網絡彈性及NIST SP 800-160（II）框架解析

董坤祥　謝宗曉　甄杰

摘要：對不同組織和學者提出的網絡彈性的概念進行了比較分析，提出狹義和廣義的網絡彈性概念及其構建要求;并對NIST SP 800-160（Ⅱ）的網絡彈性框架從概念、架構選擇與優先級、實踐和過程分析三個方面進行了詳細描述。

關鍵詞：網絡彈性 NIST SP 800-160（Ⅱ）

Cyber Resilience and NIST SP 800-160（II） Framework Analysis

Dong Kunxiang （Shandong University of Finance and Economics）

Xie Zongxiao （China Financial Certification Authority）

Zhen Jie （Chongqing Technology and Business University）

Abstract： The concepts of cyber resilience of different organizations and scholars are compared and analyzed， and the narrow and broad concepts of cyber resilience and their construction requirements are proposed. The NIST SP 800-160 （II） is described in detail from three aspects： framework， selection and priority cyber resiliency constructs， analytic practices and processes.

Key words：  cyber resilience， NIST SP 800-160（II）

0 引言

隨著企業數字化轉型的深入以及數字經濟的蓬勃發展，網絡空間迅速擴張到生產生活的方方面面。然而，網絡技術的普及與進步，一方面降低了成本，促進了生產率;另一方面，網絡安全空間因復雜的相依關系又呈現出前所未有的復雜性、不穩定性和風險[1]。2020 年，全球31%的公司每天至少受到一次網絡犯罪分子的攻擊，每天超過 1000 人的敏感數據被勒索軟件團伙竊取并公開泄露。因此，如何提高企業的網絡安全風險管理能力成為熱點。

傳統的網絡安全風險管理強調，對風險的概率和嚴重性進行量化，從而獲得支持解決風險問題的策略，如保留、避免、減少、轉移或保險。而事實是，企業不可避免地遭受網絡安全的攻擊，并且潛在網絡威脅的不可預測性、極端不確定性和快速演變使得風險也難以測量。因此，當風險管理無法有效地保護企業免受破壞性威脅時，傳統的加固網絡系統以抵御已識別威脅的方法被證明只是部分有效。那么，如何能像生物系統那樣發展出免疫力以應對感染和其他攻擊，網絡系統也必須適應不斷變化的威脅，并從攻擊的影響中恢復過來。網絡安全彈性的概念便應運而生，其范圍比網絡安全風險管理更廣，即網絡安全中的風險管理關注最小化危害，而網絡彈性側重于信息技術環境中的預防、檢測和響應控制，以評估差距并推動實體整體安全態勢的增強[2]。

1 網絡彈性定義

1.1 概念演化

彈性（Resilience）概念起源于力學和生態學等領域，后來衍生到技術、工程和文學媒體領域。2012年，美國國家科學院對彈性定義為，準備和計劃、吸收、恢復以及更成功地適應不利事件的能力。類似的在工程領域，網絡彈性（Cyber Resilience）是指計算機網絡在出現故障時保持服務的能力。網絡彈性是一個不斷發展的觀點，其本質是將信息安全、業務連續性和組織彈性等領域結合在一起。此外，網絡彈性不僅應用于 IT 系統、關鍵基礎設施，還普遍應用于業務流程、組織運營、社會發展和國家安全[3]。

早在2016年，國際清算銀行BIS出版了金融市場基礎設施（FMI）的網絡彈性指南，專門為FMI 提供基于原則性指導，以增強其網絡彈性。2018年，美國國防部在《國防部網絡戰略2018》中提出“提升美國關鍵基礎設施彈性”的戰略途徑;此后不久，美國白宮發布了美國的《國家網絡戰略》，提出了“管理網絡安全風險，提升國家信息和信息系統的安全與彈性”的目標。自此，網絡彈性由單一領域內的網絡安全能力構建，拓展至國家網絡安全戰略。2019年11月27日，美國國家標準與技術研究所（NIST）正式發布SP 800-160（II）《開發網絡彈性系統 系統安全工程方法》，它是NIST采用系統工程方法構建網絡安全能力的里程碑，也是網絡彈性的權威技術文件。

1.2 概念對比

隨著網絡彈性重要性的凸顯，不同組織機構和學者對網絡彈性提出了各自的觀點，如表1所示。

由表1可知，網絡彈性的概念隨著時間發展其內涵逐步豐富，從一開始的強調抵御中斷并恢復，到網絡安全管理生命周期內全過程彈性，然后將網絡彈性視為組織的一種戰略。這種概念的演化說明了，網絡彈性在組織風險控制與戰略規劃中已提高至不可忽視的地位。從不同組織和學者對網絡彈性的定義可知，他們均認為網絡彈性的目標，是在外部擾動風險下，組織保持持續運營的能力。因此，網絡彈性的概念有3個關鍵方面：一是了解風險的性質，即組織面臨的可能網絡風險類型，網絡風險可能性大小等;二是采取行動保護系統以防止和抵御網絡攻擊，即組織應利用網絡安全投資、保險等手段控制風險的發生;三是沒有百分之百安全的網絡，即管理者應認識到某些攻擊仍會發生，為此做好準備，以具有足夠的彈性最大程度地減少其影響并能夠恢復。

綜上對網絡彈性概念的梳理，本文認為：狹義上，網絡彈性是在發生網絡安全事故后，組織繼續保持服務輸出的能力，見圖1;廣義上，網絡彈性是將組織戰略、文化和制度融入網絡安全管理生命周期，通過預防、抵御和響應措施恢復和適應外部沖擊，實現以最小的影響確保整個業務生態系統持續服務的能力，見圖2。

圖1顯示，狹義的網絡彈性其關注點在于服務能力與水平不可低于最低服務能力或水平，以達到持續服務的目標，并且響應時間越短越好，如虛線③的響應時間小于實線①的響應時間;恢復時間越快越好，如實線①優于虛線②的恢復措施。同時，狹義上的網絡彈性關注沖擊發生后，組織通過各類抵御和響應措施恢復和適應外部沖擊。圖2顯示了廣義網絡彈性，其涵蓋了網絡安全風險管理的擾動、失效、響應、恢復等各個階段在制度、戰略和文化融入之后的網絡彈性過程。其中，擾動過程展現了組織對外部威脅的免疫性能和系統的可靠性，說明了系統風險的自然屬性，也展現了企業對防御能力的投入;廣義的網絡彈性允許企業服務水平低于最低水平甚至允許中斷的出現，也要求在這種情形下企業應迅速恢復至最低服務水平。當然，即使出現低于最低水平或中斷情形，也不一定意味這種情況下的彈性比狹義概念上的彈性差，如當圖2中S1的面積小于S2的面積時，虛線③的彈性仍然優于實線①的彈性。

基于上述討論，本文認為網絡彈性應具備以下要求：

（1）網絡彈性應是戰略性的，即取得組織內部高管的支持，并融入組織的運營戰略之中，實現由上而下的彈性戰略目標以及戰術目標。

（2）組織應清楚地知道組織的彈性大小以及特征，通過運用網絡安全評價體系或成熟度標準測量組織的網絡彈性水平，并設置最低的服務水平。

（3）組織應有具體成文的措施應對彈性中的損失，通過防御、響應和恢復手段，最小化外部沖擊影響，保持業務的連續服務能力。

（4）組織應定期開展主動威脅測試，通過主動防御強化服務系統的魯棒性，以最大限度降低沖擊事件發生的概率。

2 NIST SP 800-160（II）的網絡安全彈性框架

2019年11月，NIST發布SP 800-160（II）《開發網絡彈性系統 系統安全工程方法》，介紹了理解和應用網絡彈性的網絡彈性工程框架以及在系統生命周期中實施網絡彈性的具體注意事項。SP 800-160（II）是SP 800-160（I）和SP 800-37的支持文件，其目的是利用系統工程視角來整合系統生命周期過程和風險管理過程，實現既定的網絡彈性目標。SP 800-160（II）的網絡彈性工程框架結構包括：網絡彈性目的、目標、技術、方法和設計原則，本架構可指導組織從風險管理策略出發，根據威脅或攻擊的影響來制定網絡彈性解決方案。

2.1 概念框架

為了更好地理解網絡彈性問題和解決方案，SP 800-160（II）詳細描述了用來識別和分析網絡彈性解決方案的網絡彈性工程實踐，包括網絡彈性目的、目標、技術、方法和設計原則，具體如下。

（1）網絡彈性目的：用于描述組織關注的更高級目標或優先級，包括目標、預期、承受、恢復和適應。

（2）網絡彈性目標：是為滿足組織對業務持續和安全彈性的需求，必須在其運營環境和整個生命周期中實現的可操作的具體目標，如預防或避免、準備、持續服務、抑制和重組。網絡彈性目標可以分層次細化，通過創建子目標強調目標的不同方面或實現目標的方法，并可使組織能夠根據任務來確定彈性優先級。

（3）網絡彈性技術和方法：是一組或一類旨在通過提供能力來實現一個或多個目標的技術和實踐，包括適應性響應、分析監測、情境感知、聯合防護、多元化、動態配置、非連續、權限限制、重組、冗余、分割、完整性證實、隨機更改和誘導14種技術與方法。

（4）彈性設計原則：識別戰略和框架中的關鍵概念，并詳細描述其流程和程序。

通過對網絡彈性框架的描述，使組織可以理解網絡彈性概念及其相互關系，進而通過風險和特定威脅事件或惡意網絡活動類型的潛在影響來分析網絡彈性解決方案。具體的網絡彈性框架概念之間的關系見圖3。

2.2 網絡彈性架構的選擇與優先級

為了更好地保護組織系統的安全質量，網絡彈性的設計原則、技術和方法應彼此建立、補充或協同作用。同時，由于不同的組織內外面臨的安全環境不同，所以需要與組織相適應的網絡彈性技術和方法，故系統安全工程目的是管理風險，而不是提供通用的解決方案。如何選擇適合組織的網絡彈性方法與技術步驟如下。

（1）應與目的和目標相一致。網絡彈性技術和實現方法是用來實現任務或業務目標的，且符合目的和目標的相對優先級。

（2）與網絡風險管理戰略一致。作為組織整體風險管理戰略的一部分，網絡風險管理戰略的風險應對應包括應對外部攻擊類型和偏好的網絡彈性解決方案。

（3）與系統類型一致。不同的組織提供服務或面臨不同環境時所需要的系統不同。不同的系統其網絡彈性的方法與優先級也有所不同。例如，企業IT系統的通用系統，所有的網絡彈性技術和方法都是可行的;而大規模系統對服務中斷或退化高度敏感，往往通過功能重新配置、碎片化和分布式功能等方法來提高網絡彈性;物理信息系統則更多地使用加密校驗和完整性檢查方法;物聯網則依靠完整性檢查方法與可靠性機制結合。

（4）網絡彈性的沖突與協調。從決策角度而言，沒有一種技術或一組技術是最優的，使用任何特定的技術都有分支，組織應根據戰略、目的、目標選擇合適的技術、方法及其優先級。

（5）網絡安全投資。事實上網絡安全投資應遍及網絡安全管理生命周期，但不同的組織在不同階段的投資側重點應不同。

（6）與網絡彈性解決方案的應用位置一致。網絡彈性方法和技術取決于其彈性應用的系統層級及其組件、元素或者接口。

（7）對威脅和風險的影響一致。不同的彈性技術或方法對給定威脅事件的適用程度、范圍以及受影響的風險因素方面有所不同。因此，基于系統安全在體系結構、設計和操作環境中預期效果，在技術、方法和實現之間實現權衡。

（8）使用技術與方法的安全成熟度。作為最活躍研究領域，網絡彈性涌現了大批安全技術，以提高信息物理系統、高可信度專用系統和大規模處理環境的網絡彈性，但是不同技術與方法的成熟水平不同，組織應結合上述一致性選擇合適成熟水平的彈性技術與方法。

2.3 實踐和過程分析

網絡彈性分析旨在確定系統的網絡彈性屬性和行為，是否足以滿足組織的任務保證、業務連續性、或包括APT的威脅環境中的其他安全需求。網絡彈性分析的流程包括：理解環境、建立網絡彈性基線、分析系統、定義和分析具體方案、建議行動計劃集。

（1）理解環境。充分理解編程環境、架構環境、運營環境、威脅環境和網絡彈性結構的優先級等內外環境，從而可以在該環境下解釋網絡彈性結構，評估網絡彈性目標的相對優先級，并確定網絡彈性設計原則、技術和方法的適用性。

（2）建立網絡彈性基線。可根據組織實施的網絡彈性技術和方法以及/或可用于應用的網絡彈性設計原則、配置或操作使用的容易程度來進行表征網絡彈性能力基線。然后，利用威脅熱圖或威脅覆蓋分數對網絡彈性能力或安全進行風險評估。

（3）分析系統。首先，確定關鍵資源、脆弱性來源和攻擊面;然后，從攻擊者角度構建可能的攻擊場景，用以彌補供應鏈風險分析、網絡彈性或網絡安全分析的結果，進而確定改進的機會和優先次序。

（4）定義和分析具體方案。首先，定義組織系統安全潛在的技術和解決方案;其次，定義支持系統和過程的潛在解決方案;最后，根據彈性基線標準分析潛在的解決方案，從而更好地理解現有系統的網絡彈性技術與方法。

（5）建議行動計劃集是步驟（4）中的備選方案形成的解決方案集，用于構建潛在的行動路線，包括分析、評價這些備選方案，并從成本、收益和風險管理方法的角度提出潛在的具體行動。

3 結論

本文通過對網絡彈性定義的梳理，從廣義和狹義兩個角度提出了網絡彈性的定義，并分析了網絡彈性的基本特點。然后，詳細介紹了NIST SP 800-160（II）的網絡彈性的概念框架、實施方案和實踐過程。該文對組織構建網絡彈性提供了參考，有助于組織在理解網絡彈性的基礎上，根據組織面臨的內外環境，在投資收益的原則下，用適當的方法配置網絡彈性技術，并從一系列彈性解決方案中，選擇最適應組織能力的彈性框架。

參考文獻

[1] Bjorck Fredrik， Henkel M， Stirna J， et al. Cyber Resilience—Fundamentals for a Definition[C]. Advances in Intelligent Systems and Computing. Stockholm University， 2015： 311-316.

[2] Hausken K. Cyber Resilience in Firms， Organizations and Societies[J]. Internet of Things， 2020， 11（100204）： 1-9.

[3] Kott I Linkov. Cyber Resilience of Systems and Networks[M]. Cham： Springer International Publishing， 2019.

[4] Ron Ross， Victoria Pillitteri， Richard Graubart， et al. Developing Cyber Resilient Systems： A Systems Security Engineering Approach Special Publication （NIST SP） [R]. Gaithersburg： National Institute of Standards and Technology， 2019.

基金項目：國家社科基金（21CGL017）