。

造成安全如此复杂的原因在于：人们一直试图使用已知的安全现象来解释未知的安全现象，试图用某些安全问题来解释其他安全问题。大道至简，在复杂安全现象的背后，一定存在着简单、明确的安全理论。我们解释安全问题，好比解释什么是“红色”，如果只从“红苹果、红衣服、红油漆……”的角度来解释，就会越来越复杂，而从红色对应的特定光谱的波长范围的理论角度，就能进行清晰定义。在复杂安全现象的背后，同样存在确定性的理论依据、制胜的方法论，以及能够解决目前所有安全问题的体系结构。

本书从现实中读者感到困惑的各类繁杂的安全问题入手，经过“发现问题看现象、分析问题看本质、解决问题靠方法、支撑方法靠架构、建设架构靠技术、评估效果靠验证”的过程，引入安全的第一性原理、OODA对抗方法论，以及韧性架构，并基于该架构给出实施方案，推导出确定性的安全保障结果。

本书对韧性架构的由来、设计原则、方法论、参考架构、体系分工、技术实现，以及其中的关键技术、安全保障流程、安全评价方法等，都进行了系统的分析和描述。

本书最后结合典型场景，给出韧性架构在典型场景下的实施指南与具体案例。

希望读者通过阅读本书，可以理解下列观点。

第一，系统安全性应该是随同系统设计出来的，是确定性的，而不是“打过了”才知道的；安全保障能力是确定的、可预期、可验证的，而不是尽力而为、不可衡量、不可预测的；安全是一门确定性的科学，而不是玄学或者不可复制的专家经验。

第二，在极限打击下，业务安全底线是可以保住的。威胁防不住，不等于安全底线保不住。针对明确的业务功能，参照业务韧性保障理念进行系统设计，可以建立一个具备高度确定性的韧性架构，可以在外界的安全极限打击下，确保关键业务的安全底线。

第三，书中推导出的韧性技术体系，对安全技术而言，如同化学中的元素周期表。通过对技术体系的梳理，可以让读者正确认知零信任、可信计算、区块链、拟态、人工智能、大数据等各类热点安全技术在整个安全领域中的位置，也可以推导出未来所需的关键安全技术。

总之，万事万物背后都有其自然规律，安全也不例外。《道德经》一书通过揭示世间万物的演化规律，揭示了“道”的概念，被称作“万经之王”;《孙子兵法》揭示了战争之道，故能跨越时代而长盛不衰，被称为“兵学圣典”。本书试图揭示的正是日新月异的安全技术背后的安全之道，只有透过千变万化的安全现象，理解蕴藏其中的客观规律，才能超越纷杂的问题本身，真正掌握解决安全问题的“金钥匙”。

如今国内各行各业都急需安全领域的专家和领军人物，安全从业者应认识到，只会重复扣动扳机的士兵不可能成长为将军，只知人云亦云的将军也必定会打败仗。只有领会安全之道，具备透过现象认识安全本质的能力，才能在安全工作中立于不败之地。

安全之道，道阻且长，找到正确方向，就能走向胜利。希望《网络安全之道》这本书能够帮助读者澄清各种流行概念中的谬误，形成客观、系统的安全思路，透彻理解安全问题的根源和本质，从而更好地服务于信息系统的安全规划、设计、建设和保障工作，在国家“两个强国”的建设中切实发挥积极作用。

王雨晨