網(wǎng)絡(luò)彈性工程框架及度量方法研究

嚴(yán)霄鳳 董超

(工業(yè)和信息化部計(jì)算機(jī)與微電子發(fā)展研究中心(中國(guó)軟件評(píng)測(cè)中心),北京 100048)

網(wǎng)絡(luò)彈性工程框架及度量方法研究

嚴(yán)霄鳳 董超

(工業(yè)和信息化部計(jì)算機(jī)與微電子發(fā)展研究中心(中國(guó)軟件評(píng)測(cè)中心),北京 100048)

網(wǎng)絡(luò)已成為人們生活乃至國(guó)家運(yùn)行中不可缺少的重要組成部分，網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行已成為國(guó)家安全和經(jīng)濟(jì)安全的重要保證。然而隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和技術(shù)的飛速發(fā)展，其面臨的威脅也在不斷增長(zhǎng)，人們?cè)絹?lái)越認(rèn)識(shí)到需要具有彈性的網(wǎng)絡(luò)，使系統(tǒng)能夠預(yù)測(cè)、抵擋攻擊，從對(duì)手成功的攻擊中恢復(fù)，并進(jìn)行改進(jìn)和完善。本文首先給出了網(wǎng)絡(luò)彈性及網(wǎng)絡(luò)彈性工程的概念，接著介紹了MITRE[1]的網(wǎng)絡(luò)彈性工程框架和度量方法，最后對(duì)我國(guó)的網(wǎng)絡(luò)彈性工作提出了看法。

網(wǎng)絡(luò)安全 網(wǎng)絡(luò)彈性 網(wǎng)絡(luò)彈性工程框架 網(wǎng)絡(luò)彈性度量

網(wǎng)絡(luò)已成為人們生活乃至國(guó)家運(yùn)行中不可缺少的重要組成部分，人們生活的方方面面幾乎都與網(wǎng)絡(luò)密切關(guān)聯(lián)，網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行已成為國(guó)家安全和經(jīng)濟(jì)安全的重要保證。然而隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和技術(shù)的飛速發(fā)展，其面臨的威脅也在不斷增長(zhǎng)。據(jù)infosecisland網(wǎng)站5月7日?qǐng)?bào)道[2]：只需15分鐘的網(wǎng)絡(luò)攻擊就能讓任何西方，依賴(lài)任何信息技術(shù)的社會(huì)癱瘓的斷言最近引發(fā)了激烈的討論。實(shí)際上，成功實(shí)施一次有準(zhǔn)備的網(wǎng)絡(luò)攻擊只需幾秒。以往頭痛醫(yī)頭，腳痛醫(yī)腳的方法已不能有效保證網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行，人們?cè)絹?lái)越認(rèn)識(shí)到需要具有彈性的網(wǎng)絡(luò)，使系統(tǒng)能夠預(yù)測(cè)、抵擋攻擊，從對(duì)手成功的攻擊中恢復(fù)，并進(jìn)行改進(jìn)和完善。

圖1 網(wǎng)絡(luò)彈性工程與和其他系統(tǒng)工程學(xué)科之間的關(guān)系

近年來(lái)，網(wǎng)絡(luò)彈性已成為美國(guó)等西方國(guó)家決策者和國(guó)家安全專(zhuān)家非常關(guān)注的問(wèn)題，高度重視網(wǎng)絡(luò)彈性已成為美國(guó)、歐盟等多個(gè)國(guó)家的共識(shí)。

表1 網(wǎng)絡(luò)彈性目標(biāo)與實(shí)踐的映射

圖2 網(wǎng)絡(luò)彈性的目的與目標(biāo)之間的關(guān)系

美國(guó)：2007年《國(guó)土安全戰(zhàn)略》指出：美國(guó)需要網(wǎng)絡(luò)“整體的系統(tǒng)彈性”，將網(wǎng)絡(luò)彈性確定為形成美國(guó)國(guó)土安全綜合方案的三大關(guān)鍵概念之一。2010年《國(guó)家安全戰(zhàn)略》呼吁“要提高美國(guó)的網(wǎng)絡(luò)彈性”。2011年3月30日第8號(hào)總統(tǒng)令，再一次強(qiáng)調(diào)網(wǎng)絡(luò)彈性的問(wèn)題，國(guó)土安全部將提升關(guān)鍵信息基礎(chǔ)設(shè)施的彈性列為2012～2016年戰(zhàn)略計(jì)劃的重點(diǎn)任務(wù)。2013年2月12日奧巴馬簽發(fā)《提高關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全》行政令，再度重申網(wǎng)絡(luò)安全的重要性，并特別強(qiáng)調(diào)提升國(guó)家關(guān)鍵基礎(chǔ)設(shè)施彈性是增強(qiáng)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施安全的重要任務(wù)。

歐盟：2008年9月發(fā)布《改善公共電子通信網(wǎng)絡(luò)的彈性》，2009年12月發(fā)布《通信網(wǎng)絡(luò)彈性規(guī)范化存在的差距》，2011年1月發(fā)布《啟用和管理網(wǎng)絡(luò)端對(duì)端彈性》，2011年2月發(fā)布《網(wǎng)絡(luò)與服務(wù)彈性的測(cè)量標(biāo)準(zhǔn)和架構(gòu)》，2012年10月發(fā)布《向著網(wǎng)絡(luò)安全邁進(jìn)》的歐洲戰(zhàn)略等。多份有關(guān)增強(qiáng)歐盟網(wǎng)絡(luò)彈性的文件從不同角度闡述了不斷提升網(wǎng)絡(luò)彈性的重要性和必要性。

其他：2012年3月，由25個(gè)國(guó)家，跨15個(gè)領(lǐng)域的70多家政府機(jī)構(gòu)和公司參與的世界經(jīng)濟(jì)論壇，向全球發(fā)出攜手共謀網(wǎng)絡(luò)彈性的倡議，呼吁世界各國(guó)行動(dòng)起來(lái)，共同提升網(wǎng)絡(luò)彈性。

表2 網(wǎng)絡(luò)彈性度量指標(biāo)示例

1 網(wǎng)絡(luò)彈性工程

1.1 網(wǎng)絡(luò)彈性

彈性：指從不良事件中“迅速恢復(fù)”的能力。彈性概念已經(jīng)從材料科學(xué)和心理學(xué)領(lǐng)域延續(xù)到其他領(lǐng)域，例如，生態(tài)學(xué)、系統(tǒng)工程、組織行為學(xué)和國(guó)家安全，被不同工程學(xué)科定義或賦予了不同的特征，以不同的定義越來(lái)越多地應(yīng)用于國(guó)家、關(guān)鍵基礎(chǔ)設(shè)施、組織、網(wǎng)絡(luò)、系統(tǒng)和網(wǎng)絡(luò)空間。研究界已經(jīng)提出網(wǎng)絡(luò)彈性策略和架構(gòu)的多個(gè)特征。

網(wǎng)絡(luò)彈性：指國(guó)家、組織、任務(wù)或業(yè)務(wù)流程進(jìn)行預(yù)測(cè)、抵擋、恢復(fù)和改進(jìn)，來(lái)完善功能，應(yīng)對(duì)不利條件、壓力或?qū)ζ溥\(yùn)行所需的配套網(wǎng)絡(luò)資源攻擊的能力。

1.2 網(wǎng)絡(luò)彈性工程

網(wǎng)絡(luò)彈性工程[3]主要研究：利用一組不斷改進(jìn)的彈性實(shí)踐提高網(wǎng)絡(luò)彈性的方法，以及運(yùn)用這些實(shí)踐的不同策略的取舍。

網(wǎng)絡(luò)彈性工程在信息系統(tǒng)安全工程、安全運(yùn)營(yíng)管理、性能管理系統(tǒng)工程基礎(chǔ)上，借鑒彈性工程、可靠性、生存能力、容錯(cuò)、網(wǎng)絡(luò)彈性，應(yīng)急/連續(xù)性計(jì)劃、任務(wù)/業(yè)務(wù)影響分析、關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)彈性等內(nèi)容，并對(duì)信息系統(tǒng)安全工程進(jìn)行擴(kuò)展，是任務(wù)保證工程的子學(xué)科。網(wǎng)絡(luò)彈性工程與和其他系統(tǒng)工程學(xué)科之間的關(guān)系如圖1所示。

2 網(wǎng)絡(luò)彈性工程框架

MITRE[1]是美國(guó)一家不以營(yíng)利為目的，專(zhuān)門(mén)為聯(lián)邦政府機(jī)構(gòu)服務(wù)并頗具影響力的公司，管理著聯(lián)邦政府資助的研究和發(fā)展中心。在其任務(wù)保證和業(yè)務(wù)目標(biāo)彈性架構(gòu)（RAMBO）計(jì)劃下正在開(kāi)發(fā)的網(wǎng)絡(luò)彈性工程框架[3]包括網(wǎng)絡(luò)彈性的要素、威脅模型、適用領(lǐng)域和成本四個(gè)部分。

2.1 網(wǎng)絡(luò)彈性的要素

網(wǎng)絡(luò)彈性的要素包括：網(wǎng)絡(luò)彈性的目的、網(wǎng)絡(luò)彈性的目標(biāo)和網(wǎng)絡(luò)彈性實(shí)踐。

2.1.1 網(wǎng)絡(luò)彈性的目的

通過(guò)網(wǎng)絡(luò)彈性實(shí)踐達(dá)到四個(gè)目的：

預(yù)測(cè)：維持已知的防備狀態(tài)，防止對(duì)手攻擊損壞任務(wù)或業(yè)務(wù)功能。達(dá)到這一目的需要實(shí)現(xiàn)三個(gè)目標(biāo)。

預(yù)報(bào)。獲取和分析威脅情報(bào)信息。威脅信息來(lái)源于認(rèn)可的源，監(jiān)測(cè)任務(wù)環(huán)境（人的行為、物理設(shè)施以及信息系統(tǒng)）獲得的對(duì)手活動(dòng)證據(jù)或跡象，以及不良或異常事件的檢測(cè)結(jié)果。網(wǎng)絡(luò)威脅分析包括基于威脅信息的威脅建模、結(jié)果建模和評(píng)估。

預(yù)防。通過(guò)基本安全保護(hù)和加固減少受攻擊面，改變系統(tǒng)組件或任務(wù)流程，使攻擊面更難理解或預(yù)報(bào)，防止對(duì)未來(lái)運(yùn)行的推測(cè)。預(yù)防應(yīng)盡可能防止攻擊執(zhí)行。

準(zhǔn)備。開(kāi)發(fā)可替代的網(wǎng)絡(luò)行動(dòng)方案（CCoA），獲取和配置執(zhí)行CCoA所需的資源，對(duì)CCoA進(jìn)行演練。

抵擋。在對(duì)手成功執(zhí)行攻擊時(shí)，繼續(xù)執(zhí)行基本的任務(wù)或業(yè)務(wù)功能。達(dá)到這一目的需要實(shí)現(xiàn)兩個(gè)目標(biāo)：在存在對(duì)手攻擊的情況下，“爭(zhēng)取通過(guò)”攻擊或維持基本功能。遏制或擊敗對(duì)手攻擊。

恢復(fù)：對(duì)手成功執(zhí)行攻擊后，最大限度地恢復(fù)任務(wù)或業(yè)務(wù)功能。達(dá)到這一目的需要實(shí)現(xiàn)三個(gè)目標(biāo)。

確定損害。對(duì)攻擊中使用的惡意軟件進(jìn)行司法分析，對(duì)監(jiān)控、日志產(chǎn)生的記錄進(jìn)行分析，為確定受攻擊影響的網(wǎng)絡(luò)資源進(jìn)行審計(jì)；根據(jù)分析發(fā)現(xiàn)的對(duì)手活動(dòng)，與外部組織協(xié)調(diào)和共享信息；尋找被竊取或提取數(shù)據(jù)的副本。

恢復(fù)功能。采取回退恢復(fù)的方式，回滾到一個(gè)已知的可接受狀態(tài)。這可能意味著從開(kāi)始恢復(fù)到進(jìn)入可接受狀態(tài)之間的數(shù)據(jù)丟失。恢復(fù)可以重建功能，或建立一個(gè)新的基線。

確定可信度。網(wǎng)絡(luò)資源（如系統(tǒng)、信息存儲(chǔ)、網(wǎng)絡(luò)、共享服務(wù)）具有相關(guān)的可信度（如信息的準(zhǔn)確性、流通性和完整性；通信的可用性；對(duì)搜索或計(jì)算等過(guò)程在給定時(shí)間內(nèi)完成的信心）。除了文件化的需求和服務(wù)水平協(xié)議以外，通常不定義或很少明確說(shuō)明網(wǎng)絡(luò)資源的可信度。任務(wù)或業(yè)務(wù)流程用戶(hù)或網(wǎng)絡(luò)防護(hù)人員對(duì)恢復(fù)資源的信任可能與其受攻擊前有所不同。

改進(jìn)：改進(jìn)任務(wù)或業(yè)務(wù)功能和配套網(wǎng)絡(luò)功能，盡量減少實(shí)際或預(yù)測(cè)的對(duì)手攻擊造成的不利影響。這一目的必須在變化的環(huán)境中達(dá)到，達(dá)到這個(gè)目的需要實(shí)現(xiàn)兩個(gè)目標(biāo)。

改變現(xiàn)有流程和行為。環(huán)境變化包括威脅環(huán)境、系統(tǒng)環(huán)境和技術(shù)環(huán)境的變化。威脅環(huán)境的變化反映在對(duì)威脅模型的更新中，包括身份、功能、意圖或?qū)κ帜繕?biāo)的變化，以及對(duì)手諜報(bào)技術(shù)和戰(zhàn)術(shù)、技術(shù)與程序的變化。系統(tǒng)環(huán)境的變化包括任務(wù)定義、優(yōu)先順序、工作流程的變化，系統(tǒng)構(gòu)建或配置的變化，以及用戶(hù)群的變化（如，培訓(xùn)、演練、新的用戶(hù)群）。技術(shù)環(huán)境的變化包括在一種技術(shù)、特定產(chǎn)品或產(chǎn)品類(lèi)中發(fā)現(xiàn)固有的漏洞，技術(shù)部署或使用的變化，新技術(shù)的引進(jìn)，以及淘汰已建立的技術(shù)。

重構(gòu)。修改架構(gòu)，重建系統(tǒng)功能。

2.1.2 網(wǎng)絡(luò)彈性的目標(biāo)

為了達(dá)到網(wǎng)絡(luò)彈性的目的，實(shí)現(xiàn)八個(gè)網(wǎng)絡(luò)彈性目標(biāo)。每個(gè)目標(biāo)支持的目的如圖2所示。

了解：對(duì)對(duì)手，任務(wù)或業(yè)務(wù)功能對(duì)網(wǎng)絡(luò)資源的依賴(lài)關(guān)系，以及這些資源在對(duì)手活動(dòng)中的狀態(tài)進(jìn)行描述。

對(duì)對(duì)手的描述給出對(duì)手的特點(diǎn)（如能力、意圖、目標(biāo)），包括潛在的和實(shí)際的對(duì)手活動(dòng)，確定對(duì)手可能用來(lái)發(fā)動(dòng)成功攻擊的條件，以及可行的對(duì)手諜報(bào)知識(shí)。對(duì)網(wǎng)絡(luò)資源狀態(tài)的描述支持變化檢測(cè)，以發(fā)現(xiàn)可能正在進(jìn)行的攻擊，用于確定受到攻擊影響的資源。

對(duì)手和依賴(lài)關(guān)系描述支持預(yù)測(cè)。網(wǎng)絡(luò)資源狀態(tài)描述支持抵擋，并通過(guò)促進(jìn)損害評(píng)估和可信性評(píng)估支持恢復(fù)。依賴(lài)關(guān)系描述支持改進(jìn)，幫助避免意料之外的架構(gòu)變化。

準(zhǔn)備：維護(hù)現(xiàn)實(shí)的處理預(yù)測(cè)的網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)行動(dòng)方案（CCoA）。

為了使CCoA切合實(shí)際，必須考慮可用的資源，不論是網(wǎng)絡(luò)還是非網(wǎng)絡(luò)的（如人，其中可能包括：人員水平、訓(xùn)練，以及在演練的基礎(chǔ)上理解如何執(zhí)行CCoA）。

防止：阻止攻擊在網(wǎng)絡(luò)資源中成功執(zhí)行。

實(shí)現(xiàn)此目標(biāo)的關(guān)鍵是應(yīng)用完善的信息系統(tǒng)安全工程（ISSE）原則和實(shí)踐，在企業(yè)或系統(tǒng)架構(gòu)中最具成本效益的點(diǎn)上應(yīng)用安全控制，以最具成本效益的方式實(shí)施安全措施。專(zhuān)門(mén)針對(duì)網(wǎng)絡(luò)彈性的策略包括：基于對(duì)手能力有選擇地加固關(guān)鍵資源，使對(duì)手行動(dòng)偏離方向，采取行動(dòng)阻止對(duì)手攻擊關(guān)鍵資源，或限制對(duì)對(duì)手攻擊的激勵(lì)。

保持：最大限度地延長(zhǎng)攻擊期間基本任務(wù)或業(yè)務(wù)功能的持續(xù)和有效時(shí)間。

此目標(biāo)可以通過(guò)組合完美的降級(jí)服務(wù)，擴(kuò)大對(duì)手為了成功執(zhí)行攻擊必須攻擊的范圍，合理的任務(wù)或業(yè)務(wù)功能分布，以及在遭到攻擊時(shí)采用替換行動(dòng)方案來(lái)實(shí)現(xiàn)。

限制：限制對(duì)手攻擊造成的損害。

此目標(biāo)通常通過(guò)將攻擊中涉及的網(wǎng)絡(luò)資源與其他網(wǎng)絡(luò)資源隔離來(lái)實(shí)現(xiàn)。關(guān)鍵是應(yīng)用容錯(cuò)和可信計(jì)算原則和實(shí)踐。

重組：遭受成功攻擊后重新部署網(wǎng)絡(luò)資源，提供盡可能完整的任務(wù)或業(yè)務(wù)功能。

其目的是通過(guò)確定網(wǎng)絡(luò)資源未能達(dá)到的已知良好狀態(tài)，在允許的情況下盡快返回支持任務(wù)或業(yè)務(wù)持續(xù)運(yùn)行的狀態(tài)。

轉(zhuǎn)變：改變組織行為，應(yīng)對(duì)過(guò)去、現(xiàn)在或未來(lái)的對(duì)手攻擊。

其目的是通過(guò)限制或改變?nèi)蝿?wù)或業(yè)務(wù)活動(dòng)的各個(gè)方面，盡量減少暴露給攻擊的網(wǎng)絡(luò)資源。包括：改變?nèi)蝿?wù)或業(yè)務(wù)功能的執(zhí)行方式，做與任務(wù)或業(yè)務(wù)功能完全不同事情，或改變?nèi)蝿?wù)或業(yè)務(wù)功能的范圍等。

重構(gòu)：修改架構(gòu)，更有效地應(yīng)用網(wǎng)絡(luò)彈性實(shí)踐；應(yīng)對(duì)預(yù)期的對(duì)手能力、意圖和目標(biāo)的長(zhǎng)期變化；吸收新技術(shù)提高網(wǎng)絡(luò)彈性。

可能包括：重新設(shè)計(jì)、重新實(shí)施或更換，特別是利用新技術(shù)、現(xiàn)有的網(wǎng)絡(luò)資源，以及重新配置現(xiàn)有資源，提供新的或不同的功能。

2.1.3 網(wǎng)絡(luò)彈性實(shí)踐

網(wǎng)絡(luò)彈性實(shí)踐是實(shí)現(xiàn)一個(gè)或多個(gè)網(wǎng)絡(luò)彈性目標(biāo)的方法，用于構(gòu)建和設(shè)計(jì)任務(wù)或業(yè)務(wù)功能以及支持任務(wù)或業(yè)務(wù)功能的網(wǎng)絡(luò)資源，包括：任務(wù)或業(yè)務(wù)部門(mén)，公共基礎(chǔ)設(shè)施，共享服務(wù)或單個(gè)系統(tǒng)、服務(wù)或組件。網(wǎng)絡(luò)彈性目標(biāo)與實(shí)踐之間的關(guān)系如表1所示。

適應(yīng)性響應(yīng)：在有跡象表明攻擊正在進(jìn)行時(shí)基于攻擊特征采取行動(dòng)。包括：選擇、執(zhí)行和監(jiān)測(cè)CCoA的有效性。

分析監(jiān)測(cè)：持續(xù)收集和分析數(shù)據(jù)，協(xié)同確定潛在漏洞、對(duì)手活動(dòng)和損害。

協(xié)同防御：進(jìn)行適應(yīng)性管理，以協(xié)同的方式、多種不同的機(jī)制保護(hù)關(guān)鍵資源免遭對(duì)手攻擊。

欺騙：使用混淆和誤導(dǎo)（如，虛假信息）等迷惑對(duì)手。

多樣化：迫使對(duì)手攻擊多種不同類(lèi)型的技術(shù)（如，硬件、軟件、固件和協(xié)議），使攻擊的影響降到最低。

動(dòng)態(tài)定位：使用分布式處理，動(dòng)態(tài)重定位關(guān)鍵資產(chǎn)和傳感器。

動(dòng)態(tài)展示：構(gòu)建和維護(hù)組件、系統(tǒng)、服務(wù)、任務(wù)依賴(lài)關(guān)系、對(duì)手活動(dòng)，以及可替換的網(wǎng)絡(luò)行動(dòng)方案影響等的動(dòng)態(tài)呈現(xiàn)。

非持久化：在有限的時(shí)間內(nèi)保留信息、服務(wù)和連接，減少對(duì)手利用漏洞并建立持久立足點(diǎn)的機(jī)會(huì)。

權(quán)限限制：分別基于類(lèi)型、重要性和可信程度，限制使用網(wǎng)絡(luò)資源需要的權(quán)限，以及分配給用戶(hù)和網(wǎng)絡(luò)實(shí)體的權(quán)限，盡量減少對(duì)手活動(dòng)的潛在后果。

調(diào)整：使網(wǎng)絡(luò)資源與任務(wù)或業(yè)務(wù)功能的核心部分匹配，減少攻擊面。

保持冗余：維護(hù)多個(gè)受保護(hù)關(guān)鍵資源（信息和服務(wù)）的實(shí)例。

分割：基于類(lèi)型和重要性（邏輯或物理）分離組件，限制被對(duì)手成功利用造成的損害或傳播。

驗(yàn)證完整性：確定關(guān)鍵服務(wù)、信息存儲(chǔ)、信息流和組件未被對(duì)手破壞。

不可預(yù)測(cè)化：進(jìn)行頻繁、隨機(jī)的變化，使對(duì)手難以預(yù)測(cè)。

網(wǎng)絡(luò)彈性實(shí)踐依賴(lài)于支持安全和性能的實(shí)踐。隨著網(wǎng)絡(luò)彈性實(shí)踐和解決方案的成熟，可能成為安全工程、性能工程、安全管理和安全運(yùn)行活動(dòng)中安全和性能實(shí)踐的組成部分。

2.2 威脅模型

確定網(wǎng)絡(luò)彈性實(shí)踐將應(yīng)對(duì)的威脅；分析網(wǎng)絡(luò)攻擊鏈，建立網(wǎng)絡(luò)彈性目的與對(duì)手活動(dòng)的對(duì)應(yīng)關(guān)系。

2.3 適用領(lǐng)域

確定網(wǎng)絡(luò)彈性實(shí)踐、措施（控制、機(jī)制、程序），以及解決方案適用的架構(gòu)層或網(wǎng)絡(luò)資源集。可以在多個(gè)層次上應(yīng)用彈性實(shí)踐和實(shí)現(xiàn)網(wǎng)絡(luò)彈性目標(biāo)。

網(wǎng)絡(luò)彈性工程側(cè)重于將網(wǎng)絡(luò)彈性實(shí)踐應(yīng)用于網(wǎng)絡(luò)資源，或?qū)⑻囟ǖ膹椥援a(chǎn)品或?qū)嵺`與網(wǎng)絡(luò)資源集成。重點(diǎn)關(guān)注任務(wù)和業(yè)務(wù)部門(mén)、系統(tǒng)、共享服務(wù)組、網(wǎng)絡(luò)或其他公共基礎(chǔ)設(shè)施的體系架構(gòu)，網(wǎng)絡(luò)彈性實(shí)踐對(duì)于不同類(lèi)型的網(wǎng)絡(luò)資源具有不同的效果。

2.4 成本

確定使用網(wǎng)絡(luò)彈性實(shí)踐、機(jī)制，或特定產(chǎn)品或?qū)崿F(xiàn)涉及的成本類(lèi)型。應(yīng)用網(wǎng)絡(luò)彈性實(shí)踐或使用網(wǎng)絡(luò)彈性產(chǎn)品的潛在成本是多方面的。成本是進(jìn)行替代策略和實(shí)現(xiàn)權(quán)衡分析的組成部分。

成本度量指標(biāo)用初始成本、支持成本、間接成本與收益三種類(lèi)型來(lái)定義和表征。成本評(píng)估的方法包括：定性、半定量和定量方法。

3 網(wǎng)絡(luò)彈性度量

網(wǎng)絡(luò)空間的風(fēng)險(xiǎn)日益增長(zhǎng)，情況愈加復(fù)雜，特別是國(guó)家層面的大規(guī)模網(wǎng)絡(luò)攻擊威脅有增無(wú)減，對(duì)網(wǎng)絡(luò)彈性的需求愈加強(qiáng)烈。提高網(wǎng)絡(luò)彈性的工程和運(yùn)營(yíng)決策迫切需要合適的度量和評(píng)估過(guò)程支持，需要盡快研究制定衡量網(wǎng)絡(luò)彈性的度量方法和指標(biāo)。MITRE在RAMBO評(píng)估任務(wù)下所做的網(wǎng)絡(luò)彈性度量[4]工作主要包括：

建立方法：用于識(shí)別、表征、定義網(wǎng)絡(luò)彈性度量指標(biāo)；

確定通用度量指標(biāo)：用于網(wǎng)絡(luò)彈性的技術(shù)和成本度量；

開(kāi)發(fā)原型工具：使用戶(hù)能夠根據(jù)自身需求確定其特定的網(wǎng)絡(luò)彈性度量指標(biāo)集。

3.1 度量方法

MITRE構(gòu)造的網(wǎng)絡(luò)彈性度量通用指標(biāo)涉及的范圍包括：用于不同用途的度量指標(biāo)。特別是支持經(jīng)營(yíng)決策與工程決策的指標(biāo)；適用于不同架構(gòu)層或資源類(lèi)的度量指標(biāo)。例如，系統(tǒng)、應(yīng)用程序、知識(shí)庫(kù)或數(shù)據(jù)存儲(chǔ)、通信和特定技術(shù)的指標(biāo)；反映不同特征的度量指標(biāo)。包括：及時(shí)性、能力和信心的指標(biāo)；不同形式的度量指標(biāo)。包括：定量、半定量和定性指標(biāo)；借鑒的度量指標(biāo)。重用其他工程學(xué)科中的指標(biāo)，尤其是安全指標(biāo)；專(zhuān)門(mén)針對(duì)RAMBO項(xiàng)目中正在研究的技術(shù)的度量指標(biāo)。

網(wǎng)絡(luò)彈性度量通用指標(biāo)分為三大類(lèi)：

技術(shù)度量指標(biāo)。評(píng)估技術(shù)，以及任務(wù)或業(yè)務(wù)處理，尤其是網(wǎng)絡(luò)防御處理相關(guān)技術(shù)的行為。

組織度量指標(biāo)。評(píng)估組織流程對(duì)彈性的落實(shí)程度，其中包括網(wǎng)絡(luò)彈性。

成本度量指標(biāo)。評(píng)估使用網(wǎng)絡(luò)彈性方法、解決方案、產(chǎn)品，或改善組織流程所需的成本。包括：采購(gòu)或整合解決方案的成本、支持成本和間接成本等。

3.2 度量指標(biāo)

MITRE在其2011財(cái)年創(chuàng)新計(jì)劃項(xiàng)目下RAMBO評(píng)估任務(wù)建立、使用的網(wǎng)絡(luò)空間彈性能力度量細(xì)化指標(biāo)多達(dá)272項(xiàng)，包括了各個(gè)方面。2012年4月發(fā)布的《網(wǎng)絡(luò)彈性度量》白皮書(shū)中，給出其中具有代表性的指標(biāo)100余項(xiàng)。作為示例，表2中列出了其中的5項(xiàng)技術(shù)指標(biāo)。

4 結(jié)語(yǔ)

網(wǎng)絡(luò)彈性是一個(gè)很大的概念，需要從國(guó)家、社會(huì)和系統(tǒng)的角度來(lái)看待和規(guī)避風(fēng)險(xiǎn)。網(wǎng)絡(luò)彈性方案必須具有可操作性才能行之有效，實(shí)現(xiàn)網(wǎng)絡(luò)彈性是一個(gè)宏大的目標(biāo)，需要國(guó)家層面長(zhǎng)期、持續(xù)的努力。十八屆三中全會(huì)公報(bào)中最受關(guān)注的內(nèi)容之一是：設(shè)立國(guó)家安全委員會(huì)，以完善國(guó)家安全體制和戰(zhàn)略，確保國(guó)家安全。我國(guó)成立國(guó)家安全委員會(huì)，在完善國(guó)家安全戰(zhàn)略的過(guò)程中必將涉及國(guó)家信息安全戰(zhàn)略，信息安全將成為國(guó)家安全戰(zhàn)略的重要組成部分。希望我國(guó)的信息安全工作能從本文中得到啟示，盡快開(kāi)展以下工作：

提高網(wǎng)絡(luò)彈性重要性和迫切性認(rèn)識(shí)。隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，問(wèn)題觸發(fā)式，分離、局部、被動(dòng)的處理方式已不能適應(yīng)解決高級(jí)持續(xù)威脅（APT）和快速成功攻擊的需求，今天的網(wǎng)絡(luò)安全需要通過(guò)具有彈性，能夠?qū)暨M(jìn)行預(yù)測(cè)、抵擋、并迅速恢復(fù)和改進(jìn)的彈性網(wǎng)絡(luò)來(lái)保證。

研究網(wǎng)絡(luò)彈性實(shí)施架構(gòu)和相關(guān)技術(shù)。網(wǎng)絡(luò)集成、運(yùn)營(yíng)單位，網(wǎng)絡(luò)安全防御利益相關(guān)者，以及國(guó)家相關(guān)部門(mén)等，協(xié)同努力，積極開(kāi)展網(wǎng)絡(luò)彈性架構(gòu)和相關(guān)技術(shù)研究，盡快形成相關(guān)戰(zhàn)略措施、實(shí)施方案、技術(shù)規(guī)范和標(biāo)準(zhǔn)體系。

建立網(wǎng)絡(luò)彈性評(píng)估方法和指標(biāo)體系。網(wǎng)絡(luò)集成、運(yùn)營(yíng)單位，網(wǎng)絡(luò)安全防御利益相關(guān)者，第三方測(cè)評(píng)機(jī)構(gòu)，以及國(guó)家相關(guān)部門(mén)等，協(xié)同努力，積極開(kāi)展網(wǎng)絡(luò)彈性評(píng)估方法和指標(biāo)體系研究，建立國(guó)家網(wǎng)絡(luò)彈性評(píng)估體系，形成網(wǎng)絡(luò)彈性評(píng)估、管理基線。

開(kāi)展網(wǎng)絡(luò)彈性建設(shè)和評(píng)估試點(diǎn)示范。網(wǎng)絡(luò)集成、運(yùn)營(yíng)單位，網(wǎng)絡(luò)安全防御利益相關(guān)者，第三方測(cè)評(píng)機(jī)構(gòu)，以及行業(yè)主管部門(mén)等聯(lián)合開(kāi)展網(wǎng)絡(luò)彈性工程實(shí)施、評(píng)估試點(diǎn)示范，完善相關(guān)實(shí)施方案、技術(shù)規(guī)范和標(biāo)準(zhǔn)體系，健全評(píng)估體系和評(píng)估管理基線，實(shí)現(xiàn)網(wǎng)絡(luò)安全的常態(tài)管理，促進(jìn)國(guó)家信息安全水平整體提高。

[1]THE MITRE CORPORATION | Annual Report 2012. MITRE, 2013.

[2]知遠(yuǎn)/嚴(yán)美.彈性——面對(duì)網(wǎng)絡(luò)攻擊幸存的方法[OL].搜狐軍事,2013年05月13日. http：//mil.sohu.com/20130513/n375722601.shtml

[3]Deborah J. Bodeau & Richard Graubart. Cyber Resiliency Engineering Framework. MITRE, September 2011.

[4]Deb Bodeau, Rich Graubart, Len LaPadula, Peter Kertzner,Arnie Rosenthal, Jay Brennan. Cyber Resiliency Metrics, Version 1.0, Rev. 1. MITRE, April 2012.

Cyber has become an important and indispensable part for people's lives and even country running. Cyber security and stable has become the important assurance for national security and economic security. However, with the continuous expansion of cyber scale and rapid development of technology,cyber threats are also growing. It’s increasingly recognized that needing cyber resiliency to enable information and communications systems and those who depend on them can anticipate and withstand attacks, recover subsequent to successful execution of an attack by an adversary, and evolve themselves. This article first presents the concepts of cyber resiliency and cyber resiliency engineering, then introduces the MITRE’s cyber resiliency engineering framework and Metrics, and finally gives opinions about our work on cyber resiliency.

Cyber security Cyber resiliency Cyber resiliency engineering framework Cyber resiliency metrics

嚴(yán)霄鳳（1 9 6 4—），女，上海寶山人，通信專(zhuān)業(yè)碩士，中國(guó)軟件評(píng)測(cè)中心高級(jí)工程師，主要從事信息安全，電子認(rèn)證、個(gè)人信息保護(hù)相關(guān)標(biāo)準(zhǔn)、規(guī)范和測(cè)評(píng)方法研究，長(zhǎng)期從事信息系統(tǒng)測(cè)試、信息安全測(cè)評(píng)和政府信息系統(tǒng)安全、電子認(rèn)證、電子簽名、個(gè)人信息保護(hù)相關(guān)課題等的研究實(shí)施工作。

董超：(1977—)，碩士，專(zhuān)業(yè)為計(jì)算機(jī)軟件與理論，研究方向?yàn)檐浖y(cè)試。