實(shí)際上，真實(shí)世界中的網(wǎng)絡(luò)安全往往致力于解決非代碼的漏洞，也就是說，除了傳統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)安全之外，還會涉及到網(wǎng)絡(luò)安全的管理、政策、法律和國際事務(wù)。借鑒于我們所熟知的OSI 7層協(xié)議模型，可以在之上增加組織、政府和國際事務(wù)的新分層，從而可以對與代碼無關(guān)的網(wǎng)絡(luò)安全問題進(jìn)行分類，進(jìn)而提出應(yīng)對措施。

OSI 模型的擴(kuò)展

OSI模型是一個概念框架，能夠幫助我們?nèi)绾卫斫庥?jì)算機(jī)網(wǎng)絡(luò)，在安全領(lǐng)域也不例外。7層模型可以直觀地應(yīng)用于網(wǎng)絡(luò)安全風(fēng)險，每一層都存在著潛在的安全漏洞，例如：

在應(yīng)用層之上，可以引入對組織、政府和國際事務(wù)的抽象層，在第8層引入組織層，組織或企業(yè)面臨著廣泛的網(wǎng)絡(luò)風(fēng)險，并且采取許多行動來降低這些風(fēng)險;在第9層引入政府層，政府制定和執(zhí)行法律可以降低網(wǎng)絡(luò)安全的風(fēng)險;在第10層引入國際領(lǐng)域，沒有一個國家可以在另一個國家強(qiáng)制實(shí)施自己的法律，但通過國際條約或多邊會談，可以改善網(wǎng)絡(luò)安全的環(huán)境。

對于通信協(xié)議的數(shù)據(jù)單元而言，組織的控制規(guī)則可能來自于契約合同。合同是公司之間關(guān)系的治理結(jié)構(gòu)，也管理著公司內(nèi)部的安排，管理著董事會、管理層和雇員的角色和行為。因此，契約合同是第8層的協(xié)議數(shù)據(jù)單元，在該層中提供規(guī)則。政府對協(xié)議數(shù)據(jù)單元的控制規(guī)則是法律，政府制定和執(zhí)行法律，要求政府管轄范圍內(nèi)的組織采取行動。而第10層的國際領(lǐng)域沒有約束性法律普遍適用，參與者需要通過外交互動，比如談判網(wǎng)絡(luò)安全相關(guān)條約等方式來實(shí)現(xiàn)。

總的來說，OSI七層模型關(guān)注的是用機(jī)器語言表示的協(xié)議，而擴(kuò)展后的第8至10層關(guān)注的是用自然語言表示的協(xié)議(合同、法律、外交)。這些層可以同樣以 OSI 協(xié)議棧的方式運(yùn)作， 第8層的組織選擇第7層的應(yīng)用程序，第9層的政府制定法律來管理組織，第10層的國際事務(wù)影響到第9層的政府，并且適用于無法由一個政府制定法律的情況。

非代碼相關(guān)的網(wǎng)絡(luò)安全約束矩陣

非代碼相關(guān)的網(wǎng)絡(luò)安全主要指的是OSI模型的擴(kuò)展，第8層適用于面臨網(wǎng)絡(luò)攻擊的組織，第9層適用于政府撰寫和執(zhí)行有關(guān)網(wǎng)絡(luò)安全的法律，第10層適用于沒有政府頒布法律的環(huán)境。因此，對第10層的研究既包括具有跨界影響的國家行為者，也包括非國家行為者。

組織、政府和國際事務(wù)形成了一個矩陣，可以確定哪些機(jī)構(gòu)參與哪些網(wǎng)絡(luò)安全領(lǐng)域。下圖描述了每一層影響網(wǎng)絡(luò)安全決策的機(jī)構(gòu)定義。

在矩陣中，三列中的每一列細(xì)化了決策機(jī)構(gòu)的種類。這些方法應(yīng)用于第8層(組織層)時變得更加清晰，一個公司(或其他面臨網(wǎng)絡(luò)安全攻擊的組織)采取許多行動來降低網(wǎng)絡(luò)風(fēng)險，該公司制定事故應(yīng)對計(jì)劃和其他內(nèi)部政策，并培訓(xùn)員工例如 CISO 在管理組織內(nèi)部網(wǎng)絡(luò)風(fēng)險方面的責(zé)任。對于組織與其他參與者的關(guān)系。首先，公司與供應(yīng)商建立數(shù)據(jù)使用協(xié)議和其他合同，有缺陷的管理會使公司面臨風(fēng)險，比如雇傭一個分包商來管理系統(tǒng)或數(shù)據(jù)，而承包商的安全管理可能很糟糕。網(wǎng)絡(luò)安全的另一個方面是組織之間的信息共享，比如通過信息共享和分析中心。組織的私有限制如果標(biāo)準(zhǔn)設(shè)計(jì)和實(shí)施得當(dāng)，那么網(wǎng)絡(luò)安全就會得到改善; 如果做得不好，網(wǎng)絡(luò)風(fēng)險和成本就會增加。將第8層作為一個整體來看，整個網(wǎng)絡(luò)安全在很大程度上取決于一個組織內(nèi)部處理風(fēng)險的能力、與其他行為者的合同和關(guān)系以及私有的標(biāo)準(zhǔn)和規(guī)范。

政府制定的法律規(guī)范了個人或組織行為，例如我國的《個人信息保護(hù)法》的頒布與實(shí)施，還包含了管理組織和個人如何相互作用的法律，例如我國的《中華人民共和國網(wǎng)絡(luò)安全法》中的未經(jīng)授權(quán)進(jìn)入計(jì)算機(jī)系統(tǒng)是犯罪行為。同時，還要明政府對自身行為的限制。監(jiān)視有時候有助于安全，比如罪犯的發(fā)現(xiàn)，但有時候也會傷害安全，例如政府的行為制造了后門或其他漏洞。

國際領(lǐng)域?qū)舆m用于在一個國家內(nèi)采取的旨在對其他國家產(chǎn)生網(wǎng)絡(luò)影響的行動，可以是一個政府的單方面行為，也會涉及到與其他國家的關(guān)系，這是外交的主要任務(wù)。有一些影響網(wǎng)絡(luò)安全的正式條約，如《布達(dá)佩斯公約》中有關(guān)于網(wǎng)絡(luò)犯罪和司法互助的條款，廣泛地說，適用于與其他國家可能進(jìn)行的網(wǎng)絡(luò)安全方面的合作。當(dāng)然，也有來自其他國家的聯(lián)盟限制，例如，國際電信聯(lián)盟制定的網(wǎng)絡(luò)安全規(guī)則，如果這些規(guī)則得以實(shí)施，那么就可以管理具有跨國效應(yīng)的網(wǎng)絡(luò)行為。

審視非代碼相關(guān)的網(wǎng)絡(luò)安全

通過對OSI 網(wǎng)絡(luò)協(xié)議模型的擴(kuò)展，可以建立網(wǎng)絡(luò)安全的大局觀，即系統(tǒng)視角。除了技術(shù)視角之外， 還要關(guān)注該如何管理公司的風(fēng)險，例如，如何設(shè)計(jì)和管理網(wǎng)絡(luò)安全合同的法律和管理問題: 在外包或保險合同中應(yīng)該如何對待網(wǎng)絡(luò)安全?進(jìn)一步，還要關(guān)注國家網(wǎng)絡(luò)安全法律以及國際事務(wù)。

當(dāng)前，有很多人模糊地承認(rèn)了“跨學(xué)科”的必要性，同時，非代碼相關(guān)網(wǎng)絡(luò)安全的重要性日益增加，約束矩陣中任何部分的錯誤決定都可能對網(wǎng)絡(luò)安全產(chǎn)生負(fù)面影響，“真正的”網(wǎng)絡(luò)安全不再只是指技術(shù)措施。