现代社会充满了信息技术,支撑着公司、政府和非政府组织的运作,以及数十亿人的个人和社会生活。虽然这些数字工具有明显的好处,但它们的广泛使用也意味着它们必须越来越可靠。因此,各类企业都需要做出明智的决定,以维护数字服务的可靠性。如果存储在数字系统中的信息不能被信任,或者在需要的时候不能接触到系统本身,那么数字化的好处将无法实现。
1.1 网络风险管理
显然,网络和网络中的信息存在着许多风险(分类法见Cebula, Popeck, & Young, 2014)。一类风险是内部或外部的系统和技术故障,这些故障的发生没有任何敌对的意图。另一类风险是来自对手的威胁;威胁者能够理性地推理并适应不同的防御策略。重要的是要考虑这两类风险,特别是不要因为有很多关于蓄意攻击的讨论就忘记了非对抗性风险。事故也同样具有破坏性。
然而,虽然在理论上很容易区分这两类风险,但在实践中却不那么清楚,因为对手完全有理由将自己和自己的行动掩盖为单纯的意外。事实上,有一些证据表明,防御者并不总是关心这种区别(Varga, Brynielsson, & Franke, 2018, 2021),而决策者评估这两类威胁的概率非常相似(Franke & Wernberg, 2020)。
正确管理这些风险通常涉及许多不同的行动。有些是技术性的,包括设置和自动更新、备份、加密、访问权限和网络监控等。然而,重要的是要认识到这是不够的。组织措施,如培训员工(McCrohan, Engel, & Harvey, 2010)和网络事件管理的演习(Maennel, Ottis, & Maennel, 2017)也很重要。人为错误往往是事件的根本原因,如果合法用户可以被骗去协助攻击,那么技术措施就很少够用(Krombholz, Hobel, Huber, & Weippl, 2015)。此外,高级管理层需要积极工作,确定业务如何依赖技术,并将其记录在定期更新的战略中(Dunbar, 2012; Dutta & McCrohan, 2002)。重要的是要认识到,这样的风险管理工作关键取决于对自己的组织和业务的理解--这不是可以外包的事情。
1.2 网络态势感知
上面的简述表明,谨慎的网络风险管理包含了众多的决策。然而,为了做出最好的决定,决策者需要有一个准确的态势感知(SA)--通俗地说,就是要知道正在发生什么。这种与信息技术和网络有关的态势感知--网络态势感知(CSA)--是本章的主题。
从某种程度上说,我们的出发点是源于Endsley(1988)的SA定义,以及她对飞机驾驶员如何理解情况的调查。使用她的定义,SA是 "在一定的时间和空间范围内对环境中的元素的感知,对其意义的理解,以及对其在不久的将来的状态的预测"(Endsley, 1988, p. 792)。基于这个定义,Endsley在后来的工作中定义了SA的三个层次:(i)感知,(ii)理解,和(iii)投射(Endsley, 1995)。在本章中,我们坚持Endsley在以前的工作中给CSA的定义: "态势感知的一个子集,即网络态势感知是态势感知中涉及'网络'环境的部分"(Franke & Brynielsson, 2014, p. 20)。
现有的大部分CSA文献都是非常技术化的,也就是说,专注于对构成网络的技术工件状态的认识。在我们于2014年发表的文献综述中,我们发现了相对较多的关于工业控制系统的CSA工作,以及入侵检测系统(IDS)的一般算法和信息融合。相比之下,在其他领域,如信息交流、网络欺骗的风险以及军事行动中的网络战斗损害评估等方面的研究则少得多。Evancich等人(2014年)建议,操作意识和威胁意识等方面也与CSA有关。
1.3 共同作战图和态势感知
由于这两者经常被平行讨论,有时还被混淆,因此区分共同作战图(COP)和态势感知是很有必要的。前者是一种人工制品--如共享的大屏幕、白板或带有符号的地图--旨在为利益相关者提供正在发生的事情的 "共同图"(COP的概念源于军事;Hager, 1997)。后者是对正在发生的事情的一种精神状态的认识。当然,COP或多或少是为了促进SA(CSA,在我们的案例中),但即使两者密切相关,它们在概念上是不同的。这种COP/CSA的区别让人想起Gutzwiller、Hunt和Lange(2016)认为有必要将(数据融合的产品)(通常是COP)与实际的CSA区分开来,在CSA中,人类的认知是一个核心组成部分。
COP促进SA的最简单方式是,个人只需看一下COP就能获得SA。在这里,COP作为 "信息仓库"(Copeland, 2008),相关的信息被储存和计算。然而,特别是当几个人参与进来的时候,COP也可以被看作是一个过程(Wolbers & Boersma, 2013),在这个过程中,信息的意义和解释在利益相关者的互动中不断被(重新)协商。从这个角度来看,COP是一个 "交易区"(Wolbers & Boersma, 2013),这个区域内的所有互动都会促进SA(CSA,在我们的案例中)。
1.4 概要
在本章的其余部分,我们将进一步发展和阐述上面介绍的主题。一个反复出现的主题是,除了技术之外,还必须包括社会认知和组织因素,以实现最相关和最有用的CSA,此外,需要解决的一个重要挑战是对抗性行为。
然而,首先,在第2节中,讨论了CSA所必需的一些技术构件。一旦这些都到位了,就可以在第3节中对社会认知方面进行探讨。在前两节的基础上,我们在第四节开始讨论组织问题。然后,第5节研究了对敌对行动进行推理的前景。如前所述,并不是所有的网络事件都是对抗性的(事故和诚实的错误比比皆是),但当存在对抗者时,这就为CSA增加了一个重要的维度。在第6节中,我们提出了一些未来研究的方向,然后第7节结束了本章。
原文
相关内容
微信扫码咨询专知VIP会员