董坤祥　謝宗曉　甄杰

摘要：對不同組織和學(xué)者提出的網(wǎng)絡(luò)彈性的概念進行了比較分析，提出狹義和廣義的網(wǎng)絡(luò)彈性概念及其構(gòu)建要求;并對NIST SP 800-160（Ⅱ）的網(wǎng)絡(luò)彈性框架從概念、架構(gòu)選擇與優(yōu)先級、實踐和過程分析三個方面進行了詳細描述。

關(guān)鍵詞：網(wǎng)絡(luò)彈性 NIST SP 800-160（Ⅱ）

Cyber Resilience and NIST SP 800-160（II） Framework Analysis

Dong Kunxiang （Shandong University of Finance and Economics）

Xie Zongxiao （China Financial Certification Authority）

Zhen Jie （Chongqing Technology and Business University）

Abstract： The concepts of cyber resilience of different organizations and scholars are compared and analyzed， and the narrow and broad concepts of cyber resilience and their construction requirements are proposed. The NIST SP 800-160 （II） is described in detail from three aspects： framework， selection and priority cyber resiliency constructs， analytic practices and processes.

Key words：  cyber resilience， NIST SP 800-160（II）

0 引言

隨著企業(yè)數(shù)字化轉(zhuǎn)型的深入以及數(shù)字經(jīng)濟的蓬勃發(fā)展，網(wǎng)絡(luò)空間迅速擴張到生產(chǎn)生活的方方面面。然而，網(wǎng)絡(luò)技術(shù)的普及與進步，一方面降低了成本，促進了生產(chǎn)率;另一方面，網(wǎng)絡(luò)安全空間因復(fù)雜的相依關(guān)系又呈現(xiàn)出前所未有的復(fù)雜性、不穩(wěn)定性和風(fēng)險[1]。2020 年，全球31%的公司每天至少受到一次網(wǎng)絡(luò)犯罪分子的攻擊，每天超過 1000 人的敏感數(shù)據(jù)被勒索軟件團伙竊取并公開泄露。因此，如何提高企業(yè)的網(wǎng)絡(luò)安全風(fēng)險管理能力成為熱點。

傳統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險管理強調(diào)，對風(fēng)險的概率和嚴重性進行量化，從而獲得支持解決風(fēng)險問題的策略，如保留、避免、減少、轉(zhuǎn)移或保險。而事實是，企業(yè)不可避免地遭受網(wǎng)絡(luò)安全的攻擊，并且潛在網(wǎng)絡(luò)威脅的不可預(yù)測性、極端不確定性和快速演變使得風(fēng)險也難以測量。因此，當(dāng)風(fēng)險管理無法有效地保護企業(yè)免受破壞性威脅時，傳統(tǒng)的加固網(wǎng)絡(luò)系統(tǒng)以抵御已識別威脅的方法被證明只是部分有效。那么，如何能像生物系統(tǒng)那樣發(fā)展出免疫力以應(yīng)對感染和其他攻擊，網(wǎng)絡(luò)系統(tǒng)也必須適應(yīng)不斷變化的威脅，并從攻擊的影響中恢復(fù)過來。網(wǎng)絡(luò)安全彈性的概念便應(yīng)運而生，其范圍比網(wǎng)絡(luò)安全風(fēng)險管理更廣，即網(wǎng)絡(luò)安全中的風(fēng)險管理關(guān)注最小化危害，而網(wǎng)絡(luò)彈性側(cè)重于信息技術(shù)環(huán)境中的預(yù)防、檢測和響應(yīng)控制，以評估差距并推動實體整體安全態(tài)勢的增強[2]。

1 網(wǎng)絡(luò)彈性定義

1.1 概念演化

彈性（Resilience）概念起源于力學(xué)和生態(tài)學(xué)等領(lǐng)域，后來衍生到技術(shù)、工程和文學(xué)媒體領(lǐng)域。2012年，美國國家科學(xué)院對彈性定義為，準備和計劃、吸收、恢復(fù)以及更成功地適應(yīng)不利事件的能力。類似的在工程領(lǐng)域，網(wǎng)絡(luò)彈性（Cyber Resilience）是指計算機網(wǎng)絡(luò)在出現(xiàn)故障時保持服務(wù)的能力。網(wǎng)絡(luò)彈性是一個不斷發(fā)展的觀點，其本質(zhì)是將信息安全、業(yè)務(wù)連續(xù)性和組織彈性等領(lǐng)域結(jié)合在一起。此外，網(wǎng)絡(luò)彈性不僅應(yīng)用于 IT 系統(tǒng)、關(guān)鍵基礎(chǔ)設(shè)施，還普遍應(yīng)用于業(yè)務(wù)流程、組織運營、社會發(fā)展和國家安全[3]。

早在2016年，國際清算銀行BIS出版了金融市場基礎(chǔ)設(shè)施（FMI）的網(wǎng)絡(luò)彈性指南，專門為FMI 提供基于原則性指導(dǎo)，以增強其網(wǎng)絡(luò)彈性。2018年，美國國防部在《國防部網(wǎng)絡(luò)戰(zhàn)略2018》中提出“提升美國關(guān)鍵基礎(chǔ)設(shè)施彈性”的戰(zhàn)略途徑;此后不久，美國白宮發(fā)布了美國的《國家網(wǎng)絡(luò)戰(zhàn)略》，提出了“管理網(wǎng)絡(luò)安全風(fēng)險，提升國家信息和信息系統(tǒng)的安全與彈性”的目標(biāo)。自此，網(wǎng)絡(luò)彈性由單一領(lǐng)域內(nèi)的網(wǎng)絡(luò)安全能力構(gòu)建，拓展至國家網(wǎng)絡(luò)安全戰(zhàn)略。2019年11月27日，美國國家標(biāo)準與技術(shù)研究所（NIST）正式發(fā)布SP 800-160（II）《開發(fā)網(wǎng)絡(luò)彈性系統(tǒng) 系統(tǒng)安全工程方法》，它是NIST采用系統(tǒng)工程方法構(gòu)建網(wǎng)絡(luò)安全能力的里程碑，也是網(wǎng)絡(luò)彈性的權(quán)威技術(shù)文件。

1.2 概念對比

隨著網(wǎng)絡(luò)彈性重要性的凸顯，不同組織機構(gòu)和學(xué)者對網(wǎng)絡(luò)彈性提出了各自的觀點，如表1所示。

由表1可知，網(wǎng)絡(luò)彈性的概念隨著時間發(fā)展其內(nèi)涵逐步豐富，從一開始的強調(diào)抵御中斷并恢復(fù)，到網(wǎng)絡(luò)安全管理生命周期內(nèi)全過程彈性，然后將網(wǎng)絡(luò)彈性視為組織的一種戰(zhàn)略。這種概念的演化說明了，網(wǎng)絡(luò)彈性在組織風(fēng)險控制與戰(zhàn)略規(guī)劃中已提高至不可忽視的地位。從不同組織和學(xué)者對網(wǎng)絡(luò)彈性的定義可知，他們均認為網(wǎng)絡(luò)彈性的目標(biāo)，是在外部擾動風(fēng)險下，組織保持持續(xù)運營的能力。因此，網(wǎng)絡(luò)彈性的概念有3個關(guān)鍵方面：一是了解風(fēng)險的性質(zhì)，即組織面臨的可能網(wǎng)絡(luò)風(fēng)險類型，網(wǎng)絡(luò)風(fēng)險可能性大小等;二是采取行動保護系統(tǒng)以防止和抵御網(wǎng)絡(luò)攻擊，即組織應(yīng)利用網(wǎng)絡(luò)安全投資、保險等手段控制風(fēng)險的發(fā)生;三是沒有百分之百安全的網(wǎng)絡(luò)，即管理者應(yīng)認識到某些攻擊仍會發(fā)生，為此做好準備，以具有足夠的彈性最大程度地減少其影響并能夠恢復(fù)。

綜上對網(wǎng)絡(luò)彈性概念的梳理，本文認為：狹義上，網(wǎng)絡(luò)彈性是在發(fā)生網(wǎng)絡(luò)安全事故后，組織繼續(xù)保持服務(wù)輸出的能力，見圖1;廣義上，網(wǎng)絡(luò)彈性是將組織戰(zhàn)略、文化和制度融入網(wǎng)絡(luò)安全管理生命周期，通過預(yù)防、抵御和響應(yīng)措施恢復(fù)和適應(yīng)外部沖擊，實現(xiàn)以最小的影響確保整個業(yè)務(wù)生態(tài)系統(tǒng)持續(xù)服務(wù)的能力，見圖2。

圖1顯示，狹義的網(wǎng)絡(luò)彈性其關(guān)注點在于服務(wù)能力與水平不可低于最低服務(wù)能力或水平，以達到持續(xù)服務(wù)的目標(biāo)，并且響應(yīng)時間越短越好，如虛線③的響應(yīng)時間小于實線①的響應(yīng)時間;恢復(fù)時間越快越好，如實線①優(yōu)于虛線②的恢復(fù)措施。同時，狹義上的網(wǎng)絡(luò)彈性關(guān)注沖擊發(fā)生后，組織通過各類抵御和響應(yīng)措施恢復(fù)和適應(yīng)外部沖擊。圖2顯示了廣義網(wǎng)絡(luò)彈性，其涵蓋了網(wǎng)絡(luò)安全風(fēng)險管理的擾動、失效、響應(yīng)、恢復(fù)等各個階段在制度、戰(zhàn)略和文化融入之后的網(wǎng)絡(luò)彈性過程。其中，擾動過程展現(xiàn)了組織對外部威脅的免疫性能和系統(tǒng)的可靠性，說明了系統(tǒng)風(fēng)險的自然屬性，也展現(xiàn)了企業(yè)對防御能力的投入;廣義的網(wǎng)絡(luò)彈性允許企業(yè)服務(wù)水平低于最低水平甚至允許中斷的出現(xiàn)，也要求在這種情形下企業(yè)應(yīng)迅速恢復(fù)至最低服務(wù)水平。當(dāng)然，即使出現(xiàn)低于最低水平或中斷情形，也不一定意味這種情況下的彈性比狹義概念上的彈性差，如當(dāng)圖2中S1的面積小于S2的面積時，虛線③的彈性仍然優(yōu)于實線①的彈性。

基于上述討論，本文認為網(wǎng)絡(luò)彈性應(yīng)具備以下要求：

（1）網(wǎng)絡(luò)彈性應(yīng)是戰(zhàn)略性的，即取得組織內(nèi)部高管的支持，并融入組織的運營戰(zhàn)略之中，實現(xiàn)由上而下的彈性戰(zhàn)略目標(biāo)以及戰(zhàn)術(shù)目標(biāo)。

（2）組織應(yīng)清楚地知道組織的彈性大小以及特征，通過運用網(wǎng)絡(luò)安全評價體系或成熟度標(biāo)準測量組織的網(wǎng)絡(luò)彈性水平，并設(shè)置最低的服務(wù)水平。

（3）組織應(yīng)有具體成文的措施應(yīng)對彈性中的損失，通過防御、響應(yīng)和恢復(fù)手段，最小化外部沖擊影響，保持業(yè)務(wù)的連續(xù)服務(wù)能力。

（4）組織應(yīng)定期開展主動威脅測試，通過主動防御強化服務(wù)系統(tǒng)的魯棒性，以最大限度降低沖擊事件發(fā)生的概率。

2 NIST SP 800-160（II）的網(wǎng)絡(luò)安全彈性框架

2019年11月，NIST發(fā)布SP 800-160（II）《開發(fā)網(wǎng)絡(luò)彈性系統(tǒng) 系統(tǒng)安全工程方法》，介紹了理解和應(yīng)用網(wǎng)絡(luò)彈性的網(wǎng)絡(luò)彈性工程框架以及在系統(tǒng)生命周期中實施網(wǎng)絡(luò)彈性的具體注意事項。SP 800-160（II）是SP 800-160（I）和SP 800-37的支持文件，其目的是利用系統(tǒng)工程視角來整合系統(tǒng)生命周期過程和風(fēng)險管理過程，實現(xiàn)既定的網(wǎng)絡(luò)彈性目標(biāo)。SP 800-160（II）的網(wǎng)絡(luò)彈性工程框架結(jié)構(gòu)包括：網(wǎng)絡(luò)彈性目的、目標(biāo)、技術(shù)、方法和設(shè)計原則，本架構(gòu)可指導(dǎo)組織從風(fēng)險管理策略出發(fā)，根據(jù)威脅或攻擊的影響來制定網(wǎng)絡(luò)彈性解決方案。

2.1 概念框架

為了更好地理解網(wǎng)絡(luò)彈性問題和解決方案，SP 800-160（II）詳細描述了用來識別和分析網(wǎng)絡(luò)彈性解決方案的網(wǎng)絡(luò)彈性工程實踐，包括網(wǎng)絡(luò)彈性目的、目標(biāo)、技術(shù)、方法和設(shè)計原則，具體如下。

（1）網(wǎng)絡(luò)彈性目的：用于描述組織關(guān)注的更高級目標(biāo)或優(yōu)先級，包括目標(biāo)、預(yù)期、承受、恢復(fù)和適應(yīng)。

（2）網(wǎng)絡(luò)彈性目標(biāo)：是為滿足組織對業(yè)務(wù)持續(xù)和安全彈性的需求，必須在其運營環(huán)境和整個生命周期中實現(xiàn)的可操作的具體目標(biāo)，如預(yù)防或避免、準備、持續(xù)服務(wù)、抑制和重組。網(wǎng)絡(luò)彈性目標(biāo)可以分層次細化，通過創(chuàng)建子目標(biāo)強調(diào)目標(biāo)的不同方面或?qū)崿F(xiàn)目標(biāo)的方法，并可使組織能夠根據(jù)任務(wù)來確定彈性優(yōu)先級。

（3）網(wǎng)絡(luò)彈性技術(shù)和方法：是一組或一類旨在通過提供能力來實現(xiàn)一個或多個目標(biāo)的技術(shù)和實踐，包括適應(yīng)性響應(yīng)、分析監(jiān)測、情境感知、聯(lián)合防護、多元化、動態(tài)配置、非連續(xù)、權(quán)限限制、重組、冗余、分割、完整性證實、隨機更改和誘導(dǎo)14種技術(shù)與方法。

（4）彈性設(shè)計原則：識別戰(zhàn)略和框架中的關(guān)鍵概念，并詳細描述其流程和程序。

通過對網(wǎng)絡(luò)彈性框架的描述，使組織可以理解網(wǎng)絡(luò)彈性概念及其相互關(guān)系，進而通過風(fēng)險和特定威脅事件或惡意網(wǎng)絡(luò)活動類型的潛在影響來分析網(wǎng)絡(luò)彈性解決方案。具體的網(wǎng)絡(luò)彈性框架概念之間的關(guān)系見圖3。

2.2 網(wǎng)絡(luò)彈性架構(gòu)的選擇與優(yōu)先級

為了更好地保護組織系統(tǒng)的安全質(zhì)量，網(wǎng)絡(luò)彈性的設(shè)計原則、技術(shù)和方法應(yīng)彼此建立、補充或協(xié)同作用。同時，由于不同的組織內(nèi)外面臨的安全環(huán)境不同，所以需要與組織相適應(yīng)的網(wǎng)絡(luò)彈性技術(shù)和方法，故系統(tǒng)安全工程目的是管理風(fēng)險，而不是提供通用的解決方案。如何選擇適合組織的網(wǎng)絡(luò)彈性方法與技術(shù)步驟如下。

（1）應(yīng)與目的和目標(biāo)相一致。網(wǎng)絡(luò)彈性技術(shù)和實現(xiàn)方法是用來實現(xiàn)任務(wù)或業(yè)務(wù)目標(biāo)的，且符合目的和目標(biāo)的相對優(yōu)先級。

（2）與網(wǎng)絡(luò)風(fēng)險管理戰(zhàn)略一致。作為組織整體風(fēng)險管理戰(zhàn)略的一部分，網(wǎng)絡(luò)風(fēng)險管理戰(zhàn)略的風(fēng)險應(yīng)對應(yīng)包括應(yīng)對外部攻擊類型和偏好的網(wǎng)絡(luò)彈性解決方案。

（3）與系統(tǒng)類型一致。不同的組織提供服務(wù)或面臨不同環(huán)境時所需要的系統(tǒng)不同。不同的系統(tǒng)其網(wǎng)絡(luò)彈性的方法與優(yōu)先級也有所不同。例如，企業(yè)IT系統(tǒng)的通用系統(tǒng)，所有的網(wǎng)絡(luò)彈性技術(shù)和方法都是可行的;而大規(guī)模系統(tǒng)對服務(wù)中斷或退化高度敏感，往往通過功能重新配置、碎片化和分布式功能等方法來提高網(wǎng)絡(luò)彈性;物理信息系統(tǒng)則更多地使用加密校驗和完整性檢查方法;物聯(lián)網(wǎng)則依靠完整性檢查方法與可靠性機制結(jié)合。

（4）網(wǎng)絡(luò)彈性的沖突與協(xié)調(diào)。從決策角度而言，沒有一種技術(shù)或一組技術(shù)是最優(yōu)的，使用任何特定的技術(shù)都有分支，組織應(yīng)根據(jù)戰(zhàn)略、目的、目標(biāo)選擇合適的技術(shù)、方法及其優(yōu)先級。

（5）網(wǎng)絡(luò)安全投資。事實上網(wǎng)絡(luò)安全投資應(yīng)遍及網(wǎng)絡(luò)安全管理生命周期，但不同的組織在不同階段的投資側(cè)重點應(yīng)不同。

（6）與網(wǎng)絡(luò)彈性解決方案的應(yīng)用位置一致。網(wǎng)絡(luò)彈性方法和技術(shù)取決于其彈性應(yīng)用的系統(tǒng)層級及其組件、元素或者接口。

（7）對威脅和風(fēng)險的影響一致。不同的彈性技術(shù)或方法對給定威脅事件的適用程度、范圍以及受影響的風(fēng)險因素方面有所不同。因此，基于系統(tǒng)安全在體系結(jié)構(gòu)、設(shè)計和操作環(huán)境中預(yù)期效果，在技術(shù)、方法和實現(xiàn)之間實現(xiàn)權(quán)衡。

（8）使用技術(shù)與方法的安全成熟度。作為最活躍研究領(lǐng)域，網(wǎng)絡(luò)彈性涌現(xiàn)了大批安全技術(shù)，以提高信息物理系統(tǒng)、高可信度專用系統(tǒng)和大規(guī)模處理環(huán)境的網(wǎng)絡(luò)彈性，但是不同技術(shù)與方法的成熟水平不同，組織應(yīng)結(jié)合上述一致性選擇合適成熟水平的彈性技術(shù)與方法。

2.3 實踐和過程分析

網(wǎng)絡(luò)彈性分析旨在確定系統(tǒng)的網(wǎng)絡(luò)彈性屬性和行為，是否足以滿足組織的任務(wù)保證、業(yè)務(wù)連續(xù)性、或包括APT的威脅環(huán)境中的其他安全需求。網(wǎng)絡(luò)彈性分析的流程包括：理解環(huán)境、建立網(wǎng)絡(luò)彈性基線、分析系統(tǒng)、定義和分析具體方案、建議行動計劃集。

（1）理解環(huán)境。充分理解編程環(huán)境、架構(gòu)環(huán)境、運營環(huán)境、威脅環(huán)境和網(wǎng)絡(luò)彈性結(jié)構(gòu)的優(yōu)先級等內(nèi)外環(huán)境，從而可以在該環(huán)境下解釋網(wǎng)絡(luò)彈性結(jié)構(gòu)，評估網(wǎng)絡(luò)彈性目標(biāo)的相對優(yōu)先級，并確定網(wǎng)絡(luò)彈性設(shè)計原則、技術(shù)和方法的適用性。

（2）建立網(wǎng)絡(luò)彈性基線?？筛鶕?jù)組織實施的網(wǎng)絡(luò)彈性技術(shù)和方法以及/或可用于應(yīng)用的網(wǎng)絡(luò)彈性設(shè)計原則、配置或操作使用的容易程度來進行表征網(wǎng)絡(luò)彈性能力基線。然后，利用威脅熱圖或威脅覆蓋分數(shù)對網(wǎng)絡(luò)彈性能力或安全進行風(fēng)險評估。

（3）分析系統(tǒng)。首先，確定關(guān)鍵資源、脆弱性來源和攻擊面;然后，從攻擊者角度構(gòu)建可能的攻擊場景，用以彌補供應(yīng)鏈風(fēng)險分析、網(wǎng)絡(luò)彈性或網(wǎng)絡(luò)安全分析的結(jié)果，進而確定改進的機會和優(yōu)先次序。

（4）定義和分析具體方案。首先，定義組織系統(tǒng)安全潛在的技術(shù)和解決方案;其次，定義支持系統(tǒng)和過程的潛在解決方案;最后，根據(jù)彈性基線標(biāo)準分析潛在的解決方案，從而更好地理解現(xiàn)有系統(tǒng)的網(wǎng)絡(luò)彈性技術(shù)與方法。

（5）建議行動計劃集是步驟（4）中的備選方案形成的解決方案集，用于構(gòu)建潛在的行動路線，包括分析、評價這些備選方案，并從成本、收益和風(fēng)險管理方法的角度提出潛在的具體行動。

3 結(jié)論

本文通過對網(wǎng)絡(luò)彈性定義的梳理，從廣義和狹義兩個角度提出了網(wǎng)絡(luò)彈性的定義，并分析了網(wǎng)絡(luò)彈性的基本特點。然后，詳細介紹了NIST SP 800-160（II）的網(wǎng)絡(luò)彈性的概念框架、實施方案和實踐過程。該文對組織構(gòu)建網(wǎng)絡(luò)彈性提供了參考，有助于組織在理解網(wǎng)絡(luò)彈性的基礎(chǔ)上，根據(jù)組織面臨的內(nèi)外環(huán)境，在投資收益的原則下，用適當(dāng)?shù)姆椒ㄅ渲镁W(wǎng)絡(luò)彈性技術(shù)，并從一系列彈性解決方案中，選擇最適應(yīng)組織能力的彈性框架。

參考文獻

[1] Bjorck Fredrik， Henkel M， Stirna J， et al. Cyber Resilience—Fundamentals for a Definition[C]. Advances in Intelligent Systems and Computing. Stockholm University， 2015： 311-316.

[2] Hausken K. Cyber Resilience in Firms， Organizations and Societies[J]. Internet of Things， 2020， 11（100204）： 1-9.

[3] Kott I Linkov. Cyber Resilience of Systems and Networks[M]. Cham： Springer International Publishing， 2019.

[4] Ron Ross， Victoria Pillitteri， Richard Graubart， et al. Developing Cyber Resilient Systems： A Systems Security Engineering Approach Special Publication （NIST SP） [R]. Gaithersburg： National Institute of Standards and Technology， 2019.

基金項目：國家社科基金（21CGL017）